Citrix Virtual Apps and Desktops

智能卡部署

本产品版本和包含本版本的混合环境支持下列类型的智能卡部署。其他配置可能可以运行,但不受支持。

类型 StoreFront 连接
加入本地域的计算机 直接连接
从加入域的计算机远程访问 通过 Citrix Gateway 连接
未加入域的计算机 直接连接
从未加入域的计算机远程访问 通过 Citrix Gateway 连接
访问桌面设备站点的未加入域的计算机和瘦客户端 通过桌面设备站点连接
通过 XenApp Services URL 访问 StoreFront 的加入域的计算机和瘦客户端 通过 XenApp Services URL 连接

部署类型由智能卡读卡器连接到的用户设备的以下特性定义:

  • 设备是否已加入域。
  • 设备连接到 StoreFront 的方式。
  • 查看虚拟桌面和应用程序使用的软件。

此外,启用智能卡的应用程序(如 Microsoft Word 和 Microsoft Excel)也可在这些部署中使用。这些应用程序允许用户对文档进行数字签名或加密。

双模式身份验证

在其中的每个部署中,如有可能,Receiver 支持双模式身份验证,允许用户在使用智能卡和输入其用户名和密码之间进行选择。如果无法使用智能卡(例如,用户将智能卡遗忘在家中或登录证书已过期),此功能会很有帮助。

由于未加入域的设备的用户将直接登录到 Receiver for Windows,因此,您可以允许用户回退至显式身份验证。如果您配置了双模式身份验证,则系统最初会提示用户使用智能卡和 PIN 进行登录,但在智能卡出现问题时可以选择使用显式身份验证。

如果您部署 Citrix Gateway,则用户登录设备后,Receiver for Windows 会提示用户向 Citrix Gateway 进行身份验证。对于加入域的设备和未加入域的设备均是如此。用户可以使用智能卡和 PIN 或使用显式凭据登录 Citrix Gateway。这样,您可以向用户提供用于 Citrix Gateway 登录的双模式身份验证。可以配置从 Citrix Gateway 到 StoreFront 的直通身份验证,并将智能卡用户的凭据验证委派给 Citrix Gateway,这样用户就可以无提示地向 StoreFront 进行身份验证。

多个 Active Directory 林注意事项

在 Citrix 环境中,在单个林中支持智能卡。跨林进行智能卡登录要求对所有用户帐户启用直接双向林信任。不支持涉及智能卡的更加复杂的多林部署(即,其中的信任仅为单向信任或具有不同的类型)。

您可以在包括远程桌面的 Citrix 环境中使用智能卡。可以在本地(在智能卡连接的用户设备上)或远程(在用户设备连接的远程桌面上)安装此功能。

智能卡移除策略

在产品上设置的智能卡移除策略于确定当在会话期间从读卡器中删除智能卡时所发生的操作。智能卡移除策略通过 Windows 操作系统进行配置,并且也由 Windows 操作系统来处理。

策略设置 桌面行为
无操作 无操作。
锁定工作站 桌面会话断开连接,并锁定虚拟桌面。
强制注销 将强制用户注销。如果网络连接已断开,并启用了此设置,则此会话可能会注销,用户可能会丢失数据。
如果是远程终端服务会话,则断开连接 会话断开连接,并锁定虚拟桌面。

证书吊销检查

如果启用证书吊销检查,并且用户将具有无效证书的智能卡插入读卡器,用户将无法对与该证书相关的桌面或应用程序进行身份验证或访问。例如,如果使用无效证书进行电子邮件解密,电子邮件将保持加密状态。如果卡上的其他证书(例如,用于身份验证的证书)仍有效,这些功能将仍有效。

部署示例:加入域的计算机

此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的已加入域的用户设备。

部署示例:加入域的计算机

用户使用智能卡和 PIN 登录设备。Receiver 使用集成 Windows 身份验证 (IWA) 向 StoreFront 服务器进行用户身份验证。StoreFront 将用户安全标识符 (SID) 传递到 Citrix Virtual Apps 或 Citrix Virtual Desktops。当用户启动虚拟桌面或应用程序时,系统不会提示用户重新输入 PIN,因为 Receiver 上已配置单点登录功能。

通过添加第二台 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展到双跳。虚拟桌面的 Receiverd 对第二台 StoreFront 服务器进行身份验证。第二次连接时,可以使用任何身份验证方法。第一个跃点显示的配置可在第二个跃点中重新使用,或仅能在第二个跃点中使用。

部署示例:从加入域的计算机进行远程访问

此部署涉及运行 Desktop Viewer 并通过 Citrix Gateway/Access Gateway 连接到 StoreFront 的已加入域的用户设备。

部署示例:从加入域的计算机进行远程访问

用户使用智能卡和 PIN 登录设备,然后重新登录 Citrix Gateway/Access Gateway。第二次登录可以使用智能卡和 PIN,也可以使用用户名和密码,因为在此部署中 Receiver 允许双模式身份验证。

用户将自动登录 StoreFront,将用户安全标识符 (SID) 传递到 Citrix Virtual Apps 或 Citrix Virtual Desktops。当用户启动虚拟桌面或应用程序时,系统不会提示用户重新输入 PIN,因为 Receiver 上已配置单点登录功能。

