Um Citrix XenApp- und XenDesktop-Serverfarmen in VMware Identity Manager zu konfigurieren, erstellen Sie eine oder mehrere Sammlungen virtueller Apps auf der Seite „Sammlung virtueller Apps“, die Konfigurationsinformationen enthält, z. B. zu den Citrix-Servern, mit denen Ressourcen und Berechtigungen synchronisiert werden sollen, zum Integration Broker, der für die Synchronisierung und SSO verwendet werden soll, zum VMware Identity Manager-Connector, der für die Synchronisierung verwendet werden soll, und zu Administratoreinstellungen (etwa den Standardclient für den Start).
Sie können alle Ihre Citrix-Serverfarmen einer Sammlung hinzufügen, oder Sie erstellen mehrere Sammlungen, je nach Ihren Anforderungen. Beispielsweise können Sie für eine einfachere Verwaltung für jede Farm eine separate Sammlung erstellen, dies ist ebenfalls nützlich, um die Synchronisierung über verschiedene Konnektoren zu verteilen. Oder Sie können alle Serverfarmen in einer Sammlung einer Testumgebung zusammenfassen und eine andere identische Sammlung für Ihre Produktionsumgebung nutzen.
Bevor Sie von Citrix veröffentlichte Ressourcen in VMware Identity Manager konfigurieren, stellen Sie sicher, dass alle Voraussetzungen erfüllt sind.
Befolgen Sie auch diese Richtlinien für die Einstellungen der Citrix-Serverfarm.
Synchronisieren von Bereitstellungsgruppen
Mit der Einstellung „Bereitstellungstyp“ einer Bereitstellungsgruppe in Citrix wird festgelegt, wie VMware Identity Manager die Bereitstellungsgruppe synchronisiert.
VMware Identity Manager synchronisiert eine Bereitstellungsgruppe nur dann, wenn als Bereitstellungstyp „Desktops und Anwendungen“ oder „Nur Desktops“ festgelegt ist. Wenn der Bereitstellungstyp der Bereitstellungsgruppe auf „Nur Apps“ festgelegt ist, werden ihre Anwendungen zwar synchronisiert, aber die Bereitstellungsgruppe selbst wird nicht synchronisiert, sodass sie nicht im VMware Identity Manager-Katalog erscheint.
Konfigurieren Sie Ihre Bereitstellungsgruppen entsprechend.
Wenn Sie in XenDesktop und XenApp 7.9 die Option „Gruppe mit beschränkter Sichtbarkeit“ verwenden, um Benutzer zu beschränken, stellen Sie sicher, dass die „Gruppe mit beschränkter Sichtbarkeit“ Benutzer oder Gruppen enthält. Wenn sie keine Benutzer oder Gruppen enthält, funktioniert die Synchronisierung auf VMware Identity Manager nicht.
Stellen Sie sicher, dass alle von Citrix veröffentlichten Anwendungen und Desktops in einer Site gültige Benutzer enthalten. Wenn Sie einen Benutzer oder eine Gruppe löschen, stellen Sie sicher, dass Sie den Benutzer oder die Gruppe auch in von Citrix veröffentlichten Ressourcen entfernen.
Stellen Sie sicher, dass Benutzer und Gruppen der richtigen Bereitstellungsgruppe zugewiesen wurden.
Bei der Auswahl von Einstellungen zum Beschränken von Benutzern stellen Sie sicher, dass Benutzer und Gruppen eingeschlossen sind.
XenDesktop und XenApp 7.x ermöglichen es Ihnen, mit der Einstellung „Alle authentifizierten Benutzer dürfen diese Bereitstellungsgruppe verwenden“ Berechtigungen für alle authentifizierten Benutzer auf der Ebene der Bereitstellungsgruppe festzulegen. VMware Identity Manager unterstützt diese Einstellung nicht. Damit die Benutzer in VMware Identity Manager über die richtigen Berechtigungen verfügen, legen Sie explizite Berechtigungen für Benutzer und Gruppen fest.
VMware Identity Manager bietet keine Unterstützung für die anonyme Benutzergruppenfunktion von Citrix.
