Um Citrix XenApp- und XenDesktop-Serverfarmen in VMware Identity Manager zu konfigurieren, erstellen Sie eine oder mehrere Sammlungen virtueller Apps auf der Seite „Sammlung virtueller Apps“, die Konfigurationsinformationen enthält, z. B. zu den Citrix-Servern, mit denen Ressourcen und Berechtigungen synchronisiert werden sollen, zum Integration Broker, der für die Synchronisierung und SSO verwendet werden soll, zum VMware Identity Manager-Connector, der für die Synchronisierung verwendet werden soll, und zu Administratoreinstellungen (etwa den Standardclient für den Start).

Sie können alle Ihre Citrix-Serverfarmen einer Sammlung hinzufügen, oder Sie erstellen mehrere Sammlungen, je nach Ihren Anforderungen. Beispielsweise können Sie für eine einfachere Verwaltung für jede Farm eine separate Sammlung erstellen, dies ist ebenfalls nützlich, um die Synchronisierung über verschiedene Konnektoren zu verteilen. Oder Sie können alle Serverfarmen in einer Sammlung einer Testumgebung zusammenfassen und eine andere identische Sammlung für Ihre Produktionsumgebung nutzen.

Bevor Sie von Citrix veröffentlichte Ressourcen in VMware Identity Manager konfigurieren, stellen Sie sicher, dass alle Voraussetzungen erfüllt sind.

Befolgen Sie auch diese Richtlinien für die Einstellungen der Citrix-Serverfarm.

  • Synchronisieren von Bereitstellungsgruppen

    Mit der Einstellung „Bereitstellungstyp“ einer Bereitstellungsgruppe in Citrix wird festgelegt, wie VMware Identity Manager die Bereitstellungsgruppe synchronisiert.

    VMware Identity Manager synchronisiert eine Bereitstellungsgruppe nur dann, wenn als Bereitstellungstyp „Desktops und Anwendungen“ oder „Nur Desktops“ festgelegt ist. Wenn der Bereitstellungstyp der Bereitstellungsgruppe auf „Nur Apps“ festgelegt ist, werden ihre Anwendungen zwar synchronisiert, aber die Bereitstellungsgruppe selbst wird nicht synchronisiert, sodass sie nicht im VMware Identity Manager-Katalog erscheint.

    Konfigurieren Sie Ihre Bereitstellungsgruppen entsprechend.

  • Wenn Sie in XenDesktop und XenApp 7.9 die Option „Gruppe mit beschränkter Sichtbarkeit“ verwenden, um Benutzer zu beschränken, stellen Sie sicher, dass die „Gruppe mit beschränkter Sichtbarkeit“ Benutzer oder Gruppen enthält. Wenn sie keine Benutzer oder Gruppen enthält, funktioniert die Synchronisierung auf VMware Identity Manager nicht.

  • Stellen Sie sicher, dass alle von Citrix veröffentlichten Anwendungen und Desktops in einer Site gültige Benutzer enthalten. Wenn Sie einen Benutzer oder eine Gruppe löschen, stellen Sie sicher, dass Sie den Benutzer oder die Gruppe auch in von Citrix veröffentlichten Ressourcen entfernen.

  • Stellen Sie sicher, dass Benutzer und Gruppen der richtigen Bereitstellungsgruppe zugewiesen wurden.

    Bei der Auswahl von Einstellungen zum Beschränken von Benutzern stellen Sie sicher, dass Benutzer und Gruppen eingeschlossen sind.

  • XenDesktop und XenApp 7.x ermöglichen es Ihnen, mit der Einstellung „Alle authentifizierten Benutzer dürfen diese Bereitstellungsgruppe verwenden“ Berechtigungen für alle authentifizierten Benutzer auf der Ebene der Bereitstellungsgruppe festzulegen. VMware Identity Manager unterstützt diese Einstellung nicht. Damit die Benutzer in VMware Identity Manager über die richtigen Berechtigungen verfügen, legen Sie explizite Berechtigungen für Benutzer und Gruppen fest.

Hinweis:

Ab VMware Identity Manager 3.3 wird XenApp 5.x nicht mehr unterstützt. Sie können bestehende Konfigurationen, die einen XenApp 5.x-Server enthalten, nur dann aktualisieren oder speichern, wenn Sie den Server aus der Konfiguration entfernen. Nachdem Sie den 5.x-Server aus der Konfiguration entfernt und die Konfiguration gespeichert haben, werden alle mit dem 5.x-Server verknüpften Ressourcen bei der nächsten Synchronisierung aus dem Katalog entfernt. Benutzer können die Ressourcen solange ausführen, bis sie aus dem Katalog entfernt werden.

