Um Citrix XenApp- und XenDesktop-Serverfarmen in Workspace ONE Access zu konfigurieren, erstellen Sie eine oder mehrere Sammlungen virtueller Apps auf der Seite „Sammlung virtueller Apps“, die Konfigurationsinformationen enthält, z. B. zu den Citrix-Servern, mit denen Ressourcen und Berechtigungen synchronisiert werden sollen, zum Integration Broker, der für die Synchronisierung und SSO verwendet werden soll, zum Workspace ONE Access Connector, der für die Synchronisierung verwendet werden soll, und zu Administratoreinstellungen (etwa den Standardclient für den Start).

Sie können alle Ihre Citrix-Serverfarmen einer Sammlung hinzufügen, oder Sie erstellen mehrere Sammlungen, je nach Ihren Anforderungen. Beispielsweise können Sie für eine einfachere Verwaltung für jede Farm eine separate Sammlung erstellen, dies ist ebenfalls nützlich, um die Synchronisierung über verschiedene Konnektoren zu verteilen. Oder Sie können alle Serverfarmen in einer Sammlung einer Testumgebung zusammenfassen und eine andere identische Sammlung für Ihre Produktionsumgebung nutzen.

Bevor Sie von Citrix veröffentlichte Ressourcen in Workspace ONE Access konfigurieren, stellen Sie sicher, dass alle Voraussetzungen erfüllt sind.

Befolgen Sie auch diese Richtlinien für die Einstellungen der Citrix-Serverfarm.
  • Synchronisieren von Bereitstellungsgruppen

    Mit der Einstellung „Bereitstellungstyp“ einer Bereitstellungsgruppe in Citrix wird festgelegt, wie Workspace ONE Access die Bereitstellungsgruppe synchronisiert.

    Workspace ONE Access synchronisiert eine Bereitstellungsgruppe nur dann, wenn als Bereitstellungstyp „Desktops und Anwendungen“ oder „Nur Desktops“ festgelegt ist. Wenn der Bereitstellungstyp der Bereitstellungsgruppe auf „Nur Apps“ festgelegt ist, werden ihre Anwendungen zwar synchronisiert, aber die Bereitstellungsgruppe selbst wird nicht synchronisiert, sodass sie nicht im Workspace ONE Access-Katalog erscheint.

    Konfigurieren Sie Ihre Bereitstellungsgruppen entsprechend.

  • Wenn Sie in XenDesktop und XenApp 7.9 die Option „Gruppe mit beschränkter Sichtbarkeit“ verwenden, um Benutzer zu beschränken, stellen Sie sicher, dass die „Gruppe mit beschränkter Sichtbarkeit“ Benutzer oder Gruppen enthält. Wenn sie keine Benutzer oder Gruppen enthält, funktioniert die Synchronisierung auf Workspace ONE Access nicht.
  • Stellen Sie sicher, dass alle von Citrix veröffentlichten Anwendungen und Desktops in einer Site gültige Benutzer enthalten. Wenn Sie einen Benutzer oder eine Gruppe löschen, stellen Sie sicher, dass Sie den Benutzer oder die Gruppe auch in von Citrix veröffentlichten Ressourcen entfernen.
  • Stellen Sie sicher, dass Benutzer und Gruppen der richtigen Bereitstellungsgruppe zugewiesen wurden.

    Bei der Auswahl von Einstellungen zum Beschränken von Benutzern stellen Sie sicher, dass Benutzer und Gruppen eingeschlossen sind.

  • XenDesktop und XenApp 7.x ermöglichen es Ihnen, mit der Einstellung „Alle authentifizierten Benutzer dürfen diese Bereitstellungsgruppe verwenden“ Berechtigungen für alle authentifizierten Benutzer auf der Ebene der Bereitstellungsgruppe festzulegen. Diese Einstellung wird von Workspace ONE Access nicht unterstützt. Damit die Benutzer in Workspace ONE Access über die richtigen Berechtigungen verfügen, legen Sie explizite Berechtigungen für Benutzer und Gruppen fest.
  • Workspace ONE Access unterstützt die Funktion für anonyme Benutzergruppen in Citrix nicht.
Hinweis: XenApp 5.x wird nicht mehr unterstützt. Sie können bestehende Konfigurationen, die einen XenApp 5.x-Server enthalten, nur dann aktualisieren oder speichern, wenn Sie den Server aus der Konfiguration entfernen. Nachdem Sie den 5.x-Server aus der Konfiguration entfernt und die Konfiguration gespeichert haben, werden alle mit dem 5.x-Server verknüpften Ressourcen bei der nächsten Synchronisierung aus dem Katalog entfernt. Benutzer können die Ressourcen solange ausführen, bis sie aus dem Katalog entfernt werden.

