域直通访问矩阵
如果您正在使用 Citrix Workspace 并希望实现域直通,则以下子部分中的表格描述了不同的场景,以及您是否可以在每个场景中实现域直通。
-
表格中的不同标题元素及其附加信息如下:
- 端点加入到:指示端点加入的目录。该目录提供对本地资源的访问控制。这可以是本地 Active Directory (AD)、Azure Active Directory (AAD) 或混合模式。
- 身份提供程序 (IdP):用于向 Citrix Workspace 提供身份验证服务的实体。它允许您连接到资源。
- 联合身份验证服务 (FAS):有关详细信息,请参阅使用 Citrix 联合身份验证服务为工作区启用单点登录。
- 虚拟投递代理 (VDA):有关详细信息,请参阅安装 VDA。
- VDA 加入到:指示 VDA 设备加入的目录。有关详细信息,请参阅身份和访问管理。
- Citrix Workspace/VDA 的单点登录 (SSO):是或否值指示是否支持对 Citrix Workspace 或 VDA 进行域直通。
- Citrix Workspace 应用程序:要实现单点登录,请参阅在域直通身份验证中全新安装期间配置单点登录或增强型域直通单点登录。
注意:
对于以下某些场景,您可能需要最新版本的 Citrix Workspace 应用程序才能获得域直通支持。
Citrix Workspace 的域直通支持
| 端点加入到 | IdP | VDA 加入到 | 对 Citrix Workspace 的 SSO | 对 VDA 的 SSO | 文档 |
|---|---|---|---|---|---|
| AD | 本地 Citrix Gateway | AD | 是 | Citrix Workspace 应用程序/FAS | 使用本地 Citrix Gateway 作为身份提供程序对 Citrix Workspace 进行域直通。 |
| AD | 自适应身份验证 | AD | 是 | Citrix Workspace 应用程序/FAS | 要配置自适应身份验证,请参阅自适应身份验证服务并按照使用本地 Citrix Gateway 作为身份提供程序对 Citrix Workspace 进行域直通中的说明进行操作。 |
| AD | 联合到另一个 IdP (AAD/Okta) 的 Citrix Gateway | AD | 是 | Citrix Workspace 应用程序/FAS | 使用配置 SAML 单点登录配置 IdP,并参考所用 IdP 的文档来配置域直通。 |
| AD | Okta | AD | 是 | Citrix Workspace 应用程序/FAS | 使用 Okta 作为身份提供程序对 Citrix Workspace 进行域直通。 |
| AD/混合加入 | AAD (带 AAD Connect 的 AD) | AD | 是 | Citrix Workspace 应用程序/FAS ** | 使用 Azure Active Directory 作为身份提供程序对 Citrix Workspace 进行域直通。 |
| AD | 任何基于 SAML 的 IdP (例如 ADFS) | AD | 是 | Citrix Workspace 应用程序/FAS | 请参阅将 SAML 作为身份提供程序连接到 Citrix Cloud,并参考用于配置域直通的 IdP 文档。 |
| AD | AD | AD | 否 | 不支持 | 不适用 |
| AD | AD+OTP | AD | 否 | 不支持 | 不适用 |
| AD | AAD | AAD | 否 | 不支持 | 不适用 |
| AAD | 不带本地 AD 的 AAD | AD | 是 | FAS | Citrix Workspace 使用 Microsoft Edge WebView,它允许对工作区进行 SSO。通过 FAS 支持对 VDA 进行 SSO。有关详细信息,请参阅使用 Citrix 联合身份验证服务为工作区启用单点登录。 |
| AAD | AAD | AAD | 是 | 用户必须输入凭据。 | Citrix Workspace 使用 Microsoft Edge WebView,它允许对工作区进行 SSO。不支持对 VDA 进行 SSO。 |
| 未加入域 | 支持无密码身份验证的 IdP - 链接 | AD | 否 | FAS | Citrix Workspace 使用 Microsoft Edge WebView,它允许对工作区进行 SSO。通过 FAS 支持对 VDA 进行 SSO。有关详细信息,请参阅其他身份验证到 Citrix Workspace 的方式。 |
注意:
- 客户端必须能够访问 AD 才能使 Kerberos 正常工作。
- Citrix 单点登录 (SSONSVR.exe) 仅适用于客户端上的用户名或密码。如果用户使用 Windows Hello 登录,则需要 FAS 或使用增强型域直通单点登录。
- 如果启用了 LLT 或配置了最终用户接受策略,则云中的身份验证可能无法完全静默。
- 建议配置 FAS,因为它适用于非 Windows 平台。
从适用于 Windows 的 Citrix Workspace™ 应用程序版本 2503 开始,系统默认以休眠模式安装 SSON。您可以使用组策略对象 (GPO) 策略在安装后启用 SSON。要启用,请导航到用户身份验证 > 本地用户名和密码,然后选中启用直通身份验证复选框。
注意:
更新 GPO 策略后,您必须重新启动系统才能使 SSON 设置生效。
StoreFront 的域直通支持
| 端点加入到 | IdP | VDA 加入到 | 对 Citrix Workspace 的 SSO | 对 VDA 的 SSO | 文档 |
|---|---|---|---|---|---|
| AD | StoreFront | AD | 是 | Citrix Workspace 应用程序/FAS | 域直通身份验证 |
| AD/混合加入/Windows Hello 企业版 | StoreFront | AD | 是(1) | Citrix Workspace 应用程序/FAS(2) | 域直通身份验证和使用 Citrix 联合身份验证服务为工作区启用单点登录。 |
| AD | Citrix Gateway - 高级身份验证 | AD | 是 | Citrix Workspace 应用程序/FAS(3)) | |
| AD | Citrix Gateway - 基本身份验证 | AD | 是 | Citrix Workspace 应用程序(4) | 域直通身份验证。 |
注意:
如果您尚未安装单点登录组件,请使用增强型域直通单点登录或在注册表编辑器中导航到以下路径并将
SSONCheckEnabled字符串设置为False。
HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\此项可防止 Citrix Workspace 应用程序身份验证管理器检查单点登录组件,并允许 Citrix Workspace 应用程序向 StoreFront 进行身份验证。
- 如果您使用 Windows Hello 登录,则需要 FAS 和注册表配置才能启用 SSO。
- 客户端需要能够访问 AD,因为它使用 Kerberos。
- 即使客户端无法访问 AD 也能正常工作。不使用 Kerberos。
已复制!
失败!