配置域直通身份验证

Single Sign-On 允许您向域进行身份验证,并使用 Citrix Virtual Apps and Desktops,而不需要重新进行身份验证。

当您登录 Citrix Workspace 应用程序时,您的凭据将随枚举的应用程序和桌面以及“开始”菜单设置一起传递到 StoreFront。配置 Single Sign-On 后,您可以登录 Citrix Workspace 应用程序并启动 Citrix Virtual Apps and Desktops 会话,而不需要重新键入您的凭据。

可以在安装适用于 Windows 的 Citrix Workspace 应用程序时,使用以下选项之一配置 Single Sign-On:

  • 命令行接口
  • 图形用户界面

必备条件

  1. 使用 Internet Explorer 将 StoreFront 服务器添加到可信站点列表。为此,请执行以下操作:
    1. 启动 Internet Explorer。
    2. 选择工具 > Internet 选项 > 安全 > 本地 Internet,然后单击站点。此时将显示本地 Intranet 窗口。
    3. 选择高级
    4. 添加使用恰当的 HTTP 或 HTTPS 协议的 StoreFront 或 Web Interface FQDN 的 URL。
    5. 单击“应用”和“确定”。
  2. 在 Internet Explorer 中修改用户身份验证设置。为此,请执行以下操作:
    1. 启动 Internet Explorer。
    2. Internet 选项 > 安全选项卡中,单击受信任的站点
    3. 单击自定义级别。此时将显示安全设置 – 受信任的站点区域窗口。
    4. 用户身份验证窗格中,选择使用当前用户名和密码自动登录

    alt_text

使用命令行接口配置 Single Sign-On

使用 /includeSSON 开关安装适用于 Windows 的 Citrix Workspace 应用程序并重新启动以使所做的更改生效。

注意

如果安装适用于 Windows 的 Citrix Workspace 应用程序时未安装 Single Sign-On 组件,则不支持使用 /includeSSON 开关升级到最新版本的 Citrix Workspace 应用程序。

使用图形用户界面配置 Single Sign-On

  1. 找到 Citrix Workspace 应用程序安装文件 (CitrixWorkspaceApp.exe)。
  2. 双击 CitrixWorkspaceApp.exe 启动安装程序。
  3. 启用单点登录安装向导中,选择启用单点登录选项。

在适用于 Web 的 Workspace 中配置 Single Sign-On

可以使用组策略对象管理模板在适用于 Web 的 Workspace 上配置 Single Sign-On。

  1. 通过运行 gpedit.msc 打开适用于 Web 的 Workspace GPO 管理模板。
  2. 计算机配置节点下,转至管理模板 > Citrix 组件 > 适用于 Windows 的 Workspace > 用户身份验证
  3. 选择本地用户名密码策略并将其设置为已启用
  4. 单击启用直通身份验证。此选项允许适用于 Web 的 Workspace 使用您的登录凭据在远程服务器上进行身份验证。
  5. 单击允许对所有 ICA 连接执行直通身份验证。此选项将跳过任何身份验证限制,并允许在所有连接上传递凭据。
  6. 单击应用确定
  7. 重新启动适用于 Web 的 Workspace 以使所做的更改生效。

通过启动任务管理器来验证是否已启用 Single Sign-on,并检查 ssonsvr.exe 进程是否正在运行。

在 StoreFront 和 Web Interface 上配置 Single Sign-On

StoreFront 配置

在 StoreFront 服务器上打开 Citrix Studio,然后选择身份验证 -> 添加/删除身份验证方法。选择域直通

alt_text

使用配置检查器验证 Single Sign-On 配置

可以使用配置检查器运行测试,以确保 Single Sign-On 正确配置。该测试在 Single Sign-On 的不同检查点运行,并显示配置结果。

  1. 右键单击通知区域中的 Citrix Workspace 应用程序图标,然后单击高级首选项。 此时将显示“高级首选项”对话框。
  2. 单击配置检查器。 此时将显示 Citrix 配置检查器窗口。

    alt_text

  3. 选择窗格中选择 SSONChecker
  4. 单击运行。将显示一个进度条,显示测试的状态。

配置检查器窗口包含以下列:

  1. 状态: 显示特定检查点的测试结果。
    • 绿色复选标记表明该特定检查点配置正确。
    • 蓝色的“I”指示有关检查点的信息。
    • • 红色的“X”指示该特定检查点配置不正确。
  2. 提供程序: 显示在其上运行测试的模块的名称。在本案例中,为 Single Sign-On。
  3. 套件: 指示测试的类别。例如,安装。
  4. 测试: 指示运行的具体测试的名称。
  5. 详细信息: 提供有关测试的其他信息,无论通过还是未通过。

用户获得有关每个检查点和相应结果的详细信息。

需要执行以下测试:

  1. 已随 Single Sign-On 安装
  2. 登录凭据捕获
  3. 网络提供程序注册 只有将“Citrix Single Sign-On”设置为网络提供程序列表中的第一个时,针对网络提供程序注册的测试结果才会显示一个绿色复选标记。如果 Citrix Single Sign-On 显示在列表中的任何其他位置,则针对网络提供程序注册的测试结果会显示一个蓝色的“I”,并包含其他信息。
  4. Single Sign-On 进程正在运行
  5. 组策略 默认情况下,此策略配置在客户端上。
  6. Internet 的安全区域设置 确保将 Store/XenApp Service URL 添加到“Internet 选项”中的安全区域列表中。如果通过组策略配置安全区域,策略中出现任何更改时,都需要重新打开高级首选项窗口才能使所做的更改生效,以及显示测试的正确状态。

  7. 适用于 Web Interface/StoreFront 的身份验证方法。

注意

  • 如果要访问适用于 Web 的 Workspace,则测试结果不适用。
  • 如果 Citrix Workspace 应用程序配置有多个应用商店,则会在所有已配置的应用商店上运行身份验证方法测试。
  • 可以将测试结果保存为报告。默认报告格式为 .txt。

有关配置域直通身份验证的信息,请参阅知识中心文章 CTX133982

隐藏高级首选项窗口中的配置检查器选项

  1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序组策略对象管理模板。
  2. 转至 Citrix 组件 > 适用于 Windows 的 Workspace > 自助服务 > DisableConfigChecker
  3. 单击已启用将隐藏“高级首选项”窗口中的“配置检查器”选项。
  4. 单击应用确定
  5. 运行 gpupdate /force 命令。

限制

配置检查器不包括 Citrix Virtual Apps and Desktops 服务器上“信任发送到 XML Service 的请求”配置的检查点。