Voraussetzungen

  • Konfigurieren Sie Workspace ONE Access. Weitere Informationen finden Sie unter Installieren und Konfigurieren von Workspace ONE Access und Administration von Workspace ONE Access.
  • Stellen Sie sicher, dass Benutzer und Gruppen mit Berechtigungen für Citrix aus Ihrem Unternehmensverzeichnis mit Workspace ONE Access mithilfe der Verzeichnissynchronisierung synchronisiert wurden.

    Stellen Sie beim Erstellen des Verzeichnisses sicher, dass Sie userPrincipalName als erforderliches Attribut festlegen.

    Benutzer müssen das Attribut distinguishedName haben. Wenn das Attribut für einen Benutzer nicht festgelegt wurde, ist der Benutzer möglicherweise nicht in der Lage, Desktops und Anwendungen auszuführen.

  • Stellen Sie Integration Broker bereit, und stellen Sie sicher, dass alle unter Voraussetzungen für die Integration von Citrix beschriebenen Voraussetzungen erfüllt sind.
  • Wenn Sie vor Integration Broker einen Lastausgleichsdienst verwenden, notieren Sie den Hostnamen oder die IP-Adresse des Lastausgleichsdienstes, das er oder sie während dieser Aufgabe benötigt wird.

  • Wenn Sie die in Workspace ONE Access (ehemals VMware Identity Manager) 2.9.1 und höher verfügbare Option „StoreFront“ verwenden möchten, stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind.
    • Installieren Sie Integration Broker 2.9.1 oder höher.
    • Stellen Sie sicher, dass StoreFront von der XenApp- oder XenDesktop-Version unterstützt wird, die Sie verwenden.
    • Stellen Sie sicher, dass Integration Broker mit dem StoreFront-Server kommunizieren kann.

      Bei Aktivierung der StoreFront-REST-API kommuniziert Integration Broker mit dem StoreFront-Server, um die ICA-Datei zu generieren.

    • Stellen Sie sie, wenn Sie im StoreFront-Server vertrauenswürdige Domänen für die Authentifizierungsmethode „Benutzername und Kennwort“ konfigurieren, sicher, dass Sie Domänennamen als vollqualifizierte Domänennamen der Liste „Vertrauenswürdige Domänen“ hinzufügen. Workspace ONE Access erfordert den vollqualifizierten Domänennamen. Weitere Informationen finden Sie unter Starten von veröffentlichten Citrix-Anwendungen und -Desktops.
  • Wenn Ihre Citrix-Bereitstellung einen Citrix NetScaler-Gateway-Server enthält und Sie beabsichtigen, eine Verbindung mit der Citrix-Serverfarm über das Web-Schnittstellen-SDK herzustellen, rufen Sie die URL des Citrix Secure Ticket Authority (STA)-Servers ab, der dem NetScaler-Gateway-Server zugeordnet ist. Siehe Abrufen der STA-Server-URL für das NetScaler-Gateway.
  • Schlagen Sie in der Citrix-Dokumentation nach, welche Version von Citrix XenApp oder XenDesktop Sie verwenden.
  • Um diesen Vorgang in Workspace ONE Access durchzuführen, verwenden Sie eine Administratorrolle, die die Aktion „Desktop-Anwendungen verwalten“ im Katalogdienst enthält.
  • Am Ende dieses Vorgangs werden Sie zur Seite „Netzwerkbereiche“ umgeleitet, um Clientzugriffs-FQDNs zu konfigurieren. Um die Seite „Netzwerkbereiche“ zu bearbeiten und zu speichern, benötigen Sie die Rolle „Super-Admin“. Sie können diesen Schritt separat durchführen.

