In diesem Artikel möchte ich auf ein spezifisches Detail eingehen, welches ich in Zusammenhang mit Citrix Cloud und Azure AD erfahren habe. Da meine Ursprungsfrage niemand beantworten konnte, musste ich einen Support Case eröffnen.
Frage
Zunächst konfiguriere ich Citrix Cloud unter Workspace Configuration die Authentifizierungsmethode Azure Active Directory.
Wenn ich jetzt ein mit dem AAD Verbundenes Gerät habe, ich mich dort mit einem AAD-Benutzer auf diesem Gerät anmelde und die Workspace-URL öffne, sollte der Benutzer in der Lage sein, sich ohne Authentifizierung anzumelden (SSO)?
Test Vorgehen
1: Anmelden mit einem AAD-Konto auf einem AAD verbundenen Gerät, Browser im Inkognito-Modus öffnen, myapps.microsoft.com öffnen -> Anmeldeaufforderung von AAD, eine anderen SaaS-Dienst öffnen, für den AAD aktiviert ist -> SSO
2: Anmelden mit einem AAD-Konto auf einem AAD verbundenen Gerät, Browser öffnen, myapps.microsoft.com öffnen -> SSO, xyz.cloud.com öffnen -> Anmeldeaufforderung von AAD
3: Anmelden mit einem AAD-Konto auf einem AAD verbundenen Gerät, Browser im Inkognito-Modus öffnen, myapps.microsoft.com öffnen -> Anmeldeaufforderung von AAD, xyz.cloud.com öffnen -> Anmeldeaufforderung von AAD
4: Anmelden mit einem AAD-Konto auf einem AAD verbundenen Gerät, Browser im Inkognito-Modus öffnen, xyz.cloud.com öffnen -> Anmeldeaufforderung von AAD, myapps.microsoft.com öffnen -> SSO
Der erste Test besteht darin, zu überprüfen, ob SSO funktioniert. Bei jedem anderen Test mit Citrix Cloud muss ich mich jedoch an der Anmeldeaufforderung des Workspaces anmelden.
Support Fall
Am Ende teilte mir der Citrix Support mit, dass SSO möglich ist. Die Aufforderung zum Hinzufügen von Anmeldeinformationen wird standardmäßig erzwungen.
“When we browse to citrix url, in its webform, prompt = login is set. Which means user will be forced to enter credentials even if they have any valid token issued by AD.”
“We can change this behavior by removing this specific parameter from web-form. For this we need to make change at backend for the respective customer. So customer would need to raise a request with us and then the change will be made.”
Fazit
Standardmäßig funktioniert SSO nicht mit Azure AD. Das kann jedoch über einen Support-Fall geändert werden. Leider konnte ich es nicht mehr testen, weil der Kunde eine andere Lösung wollte, aber ich freue mich auf Feedback, wenn jemand es getestet hat.