身份验证

• 保护 Citrix Workspace 应用程序与已发布的资源之间的连接，以最大限度地提高安全性。您可以配置以下类型的身份验证：

• 域直通
• 智能卡
• Kerberos 直通

域直通身份验证

单点登录允许您对虚拟应用程序和桌面进行身份验证和使用，而无需再次重新进行身份验证。

• 登录到 Citrix Workspace 应用程序后，您的凭据和枚举的资源将直通到 StoreFront。

在早期版本中，使用 Google Chrome、Microsoft Edge 或 Mozilla FireFox 时，即使未启用该功能，您也可以启动单点登录会话。

从版本 1905 开始，所有 Web 浏览器都要求您使用组策略对象管理模板配置单点登录。有关使用组策略对象管理模板配置单点登录的详细信息，请参阅使用 Citrix Gateway 配置单点登录。

您可以在全新安装或升级设置中配置单点登录，使用以下任一选项：

-  命令行界面
-  图形用户界面 (GUI)

在全新安装期间配置单点登录

在全新安装期间配置单点登录：

1. 在 StoreFront 或 Web Interface 上进行配置。
2. 在 Delivery Controller 上配置 XML 信任服务。
3. 修改 Internet Explorer 设置。
4. 安装具有单点登录功能的 Citrix Workspace 应用程序。

在 StoreFront 或 Web Interface 上配置单点登录

根据 Citrix Virtual Apps and Desktops 部署的类型，可以使用管理控制台在 StoreFront 或 Web Interface 上配置单点登录。

下表列出了不同的用例及其各自的配置：

使用 Citrix Gateway 配置单点登录

您可以使用组策略对象管理模板启用与 Citrix Gateway 的单点登录。

1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序 GPO 管理模板。
2. 在计算机配置节点下，转至管理模板 > Citrix Components > Citrix Workspace > 用户身份验证。
3. 选择 Single Sign-on for Citrix Gateway 策略。
4. 选择已启用。
5. 单击应用和确定。
6. 重新启动 Citrix Workspace 应用程序以使更改生效。

在 Delivery Controller 上配置 XML 信任服务

在 Citrix Virtual Apps and Desktops™ 和 Citrix DaaS（以前称为 Citrix Virtual Apps and Desktops 服务）上，以管理员身份在 Delivery Controller 上运行以下 PowerShell 命令：

[[CODE_BLOCK_0]]

修改 Internet Explorer 设置

1. 使用 Internet Explorer 将 StoreFront 服务器添加到受信任站点列表。为此：
   1. 从“控制面板”启动Internet 选项。
   2. 单击安全 > 本地 Internet，然后单击站点。此时将显示本地 Intranet 窗口。
   3. 选择高级。
   4. 添加 StoreFront 或 Web Interface FQDN 的 URL，并使用相应的 HTTP 或 HTTPS 协议。
   5. 单击应用和确定。
2. 修改 Internet Explorer 中的用户身份验证设置。为此：
   1. 从“控制面板”启动Internet 选项。
   2. 单击安全选项卡 > 受信任的站点。
   3. 单击自定义级别。此时将显示安全设置 – 受信任的站点区域窗口。
   4. 在用户身份验证窗格中，选择使用当前用户名和密码自动登录。

   

   1. 单击应用和确定。

使用命令行界面配置单点登录

使用 /includeSSON 开关安装适用于 Windows 的 Citrix Workspace 应用程序，然后重新启动 Citrix Workspace 应用程序以使更改生效。

注意：

如果在未安装单点登录组件的情况下安装了适用于 Windows 的 Citrix Workspace 应用程序，则不支持使用 /includeSSON 开关升级到最新版本的 Citrix Workspace 应用程序。

使用图形用户界面配置单点登录

1. 找到 Citrix Workspace 应用程序安装文件 (CitrixWorkspaceApp.exe)。
2. 双击 CitrixWorkspaceApp.exe 启动安装程序。
3. 在启用单点登录安装向导中，选择启用单点登录选项。
4. 单击下一步并按照提示完成安装。

