适用于 Web 和 SaaS 应用程序的简化的单点登录
注意:
使用 PowerShell 模块配置单点登录 (SSO) 的方式即将弃用。因此,我们建议您通过 Global App Configuration service 配置 SSO。有关详细信息,请参阅通过 Global App Configuration service 管理 Web 和 SaaS 应用程序的单点登录。
单点登录是一种身份验证功能,允许用户使用一组登录凭据访问多个应用程序。企业通常使用 SSO 身份验证来简化对各种 Web、本地和云应用程序的访问,以提供更好的用户体验。
SSO 功能使管理员能够更好地控制:
- 用户访问
- 减少与密码相关的支持电话
- 提高安全性和合规性。
以前,SSO 需要为每个部署的 Web 或 SaaS 应用程序进行配置。有关详细信息,请参阅 Workspace Single Sign-On。
此功能旨在将 SSO 配置减少到单个 PowerShell 命令。此功能适用于所有跨平台的 Web 和 SaaS 应用程序,无需在身份提供商 (IdP) 链中配置 Gateway Service。此功能还改进了用户体验,前提是使用相同的 IdP 对 Citrix Workspace™ app 和 Web 或 SaaS 应用程序进行身份验证。
PowerShell 模块使用在 Citrix Cloud™ 中运行的 StoreFrontConfiguration 服务来获取和设置您的工作区的配置。此模块可帮助您为 Citrix Workspace 配置某些属性。
要下载,请单击适用于 Citrix Workspace 配置的 PowerShell 模块。
先决条件
- 使用相同的身份提供商 (IdP) 对 Citrix Workspace app 和特定的 Web 或 SaaS 应用程序进行身份验证。
- 在第三方 IdP 配置中启用持久性 Cookie,以实现无缝 SSO 体验。
-
本机操作系统上所需的最低 Citrix Workspace app 版本为:
- 适用于 Windows 的 Citrix Workspace app 2204.1
- 适用于 macOS 的 Citrix Workspace app 2203.1
- 适用于 Android 的 Citrix Workspace app 22.3.5
- 适用于 iOS 的 Citrix Workspace app 22.3.5
- 如果使用 Google IdP,则 Android 和 iOS 不支持此功能。
注意:
- 简化的 SSO 功能将用于对适用于 Android 的 Citrix Workspace app 进行身份验证的 Web 视图更改为 Android WebView,将用于对适用于 iOS 的 Citrix Workspace app 进行身份验证的 Web 视图更改为 WKWebView。Citrix 建议管理员测试 Android WebView 和 WKWebView,以验证在使用其他 Endpoint Management 配置(例如 Intune 的条件访问)时可能产生影响的限制。
- 如有必要,您可以为特定操作系统禁用 SSO 功能。有关详细信息,请参阅本文中的 Set-WorkspaceCustomConfigurations 部分。
开始之前
要配置 SSO,您必须具备以下各项:
- ClientID
- ClientSecret
- PowerShell 命令语法
获取 ClientId 和 ClientSecret
要生成 ID 和 Secret 值,请执行以下操作:
- 使用您的 Citrix Cloud 凭据登录到 Citrix Cloud 控制台。
- 导航到“身份和访问管理”。
-
转到“API 访问”选项卡 > “安全客户端” > 在“命名您的安全客户端”字段中输入安全客户端的名称 > 单击“创建客户端”。
此时将显示“ID 和 Secret 已成功创建”消息。
- (可选)以 .csv 文件格式下载 ID 和 Secret 值以供将来使用。有关详细信息,请参阅Citrix Cloud API 入门。
PowerShell 模块语法
PowerShell 模块包含以下两个命令:
- Get-WorkspaceCustomConfigurations
- Set-WorkspaceCustomConfigurations
Get-WorkspaceCustomConfigurations
语法如下:
Get-WorkspaceCustomConfigurations [-WorkspaceUrl] <String> [-ClientId] <String> [-ClientSecret] <String>
<!--NeedCopy-->
示例:
Get-WorkspaceCustomConfigurations -WorkspaceUrl `https://xyz.cloud.com` -ClientId `abc-0000-xyz00` -ClientSecret `abcdefg12345`
<!--NeedCopy-->
注意:
客户端 Secret 已被编辑。
Set-WorkspaceCustomConfigurations
语法如下:
Set-WorkspaceCustomConfigurations [-WorkspaceUrl] <URL> [-ClientId] <String> [-ClientSecret] <String> IdpDomains <string[]> [[-IosWebViewType] <String>] [[-AndroidWebViewType] <String>] [[-WindowsShareIdpSessions] <Boolean>] [[-MacShareIdpSessions] <Boolean>] [[-LinuxShareIdpSessions] <Boolean>]
<!--NeedCopy-->
示例:
Set-WorkspaceCustomConfigurations -WorkspaceUrl `https://xyz.cloud.com` -ClientId `abc-0000-xyz00` -ClientSecret `abcdefg12345` -IdpDomains @('abc.okta.com', 'xyz.okta.com') -IosWebViewType "wkwebview" -AndroidWebViewType "webview" -WindowsShareIdpSessions $true -MacShareIdpSessions $true -LinuxShareIdpSessions $true
<!--NeedCopy-->
注意:
客户端 Secret 已被编辑。
下表描述了键值对:
| 键 | 值 |
|---|---|
| IdPDomains | IdP 域列表。该列表取决于环境中使用的身份提供商。 |
| WindowsShareIdpSessions | 用于在适用于 Windows 的 Citrix Workspace app 上切换功能的布尔值。接受的值为 true 或 false。 |
| MacShareIdpSessions | 用于在适用于 macOS 的 Citrix Workspace app 上切换功能的布尔值。接受的值为 true 或 false。 |
| LinuxShareIdpSessions | 用于在适用于 Linux 的 Citrix Workspace app 上切换功能的布尔值。此功能不适用于适用于 Linux 操作系统的 Citrix Workspace app。接受的值为 true 或 false。 |
| IosWebViewType | 当您登录到适用于 iOS 的 Citrix Workspace app 时,WKWebView 用于进行身份验证。接受的值为 wkwebview (WKWebView) 以启用 SSO 或 safari (SafariViewController) 以禁用 SSO。SafariViewController 是适用于 iOS 的 Citrix Workspace app 的默认身份验证 Web 视图。 |
| AndroidWebViewType | 当您登录到适用于 Android 的 Citrix Workspace app 时,WebView 用于进行身份验证。接受的值为 webview (WebView) 以启用 SSO 或 cctab (ChromeCustomTab) 以禁用 SSO。ChromeCustomTab 是适用于 Android 的 Citrix Workspace app 的默认身份验证 Web 视图。 |
如何配置 SSO
要使用 PowerShell 模块配置 SSO,请执行以下操作:
- 下载并保存适用于 Citrix Workspace 配置的 PowerShell 模块。
- 打开 PowerShell。
- 导航到 Citrix.Workspace.StoreConfigs 文件夹。
- 导入 PowerShell 模块。语法如下:
Import-Module ./Citrix.Workspace.StoreConfigs - 运行 Get-WorkspaceCustomConfigurations 命令以检查现有值。
- 运行 Set-WorkspaceCustomConfigurations 命令以应用 SSO。