产品文档
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
查看 PDF

域直通(单点登录)身份验证

April 16, 2026
投稿者: 
C C

域直通(单点登录或 SSON),也称为旧版域直通 (SSON),允许您对域进行身份验证,并使用 Citrix Virtual Apps and Desktops™ 和 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops service),而无需再次重新进行身份验证。

注意:

  • 必须启用组策略对象模板中的启用系统 MPR 通知策略,才能在 Windows 11 上支持域直通(单点登录)身份验证功能。默认情况下,此策略在 Windows 11 24H2 上处于禁用状态。因此,如果升级到 Windows 11 24H2,则必须启用启用系统 MPR 通知策略。

  • 此功能适用于 Citrix Workspace app for Windows 2012 及更高版本。

  • 您不能同时使用旧版域直通 (SSON) 身份验证和增强型域直通进行身份验证。

启用后,域直通(单点登录)会缓存您的凭据,以便您可以连接到其他 Citrix® 应用程序,而无需每次都登录。请确保您的设备上仅运行符合公司策略的软件,以降低凭据泄露的风险。

  • 当您登录到 Citrix Workspace app 时,您的凭据会连同应用程序和桌面以及“开始”菜单设置一起传递到 StoreFront。配置单点登录后,您可以登录到 Citrix Workspace app 并启动虚拟应用程序和桌面会话,而无需重新键入凭据。

所有 Web 浏览器都要求您使用组策略对象 (GPO) 管理模板配置单点登录。有关使用组策略对象 (GPO) 管理模板配置单点登录的详细信息,请参阅使用 Citrix Gateway 配置单点登录

您可以使用以下任一选项,在全新安装或升级设置中配置单点登录:

  • 命令行界面

  • GUI

  • 注意:

    在本文档中,术语“域直通”、“单点登录”和“SSON”可以互换使用。

限制:

使用用户凭据的域直通具有以下限制:

  • 不支持使用 Windows Hello 或 FIDO2 等现代身份验证方法的无密码身份验证。单点登录 (SSO) 需要一个名为联合身份验证服务 (FAS) 的附加组件。
  • 安装或升级启用了 SSON 的 Citrix Workspace app 需要重新启动设备。
  • 要求在 Windows 11 计算机上启用多提供程序路由器 (MPR) 通知。
  • 必须位于网络提供程序列表的顶部。

要克服上述限制,请使用增强型域直通单点登录 (Enhanced SSO)

在全新安装期间配置单点登录

要在全新安装期间配置单点登录,请执行以下步骤:

  1. 在 StoreFront 上进行配置。
  2. 在 Delivery Controller 上配置 XML 信任服务。
  3. 修改 Internet Explorer 设置。
  4. 安装启用了单点登录的 Citrix Workspace app。

在 StoreFront 上配置单点登录

单点登录允许您对域进行身份验证,并使用来自同一域的 Citrix Virtual Apps and Desktops 和 Citrix DaaS,而无需对每个应用程序或桌面重新进行身份验证。

当您使用 Storebrowse 实用程序添加应用商店时,您的凭据会连同为您枚举的应用程序和桌面以及“开始”菜单设置一起通过 Citrix Gateway 服务器。配置单点登录后,您可以添加应用商店、枚举应用程序和桌面,并启动所需的资源,而无需多次键入凭据。

根据 Citrix Virtual Apps and Desktops 部署,可以使用管理控制台在 StoreFront 上配置单点登录身份验证。

下表显示了不同的用例及其各自的配置:

用例 配置详细信息 附加信息
在 StoreFront 上配置 SSON 启动 Citrix Studio,转至应用商店 > 管理身份验证方法 - 应用商店 > 启用域直通 如果 Citrix Workspace app 未配置单点登录,则在可用时,它会自动将身份验证方法从域直通切换到用户名和密码
需要 Web 版 Workspace 时 启动应用商店 > Web 版 Workspace 站点 > 管理身份验证方法 - 应用商店 > 启用域直通 如果 Citrix Workspace app 未配置单点登录,则在可用时,它会自动将身份验证方法从域直通切换到用户名和密码

使用 Citrix Gateway 配置单点登录

您可以使用组策略对象管理模板启用 Citrix Gateway 的单点登录。但是,您必须确保已在 Citrix Gateway 上启用基本身份验证和单因素(具有 1 个因素的 nFactor)身份验证。

  1. 通过运行 gpedit.msc 打开 Citrix Workspace app GPO 管理模板。
  2. 计算机配置节点下,转至管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证,然后选择适用于 Citrix Gateway 的单点登录策略。
  3. 选择已启用
  4. 单击应用确定
  5. 重新启动 Citrix Workspace app 以使更改生效。

