简化了 Web 和 SaaS 应用程序的单点登录过程

单点登录 (SSO) 是一种身份验证功能,允许用户使用一组登录凭据访问多个应用程序。企业通常使用 SSO 身份验证来提供对各种 Web、本地和云应用程序的更简单访问,从而获得更好的用户体验。

SSO 功能使管理员可以更好地控制以下内容:

  • 用户访问权限
  • 减少与密码相关的支持电话
  • 提高安全性和合规性。

以前,需要为部署的每个 Web 或 SaaS 应用程序配置 SSO。有关更多信息,请参阅 Workspace 单点登录

现在,此功能旨在将跨平台的所有 Web 和 SaaS 应用程序的 SSO 配置简化为单个 PowerShell 命令,无需在身份提供商 (IdP) 链中配置网关服务。此功能还可以改善用户体验,前提是使用相同的 IdP 对 Citrix Workspace 应用程序和正在启动的 Web 或 SaaS 应用程序进行身份验证。

PowerShell 模块使用在 Citrix Cloud 中运行的 StoreFrontConfiguration 服务来获取和设置工作区的配置。此模块可帮助您为 Citrix Workspace 配置某些属性。

要下载,请单击用于 Citrix Workspace 配置的 PowerShell 模块

必备条件

  • 使用相同的身份提供商 (IdP) 对 Citrix Workspace 应用程序和特定的 Web 或 SaaS 应用程序进行身份验证。
  • 在第三方 IdP 配置中启用永久性 cookie,以获得无缝的 SSO 体验。
  • 本机操作系统所需的最低 Citrix Workspace 应用程序版本为:

    • 适用于 Win 的 Citrix Workspace 应用程序 2204.1
    • 适用于 macOS 的 Citrix Workspace 应用程序 2203.1
    • 适用于Android 22.3.5 的 Citrix Workspace 应用程序
    • 适用于 iOS 的 Citrix Workspace 22.3.5
  • 如果使用 Google IdP,则 Android 和 iOS 不支持此功能。

注意:

  • 简化的 SSO 功能将身份验证Android 版 Citrix Workspace 应用程序所需的 Web 视图更改为 Android WebView,将适用于 iOS 的 Citrix Workspace 应用程序更改为 WKWebView。Citrix 建议管理员测试 Android WebView 和 WKWebView,以验证在使用 Intune 的条件访问等其他 Endpoint Management 配置时可能受到影响的限制。
  • 如有必要,您可以关闭特定操作系统的 SSO 功能。有关更多信息,请参阅本文中的“Set-WorkspaceCustomConfigurations”部分。

开始之前的准备工作

要配置 SSO,必须具备以下条件:

  • ClientID
  • ClientSecret
  • PowerShell 命令语法

获取 ClientId 和 ClientSecret

要生成 ID 和密钥值,请执行以下操作:

  1. 使用您的 Citrix Cloud 凭据登录 Citrix Cloud 控制台。
  2. 导航到身份和访问管理
  3. 转到 API 访问选项卡 > 安全客户端 > 在命名您的安全客户端字段中输入安全客户端的名称 > 单击创建客户端

    客户端 ID

    出现“已成功创建 ID 和密钥”消息。

  4. (可选)下载 .csv 文件格式的 ID密钥值以备将来使用。有关更多信息,请参阅 开始使用 Citrix Cloud API

PowerShell 模块语法

PowerShell 模块由以下两个命令组成:

  • Get-WorkspaceCustomConfigurations
  • Set-WorkspaceCustomConfigurations

Get-WorkspaceCustomConfigurations

语法如下:

Get-WorkspaceCustomConfigurations [-WorkspaceUrl] <String> [-ClientId] <String> [-ClientSecret] <String>

示例:

Get-WorkspaceCustomConfigurations -WorkspaceUrl `https://xyz.cloud.com` -ClientId `abc-0000-xyz00` -ClientSecret `abcdefg12345`
<!--NeedCopy-->

Get

注意:

客户端机密已被删除。

Set-WorkspaceCustomConfigurations

语法如下:

Set-WorkspaceCustomConfigurations [-WorkspaceUrl] <URL> [-ClientId] <String> [-ClientSecret] <String> IdpDomains <string[]> [[-IosWebViewType] <String>] [[-AndroidWebViewType] <String>] [[-WindowsShareIdpSessions] <Boolean>] [[-MacShareIdpSessions] <Boolean>] [[-LinuxShareIdpSessions] <Boolean>]

示例:

Set-WorkspaceCustomConfigurations -WorkspaceUrl `https://xyz.cloud.com` -ClientId `abc-0000-xyz00` -ClientSecret `abcdefg12345` -IdpDomains @('abc.okta.com', 'xyz.okta.com') -IosWebViewType "wkwebview" -AndroidWebViewType "webview" -WindowsShareIdpSessions $true -MacShareIdpSessions $true -LinuxShareIdpSessions $true
<!--NeedCopy-->

如果未安装 Single Sign-On 组件,请在下列任一注册表项中将

注意:

客户端机密已被删除。

下表描述了键值对:

IdPDomains IdP 域名列表。该列表取决于环境中使用的身份提供商。
WindowsShareIdpSessions 用于切换适用于 Windows 的 Citrix Workspace 应用程序的功能的布尔值。接受的值为 truefalse
MacShareIdpSessions 用于切换适用于 macOS 的 Citrix Workspace 应用程序的功能的布尔值。接受的值为 truefalse
LinuxShareIdpSessions 用于切换适用于 Linux 的 Citrix Workspace 应用程序的功能的布尔值。此功能不适用于 Citrix Workspace 应用程序 Linux。接受的值为 truefalse
IosWebViewType WKWebView 用于在您登录适用于 iOS 的 Citrix Workspace 应用程序时进行身份验证。接受的值要么是启用 SSO 的 wkwebview (WKWebView),要么是禁用 SSO 的 safari (SafariViewController) SafariViewController 是适用于 iOS 的 Citrix Workspace 应用程序的默认身份验证 Web
AndroidWebViewType WebView 用于在您登录适用于 Android 的 Citrix Workspace 应用程序时进行身份验证。接受的值要么是启用 SSO 的 webview (WebView),要么是禁用 SSO 的 cctab (ChromeCustomTab)。ChromeCustomTab 是适用于 Android 的 Citrix Workspace 应用程序的默认身份验证 Web 视图。

如何配置 SSO

要使用 PowerShell 模块配置 SSO,请执行以下操作:

  1. 下载并保存用于 Citrix Workspace 配置的 PowerShell 模块
  2. 打开 PowerShell。
  3. 导航到 Citrix.Workspace.StoreConfigs 文件夹。
  4. 导入 PowerShell 模块。语法如下: Import-Module ./Citrix.Workspace.StoreConfigs
  5. 运行 Get-WorkspaceCustomConfigurations 命令来检查现有值。
  6. 运行 Set-WorkspaceCustomConfigurations 命令来应用 SSO。
简化了 Web 和 SaaS 应用程序的单点登录过程