Prozedur

  1. Melden Sie sich bei der Workspace ONE Access-Konsole an.
  2. Wählen Sie die Registerkarte Katalog > Sammlungen virtueller Apps.
  3. Klicken Sie auf Neu.
  4. Wählen Sie Veröffentlichte Citrix-Anwendungen als Quelltyp aus.
  5. Geben Sie im Assistenten „Neue Citrix XenApp“ die folgenden Informationen auf der Seite „Konnektor und Broker“ ein.
    Option Beschreibung
    Name Geben Sie einen eindeutigen Namen für die Sammlung virtueller Citrix-Apps ein.
    Connector Wählen Sie den Konnektor aus, den Sie zum Synchronisieren dieser Sammlung verwenden möchten. Um den Konnektor auszuwählen, wählen Sie das Verzeichnis aus, das ihm zugeordnet ist. Wenn Sie einen Cluster von Konnektoren eingerichtet haben, werden alle Konnektor-Instanzen in der Liste Host angezeigt, und Sie können sie in der Failover-Reihenfolge für diese Sammlung anordnen. Um die Liste neu anzuordnen, klicken Sie auf die Zeilen und ziehen Sie sie an die gewünschte Position.
    Wichtig: Nachdem Sie die Sammlung erstellt haben, können Sie kein anderes Verzeichnis auswählen.
    Synchronisierungs-Integration Broker Geben Sie die Verbindungsinformationen für die Integration Broker-Instanz ein, die Sie zum Synchronisieren der Ressourcen in dieser Sammlung verwenden möchten.
    • Host: Geben Sie den vollqualifizierten Domänennamen der Integration Broker-Instanz ein. Beispiel: ibserver.exaample.com.

      Wenn Sie einen Lastausgleichsdienst vor mehreren Integration Broker-Instanzen für die Synchronisierung konfiguriert haben, geben Sie den Hostnamen oder die IP-Adresse des Lastausgleichsdiensts ein.

    • Port: Geben Sie die Portnummer der Integration Broker-Instanz oder des Lastausgleichsdiensts ein.
    • SSL verwenden: Um eine Verbindung zum Integration Broker über SSL herzustellen, aktivieren Sie SSL und kopieren und fügen Sie das SSL-Zertifikat des Integration Broker-Servers in das SSL-Zertifikat ein. Geben Sie alle Zeilen ein, einschließlich ---BEGIN CERTIFICATE---- und -----END CERTIFICATE----.

      Das Zertifikat wird verwendet, wenn Ressourcen in dieser Sammlung virtueller Apps mit Workspace ONE Access synchronisiert werden.

    Integration Broker starten Geben Sie die Verbindungsinformationen für die Integration Broker-Instanz ein, die Sie zum Verarbeiten von Startanforderungen für diese Sammlung verwenden möchten. Sie müssen den SSL Integration Broker über SSL verbinden. Der SSL Integration Broker kann mit dem SSO Integration Broker identisch sein.
    • Host: Geben Sie den vollqualifizierten Domänennamen der Integration Broker-Instanz ein. Beispiel: ibserver.example.com.

      Wenn Sie einen Lastausgleichsdienst vor mehreren Integration Broker-Instanzen konfiguriert haben, die für den Start vorgesehen sind, geben Sie den vollqualifizierten Domänennamen des Lastausgleichsdiensts ein.

      Hinweis: Verwenden Sie nicht die IP-Adresse.
    • Port: Geben Sie die Portnummer der Integration Broker-Instanz oder des Lastausgleichsdiensts ein.
    • SSL-Zertifikat: Kopieren Sie das SSL-Zertifikat des Integration Broker-Servers und fügen Sie es in das SSL-Zertifikat ein. Geben Sie alle Zeilen ein, einschließlich ---BEGIN CERTIFICATE---- und -----END CERTIFICATE----.

      Das Zertifikat wird beim Start von Ressourcen aus dieser Sammlung virtueller Apps verwendet.

  6. Klicken Sie auf Weiter.
  7. Klicken Sie auf der Seite „Serverfarm“ auf Serverfarm hinzufügen und geben Sie Ihre Informationen zur Citrix-Serverfarm ein.
    Option Beschreibung
    Version Wählen Sie die Version Ihrer Citrix XenApp- oder XenDesktop-Bereitstellung aus: 6.0, 6.5 oder 7.x.
    -Server Klicken Sie auf Server hinzufügen und fügen Sie den vollqualifizierten Domänennamen Ihres Citrix XML-Servers (XML Broker) hinzu. Beispiel: xenappserver.example.com. Sie müssen mindestens einen Citrix XML-Server hinzufügen.