Hinweis:
XenApp 5.x wird nicht mehr unterstützt. Sie können bestehende Konfigurationen, die einen XenApp 5.x-Server enthalten, nur dann aktualisieren oder speichern, wenn Sie den Server aus der Konfiguration entfernen. Nachdem Sie den 5.x-Server aus der Konfiguration entfernt und die Konfiguration gespeichert haben, werden alle mit dem 5.x-Server verknüpften Ressourcen bei der nächsten Synchronisierung aus dem Katalog entfernt. Benutzer können die Ressourcen solange ausführen, bis sie aus dem Katalog entfernt werden.
Voraussetzungen
Konfigurieren Sie VMware Identity Manager. Weitere Informationen finden Sie unter Installieren und Konfigurieren von VMware Identity Manager und Administration von VMware Identity Manager.
Stellen Sie sicher, dass Benutzer und Gruppen mit Berechtigungen für Citrix aus Ihrem Unternehmensverzeichnis mit VMware Identity Manager mithilfe der Verzeichnissynchronisierung synchronisiert wurden.
Stellen Sie beim Erstellen des Verzeichnisses sicher, dass Sie userPrincipalName als erforderliches Attribut festlegen.
Benutzer müssen das Attribut distinguishedName haben. Wenn das Attribut für einen Benutzer nicht festgelegt wurde, ist der Benutzer möglicherweise nicht in der Lage, Desktops und Anwendungen auszuführen.
Stellen Sie Integration Broker bereit, und stellen Sie sicher, dass alle unter Voraussetzungen für die Integration von Citrix beschriebenen Voraussetzungen erfüllt sind.
Wenn Sie vor Integration Broker einen Lastausgleichsdienst verwenden, notieren Sie den Hostnamen oder die IP-Adresse des Lastausgleichsdienstes, das er oder sie während dieser Aufgabe benötigt wird.
Wenn Sie die in VMware Identity Manager 2.9.1 und höher verfügbare Option „StoreFront“ verwenden möchten, stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind.
Installieren Sie Integration Broker 2.9.1 oder höher.
Stellen Sie sicher, dass StoreFront von der XenApp- oder XenDesktop-Version unterstützt wird, die Sie verwenden.
Stellen Sie sicher, dass Integration Broker mit dem StoreFront-Server kommunizieren kann.
Bei Aktivierung der StoreFront-REST-API kommuniziert Integration Broker mit dem StoreFront-Server, um die ICA-Datei zu generieren.
Stellen Sie sie, wenn Sie im StoreFront-Server vertrauenswürdige Domänen für die Authentifizierungsmethode „Benutzername und Kennwort“ konfigurieren, sicher, dass Sie Domänennamen als vollqualifizierte Domänennamen der Liste „Vertrauenswürdige Domänen“ hinzufügen. VMware Identity Manager benötigt den vollqualifizierten Domänennamen. Weitere Informationen finden Sie unter Starten von veröffentlichten Citrix-Anwendungen und -Desktops.
Wenn Ihre Citrix-Bereitstellung einen Citrix NetScaler-Gateway-Server enthält und Sie beabsichtigen, eine Verbindung mit der Citrix-Serverfarm über das Web-Schnittstellen-SDK herzustellen, rufen Sie die URL des Citrix Secure Ticket Authority (STA)-Servers ab, der dem NetScaler-Gateway-Server zugeordnet ist. Siehe Abrufen der STA-Server-URL für das NetScaler-Gateway.
Schlagen Sie in der Citrix-Dokumentation nach, welche Version von Citrix XenApp oder XenDesktop Sie verwenden.
Um diesen Vorgang in VMware Identity Manager durchzuführen, verwenden Sie eine Administratorrolle, die die Aktion „Desktop-Apps verwalten“ im Katalogdienst enthält.
Am Ende dieses Vorgangs werden Sie zur Seite „Netzwerkbereiche“ umgeleitet, um Clientzugriffs-FQDNs zu konfigurieren. Um die Seite „Netzwerkbereiche“ zu bearbeiten und zu speichern, benötigen Sie die Rolle „Super-Admin“. Sie können diesen Schritt separat durchführen.
Prozedur
- Melden Sie sich bei der VMware Identity Manager-Konsole an.
- Wählen Sie die Registerkarte .
- Klicken Sie auf Neu.