在 Delivery Controller 上配置 XML 信任服务

在 Citrix Virtual Apps and Desktops 和 Citrix DaaS™ 上,以管理员身份在 Delivery Controller 上运行以下 PowerShell 命令:

asnp Citrix* ; Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

修改 Internet Explorer 设置

  1. 使用 Internet Explorer 将 StoreFront 服务器添加到受信任站点列表。添加方法如下:
    1. 从“控制面板”启动 Internet 选项

    2. 单击安全 > 本地 Intranet,然后单击站点

      本地 Intranet”窗口随即出现。

    3. 选择高级
    4. 添加 StoreFront 完全限定域名 (FQDN) 的 URL,并使用相应的 HTTP 或 HTTPS 协议。
    5. 单击应用确定
  2. 修改 Internet Explorer 中的用户身份验证设置。修改方法如下:
    1. 从“控制面板”启动 Internet 选项
    2. 单击安全选项卡 > 本地 Intranet
    3. 单击自定义级别。“安全设置 – 本地 Intranet 区域”窗口随即出现。

    4. 用户身份验证窗格中,选择使用当前用户名和密码自动登录

      用户身份验证

    5. 单击应用确定

使用命令行界面配置单点登录

安装 Citrix Workspace 应用程序时使用 /includeSSON 开关,然后重新启动 Citrix Workspace 应用程序以使更改生效。

使用 GUI 配置单点登录

  1. 找到 Citrix Workspace 应用程序安装文件 (CitrixWorkspaceApp.exe)。
  2. 双击 CitrixWorkspaceApp.exe 以启动安装程序。
  3. 在“启用单点登录安装”向导中,选择启用单点登录选项。
  4. 单击下一步并按照提示操作以完成安装。

您现在可以使用 Citrix Workspace 应用程序登录到现有应用商店(或配置新应用商店),而无需输入用户凭据。

  • 在 workspace for web 上配置单点登录

  • 您可以使用组策略对象管理模板在 workspace for web 上配置单点登录。
  1. 通过运行 gpedit.msc 打开 workspace for web GPO 管理模板。
  2. 计算机配置节点下,转至管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证
  3. 选择本地用户名和密码策略并将其设置为已启用
  4. 单击启用直通身份验证。此选项允许 workspace for web 使用您的登录凭据在远程服务器上进行身份验证。
  5. 单击允许所有 ICA® 连接的直通身份验证。此选项绕过任何身份验证限制,并允许凭据在所有连接上直通。
    1. 单击应用确定
  1. 重新启动 workspace for web 以使更改生效。

通过启动任务管理器并检查 ssonsvr.exe 进程是否正在运行来验证单点登录是否已启用。

使用 Active Directory 配置单点登录

完成以下步骤,使用 Active Directory 组策略配置 Citrix Workspace 应用程序以进行直通身份验证。在此场景中,您无需使用企业软件部署工具(例如 Microsoft System Center Configuration Manager)即可实现单点登录身份验证。

  1. 下载 Citrix Workspace 应用程序安装文件 (CitrixWorkspaceApp.exe) 并将其放置在合适的网络共享上。它必须可供您安装 Citrix Workspace 应用程序的目标计算机访问。

  2. 适用于 Windows 的 Citrix Workspace 应用程序下载页面获取 CheckAndDeployCitrixReceiverPerMachineStartupScript.bat 模板。

  3. 编辑内容以反映 CitrixWorkspaceApp.exe 的位置和版本。

  4. 在“Active Directory 组策略管理”控制台中,键入 CheckAndDeployCitrixReceiverPerMachineStartupScript.bat 作为启动脚本。有关部署启动脚本的详细信息,请参阅 Active Directory 部分。

  5. 计算机配置节点中,转至管理模板 > 添加/删除模板以添加 receiver.adml 文件。

  6. 添加 receiver.adml 模板后,转至计算机配置 > 管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证。有关添加模板文件的详细信息,请参阅 组策略对象管理模板

  7. 选择本地用户名和密码策略并将其设置为已启用

  8. 选择启用直通身份验证,然后单击应用

  9. 重新启动计算机以使更改生效。

在 StoreFront 上配置单点登录

StoreFront 配置

  1. 在 StoreFront 服务器上启动 Citrix Studio,然后选择“应用商店”>“管理身份验证方法 - 应用商店”。
  2. 选择“域直通”。

alt_text

使用 Kerberos 进行域直通(单点登录)身份验证

本主题仅适用于 Citrix Workspace 应用程序 for Windows 与 StoreFront、Citrix Virtual Apps and Desktops 和 Citrix DaaS 之间的连接。

