使用智能卡配置单点登录到 Web 界面

如果使用智能卡进行用户登录,则可以配置单点登录到 Web 界面。在 Citrix 网关上配置设置,然后将 Web 界面配置为接受使用智能卡的单点登录。单点登录也称为直通身份验证。

Web 界面 5.3 和 5.4 版支持使用智能卡单点登录 Web 界面。如果启用 NetScaler 版本 10 中提供的 Citrix ADC 上的 Web 接口功能,也可以使用智能卡的单点登录。有关配置此功能的更多信息,请参阅通过 Citrix 网关对 Web 界面使用智能卡身份验证

只要证书操作中的用户名提取为 “主题名称:主要名称”,用户就可以在 Active Directory 中的多个 CN 组中进行单点登录工作。如果您使用参数主题:CN,则用户不能成为多个 CN 组的一部分。

要使用智能卡将 Citrix 网关配置为单点登录到 Web 界面,您需要执行以下操作:

  • 从证书颁发机构 (CA) 安装签名的服务器证书。有关详细信息,请参阅在 Citrix 网关上安装签名证书
  • 在 Citrix 网关和用户设备上安装根证书。
  • 创建虚拟服务器作为 Web 界面的登录点。配置虚拟服务器时,必须将客户端证书 SSL 参数设置为可选。有关配置虚拟服务器的更多信息,请参阅创建虚拟服务器
  • 创建在 SSL 参数中禁用客户端身份验证的辅助虚拟服务器。此配置可防止用户收到个人标识号 (PIN) 的辅助请求。
  • 创建客户端证书身份验证策略。在用户名字段中,使用参数主题名称:主体名称从多个组中提取用户。将组名称字段留空。
  • 在 Citrix 网关上创建会话策略和配置文件。在会话配置文件中,您可以启用 ICA 代理并指定用于单一登录的 Web 界面和域。

您可以使用以下过程创建用于使用智能卡单点登录的会话配置文件。

使用智能卡为单点登录创建会话配置文件

  1. 在配置实用程序中的 “配置” 选项卡的导航窗格中,展开 Citrix 网关策略,然后单击 “会话”。
  2. 在详细信息窗格中,单击配置文件选项卡,然后单击添加。

3. 在 “客户体验” 选项卡上,在主页旁边,单击 “覆盖全局”,然后清除 “显示主页”。

  1. 在单一登录到 Web 应用程序旁边,单击覆盖全局,然后单击单一登录到 Web 应用程序。
  2. 单击 Published Applications(已发布的应用程序)选项卡。
  3. 在 ICA 代理旁边,单击覆盖全局,然后选择开。
  4. 在 Web 界面地址中,单击覆盖全局,然后键入完全限定的域名 (FQDN) 或 Web 界面。
  5. 在单一登录域中,单击覆盖全局,然后键入域名。

    注意:您必须使用格式域,而不是格式域。

  6. 单击 Create(创建),然后单击 Close(关闭)。

完成会话配置文件后,请配置会话策略并将该配置文件用作策略的一部分。然后,您可以将会话策略绑定到虚拟服务器。

使用智能卡配置单点登录到 Web 界面