通过添加第二台 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展到双跳。虚拟桌面的 Receiverd 对第二台 StoreFront 服务器进行身份验证。第二次连接时,可以使用任何身份验证方法。第一个跃点显示的配置可在第二个跃点中重新使用,或仅能在第二个跃点中使用。

部署示例:未加入域的计算机

此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的未加入域的用户设备。

部署示例:未加入域的计算机

用户登录设备。通常情况下,用户需要输入用户名和密码,但由于此设备未加入域,因此此登录的凭据是可选的。因为在此部署中可使用双模式身份验证,因此 Receiver 会提示用户输入智能卡和 PIN,或使用用户名和密码。然后 Receiver 对 StoreFront 进行身份验证。

StoreFront 将用户安全标识符 (SID) 传递到 Citrix Virtual Apps 或 Citrix Virtual Desktops。当用户启动虚拟桌面或应用程序时,系统会提示用户重新输入 PIN,因为在此部署中未提供单点登录功能。

通过添加第二台 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展到双跳。虚拟桌面的 Receiverd 对第二台 StoreFront 服务器进行身份验证。第二次连接时,可以使用任何身份验证方法。第一个跃点显示的配置可在第二个跃点中重新使用,或仅能在第二个跃点中使用。

部署示例:从未加入域的计算机进行远程访问

此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的未加入域的用户设备。

部署示例:从未加入域的计算机进行远程访问

用户登录设备。通常情况下,用户需要输入用户名和密码,但由于此设备未加入域,因此此登录的凭据是可选的。因为在此部署中可使用双模式身份验证,因此 Receiver 会提示用户输入智能卡和 PIN,或使用用户名和密码。然后 Receiver 对 StoreFront 进行身份验证。

StoreFront 将用户安全标识符 (SID) 传递到 Citrix Virtual Apps 或 Citrix Virtual Desktops。当用户启动虚拟桌面或应用程序时,系统会提示用户重新输入 PIN,因为在此部署中未提供单点登录功能。

通过添加第二台 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展到双跳。虚拟桌面的 Receiverd 对第二台 StoreFront 服务器进行身份验证。第二次连接时,可以使用任何身份验证方法。第一个跃点显示的配置可在第二个跃点中重新使用,或仅能在第二个跃点中使用。

部署示例:未加入域的计算机和瘦客户端访问桌面设备站点

此部署涉及运行 Desktop Lock,并通过桌面设备站点连接到 StoreFront 的未加入域的用户设备。

Desktop Lock 是随 Citrix Virtual Apps、Citrix Virtual Desktops 和 VDI-in-a-Box 发布的独立组件。它是 Desktop Viewer 的替代项,主要是针对重新设计用途的 Windows 计算机和 Windows 瘦客户端而设计的。Desktop Lock 取代了这些用户设备中的 Windows shell 和任务管理器,以阻止用户访问基础设备。通过使用 Desktop Lock,用户可以访问 Windows Server 计算机桌面和 Windows 桌面计算机桌面。可以选择安装 Desktop Lock。

部署示例:未加入域的计算机和瘦客户端访问桌面设备站点

用户使用智能卡登录设备。如果 Desktop Lock 正在设备上运行,该设备配置为通过在 Kiosk 模式下运行的 Internet Explorer 启动桌面设备站点。该站点上的 ActiveX 控件会提示用户输入 PIN,然后将其发送到 StoreFront。StoreFront 将用户安全标识符 (SID) 传递到 Citrix Virtual Apps 或 Citrix Virtual Desktops。分配的桌面组列表(按字母顺序)中的第一个可用桌面将启动。

通过添加第二台 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展到双跳。虚拟桌面的 Receiverd 对第二台 StoreFront 服务器进行身份验证。第二次连接时,可以使用任何身份验证方法。第一个跃点显示的配置可在第二个跃点中重新使用,或仅能在第二个跃点中使用。

部署示例:加入域的计算机和瘦客户端通过 XenApp Services URL 访问 StoreFront

此部署涉及运行 Desktop Lock,并通过 XenApp Services URL 连接到 StoreFront 的加入域的用户设备。

Desktop Lock 是随 Citrix Virtual Apps、Citrix Virtual Desktops 和 VDI-in-a-Box 发布的独立组件。它是 Desktop Viewer 的替代项,主要是针对重新设计用途的 Windows 计算机和 Windows 瘦客户端而设计的。Desktop Lock 取代了这些用户设备中的 Windows shell 和任务管理器,以阻止用户访问基础设备。通过使用 Desktop Lock,用户可以访问 Windows Server 计算机桌面和 Windows 桌面计算机桌面。可以选择安装 Desktop Lock。

部署示例:加入域的计算机和瘦客户端通过 XenApp Services URL 访问 StoreFront

用户使用智能卡和 PIN 登录设备。如果 Desktop Lock 正在设备上运行,它会使用集成 Windows 身份验证 (IWA) 向 StoreFront 服务器进行用户身份验证。StoreFront 将用户安全标识符 (SID) 传递到 Citrix Virtual Apps 或 Citrix Virtual Desktops。当用户启动虚拟桌面时,系统不会提示用户重新输入 PIN,因为 Receiver 上已配置单点登录功能。

通过添加第二台 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展到双跳。虚拟桌面的 Receiverd 对第二台 StoreFront 服务器进行身份验证。第二次连接时,可以使用任何身份验证方法。第一个跃点显示的配置可在第二个跃点中重新使用,或仅能在第二个跃点中使用。