您现在可以使用 Citrix Workspace 应用程序登录，无需提供用户凭据。

在 Citrix Workspace for Web 上配置单点登录

您可以使用组策略对象管理模板在 Workspace for Web 上配置单点登录。

1. 通过运行 gpedit.msc 打开 Workspace for Web GPO 管理模板。
   • 1. 在计算机配置节点下，转至管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证。
   • 1. 选择本地用户名密码策略并将其设置为已启用。
   • 1. 单击启用直通身份验证。此选项允许 Workspace for Web 使用您的登录凭据在远程服务器上进行身份验证。
2. 单击允许所有 ICA® 连接进行直通身份验证。此选项绕过任何身份验证限制，并允许凭据在所有连接上进行直通。
3. 单击应用和确定。
4. 重新启动 Workspace for Web 以使更改生效。

通过启动任务管理器并检查 ssonsvr.exe 进程是否正在运行来验证单点登录是否已启用。

使用 Active Directory 配置单点登录

您可以使用 Active Directory 配置单点登录身份验证。在这种情况下，您无需使用部署工具，例如 Microsoft System Center Configuration Manager。

1. 下载 Citrix Workspace 应用程序安装文件 (CitrixWorkspaceApp.exe) 并将其放置在适当的网络共享上。目标计算机必须能够访问该文件，您将在这些计算机上安装 Citrix Workspace 应用程序。

2. 从 Citrix Workspace 应用程序 for Windows 下载页面获取 CheckAndDeployWorkspacePerMachineStartupScript.bat 模板。

3. 编辑 CitrixWorkspaceApp.exe 的位置和版本。

4. 在Active Directory 组策略管理控制台中，键入 CheckAndDeployWorkspacePerMachineStartupScript.bat 作为启动脚本。有关部署启动脚本的更多信息，请参阅 Active Directory 部分。

5. 在计算机配置节点中，转至管理模板 > 添加/删除模板以添加 icaclient.adm 文件。

6. 添加 icaclient.adm 模板后，转至计算机配置 > 管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证。

7. 选择本地用户名密码策略并将其设置为已启用。

8. 选择启用直通身份验证并单击应用。

9. 重新启动计算机以使更改生效。

在 StoreFront 和 Web Interface 上配置单点登录

• StoreFront 配置

• 在 StoreFront 服务器上打开 Citrix Studio，然后选择身份验证 > 添加/删除身份验证方法。选择域直通。

  

配置检查器

配置检查器可让您运行测试以确保单点登录已正确配置。该测试在单点登录配置的不同检查点上运行，并显示配置结果。

1. 右键单击通知区域中的 Citrix Workspace 应用程序图标，然后单击高级首选项。 高级首选项对话框随即出现。
2. 单击配置检查器。 Citrix 配置检查器窗口随即出现。

• 

• 1. 从选择窗格中选择 SSONChecker。

1. 单击运行。进度条随即出现，显示测试状态。

配置检查器窗口包含以下列：

1. 状态： 显示特定检查点上的测试结果。

   • 绿色复选标记表示特定检查点已正确配置。
   • 蓝色“I”表示有关检查点的信息。
   • 红色“X”表示特定检查点未正确配置。
2. 提供程序： 显示运行测试的模块名称。在此示例中为单点登录。
3. 套件： 指示测试类别。例如，安装。
4. 测试： 指示运行的特定测试的名称。
5. 详细信息： 提供有关测试的其他信息。

用户可以获取有关每个检查点和相应结果的更多信息。

执行以下测试：

1. 已安装单点登录。

• 1. 登录凭据捕获。
     • 1. 网络提供程序注册：仅当“Citrix Single Sign-on”在网络提供程序列表中排在首位时，网络提供程序注册的测试结果才会显示绿色对勾。如果 Citrix Single Sign-on 在列表中的其他任何位置出现，网络提供程序注册的测试结果将显示蓝色信息图标和附加信息。
     • 1. 单点登录过程正在运行。