Voraussetzungen

  • Konfigurieren Sie VMware Identity Manager. Weitere Informationen finden Sie unter Installieren und Konfigurieren von VMware Identity Manager und Administration von VMware Identity Manager.

  • Stellen Sie sicher, dass Benutzer und Gruppen mit Berechtigungen für Citrix aus Ihrem Unternehmensverzeichnis mit VMware Identity Manager mithilfe der Verzeichnissynchronisierung synchronisiert wurden.

    Stellen Sie beim Erstellen des Verzeichnisses sicher, dass Sie userPrincipalName als erforderliches Attribut festlegen.

    Benutzer müssen das Attribut distinguishedName haben. Wenn das Attribut für einen Benutzer nicht festgelegt wurde, ist der Benutzer möglicherweise nicht in der Lage, Desktops und Anwendungen auszuführen.

  • Stellen Sie Integration Broker bereit, und stellen Sie sicher, dass alle unter Voraussetzungen für die Integration von Citrix beschriebenen Voraussetzungen erfüllt sind.

  • Wenn Sie vor Integration Broker einen Lastausgleichsdienst verwenden, notieren Sie den Hostnamen oder die IP-Adresse des Lastausgleichsdienstes, das er oder sie während dieser Aufgabe benötigt wird.

  • Wenn Sie die Option „StoreFront verwenden“, die in VMware Identity Manager 2.9.1 und höher verfügbar ist, verwenden möchten, stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind.

    • Installieren Sie Integration Broker 2.9.1 oder höher.

    • Stellen Sie sicher, dass StoreFront von der XenApp- oder XenDesktop-Version unterstützt wird, die Sie verwenden.

    • Stellen Sie sicher, dass Integration Broker mit dem StoreFront-Server kommunizieren kann.

      Bei Aktivierung der StoreFront-REST-API kommuniziert Integration Broker mit dem StoreFront-Server, um die ICA-Datei zu generieren.

    • Stellen Sie sie, wenn Sie im StoreFront-Server vertrauenswürdige Domänen für die Authentifizierungsmethode „Benutzername und Kennwort“ konfigurieren, sicher, dass Sie Domänennamen als vollqualifizierte Domänennamen der Liste „Vertrauenswürdige Domänen“ hinzufügen. VMware Identity Manager benötigt den vollqualifizierten Domänennamen. Weitere Informationen finden Sie unter Starten von veröffentlichten Citrix-Anwendungen und -Desktops.

  • Schlagen Sie in der Citrix-Dokumentation nach, welche Version von Citrix XenApp oder XenDesktop Sie verwenden.

  • Sie müssen eine Administratorrolle verwenden, die die Aktion „Desktop-Anwendungen verwalten“ im Katalogdienst ausführen kann.

Prozedur

  1. Melden Sie sich an der VMware Identity Manager-Konsole an.
  2. Wählen Sie die Registerkarte Katalog > Virtuelle Apps und klicken Sie dann auf Konfiguration virtueller Apps.
  3. Klicken Sie auf Virtuelle Anwendungen hinzufügen und wählen Sie Veröffentlichte Citrix-Anwendung.
  4. Geben Sie einen eindeutigen Namen für die Sammlung ein.
  5. Wählen Sie aus dem Dropdown-Menü Synchronisierungskonnektoren den Konnektor, mit dessen Hilfe Sie die Ressourcen dieser Sammlung synchronisieren möchten.

    Wenn Sie zum Zweck der Hochverfügbarkeit mehrere Konnektoren eingerichtet haben, klicken Sie auf Konnektor hinzufügen und wählen Sie die Konnektoren aus. Die Reihenfolge, in der die Konnektoren aufgeführt sind, bestimmt die Failover-Reihenfolge.

  6. Geben Sie im Abschnitt Integration Broker für die Synchronisierung Informationen zur Integration Broker-Instanz an, mit deren Hilfe Sie Ressourcen synchronisieren möchten.
    1. Geben Sie den vollqualifizierten Domänennamen und die Portnummer des Integration Broker für die Synchronisierung ein.

      Wenn Sie einen Lastausgleichsdienst vor mehreren Integration Broker-Instanzen für die Synchronisierung konfiguriert haben, geben Sie den Hostnamen oder die IP-Adresse und die Portnummer des Lastausgleichsdienstes ein.

    2. Zur Verbindung des Integration Broker über SSL aktivieren Sie das Kontrollkästchen SSL verwenden und kopieren Sie das SSL-Zertifikat des Integration Broker-Servers und fügen es ein.

      Das Zertifikat wird verwendet, wenn Ressourcen in dieser Sammlung virtueller Apps mit VMware Identity Manager synchronisiert werden.

