Seit Citrix XenApp / XenDesktop 7.9 ist der Federated Authentication Service (FAS) verfügbar. Über Citrix FAS ist es möglich einen Benutzer über SAML zu authentifizieren und somit Citrix als Service Provider, an bestehende Identity Provider, wie zum Beispiel Azure-AD, anzubinden.
Ablauf der SAML Authentifizierung
- Der Benutzer ruft die FQDN (z.B. citrix.deyda.net) des Citrix Gateway vServer (Service Provider) auf, um seine VA/VD Ressourcen starten zu können
- Der Citrix Gateway vServer leitet den nicht authentifizierten Benutzer direkt weiter an den Identity Provider (Azure AD) um sich dort zu authentifizieren (saml:authnRequest)
- Der Identity Provider verweist auf seine SingleSignOnService URL (z.B. login.microsoftonline.com) und der User muss sich authentifizieren.
- Der Benutzer gibt seine AD Zugangsdaten ein und diese werden vom Identity Provider gegenüber der User Database geprüft
- Bei erfolgreicher Überprüfung in der User Database wird der IdP informiert
- Der IdP stellt einen Token (SAML Assertion) aus und übermittelt diesen an das Citrix Gateway (saml:response)
- Citrix Gateway prüft den Token (Assertion Signature) und extrahiert den UPN aus dem Assertion Token. Dies erlaubt den Zugriff per SSO auf die VA/VD Farm über FAS (Der SP hat keinen Zugriff auf die Zugangsdaten des Benutzers)