1. 组策略：默认情况下，此策略在客户端上配置。
   • 1. Internet 安全区域设置：确保将 Store/XenApp Service URL 添加到 Internet 选项中的安全区域列表。 如果通过组策略配置安全区域，则策略中的任何更改都需要重新打开高级首选项窗口，更改才能生效并显示正确的测试状态。

• 1. Web Interface/StoreFront 的身份验证方法。

注意：

• 测试结果不适用于 Workspace for Web 配置。

• 在多存储设置中，身份验证方法测试在所有已配置的存储上运行。

• 您可以将测试结果保存为报告。默认报告格式为 .txt。

• 从“高级首选项”窗口隐藏“配置检查器”选项

• 1. 通过运行 gpedit.msc 打开 Citrix Workspace app 组策略对象管理模板。
• 1. 转至 Citrix Components > Citrix Workspace > Self Service > DisableConfigChecker。

1. 单击“已启用”以从“高级首选项”窗口隐藏“配置检查器”选项。
2. 单击“应用”和“确定”。
3. 运行 gpupdate /force 命令。

限制：

配置检查器不包括用于配置发送到 VDA 上的 XML 服务的信任请求的检查点。

信标测试

信标检查器是 Configuration Checker 实用程序的一部分。它允许您执行信标测试以确认信标 (ping.citrix.com) 是否可访问。此测试有助于消除导致资源枚举缓慢的众多可能原因之一，即信标不可用。要运行测试，请右键单击通知区域中的 Citrix Workspace app，然后选择高级首选项 > 配置检查器。从“测试”列表中选择信标检查器，然后单击“运行”。

• 测试结果可以是以下任意一种：

• 可访问 – Citrix Workspace app 能够成功联系信标。
• 不可访问 - Citrix Workspace app 无法联系信标。
• 部分可访问 - Citrix Workspace app 能够间歇性地联系信标。

使用 Kerberos 的域直通身份验证

本主题仅适用于 Citrix Workspace app for Windows 与 StoreFront、Citrix Virtual Apps and Desktops 和 Citrix DaaS 之间的连接。

Citrix Workspace app 支持 Kerberos 进行域直通身份验证，适用于使用智能卡的部署。Kerberos 是集成 Windows 身份验证 (IWA) 中包含的身份验证方法之一。

Kerberos 无需密码即可对 Citrix Workspace app 进行身份验证。从而防止用户设备上试图获取密码的特洛伊木马式攻击。用户可以使用任何身份验证方法登录并访问已发布的资源。例如，指纹读取器等生物识别身份验证器。

当您使用智能卡登录到配置为智能卡身份验证的 Citrix Workspace app、StoreFront、Citrix Virtual Apps and Desktops 和 Citrix DaaS 时，Citrix Workspace app 会：

• 1. 在单点登录期间捕获智能卡 PIN。
• 1. 使用 IWA (Kerberos) 向 StoreFront 验证用户身份。然后，StoreFront 会向您的 Citrix Workspace app 提供有关可用 Citrix Virtual Apps and Desktops 和 Citrix DaaS 的信息。

• 注意

• 启用 Kerberos 以避免额外的 PIN 提示。如果未使用 Kerberos 身份验证，Citrix Workspace app 将使用智能卡凭据向 StoreFront 进行身份验证。