  7. Geben Sie im Abschnitt SSO Integration Broker Informationen zur Integration Broker-Instanz an, mit deren Hilfe Sie Ressourcen starten möchten. Sie müssen den SSL Integration Broker über SSL verbinden.
    1. Geben Sie den vollqualifizierten Domänennamen und die Portnummer des SSO Integration Broker ein.

      Wenn Sie einen Lastausgleichsdienst vor mehreren Integration Broker-Instanzen für die SSO-Versorgung konfiguriert haben, geben Sie den vollqualifizierten Domänennamen und die Portnummer des Lastausgleichsdienstes ein.

      Hinweis:

      Verwenden Sie nicht die IP-Adresse.

    2. Klicken Sie in das Feld SSL-Zertifikat, kopieren Sie das SSL-Zertifikat des Integration Broker-Servers und fügen Sie es ein.

      Das Zertifikat wird beim Start von Ressourcen aus dieser Sammlung virtueller Apps verwendet.

  8. Geben Sie im Abschnitt Serverfarmen Details zur Citrix-Serverfarm ein.

    Zum Hinzufügen mehrerer Farmen klicken Sie auf +Serverfarm hinzufügen.

    Option

    Beschreibung

    Version

    Wählen Sie die Citrix-Serverfarm-Version: 6.0, 6.5 oder 7.x.

    Servername

    1. Geben Sie den Namen des Citrix-Servers (XML-Broker) ein. Beispiel:

      citrixserver.example.com

    2. Klicken Sie auf Zur Liste hinzufügen.

    3. Um mehrere Server anzugeben, geben Sie jeden Servernamen ein und klicken Sie auf Zur Liste hinzufügen.

    Die Server werden in der Liste Server (Failover-Reihenfolge) angezeigt.

    Hinweis:

    Bei XML-Brokern muss „PowerShell Remoting“ aktiviert sein.

    Server (Failover-Reihenfolge)

    Organisieren Sie mithilfe der Pfeiltasten die Citrix XML-Broker in der Failover-Reihenfolge. VMware Identity Manager hält sich während des SSO und unter Failover-Bedingungen an diese Reihenfolge.

    Um einen Server aus der Liste zu entfernen, wählen Sie diesen aus und klicken Sie auf Entfernen.

    StoreFront verwenden

    Wählen Sie diese Option, wenn XenApp-Ressourcen mithilfe der Citrix StoreFront REST API gestartet werden sollen. Wenn diese Option ausgewählt ist, verwendet Integration Broker die Citrix StoreFront REST API zur Kommunikation mit dem StoreFront-Server und zum Abruf der ICA-Datei.

    • StoreFront Server

      Geben Sie die StoreFront-Server-URL in folgendem Format ein:

      Transporttyp://StoreFront-Server-FQDN/Citrix/SpeichernameWeb

      Beispiel: http://xen76.example.com/Citrix/mystoreWeb.

      Hinweis:

      Dies ist die URL der StoreFront-Server-Website.

      Wichtig:

      Geben Sie auch diese URL in das Feld Host für Client-Zugriffs-URL ein, wenn Sie interne Netzwerkbereiche für XenApp konfigurieren.

    Hinweis:

    Wenn Sie nach der ersten Einrichtung und Synchronisierung die Option StoreFront verwenden aktivieren oder deaktivieren, stellen Sie sicher, dass Sie die Client-Zugriffs-URL für Netzwerkbereiche aktualisieren.

    Web Interface SDK verwenden

    Wählen Sie diese Option, wenn XenApp-Ressourcen mithilfe des Citrix Web Interface SDK gestartet werden sollen. Wenn diese Option ausgewählt ist, verwendet Integration Broker das Citrix Web Interface SDK zur Kommunikation mit Citrix-Komponenten und zum Abruf der ICA-Datei.

    • Transporttyp

      Wählen Sie den in Ihrer Citrix-Serverkonfiguration verwendeten Transporttyp aus: HTTP, HTTPS oder SSL RELAY.

      Hinweis:

      Der Transporttyp und der Port müssen mit Ihrer Citrix-Serverkonfiguration übereinstimmen.

    • Port

      Geben Sie den Port ein, der in Ihrer Citrix-Serverkonfiguration verwendet wird.

      Hinweis:

      Der Transporttyp und der Port müssen mit Ihrer Citrix-Serverkonfiguration übereinstimmen.

    • SSL Relay-Port

      Geben Sie den SSL Relay-Port ein, der in Ihrer Citrix-Serverkonfiguration verwendet wird. Diese Option wird nur angezeigt, wenn Sie SSL RELAY als Transporttyp auswählen.

    • STA-Server

      Wenn Sie NetScaler verwenden, müssen Sie für die Farm einen STA-Server angeben.

