Citrix Workspace app for Windows

配置 Citrix Workspace 应用程序的单点登录

April 16, 2026

投稿者:

C C

使用 Azure Active Directory 进行单点登录

本节介绍如何使用 Azure Active Directory (AAD) 作为身份提供程序，在混合或 AAD 注册的端点上，为域加入的工作负载实施单点登录 (SSO)。通过此配置，您可以在注册到 AAD 的端点上使用 Windows Hello 或 FIDO2 对 Workspace 进行身份验证。

注意：

如果您使用 Windows Hello 作为独立身份验证，则可以实现对 Citrix Workspace 应用程序的单点登录。但是，在访问已发布的虚拟应用程序或桌面时，系统会提示您输入用户名和密码。作为一种变通方法，请考虑实施联合身份验证服务 (FAS)。

先决条件
与 Citrix Cloud 的活动 Azure Active Directory 连接。有关详细信息，请参阅将 Azure Active Directory 连接到 Citrix Cloud。
- Azure Active Directory Workspace 身份验证。有关详细信息，请参阅为 Workspace 启用 Azure AD 身份验证。
- 验证您是否已配置 Azure AD Connect。有关详细信息，请参阅使用快速设置开始使用 Azure AD Connect。
- 在 Azure AD Connect 上激活直通身份验证。此外，验证单点登录和直通选项是否在 Azure 门户上正常工作。有关详细信息，请参阅Azure Active Directory 直通身份验证：快速入门。

配置

执行以下步骤以在您的设备上配置 SSO：

    -  1.  使用带有 `includeSSON` 选项的 Windows 命令行安装 Citrix Workspace 应用程序：

    -  [[CODE_BLOCK_0]]

    -  1.  重新启动您的设备。

从适用于 Windows 版本 2503 的 Citrix Workspace™ 应用程序开始，系统默认以休眠模式安装 SSON。您可以在安装后使用组策略对象 (GPO) 策略启用 SSON。要启用，请导航到**用户身份验证 > 本地用户名和密码**，然后选中**启用直通身份验证**复选框。

> **注意：**
>
> 更新 GPO 策略后，您必须重新启动系统，以使 SSON 设置生效。

1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序组策略对象管理模板。
1. 转到管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证 > 本地用户名和密码。

选择启用直通身份验证。根据配置和安全设置，选择允许所有 ICA® 的直通身份验证选项以使直通身份验证正常工作。
修改 Internet Explorer 中的用户身份验证设置。要修改设置：
- 从“控制面板”打开Internet 属性。
- 导航到常规属性 > 本地 Intranet，然后单击站点。
- 在本地 Intranet窗口中，单击高级，添加受信任的站点，添加以下受信任的站点，然后单击关闭：
  - https://aadg.windows.net.nsatc.net
  - https://autologon.microsoftazuread-sso.com
  - 您的租户名称，例如：https://xxxtenantxxx.cloud.com
通过禁用租户中的 prompt=login 属性来禁用额外的身份验证提示。有关详细信息，请参阅使用联合身份验证提供程序时，Workspace URL 上提示用户输入其他凭据。您可以联系 Citrix 技术支持以禁用租户中的 prompt=login 属性，从而成功配置单点登录。
在 Citrix Workspace 应用程序客户端上启用域直通身份验证。有关详细信息，请参阅域直通身份验证。
重新启动 Citrix Workspace 应用程序以使更改生效。

使用 Okta 和联合身份验证服务进行单点登录

本节介绍如何使用 Okta 作为身份提供程序，通过域加入的设备和联合身份验证服务 (FAS) 实施单点登录 (SSO)。通过此配置，您可以使用 Okta 对 Workspace 进行身份验证，以启用单点登录并防止出现第二次登录提示。要使此身份验证机制正常工作，您需要将 Citrix 联合身份验证服务与 Citrix Cloud 结合使用。有关详细信息，请参阅将 Citrix 联合身份验证服务连接到 Citrix Cloud。

先决条件

Cloud Connector。有关安装 Cloud Connector 的详细信息，请参阅Cloud Connector 安装。
Okta 代理。有关安装 Okta 代理的详细信息，请参阅安装 Okta Active Directory 代理。此外，您可以配置 Okta IWA Web 代理以从 Windows 域加入的设备登录。有关详细信息，请参阅安装和配置用于桌面单点登录的 Okta IWA Web 代理
与 Citrix Cloud 的活动 Azure Active Directory 连接。有关详细信息，请参阅将 Azure Active Directory 连接到 Citrix Cloud。
联合身份验证服务。有关详细信息，请参阅安装联合身份验证服务。

配置

执行以下步骤以在您的设备上配置 SSO：

将 Citrix Cloud™ 连接到您的 Okta 组织：

下载并安装 Okta Active Directory 代理。有关详细信息，请参阅安装 Okta Active Directory 代理。
登录 Citrix Cloud，网址为 https://citrix.cloud.com。
从 Citrix Cloud 菜单中，选择身份和访问管理。
找到 Okta，然后从省略号菜单中选择连接。
在Okta URL中，输入您的 Okta 域。
在Okta API 令牌中，输入您的 Okta 组织的 API 令牌。
在客户端 ID和客户端密钥中，输入您之前创建的 OIDC Web 应用程序集成中的客户端 ID 和密钥。要从 Okta 控制台复制这些值，请选择应用程序并找到您的 Okta 应用程序。在客户端凭据下，使用复制到剪贴板按钮复制每个值。
单击测试并完成。Citrix Cloud 将验证您的 Okta 详细信息并测试连接。

为 Workspace 启用 Okta 身份验证：

从 Citrix Cloud 菜单中，选择Workspace 配置 > 身份验证。
选择Okta。出现提示时，选择我了解对订阅者体验的影响。
单击接受以接受权限请求。

启用联合身份验证服务：

从 Citrix Cloud 菜单中，选择Workspace 配置，然后选择身份验证。
单击启用 FAS。此更改可能需要长达五分钟才能应用于订阅者会话。

突出显示“启用 FAS”按钮的 Workspace 配置页面

此后，联合身份验证服务 (FAS) 将对所有从 Citrix Workspace 启动的虚拟应用和桌面生效。

Workspace 配置页面，已启用 FAS

当订阅者登录其 Workspace 并在与 FAS 服务器相同的资源位置启动虚拟应用或桌面时，应用或桌面将直接启动，而无需提示输入凭据。

注意：

如果资源位置中的所有 FAS 服务器都已关闭或处于维护模式，则应用程序启动会成功，但单点登录将不起作用。订阅者需要输入其 AD 凭据才能访问每个应用程序或桌面。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

这是否有帮助？

配置 Citrix Workspace 应用程序的单点登录

April 16, 2026

投稿者:

C C

April 16, 2026

投稿者:

C C

这是否有帮助？