  1. HDX 引擎将智能卡 PIN 传递给 VDA，以将用户登录到 Citrix Workspace app 会话。然后，Citrix Virtual Apps and Desktops 和 Citrix DaaS 会交付请求的资源。

要将 Kerberos 身份验证与 Citrix Workspace app 结合使用，请确保您的 Kerberos 配置符合以下要求。

• Kerberos 仅在 Citrix Workspace app 与属于相同或受信任的 Windows Server 域的服务器之间工作。服务器还必须受信任以进行委派，此选项可通过 Active Directory 用户和计算机管理工具进行配置。
• Kerberos 必须在域以及 Citrix Virtual Apps and Desktops 和 Citrix DaaS 上启用。为了增强安全性并确保使用 Kerberos，请禁用域上的任何非 Kerberos IWA 选项。

• Kerberos 登录不适用于配置为使用基本身份验证、始终使用指定的登录信息或始终提示输入密码的远程桌面服务连接。

• 警告

• 不正确地使用注册表编辑器可能会导致严重问题，可能需要重新安装操作系统。Citrix 无法保证可以解决因不正确使用注册表编辑器而导致的问题。请自行承担使用注册表编辑器的风险。在编辑注册表之前，请务必备份注册表。

• 使用 Kerberos 的域直通身份验证，用于智能卡

在继续之前，请参阅 Citrix Virtual Apps and Desktops 文档中 Secure your deployment 部分中提供的智能卡信息。

安装 Citrix Workspace app for Windows 时，请包含以下命令行选项：

• /includeSSON

  此选项在已加入域的计算机上安装单点登录组件，使您的工作区能够使用 IWA (Kerberos) 向 StoreFront 进行身份验证。单点登录组件存储智能卡 PIN，HDX 引擎在将智能卡硬件和凭据远程处理到 Citrix Virtual Apps and Desktops 和 Citrix DaaS 时会使用此 PIN。Citrix Virtual Apps and Desktops 和 Citrix DaaS 会自动从智能卡中选择证书并从 HDX 引擎获取 PIN。

  相关选项 ENABLE\_SSON 默认处于启用状态。

如果安全策略阻止您在设备上启用单点登录，请使用组策略对象管理模板配置 Citrix Workspace app。

1. 通过运行 gpedit.msc 打开 Citrix Workspace app 组策略对象管理模板。
2. 选择 Administrative Templates > Citrix Components > Citrix Workspace > User authentication > Local user name and password
3. 选择“启用直通身份验证”。

4. 重新启动 Citrix Workspace app 以使更改生效。

   

配置 StoreFront：

在 StoreFront 服务器上配置身份验证服务时，选择“域直通”选项。此设置可启用集成 Windows 身份验证。除非您还有使用智能卡连接到 StoreFront 的非域加入客户端，否则无需选择“智能卡”选项。

有关将智能卡与 StoreFront 结合使用的详细信息，请参阅 StoreFront 文档中的配置身份验证服务。

智能卡

适用于 Windows 的 Citrix Workspace 应用程序支持以下智能卡身份验证：

• 直通身份验证（单点登录） - 直通身份验证在用户登录 Citrix Workspace 应用程序时捕获智能卡凭据。Citrix Workspace 应用程序按如下方式使用捕获的凭据：

  • 域加入设备的用户使用智能卡凭据登录 Citrix Workspace 应用程序后，无需重新进行身份验证即可启动虚拟桌面和应用程序。
  • 在非域加入设备上运行的 Citrix Workspace 应用程序，如果使用智能卡凭据，则必须再次键入凭据才能启动桌面或应用程序。

  直通身份验证需要在 StoreFront 和 Citrix Workspace 应用程序上进行配置。

• 双模式身份验证 - 双模式身份验证为用户提供了使用智能卡或键入用户名和密码的选择。当您无法使用智能卡时，此功能非常有效。例如，登录证书已过期。必须为每个站点设置专用应用商店以允许双模式身份验证，并将 DisableCtrlAltDel 方法设置为 False 以允许智能卡。双模式身份验证需要 StoreFront 配置。

  通过使用双模式身份验证，StoreFront 管理员可以在 StoreFront 控制台中选择用户名和密码以及智能卡身份验证，从而允许用户对同一应用商店进行这两种身份验证。请参阅 StoreFront 文档。