      1. Geben Sie den STA-Server für die Citrix-Farm an.

        Geben Sie die STA-Server-URL in folgendem Format ein:

        Transporttyp://Server:Port

        Beispiel: http://staserver.example.com:80

        Für die URL sind nur alphanumerische Zeichen, Punkt (.) und Bindestrich (-) zulässig.

      2. Klicken Sie auf Zur Liste hinzufügen.

        Der Server erscheint in der Liste XenApp STA-Server (Failover-Reihenfolge).

      3. Falls erforderlich, geben Sie zusätzliche STA-Server ein. So können Sie z. B. einen zweiten STA-Server für ein eventuelles Failover angeben.

    • XenApp STA-Server (Failover-Reihenfolge)

      Organisieren Sie mithilfe der Pfeiltasten die STA-Server in der Failover-Reihenfolge.

      Um einen Server aus der Liste zu entfernen, wählen Sie diesen aus und klicken Sie auf Entfernen.

  9. Um eine andere Farm hinzuzufügen, klicken Sie auf Farm hinzufügen und geben Sie die Konfigurationsinformationen für die Farm ein.
  10. Wählen Sie Kategorien aus Serverfarmen synchronisieren, wenn Sie Kategorien aus Citrix-Farmen mit VMware Identity Manager synchronisieren möchten.
  11. Wählen Sie Keine doppelten Anwendungen synchronisieren aus, um zu verhindern, dass doppelte Anwendungen von mehreren Servern synchronisiert werden. Wenn VMware Identity Manager in mehreren Datenzentren bereitgestellt wird, werden die gleichen Ressourcen in mehreren Rechenzentren eingerichtet. Wenn Sie diese Option auswählen, wird verhindert, dass die Desktops oder Anwendungen in Ihrem VMware Identity Manager-Katalog dupliziert werden.
  12. Wählen Sie aus dem Dropdown-Menü Synchronisierungshäufigkeit, wie oft Sie die Ressourcen dieser Sammlung synchronisieren möchten.

    Sie können einen festen Zeitraum für eine regelmäßige Synchronisierung festlegen oder eine manuelle Synchronisierung auswählen. Wenn Sie Manuell auswählen, müssen Sie auf der Seite „Konfiguration virtueller Apps“ Synchronisierung anklicken, nachdem die Sammlung eingerichtet wurde und immer dann, wenn sich Ihre in Citrix veröffentlichten Ressourcen oder Berechtigungen geändert haben.

  13. Wählen Sie in der Dropdown-Liste Aktivierungsrichtlinie aus, wie von Citrix veröffentlichte Ressourcen den Benutzern in Workspace ONE zur Verfügung gestellt werden sollen.

    Mit den Optionen Benutzer aktiviert und Automatisch werden die Ressourcen zur Seite „Katalog“ hinzugefügt. Benutzer können die Ressourcen über die Seite „Katalog“ ausführen oder sie zur Seite „Lesezeichen“ verschieben. Wenn jedoch ein Genehmigungsprozess für eine der Apps eingerichtet werden muss, müssen Sie „Benutzer aktiviert“ für die App auswählen.

    Die Aktivierungsrichtlinie, die Sie auf dieser Seite auswählen, gilt für alle Benutzerberechtigungen für sämtliche Ressourcen in der Sammlung. Auf der Seite „Berechtigungen“ der Anwendung oder des Desktops können Sie die Aktivierungsrichtlinie für einzelne Benutzer oder Gruppen pro Ressource ändern.

    Das Festlegen der Aktivierungsrichtlinie für die Sammlung auf Benutzer aktiviert wird empfohlen, wenn Sie beabsichtigen, einen Genehmigungsprozess einzurichten.

  14. Klicken Sie auf Speichern.

    Die Sammlung wird erstellt und auf der Seite „Virtuelle Apps“ angezeigt. Die Ressourcen in der Sammlung werden noch nicht synchronisiert.

  15. Um die Ressourcen in der Sammlung mit VMware Identity Manager zu synchronisieren, klicken Sie auf der Seite „Konfiguration virtueller Apps“ auf Synchronisieren.

    Bei jeder Änderung von Ressourcen oder Berechtigungen in Citrix ist eine Synchronisierung erforderlich, um die Änderungen an VMware Identity Manager weiterzugeben.

    Hinweis:

    Die Funktion der Benutzergruppe „Anonym“ im Citrix-Produkt wird von VMware Identity Manager nicht unterstützt.

Ergebnisse

Die von Citrix veröffentlichten Ressourcen und die zugehörigen Berechtigungen werden mit VMware Identity Manager synchronisiert.

Nächste Maßnahme

Konfigurieren Sie Netzwerkbereiche für den Start von Ressourcen.