使用 Azure Active Directory 作为身份提供程序将域直通到 Citrix Workspace
您可以使用 Azure Active Directory (AAD) 作为身份提供程序,结合域加入、混合加入和 Azure AD 注册的端点/VM,实施到 Citrix Workspace 的单点登录 (SSO)。
-
通过此配置,您还可以使用 Windows Hello,通过 AAD 注册的端点 SSO 到 Citrix Workspace。
- 您可以使用 Windows Hello 向 Citrix Workspace 应用程序进行身份验证。
- 结合 Citrix Workspace 应用程序的基于 FIDO2 的身份验证。
- 从 Microsoft AAD 加入的计算机(AAD 作为 IdP)单点登录到 Citrix Workspace 应用程序,以及使用 AAD 的条件访问。
要实现对虚拟应用程序和桌面的 SSO,您可以部署 FAS 或按如下方式配置 Citrix Workspace 应用程序。
注意:
仅在使用 Windows Hello 时,您才能实现对 Citrix Workspace 资源的 SSO。但是,在访问已发布的虚拟应用程序和桌面时,系统会提示您输入用户名和密码。为解决此提示,您可以部署 FAS 并 SSO 到虚拟应用程序和桌面。
先决条件:
- 将 Azure Active Directory 连接到 Citrix Cloud。有关详细信息,请参阅 Citrix Cloud 文档中的将 Azure Active Directory 连接到 Citrix Cloud。
-
- 启用 Azure AD 身份验证以访问工作区。有关详细信息,请参阅 Citrix Cloud 文档中的为工作区启用 Azure AD 身份验证。
-
要实现到 Citrix Workspace 的单点登录:
- 使用 includeSSON 配置 Citrix Workspace 应用程序。
- 在 Citrix Cloud 中禁用
prompt=login属性。 - 使用 Azure Active Directory Connect 配置 Azure Active Directory 直通。
配置 Citrix Workspace 应用程序以支持 SSO
先决条件:
- Citrix Workspace 版本 2109 或更高版本。
- > **注意:**
- >
- > 如果您正在使用 FAS 进行 SSO,则不需要 Citrix Workspace 配置。
-
从管理命令行安装 Citrix Workspace 应用程序,并使用选项
includeSSON:[[CODE_BLOCK_0]] - 从 Windows 客户端注销并登录以启动 SSON 服务器。
-
单击 “计算机配置” > “管理模板” > “Citrix 组件” > “Citrix Workspace” > “用户身份验证” 以更改 Citrix Workspace GPO 以允许本地用户名和密码。
注意:
这些策略可以通过 Active Directory 推送到客户端设备。仅当从 Web 浏览器访问 Citrix Workspace 时才需要此步骤。
-
按照屏幕截图启用设置。
-
通过 GPO 添加以下受信任站点:
https://aadg.windows.net.nsatc.nethttps://autologon.microsoftazuread-sso.com-
https://xxxtenantxxx.cloud.com: 工作区 URL
注意:
当
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzle中的注册表项 AllowSSOForEdgeWebview 设置为 false 时,AAD 的单点登录将被禁用。
在 Citrix Cloud 中禁用 prompt=login 参数
默认情况下,Citrix Workspace 启用了 prompt=login,即使在用户选择保持登录状态或设备已加入 Azure AD 的情况下,这也会强制进行身份验证。
您可以在 Citrix Cloud 帐户中禁用 prompt=login。导航到 Workspace Configuration\Customize\Preferences-Federated Identity Provider Sessions 并禁用切换开关。
有关详细信息,请参阅知识中心文章 CTX253779。
注意:
在已加入 AAD 或混合加入 AAD 的设备上,如果 AAD 用作 Workspace 的 IdP,则 Citrix Workspace 应用程序不会提示输入凭据。用户可以使用工作或学校帐户自动登录。
要允许用户使用其他帐户登录,请将以下注册表项设置为 false。
在
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzle或Computer\HKEY_CURRENT_USER\SOFTWARE\Citrix\Dazzle下创建并添加一个名为 AllowSSOForEdgeWebview 的 REG_SZ 注册表字符串,并将其值设置为 False。或者,如果用户从 Citrix Workspace 应用程序注销,则可以在下次登录时使用其他帐户登录。
使用 Azure Active Directory Connect 配置 Azure Active Directory 直通
- 如果您是首次安装 Azure Active Directory Connect,请在用户登录页面上,选择直通身份验证作为登录方法。有关详细信息,请参阅 Microsoft 文档中的Azure Active Directory 直通身份验证:快速入门。
-
如果 Microsoft Azure Active Directory Connect 已存在:
- 选择更改用户登录任务,然后单击下一步。
- 选择直通身份验证作为登录方法。
注意:
如果客户端设备已加入 Azure AD 或混合加入,则可以跳过此步骤。如果设备已加入 AD,则域直通身份验证通过 Kerberos 身份验证工作。