• 多证书 - 单个智能卡可以使用多个证书，并且在同时使用多个智能卡时，也可以提供多个证书。

• 客户端证书身份验证 - 客户端证书身份验证需要 Citrix Gateway 和 StoreFront 配置。

  • 通过 Citrix Gateway 访问 StoreFront 时，移除智能卡后可能需要重新进行身份验证。
  • 当 Citrix Gateway SSL 配置设置为强制客户端证书身份验证时，操作会更安全。但是，强制客户端证书身份验证与双模式身份验证不兼容。

• 双跳会话 - 如果需要双跳，则会在 Citrix Workspace 应用程序与用户的虚拟桌面之间建立连接。Citrix Virtual Apps and Desktops 文档中介绍了支持双跳的部署。

• 启用智能卡的应用程序 - 启用智能卡的应用程序（例如 Microsoft Outlook 和 Microsoft Office）允许用户对虚拟应用程序和桌面会话中可用的文档进行数字签名或加密。

限制：

• 证书必须存储在智能卡上，而不是用户设备上。
• Citrix Workspace 应用程序不保存用户证书的选择，但在配置后会存储 PIN。PIN 仅缓存在非分页内存中，不存储在磁盘上。
• 插入智能卡时，Citrix Workspace 应用程序不会重新连接到会话。
• 配置为智能卡身份验证时，Citrix Workspace 应用程序不支持虚拟专用网络 (VPN) 单点登录或会话预启动。要将 VPN 与智能卡身份验证结合使用，请安装 Citrix Gateway Plug-in 并通过网页登录，在每个步骤中使用智能卡和 PIN 进行身份验证。对于智能卡用户，Citrix Gateway Plug-in 不支持对 StoreFront 进行直通身份验证。
• Citrix Workspace 应用程序更新程序与 citrix.com 和 Merchandising Server 的通信与 Citrix Gateway 上的智能卡身份验证不兼容。

警告

某些配置需要编辑注册表。不正确地使用注册表编辑器可能会导致需要重新安装操作系统的问题。Citrix 无法保证能够解决因不正确使用注册表编辑器而导致的问题。编辑注册表之前，请务必备份注册表。

启用智能卡身份验证的单点登录：

要配置适用于 Windows 的 Citrix Workspace 应用程序，请在安装过程中包含以下命令行选项：

• ENABLE\_SSON=Yes

  单点登录是直通身份验证的另一个术语。启用此设置可防止 Citrix Workspace 应用程序显示第二个 PIN 提示。

• 如果未安装单点登录组件，请将 SSONCheckEnabled 设置为 false。此项可防止 Citrix Workspace 应用程序身份验证管理器检查单点登录组件，从而允许 Citrix Workspace 应用程序向 StoreFront 进行身份验证。

  HKEY\_CURRENT\_USER\Software\Citrix\AuthManager\protocols\integratedwindows\ HKEY\_LOCAL\_MACHINE\Software\Citrix\AuthManager\protocols\integratedwindows\

要启用对 StoreFront 的智能卡身份验证而不是 Kerberos 身份验证，请使用以下命令行选项安装适用于 Windows 的 Citrix Workspace 应用程序：

• /includeSSON 安装单点登录（直通）身份验证。启用凭据缓存和基于域的直通身份验证的使用。

• 如果用户使用智能卡以外的方法登录端点以进行适用于 Windows 的 Citrix Workspace 应用程序身份验证（例如，用户名和密码），则命令行如下：

  /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

这可以防止凭据在登录时被捕获，并允许 Citrix Workspace 应用程序在登录时存储 PIN。

1. 运行 gpedit.msc 打开 Citrix Workspace 应用程序组策略对象管理模板。
2. 转至 管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证 > 本地用户名和密码。
3. 选择 启用直通身份验证。根据配置和安全设置，选择 允许所有 ICA 选项的直通身份验证 以使直通身份验证正常工作。

