身份验证

智能卡

适用于 Chrome 的 Citrix Workspace 应用程序支持对 StoreFront 使用 USB 智能卡读卡器。可以将智能卡用于以下用途:

  • 对适用于 Chrome 的 Citrix Workspace 应用程序进行智能卡登录身份验证。
  • 使用支持智能卡的已发布应用程序访问本地智能卡设备。
  • 在 ICA 会话中启动的 Microsoft Word 和 Outlook 等应用程序可以访问智能卡以对文档和电子邮件进行签名。

支持的智能卡包括:

  • PIV 卡
  • 通用访问卡

必备条件:

  • StoreFront 3.6 或更高版本

重要:

要对 StoreFront 3.5 或早期版本进行智能卡身份验证,用户需要使用自定义脚本才能启用智能卡身份验证。有关详细信息,请联系 Citrix 技术支持。

  • XenDesktop 7.6 或更高版本
  • XenApp 6.5 或更高版本

要在 Chrome 设备上配置智能卡支持,请执行以下操作:

  1. 安装智能卡连接器应用程序。请注意,要在 Chrome 设备上支持 PCSC,需要安装智能卡应用程序。此应用程序使用 USB 接口读取智能卡。可以从 Chrome Web 站点安装此应用程序。

  2. 安装中间件应用程序。请注意,需要安装中间件应用程序(例如,Charismathics 或 CACKey),因为该应用程序用作与智能卡和其他客户端证书通信的接口。

    • 要安装 Charismathics 智能卡扩展程序或 CACKey,请参阅 Chrome Web 站点上的说明。

    • 有关中间件应用程序和智能卡身份验证的详细信息,请参阅 Google 支持站点

  3. 使用 Citrix Gateway 配置智能卡身份验证。有关详细信息,请参阅 Citrix Gateway 文档中的配置智能卡身份验证

限制:

  • 即使在从 Chrome 设备中移除智能卡后,也会缓存智能卡证书。这是 Google Chrome 中存在的已知问题。重新启动 Chrome 设备可清除缓存。
  • 重新封装适用于 Chrome 的 Citrix Workspace 应用程序时,管理员应获取 Google 列入白名单的 appID,以确保智能卡连接器应用程序能够直通。
  • 一次仅支持一个智能卡读卡器。

SAML 身份验证

要配置单点登录,请执行以下操作:

  1. 如果尚未配置,请为 SAML 身份验证设置第三方身份提供程序 (IdP),例如 ADFS 2.0。有关详细信息,请参阅知识中心文章 CTX133919
  2. 使用 SAML IdP 设置针对 Google 应用程序的单点登录;这将使用户能够利用第三方身份来使用 Google 应用程序,而无需使用 Google Enterprise 帐户。有关详细信息,请参阅 Google 支持站点上的使用第三方身份提供程序为 Google 应用程序帐户设置单点登录 (SSO)
  3. 将 Chrome 设备配置为通过 SAML IdP 登录。这使用户能够使用第三方身份提供程序登录 Chrome 设备。有关详细信息,请参阅 Google 支持站点上的为 Chrome 设备配置 SAML 单点登录
  4. 将 Citrix Gateway 配置为通过 SAML IdP 登录。这使用户能够使用第三方身份提供程序登录 Citrix Gateway。有关详细信息,请参阅配置 SAML 身份验证
  5. 将 Citrix Virtual Apps and Desktops 配置为进行联合身份验证,以允许使用 SAML 登录过程完成后动态生成的证书登录 Citrix Virtual Apps and Desktops 会话,而不需要键入用户名/密码组合。有关详细信息,请参阅联合身份验证服务
  6. 为 Chrome 设备上安装的 Chrome 应用扩展程序安装并配置 SAML SSO。有关详细信息,请参阅 Google Web 站点。此扩展程序从浏览器中获取 SAML cookie 并提供给 Citrix Workspace。必须为此扩展程序配置以下策略以允许 Citrix Workspace 获取 SAML cookie。

    {
        "whitelist" : {
            "Value" : [
                {
                "appId" : "haiffjcadagjlijoggckpgfnoeiflnem",
                "domain" : "saml.yourcompany.com"
                }
            ]
         }
    }
    

    如果要重新封装适用于 Chrome 的 Citrix Workspace 应用程序,请相应地更改 appId。此外,请将域更改为贵公司的 SAML IdP 域。

  7. 将 Citrix Workspace 配置为使用已配置为进行 SAML 登录的 Citrix Gateway。这使用户能够使用已配置为进行 SAML 登录的 Citrix Gateway。有关 Chrome 配置的详细信息,请参阅知识中心文章 CTX141844