产品文档
Citrix Cloud
查看 PDF

Citrix DaaS 的本地 StoreFront 身份验证参考架构

October 5, 2023
投稿者: 
C

将 Citrix StoreFront 托管在客户数据中心内而不是使用 Citrix Workspace 平台的原因有很多。由于某些环境的复杂性,需要了解当 StoreFront 是该服务的主要用户前端时 Citrix Cloud 组件如何与 StoreFront 和 Active Directory 进行交互。

虽然 Citrix Workspace 可以满足 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)的大多数用例的要求,但有些用例和要求需要在客户的数据中心或资源位置托管 StoreFront。

维护本地 StoreFront 的理由

  • 支持 Cloud Connector 中的本地主机缓存功能
  • Citrix Workspace 不支持使用智能卡身份验证
  • 非默认应用商店配置(web.config 更改)
  • 为内部和外部用户托管多个商店配置

本文介绍高级体系结构以及这些组件如何与 Active Directory 设计支持的各种身份验证方案进行交互。Cloud Connectors 将加入其中一个域,允许 Citrix DaaS 分配该域或可信域的 Active Directory 用户和群组。Cloud Connector 还将充当 StoreFront 和 Citrix Gateway 组件的 Delivery Controller 和 STA 服务器。

本文假设 StoreFront 和网关组件一起托管在每个数据中心中。

父子域作为资源域

父子域作为资源域

在这种情况下,子域充当虚拟桌面代理 (VDA) 和 StoreFront 实例的资源域。父域包含将要访问子域中资源的用户。

  1. Cloud Connector 仅加入子域。子域和父域之间的双向传递信任允许 Cloud Connector 与父域中的全局目录进行通信。
  2. StoreFront 已加入子域。应用商店身份验证配置为用户名/密码和来自 Citrix Gateway 的直通。用户名/密码身份验证配置为信任任何域。
  3. Citrix Gateway 身份验证配置文件已为父域配置为使用 UPN 作为主要登录方法。如果有用户需要从子域进行身份验证,则子域的 LDAP 身份验证配置文件和策略也必须绑定到网关虚拟服务器。
  4. 编辑 Citrix Gateway 会话操作系统和 Web 配置文件并将已发布的应用程序/单点登录域设置为空白(可能需要设置覆盖设置)。

连接工作流

  1. User@corp.com 登录 Citrix Gateway。Gateway 通过身份验证配置文件查找用户并匹配策略操作。
  2. 凭据将传递给 StoreFront。StoreFront 接受凭据并将其传递给 Cloud Connector(充当 Delivery Controller)
  3. Cloud Connector 查找 Citrix Cloud 所需的用户对象详细信息。
  4. Cloud Connector 将身份信息传递给 Citrix Cloud,身份令牌对用户进行身份验证并枚举分配给用户的资源。
  5. Cloud Connector 将分配的资源返回给 StoreFront 以供用户枚举。
  6. 当用户启动应用程序或桌面时,Citrix Gateway 使用配置的 Cloud Connector 生成 STA 票证请求。
  7. Citrix Cloud 代理管理资源域 Cloud Connector 与在该资源位置注册的 VDA 之间的会话。
  8. 在客户端、Citrix Gateway 和已解析的 VDA 之间建立会话。

外部可信域到资源域

外部可信域到资源域

在这种情况下,业务合作伙伴需要访问发布给企业用户的资源。公司域名是 corp.com,合作伙伴域名是 partner.com。

  1. 公司域对合作伙伴域具有传出外部信任。来自合作伙伴域的用户可以对加入公司域的资源进行身份验证。
  2. Citrix Cloud 客户需要两个资源位置:一个用于 corp.com Cloud Connector,另一个用于 partner.com Cloud Connector。partner.com Cloud Connector 仅用于对域进行身份验证和身份调用;它们不用于代理 VDA 或会话。
  3. StoreFront 已加入 corp.com 域名。corp.com 域中的 Cloud Connector 在存储配置中用作 Delivery Controller。应用商店身份验证配置为用户名/密码和来自 Citrix Gateway 的直通。用户名/密码身份验证配置为信任任何域。
  4. Citrix Gateway 身份验证配置文件已为 corp.com 域配置为使用 UPN 作为主要登录方法。为 partner.com 域配置第二个配置文件和策略以使用 UPN 并将其绑定到与 corp.com 域相同的网关虚拟服务器。
  5. 编辑 Citrix Gateway 会话操作系统和 Web 配置文件并将已发布的应用程序/单点登录域设置为空白(可能需要设置覆盖设置)。

注意:

根据外部受信任域的位置,外部域用户的启动时间可能比资源用户或父域用户长。

连接工作流

  1. User@partner.com 登录 Citrix Gateway。Gateway 通过与 UPN 查找匹配且与策略操作相匹配的身份验证配置文件来查找用户。
  2. 凭据将传递给 StoreFront。StoreFront 接受凭据并将其传递给 Cloud Connector(充当 Delivery Controller)。
  3. Cloud Connector 会查找 Citrix Cloud 所需的用户对象详细信息。
  4. Cloud Connector 将身份信息传递给 Citrix Cloud,身份令牌对用户进行身份验证并枚举分配给用户的资源。
  5. Cloud Connector 将分配的资源返回给 StoreFront 以供用户枚举。
  6. 当用户启动应用程序或桌面时,Citrix Gateway 使用配置的 Cloud Connector 生成 STA 票证请求,在本例中来自 child1.corp.com。
  7. Citrix Cloud 代理管理资源域 Cloud Connector 与在该资源位置注册的 VDA 之间的会话。
  8. 会话在客户端、Citrix Gateway 和已解析的 VDA 之间建立。

林信任/资源域的快捷方式信任

仅当将林和快捷方式信任域视为与资源域的外部域信任关系时,才支持林和快捷方式信任域。对于林信任,您可以按照外部可信域到资源域一节中介绍的相同步骤进行操作。此部分将来可能会更改,具体取决于用户和资源域/林之间原生林信任的可支持性。

Citrix DaaS 的本地 StoreFront 身份验证参考架构
October 5, 2023
投稿者: 
C
October 5, 2023
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.