身份验证
智能卡
-
适用于 ChromeOS 的 Citrix Workspace 应用程序支持带 StoreFront 的 USB 智能卡读卡器。您可以将智能卡用于以下目的:
- 智能卡登录身份验证到 Citrix Workspace 应用程序。
- 支持智能卡的已发布应用程序,用于访问本地智能卡设备。
-
智能卡用于签署文档和电子邮件。例如,在 ICA® 会话中启动的 Microsoft Word 和 Outlook。
-
支持的智能卡(带 USB 智能卡读卡器)包括:
- 个人身份验证 (PIV)
- 通用访问卡 (CAC)
先决条件
- StoreFront 3.6 或更高版本
- XenDesktop 7.6 或更高版本
- XenApp 6.5 或更高版本
- Citrix Virtual Apps and Desktops 1808 或更高版本
- Citrix Workspace 应用程序 1808 或更高版本
重要提示:
对于 StoreFront 3.5 及更早版本的智能卡身份验证,您需要自定义脚本才能启用智能卡身份验证。请联系 Citrix 支持 以获取帮助。
- 要访问有关支持版本的最新信息,请参阅 Citrix Workspace 应用程序和 Citrix Virtual Apps and Desktops 的生命周期里程碑。
设备配置先决条件
-
Google Smart Card Connector 是一款应用程序,可与设备上的 USB 智能卡读卡器交互。此连接器应用程序向包括 Citrix Workspace 应用程序在内的其他应用程序公开个人计算机智能卡 (PCSC) Lite API。
-
证书提供程序是由供应商编写的中间件应用程序,可与智能卡连接器交互。中间件应用程序访问智能卡读卡器,读取证书,并向 ChromeOS 提供智能卡证书。
- 中间件应用程序还使用 PIN 提示实现签名功能。
-
例如,CACKey。
-
有关详细信息,请参阅 在 ChromeOS 上部署智能卡。
-
当您在 StoreFront 上配置智能卡身份验证时,Citrix Workspace 应用程序会请求 ChromeOS 提供智能卡上的客户端证书。ChromeOS 会显示从提供程序接收到的证书。PIN 提示表示身份验证。
-
Citrix Workspace 应用程序有一个允许用于智能卡身份验证的操作系统批准列表。StoreFront 3.6 及更高版本也批准 ChromeOS。对于早期版本的 StoreFront,您可以使用自定义脚本在 ChromeOS 上启用智能卡身份验证。请联系 Citrix 支持以获取自定义脚本。
-
Citrix Workspace 应用程序不控制与 StoreFront 的智能卡身份验证工作流程。但是,在少数情况下,StoreFront 可能会要求您关闭浏览器以清除 Cookie。
-
要清除所有 Cookie 并重新加载 Store URL,请单击适用于 ChromeOS 的 Citrix Workspace 应用程序中的重新加载按钮。
有时,要进一步清除 Cookie,您可以从 ChromeOS 设备注销。
- 当您尝试启动应用程序或桌面会话时,Citrix Workspace 应用程序不使用智能卡重定向。相反,它与智能卡连接器应用程序交互以获取 PC/SC lite API。
Windows 登录所需的 PIN 提示会出现在会话中。在此处,证书提供程序不起作用。Citrix Workspace 应用程序管理会话内活动,例如双跳或签署电子邮件。
-
智能卡限制
- 当您从 ChromeOS 设备中移除智能卡时,智能卡证书会被缓存。此行为是 Google Chrome 中存在的已知问题。重新启动 ChromeOS 设备以清除缓存。
- 当适用于 ChromeOS 的 Citrix Workspace 应用程序重新打包时,作为管理员,请获得 Google 的 appID 批准。这样做可以确认智能卡连接器应用程序已通过。
- 一次只支持一个智能卡读卡器。
- 不支持虚拟智能卡和快速智能卡。
- Citrix Workspace(云)不支持智能卡。
在 ChromeOS 设备上配置智能卡支持
-
安装智能卡连接器应用程序。ChromeOS 设备上的个人计算机智能卡 (PCSC) 支持需要智能卡应用程序。此应用程序使用 USB 接口读取智能卡。您可以从 Chrome 网站安装此应用程序。
-
安装中间件应用程序。中间件应用程序是与智能卡和其他客户端证书通信的接口。例如,Charismathics 或 CACKey:
-
要安装 Charismathics 智能卡扩展或 CACKey,请参阅 Chrome 网站上的说明。
-
有关中间件应用程序和智能卡身份验证的更多信息,请参阅 Google 支持网站。
-
-
使用以下方式配置智能卡身份验证:
- Citrix Gateway
- StoreFront 管理控制台
SAML 身份验证
要配置单点登录:
-
如果尚未配置,请设置用于 SAML 身份验证的第三方身份提供程序 (IdP)。例如,ADFS 2.0。
有关详细信息,请参阅知识中心文章 CTX133919。
-
使用 SAML IdP 设置 Google Apps 的单点登录。此配置使用户能够应用第三方身份来使用 Google 应用程序,而不是 Google 企业帐户。
有关详细信息,请参阅 Google 支持网站上的使用第三方身份提供程序为托管 Google 帐户设置单点登录。
-
配置 Chrome 设备以通过 SAML IdP 登录。此配置使用户能够使用第三方身份提供程序登录 Chrome 设备。
有关详细信息,请参阅 Google 支持网站上的为 Chrome 设备配置 SAML 单点登录。
-
配置 Citrix Gateway 以通过 SAML IdP 登录。此配置使用户能够使用第三方身份提供程序登录 Citrix Gateway。
有关详细信息,请参阅配置 SAML 身份验证。
-
配置 Citrix Virtual Apps and Desktops 以进行联合身份验证,以便使用动态生成的证书登录 Citrix Virtual Apps and Desktops 会话。您可以在 SAML 登录后执行此操作,而不是键入用户名和密码组合。
有关详细信息,请参阅联合身份验证服务。
要实现虚拟应用程序和桌面的 SSO,您必须部署联合身份验证服务 (FAS)。
注意:
如果没有 FAS,系统会提示您输入 Active Directory 用户名和密码。有关详细信息,请参阅使用 Citrix 联合身份验证服务为工作区启用单点登录。
-
在 Chrome 设备上安装并配置适用于 Chrome 应用扩展程序的 SAML SSO。有关详细信息,请参阅 Google 网站。此扩展程序从浏览器中检索 SAML Cookie 并将其提供给 Citrix Workspace。必须使用以下策略配置此扩展程序,以允许 Citrix Workspace 获取 SAML Cookie。
如果您要重新打包适用于 ChromeOS 的 Citrix Workspace 应用程序,请正确更改 appId。此外,请将域更改为贵公司的 SAML IdP 域。
{ "whitelist" : { "Value" : [ { "appId" : "haiffjcadagjlijoggckpgfnoeiflnem", "domain" : "saml.yourcompany.com" } ] } } <!--NeedCopy--> -
配置 Citrix Workspace 以使用为 SAML 登录配置的 Citrix Gateway。此配置使用户能够使用为 SAML 登录配置的 Citrix Gateway。有关 ChromeOS 配置的详细信息,请参阅知识中心文章 CTX141844。