配置 StoreFront：

• 配置身份验证服务时，选中 智能卡 复选框。

有关将智能卡与 StoreFront 结合使用的详细信息，请参阅 StoreFront 文档中的配置身份验证服务。

为智能卡使用启用用户设备：

1. 将证书颁发机构根证书导入设备的密钥库。
2. 安装供应商的加密中间件。
3. 安装并配置 Citrix Workspace 应用程序。

更改证书选择方式：

默认情况下，如果存在多个有效证书，Citrix Workspace 应用程序会提示用户从列表中选择一个证书。或者，您可以将 Citrix Workspace 应用程序配置为使用默认证书（根据智能卡提供程序）或具有最新到期日期的证书。如果没有有效的登录证书，系统会通知用户，并提供使用备用登录方法的选项（如果可用）。

有效证书必须具备以下所有特征：

• 本地计算机上的当前时间在证书有效期内。
• 主题公钥 必须使用 RSA 算法，并且密钥长度为 1024 位、2048 位或 4096 位。
• 密钥用法必须包含数字签名。
• 主题备用名称必须包含用户主体名称 (UPN)。
• 增强型密钥用法必须包含智能卡登录和客户端身份验证，或所有密钥用法。
• 证书颁发者链中的某个证书颁发机构必须与服务器在 TLS 握手中发送的某个允许的专有名称 (DN) 匹配。

通过以下任一方法更改证书选择方式：

• 在 Citrix Workspace 应用程序命令行中，指定选项 AM\_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry }。

  Prompt 是默认值。对于 SmartCardDefault 或 LatestExpiry，如果多个证书符合条件，Citrix Workspace 应用程序会提示用户选择一个证书。

• 将以下键值添加到注册表项 HKEY_CURRENT_USER 或 HKEY_LOCAL_MACHINE\Software[Wow6432Node]Citrix\AuthManager: CertificateSelectionMode={ Prompt

  SmartCardDefault

  LatestExpiry }。

HKEY_CURRENT_USER 中定义的值优先于 HKEY_LOCAL_MACHINE 中的值，以便更好地帮助用户选择证书。

使用 CSP PIN 提示：

默认情况下，向用户显示的 PIN 提示由适用于 Windows 的 Citrix Workspace 应用程序提供，而不是由智能卡加密服务提供程序 (CSP) 提供。Citrix Workspace 应用程序会在需要时提示用户输入 PIN，然后将 PIN 传递给智能卡 CSP。如果您的站点或智能卡具有更严格的安全要求，例如不允许按进程或按会话缓存 PIN，您可以配置 Citrix Workspace 应用程序以改用 CSP 组件来管理 PIN 输入，包括 PIN 提示。

通过以下任一方法更改 PIN 输入的处理方式：

• 在 Citrix Workspace 应用程序命令行中，指定选项 AM\_SMARTCARDPINENTRY=CSP。
• 将以下键值添加到注册表项 HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager: SmartCardPINEntry=CSP。

智能卡支持和移除更改

连接到 XenApp 6.5 PNAgent 站点时，请考虑以下事项：

• PNAgent 站点登录支持智能卡登录。
• PNAgent 站点上的智能卡移除策略已更改：

移除智能卡时，Citrix Virtual Apps 会话将注销 – 如果 PNAgent 站点配置为使用智能卡作为身份验证方法，则必须在适用于 Windows 的 Citrix Workspace 应用程序上配置相应的策略以强制注销 Citrix Virtual Apps 会话。在 XenApp PNAgent 站点上启用智能卡身份验证漫游，并启用智能卡移除策略，该策略将从 Citrix Workspace 应用程序会话中注销 Citrix Virtual Apps。用户仍登录到 Citrix Workspace 应用程序会话。

限制：

使用智能卡身份验证登录 PNAgent 站点时，用户名显示为 已登录。