身份验证
智能卡
适用于 ChromeOS 的 Citrix Workspace 应用程序支持对 StoreFront 使用 USB 智能卡读卡器。可以将智能卡用于以下用途:
- 对 Citrix Workspace 应用程序进行智能卡登录身份验证。
- 使用支持智能卡的已发布应用程序访问本地智能卡设备。
- 用于对文档和电子邮件进行签名的智能卡。例如,在 ICA 会话中启动的 Microsoft Word 和 Outlook。
支持的智能卡(带 USB 智能卡读卡器)包括:
- 个人身份验证 (PIV)
- 通用访问卡 (CAC)
必备条件
- StoreFront 3.6 或更高版本
- XenDesktop 7.6 或更高版本
- XenApp 6.5 或更高版本
- Citrix Virtual Apps and Desktops 1808 或更高版本
- Citrix Workspace 应用程序 1808 或更高版本
重要:
要对 StoreFront 3.5 及早期版本进行智能卡身份验证,您需要使用自定义脚本才能启用智能卡身份验证。联系 Citrix 支持部门以获得帮助。
要访问有关受支持的版本的最新信息,请参阅 Citrix Workspace 应用程序和 Citrix Virtual Apps and Desktops 的生命周期里程碑。
设备配置必备条件
-
Google Smart Card Connector 是一款与设备上的 USB 智能卡读卡器进行交互的应用程序。该连接器应用程序将个人计算机智能卡 (PCSC) Lite API 公开给其他应用程序,包括 Citrix Workspace 应用程序。
-
证书提供程序是由供应商编写的与智能卡连接器交互的中间件应用程序。中间件应用程序可访问智能卡读卡器、读取证书以及向 ChromeOS 提供智能卡证书。
中间件应用程序还使用 PIN 提示实现签名功能。 例如,CACKey。
有关详细信息,请参阅在 ChromeOS 上部署智能卡。
-
在 StoreFront 上配置智能卡身份验证时,Citrix Workspace 应用程序会请求 ChromeOS 在智能卡上提供客户端证书。ChromeOS 会显示从提供商处收到的证书。PIN 提示将指示身份验证。
Citrix Workspace 应用程序具有允许进行智能卡身份验证的操作系统的批准列表。StoreFront 3.6 及更高版本也批准了 ChromeOS。对于早期版本的 StoreFront,您可以使用自定义脚本以允许在 ChromeOS 上进行智能卡身份验证。请联系 Citrix 支持以获取自定义脚本。
-
Citrix Workspace 应用程序无法使用 StoreFront 控制智能卡身份验证工作流。但是,在某些情况下,StoreFront 可能会要求您关闭浏览器以清除 cookie。
要清除所有 cookie 并重新加载应用商店 URL,请单击适用于 ChromeOS 的 Citrix Workspace 应用程序中的重新加载按钮。
有时,要进一步清除 cookie,您可以从 ChromeOS 设备注销。
-
当您尝试启动应用程序或桌面会话时,Citrix Workspace 应用程序不使用智能卡重定向。相反,它与 PC/SC Lite API 的智能卡连接器应用程序进行交互。
Windows 登录所需的 PIN 提示会出现在会话中。在这里,证书提供者没有任何角色。Citrix Workspace 应用程序管理会话中的活动,例如双跳或对电子邮件进行签名。
智能卡限制
- 从 ChromeOS 设备中移除智能卡时,将删除智能卡证书。此行为是 Google Chrome 中存在的已知问题。重新启动 ChromeOS 设备可清除缓存。
- 重新打包适用于 ChromeOS 的 Citrix Workspace 应用程序后,作为管理员,请获得 Google 的 appID 审批。这样做可确认智能卡连接器应用程序进行传递。
- 一次仅支持一个智能卡读卡器。
- 虚拟智能卡和快速智能卡不受支持。
- Citrix Workspace(云)不支持智能卡。
在 ChromeOS 设备上配置智能卡支持
-
安装智能卡连接器应用程序。要在 ChromeOS 设备上支持个人计算机智能卡 (PCSC),需要使用智能卡应用程序。此应用程序使用 USB 接口读取智能卡。可以从 Chrome Web 站点安装此应用程序。
-
安装中间件应用程序。需要中间件应用程序作为与智能卡和其他客户端证书进行通信的接口。例如,Charismathics 或 CACKey:
-
要安装 Charismathics 智能卡扩展程序或 CACKey,请参阅 Chrome Web 站点上的说明。
-
有关中间件应用程序和智能卡身份验证的详细信息,请参阅 Google 支持站点。
-
-
使用以下步骤配置智能卡身份验证:
- Citrix Gateway
- StoreFront 管理控制台
SAML 身份验证
要配置单点登录,请执行以下操作:
-
如果尚未配置,请为 SAML 身份验证设置第三方身份提供程序 (IdP)。例如,ADFS 2.0。
有关详细信息,请参阅知识中心文章 CTX133919。
-
使用 SAML IdP 通过 Google Apps 设置单点登录。此配置允许用户应用第三方身份(而非 Google Enterprise 帐户)来使用 Google 应用程序。
有关详细信息,请参阅 Google 支持站点上的 Set-up single sign-on for managed Google Accounts using third-party Identity providers(使用第三方身份提供程序为托管 Google 帐户设置单点登录)。
-
将 Chrome 设备配置为通过 SAML IdP 登录。此配置允许用户使用第三方身份提供程序登录 Chrome 设备。
有关详细信息,请参阅 Google 支持站点上的 Configure SAML Single Sign-On for Chrome devices(为 Chrome 设备配置 SAML 单点登录)。
-
将 Citrix Gateway 配置为通过 SAML IdP 登录。此配置使用户能够使用第三方身份提供程序登录 Citrix Gateway。
有关详细信息,请参阅配置 SAML 身份验证。
-
将 Citrix Virtual Apps and Desktops 配置为进行联合身份验证,以使用动态生成的证书登录 Citrix Virtual Apps and Desktops 会话。您可以在 SAML 登录之后执行此操作,而无需键入用户名和密码组合。
有关详细信息,请参阅联合身份验证服务。
要实现虚拟应用程序和桌面的 SSO,您必需部署联合身份验证服务 (FAS)。
注意:
如果没有 FAS,则系统会提示您输入 Active Directory 用户名和密码。有关详细信息,请参阅使用 Citrix 联合身份验证服务对工作区启用单点登录。
-
为 Chrome 设备上安装的 Chrome 应用扩展程序安装并配置 SAML SSO。有关详细信息,请参阅 Google Web 站点。此扩展程序从浏览器中获取 SAML cookie 并提供给 Citrix Workspace。必须为此扩展程序配置以下策略以允许 Citrix Workspace 获取 SAML cookie。
如果要重新封装适用于 ChromeOS 的 Citrix Workspace 应用程序,请正确更改 appId。此外,请将域更改为贵公司的 SAML IdP 域。
{ "whitelist" : { "Value" : [ { "appId" : "haiffjcadagjlijoggckpgfnoeiflnem", "domain" : "saml.yourcompany.com" } ] } } <!--NeedCopy--> -
将 Citrix Workspace 配置为使用已配置为进行 SAML 登录的 Citrix Gateway。此配置使用户能够使用配置为进行 SAML 登录的 Citrix Gateway。有关 ChromeOS 配置的详细信息,请参阅知识中心文章 CTX141844。