    Um mehrere Server hinzuzufügen, klicken Sie auf Server hinzufügen und fügen Sie den Server hinzu.

    Ordnen Sie die Server in der Failover-Reihenfolge an. Workspace ONE Access hält sich während des SSO und unter Failover-Bedingungen an diese Reihenfolge. Um die Liste neu anzuordnen, klicken Sie auf die Zeilen und ziehen Sie sie an die gewünschte Position. Um einen Server aus der Liste zu löschen, klicken Sie rechts neben der Zeile auf das Symbol x.

    Hinweis: Bei XML-Brokern muss „PowerShell Remoting“ aktiviert sein.
    Voreinstellung starten Wählen Sie aus, wie Workspace ONE Access Startanforderungen für Citrix-Ressourcen verarbeiten soll. Wenn Sie Citrix StoreFront bereitgestellt haben, wählen Sie StoreFront aus, andernfalls wählen Sie Webschnittstellen-SDK aus. Sie müssen nur Informationen für eine der Optionen auswählen und eingeben.
    StoreFront Wählen Sie diese Option, wenn Citrix-Ressourcen mithilfe der Citrix StoreFront REST API gestartet werden sollen. Wenn diese Option ausgewählt ist, verwendet Integration Broker die Citrix StoreFront REST API zur Kommunikation mit dem StoreFront-Server und zum Abruf der ICA-Datei.
    • StoreFront-Server-URL

      Geben Sie die StoreFront-Server-URL in folgendem Format ein:

      Transporttyp://StoreFront-Server-FQDN/Citrix/SpeichernameWeb

      Beispiel: http://xen76.example.com/Citrix/mystoreWeb.

      Hinweis: Dies ist die URL der StoreFront-Server-Website.
      Wichtig: Stellen Sie später nach dem Erstellen der Sammlung virtueller Apps bei der Konfiguration interner Netzwerkbereiche für XenApp sicher, dass Sie dieselbe URL in das Feld Host für Clientzugriffs-URL eingeben.
    Hinweis: Wenn Sie nach dem Erstellen und Synchronisieren der Sammlung virtueller Apps die Option StoreFront nicht verwenden, stellen Sie sicher, dass Sie auch die Clientzugriffs-URL für Netzwerkbereiche aktualisieren.
    Webschnittstellen-SDK Wählen Sie diese Option, wenn Citrix-Ressourcen mithilfe des Citrix Web Interface SDK gestartet werden sollen. Wenn diese Option ausgewählt ist, verwendet Integration Broker das Citrix Web Interface SDK zur Kommunikation mit Citrix-Komponenten und zum Abruf der ICA-Datei.
    • Transporttyp

      Wählen Sie den in Ihrer Citrix-Serverkonfiguration verwendeten Transporttyp aus: HTTP, HTTPS oder SSL RELAY. Dies muss mit Ihrer Citrix-Serverkonfiguration übereinstimmen.

    • Port

      Geben Sie den Port ein, der in Ihrer Citrix-Serverkonfiguration verwendet wird. Dies muss mit Ihrer Citrix-Serverkonfiguration übereinstimmen.

    • SSL Relay-Port

      Geben Sie den SSL Relay-Port ein, der in Ihrer Citrix-Serverkonfiguration verwendet wird. Diese Option wird nur angezeigt, wenn Sie SSL RELAY als Transporttyp auswählen.

    • STA-Server

      Wenn Ihre Citrix-Bereitstellung einen NetScaler Gateway-Server enthält, geben Sie den zugehörigen STA-Server (Secure Ticket Authority) an. Der STA-Server wird verwendet, um den Zugriff für einen NetScaler Gateway-Server zu steuern.

      1. Klicken Sie auf STA-Server hinzufügen und geben Sie die STA-Server-URL in folgendem Format ein: Transporttyp://Server:Port

        Beispiel: http://staserver.example.com:80

        Für die URL sind nur alphanumerische Zeichen, Punkt (.) und Bindestrich (-) zulässig.