- Wählen Sie Veröffentlichte Citrix-Anwendungen als Quelltyp aus.
- Geben Sie im Assistenten „Neue Citrix XenApp“ die folgenden Informationen auf der Seite „Konnektor und Broker“ ein.
Option |
Beschreibung |
Name |
Geben Sie einen eindeutigen Namen für die Sammlung virtueller Citrix-Apps ein. |
Konnektor |
Wählen Sie den Konnektor aus, den Sie zum Synchronisieren dieser Sammlung verwenden möchten. Um den Konnektor auszuwählen, wählen Sie das Verzeichnis aus, das ihm zugeordnet ist. Wenn Sie einen Cluster von Konnektoren eingerichtet haben, werden alle Konnektor-Instanzen in der Liste Host angezeigt, und Sie können sie in der Failover-Reihenfolge für diese Sammlung anordnen. Um die Liste neu anzuordnen, klicken Sie auf die Zeilen und ziehen Sie sie an die gewünschte Position.
Wichtig:
Nachdem Sie die Sammlung erstellt haben, können Sie kein anderes Verzeichnis auswählen.
|
Synchronisierungs-Integration Broker |
Geben Sie die Verbindungsinformationen für die Integration Broker-Instanz ein, die Sie zum Synchronisieren der Ressourcen in dieser Sammlung verwenden möchten.
Host: Geben Sie den vollqualifizierten Domänennamen der Integration Broker-Instanz ein. Beispiel: ibserver.exaample.com. Wenn Sie einen Lastausgleichsdienst vor mehreren Integration Broker-Instanzen für die Synchronisierung konfiguriert haben, geben Sie den Hostnamen oder die IP-Adresse des Lastausgleichsdiensts ein.
Port: Geben Sie die Portnummer der Integration Broker-Instanz oder des Lastausgleichsdiensts ein.
SSL verwenden: Um eine Verbindung zum Integration Broker über SSL herzustellen, aktivieren Sie SSL und kopieren und fügen Sie das SSL-Zertifikat des Integration Broker-Servers in das SSL-Zertifikat ein. Geben Sie alle Zeilen ein, einschließlich ---BEGIN CERTIFICATE---- und -----END CERTIFICATE----. Das Zertifikat wird verwendet, wenn Ressourcen in dieser Sammlung virtueller Apps mit VMware Identity Manager synchronisiert werden.
|
Integration Broker starten |
Geben Sie die Verbindungsinformationen für die Integration Broker-Instanz ein, die Sie zum Verarbeiten von Startanforderungen für diese Sammlung verwenden möchten. Sie müssen den SSL Integration Broker über SSL verbinden. Der SSL Integration Broker kann mit dem SSO Integration Broker identisch sein.
Host: Geben Sie den vollqualifizierten Domänennamen der Integration Broker-Instanz ein. Beispiel: ibserver.example.com. Wenn Sie einen Lastausgleichsdienst vor mehreren Integration Broker-Instanzen konfiguriert haben, die für den Start vorgesehen sind, geben Sie den vollqualifizierten Domänennamen des Lastausgleichsdiensts ein.
Hinweis:
Verwenden Sie nicht die IP-Adresse.
Port: Geben Sie die Portnummer der Integration Broker-Instanz oder des Lastausgleichsdiensts ein.
SSL-Zertifikat: Kopieren Sie das SSL-Zertifikat des Integration Broker-Servers und fügen Sie es in das SSL-Zertifikat ein. Geben Sie alle Zeilen ein, einschließlich ---BEGIN CERTIFICATE---- und -----END CERTIFICATE----. Das Zertifikat wird beim Start von Ressourcen aus dieser Sammlung virtueller Apps verwendet.
|
- Klicken Sie auf Weiter.
- Klicken Sie auf der Seite „Serverfarm“ auf Serverfarm hinzufügen und geben Sie Ihre Informationen zur Citrix-Serverfarm ein.