Citrix Workspace 应用程序支持 Kerberos 进行域直通(单点登录或 SSON)身份验证,适用于使用智能卡的部署。Kerberos 是集成 Windows 身份验证 (IWA) 中包含的身份验证方法之一。

启用后,Kerberos 无需密码即可对 Citrix Workspace 应用程序进行身份验证。因此,可以防止试图获取密码的特洛伊木马式攻击用户设备。用户可以使用任何身份验证方法登录并访问已发布的资源,例如指纹识别器等生物识别身份验证器。

当您使用智能卡登录到 Citrix Workspace 应用程序、StoreFront、Citrix Virtual Apps and Desktops 和 Citrix DaaS(配置为智能卡身份验证)时,Citrix Workspace 应用程序将执行以下操作:

  1. 在单点登录期间捕获智能卡 PIN。

  2. 使用 IWA (Kerberos) 对用户向 StoreFront 进行身份验证。然后,StoreFront 会向您的 Citrix Workspace 应用程序提供有关可用 Citrix Virtual Apps and Desktops 和 Citrix DaaS 的信息。

    注意:

    启用 Kerberos 以避免额外的 PIN 提示。如果未使用 Kerberos 身份验证,Citrix Workspace 应用程序将使用智能卡凭据向 StoreFront 进行身份验证。

  3. HDX 引擎(以前称为 ICA 客户端)将智能卡 PIN 传递给 VDA,以将用户登录到 Citrix Workspace 应用程序会话。然后,Citrix Virtual Apps and Desktops 和 Citrix DaaS 交付请求的资源。

要将 Kerberos 身份验证与 Citrix Workspace 应用程序结合使用,请检查 Kerberos 配置是否符合以下要求。

  • Kerberos 仅在 Citrix Workspace 应用程序与属于相同或受信任的 Windows Server 域的服务器之间工作。服务器受信任用于委派,此选项可通过 Active Directory 用户和计算机管理工具进行配置。
  • Kerberos 必须在域以及 Citrix Virtual Apps and Desktops 和 Citrix DaaS 上同时启用。为了增强安全性并确保使用 Kerberos,请禁用域上任何非 Kerberos 的 IWA 选项。
  • Kerberos 登录不适用于配置为使用基本身份验证、始终使用指定登录信息或始终提示输入密码的远程桌面服务连接。

警告:

不正确地使用注册表编辑器可能会导致严重问题,可能需要重新安装操作系统。Citrix 无法保证能够解决因不正确使用注册表编辑器而导致的问题。请自行承担使用注册表编辑器的风险。编辑注册表之前,请务必备份注册表。

使用 Kerberos 进行域直通(单点登录)身份验证以用于智能卡

在继续之前,请参阅 Citrix Virtual Apps and Desktops 文档中的保护您的部署部分。

安装适用于 Windows 的 Citrix Workspace 应用程序时,请包含以下命令行选项:

  • /includeSSON

    此选项在已加入域的计算机上安装单点登录组件,使您的工作区能够使用 IWA (Kerberos) 向 StoreFront 进行身份验证。单点登录组件存储智能卡 PIN,HDX 引擎在将智能卡硬件和凭据远程传输到 Citrix Virtual Apps and Desktops 和 Citrix DaaS 时会使用此 PIN。Citrix Virtual Apps and Desktops 和 Citrix DaaS 会自动从智能卡中选择证书并从 HDX 引擎获取 PIN。

    相关选项 ENABLE_SSON 默认处于启用状态。

如果安全策略阻止您在设备上启用单点登录,请使用组策略对象管理模板配置 Citrix Workspace 应用程序。

  1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序组策略对象管理模板。
  2. 选择“管理模板”>“Citrix 组件”>“Citrix Workspace”>“用户身份验证”>“本地用户名和密码”。
  3. 选择“启用直通身份验证”。

  4. 重新启动 Citrix Workspace 应用程序以使更改生效。

    Enable pass-through authentication

配置 StoreFront:

在 StoreFront 服务器上配置身份验证服务时,请选择“域直通”选项。该设置会启用集成 Windows 身份验证。除非您还有未加入域的客户端使用智能卡连接到 StoreFront,否则无需选择“智能卡”选项。

有关将智能卡与 StoreFront 结合使用的更多信息,请参阅 StoreFront 文档中的配置身份验证服务

域直通(单点登录)身份验证
April 16, 2026
投稿者: 
C C
April 16, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.