      2. Um mehrere STA-Server hinzuzufügen, klicken Sie auf STA-Server hinzufügen und fügen Sie die Server hinzu.
      3. Ordnen Sie die STA-Server in der Failover-Reihenfolge an. Um eine Zeile zu verschieben, klicken Sie auf den Ziehpunkt auf der linken Seite der Zeile und ziehen Sie die Zeile an die gewünschte Position. Um einen Server aus der Liste zu löschen, klicken Sie rechts neben der Zeile auf das Symbol x.
  8. Klicken Sie auf Weiter.
  9. Geben Sie auf der Seite „Konfiguration“ die folgenden Informationen ein.
    Option Beschreibung
    Frequenz Wählen Sie aus, wie oft die Ressourcen in der Sammlung von der Citrix-Serverfarm aus mit Workspace ONE Access synchronisiert werden sollen.

    Sie können einen festen Zeitraum für eine automatische Synchronisierung festlegen oder eine manuelle Synchronisierung auswählen. Um einen Zeitraum festzulegen, wählen Sie das Intervall aus, z. B. täglich oder wöchentlich, und wählen Sie die Tageszeit aus, an der die Synchronisierung ausgeführt werden soll. Wenn Sie Manuell auswählen, müssen Sie auf der Seite „Sammlungen virtueller Apps“ auf Synchronisieren klicken, nachdem die Sammlung eingerichtet wurde und immer dann, wenn sich Ihre Citrix-Ressourcen oder -Berechtigungen geändert haben.

    Doppelte Apps synchronisieren Legen Sie diese Option auf Nein fest, um zu verhindern, dass doppelte Anwendungen von mehreren Servern synchronisiert werden.

    Wenn Workspace ONE Access in mehreren Rechenzentren bereitgestellt wird, werden die gleichen Ressourcen in diesen Rechenzentren eingerichtet. Wenn Sie diese Option auf Nein festlegen, wird die Duplizierung der Anwendungen und Desktops in Ihrem Workspace ONE Access-Katalog verhindert.

    Kategorien von Serverfarmen synchronisieren Aktivieren Sie diese Option, wenn Sie Kategorien von den Citrix-Servern mit Workspace ONE Access synchronisieren möchten.
    Aktivierungsrichtlinie Wählen Sie aus, wie Sie Ressourcen in dieser Sammlung für Benutzer im Workspace ONE-Portal und der App verfügbar machen möchten. Wenn Sie beabsichtigen, einen Genehmigungsablauf einzurichten, wählen Sie Benutzeraktiviert aus, andernfalls Automatisch.

    Mit den Optionen Benutzeraktiviert und Automatisch werden die Ressourcen zur Seite „Katalog“ hinzugefügt. Benutzer können die Ressourcen über die Seite „Katalog“ ausführen oder sie zur Seite „Lesezeichen“ verschieben. Wenn jedoch ein Genehmigungsprozess für eine der Apps eingerichtet werden muss, müssen Sie „Benutzer aktiviert“ für die App auswählen.

    Die Aktivierungsrichtlinie gilt für alle Benutzerberechtigungen für sämtliche Ressourcen in der Sammlung. Sie können die Aktivierungsrichtlinie für einzelne Benutzer oder Gruppen pro Ressource auf der Seite „Benutzer„ oder „Gruppe“ auf der Registerkarte Benutzer & Gruppen ändern.

  10. Klicken Sie auf Weiter.
  11. Überprüfen Sie auf der Seite „Zusammenfassung“ Ihre Auswahl und klicken Sie dann auf Netzwerkbereich speichern und konfigurieren.
    Die Sammlung wird erstellt, aber die Ressourcen in der Sammlung werden noch nicht synchronisiert. Die Seite „Netzwerkbereiche“ wird angezeigt.

Nächste Maßnahme

  • Konfigurieren Sie Netzwerkbereiche für den Start von Ressourcen. Siehe Konfigurieren des Citrix-Ressourcenstarts in Workspace ONE Access.
  • Um die Ressourcen und Berechtigungen in der Sammlung von den Citrix-Servern auf Workspace ONE Access zu synchronisieren, wählen Sie die Sammlung auf der Seite „Sammlungen virtueller Apps“ aus und klicken Sie auf Synchronisieren.
    Hinweis: Workspace ONE Access unterstützt die Funktion für anonyme Benutzergruppen in Citrix nicht.