Option |
Beschreibung |
Version |
Wählen Sie die Version Ihrer Citrix XenApp- oder XenDesktop-Bereitstellung aus: 6.0, 6.5 oder 7.x. |
-Server |
Klicken Sie auf Server hinzufügen und fügen Sie den vollqualifizierten Domänennamen Ihres Citrix XML-Servers (XML Broker) hinzu. Beispiel: xenappserver.example.com. Sie müssen mindestens einen Citrix XML-Server hinzufügen. Um mehrere Server hinzuzufügen, klicken Sie auf Server hinzufügen und fügen Sie den Server hinzu. Ordnen Sie die Server in der Failover-Reihenfolge an. VMware Identity Manager hält sich während des SSO und unter Failover-Bedingungen an diese Reihenfolge. Um die Liste neu anzuordnen, klicken Sie auf die Zeilen und ziehen Sie sie an die gewünschte Position. Um einen Server aus der Liste zu löschen, klicken Sie rechts neben der Zeile auf das Symbol x.
Hinweis:
Bei XML-Brokern muss „PowerShell Remoting“ aktiviert sein.
|
Voreinstellung starten |
Wählen Sie aus, wie VMware Identity Manager Startanforderungen für Citrix-Ressourcen verarbeiten soll. Wenn Sie Citrix StoreFront bereitgestellt haben, wählen Sie StoreFront aus, andernfalls wählen Sie Webschnittstellen-SDK aus. Sie müssen nur Informationen für eine der Optionen auswählen und eingeben. |
StoreFront |
Wählen Sie diese Option, wenn Citrix-Ressourcen mithilfe der Citrix StoreFront REST API gestartet werden sollen. Wenn diese Option ausgewählt ist, verwendet Integration Broker die Citrix StoreFront REST API zur Kommunikation mit dem StoreFront-Server und zum Abruf der ICA-Datei.
StoreFront-Server-URL Geben Sie die StoreFront-Server-URL in folgendem Format ein: Transporttyp://StoreFront-Server-FQDN/Citrix/SpeichernameWeb Beispiel: http://xen76.example.com/Citrix/mystoreWeb.
Hinweis:
Dies ist die URL der StoreFront-Server-Website.
Wichtig:
Stellen Sie später nach dem Erstellen der Sammlung virtueller Apps bei der Konfiguration interner Netzwerkbereiche für XenApp sicher, dass Sie dieselbe URL in das Feld Host für Clientzugriffs-URL eingeben.
Hinweis:
Wenn Sie nach dem Erstellen und Synchronisieren der Sammlung virtueller Apps die Option StoreFront nicht verwenden, stellen Sie sicher, dass Sie auch die Clientzugriffs-URL für Netzwerkbereiche aktualisieren.
|
Webschnittstellen-SDK |
Wählen Sie diese Option, wenn Citrix-Ressourcen mithilfe des Citrix Web Interface SDK gestartet werden sollen. Wenn diese Option ausgewählt ist, verwendet Integration Broker das Citrix Web Interface SDK zur Kommunikation mit Citrix-Komponenten und zum Abruf der ICA-Datei.
Transporttyp Wählen Sie den in Ihrer Citrix-Serverkonfiguration verwendeten Transporttyp aus: HTTP, HTTPS oder SSL RELAY. Dies muss mit Ihrer Citrix-Serverkonfiguration übereinstimmen.
Port Geben Sie den Port ein, der in Ihrer Citrix-Serverkonfiguration verwendet wird. Dies muss mit Ihrer Citrix-Serverkonfiguration übereinstimmen.
SSL Relay-Port Geben Sie den SSL Relay-Port ein, der in Ihrer Citrix-Serverkonfiguration verwendet wird. Diese Option wird nur angezeigt, wenn Sie SSL RELAY als Transporttyp auswählen.
STA-Server Wenn Ihre Citrix-Bereitstellung einen NetScaler Gateway-Server enthält, geben Sie den zugehörigen STA-Server (Secure Ticket Authority) an. Der STA-Server wird verwendet, um den Zugriff für einen NetScaler Gateway-Server zu steuern.
Klicken Sie auf STA-Server hinzufügen und geben Sie die STA-Server-URL in folgendem Format ein: Transporttyp://Server:Port Beispiel: http://staserver.example.com:80 Für die URL sind nur alphanumerische Zeichen, Punkt (.) und Bindestrich (-) zulässig.
Um mehrere STA-Server hinzuzufügen, klicken Sie auf STA-Server hinzufügen und fügen Sie die Server hinzu.
Ordnen Sie die STA-Server in der Failover-Reihenfolge an. Um eine Zeile zu verschieben, klicken Sie auf den Ziehpunkt auf der linken Seite der Zeile und ziehen Sie die Zeile an die gewünschte Position. Um einen Server aus der Liste zu löschen, klicken Sie rechts neben der Zeile auf das Symbol x.
|
- Klicken Sie auf Weiter.
- Geben Sie auf der Seite „Konfiguration“ die folgenden Informationen ein.
Option |
Beschreibung |
Frequenz |
Wählen Sie aus, wie oft die Ressourcen in der Sammlung von der Citrix-Serverfarm aus mit VMware Identity Manager synchronisiert werden sollen. Sie können einen festen Zeitraum für eine automatische Synchronisierung festlegen oder eine manuelle Synchronisierung auswählen. Um einen Zeitraum festzulegen, wählen Sie das Intervall aus, z. B. täglich oder wöchentlich, und wählen Sie die Tageszeit aus, an der die Synchronisierung ausgeführt werden soll. Wenn Sie Manuell auswählen, müssen Sie auf der Seite „Sammlungen virtueller Apps“ auf Synchronisieren klicken, nachdem die Sammlung eingerichtet wurde und immer dann, wenn sich Ihre Citrix-Ressourcen oder -Berechtigungen geändert haben. |
Doppelte Apps synchronisieren |
Legen Sie diese Option auf Nein fest, um zu verhindern, dass doppelte Anwendungen von mehreren Servern synchronisiert werden. Wenn VMware Identity Manager in mehreren Datencentern bereitgestellt wird, werden die gleichen Ressourcen in mehreren Datencentern eingerichtet. Wenn Sie diese Option auf Nein festlegen, wird die Duplizierung der Anwendungen und Desktops in Ihrem VMware Identity Manager-Katalog verhindert. |
Kategorien von Serverfarmen synchronisieren |
Aktivieren Sie diese Option, wenn Sie Kategorien von den Citrix-Servern mit VMware Identity Manager synchronisieren möchten. |
Aktivierungsrichtlinie |
Wählen Sie aus, wie Sie Ressourcen in dieser Sammlung für Benutzer im Workspace ONE-Portal und der App verfügbar machen möchten. Wenn Sie beabsichtigen, einen Genehmigungsablauf einzurichten, wählen Sie Benutzeraktiviert aus, andernfalls Automatisch. Mit den Optionen Benutzeraktiviert und Automatisch werden die Ressourcen zur Seite „Katalog“ hinzugefügt. Benutzer können die Ressourcen über die Seite „Katalog“ ausführen oder sie zur Seite „Lesezeichen“ verschieben. Wenn jedoch ein Genehmigungsprozess für eine der Apps eingerichtet werden muss, müssen Sie „Benutzeraktiviert“ für die App auswählen. Die Aktivierungsrichtlinie gilt für alle Benutzerberechtigungen für sämtliche Ressourcen in der Sammlung. Sie können die Aktivierungsrichtlinie für einzelne Benutzer oder Gruppen pro Ressource auf der Seite „Benutzer„ oder „Gruppe“ auf der Registerkarte Benutzer & Gruppen ändern. |
- Klicken Sie auf Weiter.
- Überprüfen Sie auf der Seite „Zusammenfassung“ Ihre Auswahl und klicken Sie dann auf Netzwerkbereich speichern und konfigurieren.
Die Sammlung wird erstellt, aber die Ressourcen in der Sammlung werden noch nicht synchronisiert. Die Seite „Netzwerkbereiche“ wird angezeigt.
Nächste Maßnahme
Konfigurieren Sie Netzwerkbereiche für den Start von Ressourcen. Siehe Konfigurieren des Starts von Citrix-Ressourcen in VMware Identity Manager.
Um die Ressourcen und Berechtigungen in der Sammlung von den Citrix-Servern auf VMware Identity Manager zu synchronisieren, wählen Sie die Sammlung auf der Seite „Sammlungen virtueller Apps“ aus und klicken Sie auf Synchronisieren.
Hinweis:
VMware Identity Manager unterstützt die Funktion für anonyme Benutzergruppen in Citrix nicht.