增强了单点登录的域直通(增强型 SSO)
以前,适用于 Windows 的 Citrix Workspace 应用程序仅支持 SSON 或域直通身份验证,以便使用用户凭据单点登录到 Citrix Virtual Apps and Desktops 环境。这种身份验证使用户能够在其设备上对域进行身份验证并使用其虚拟应用程序和桌面,而无需再次重新进行身份验证。
这种使用用户凭据进行域直通的方法有以下限制:
- 不支持使用新式验证方法(例如 Windows Hello 或 FIDO2)进行无密码身份验证。单点登录 (SSO) 需要一个名为联合身份验证服务 (FAS) 的附加组件。
- 安装或升级启用了 SSON 的 Citrix Workspace 应用程序需要重新启动设备。
- 需要在 Windows 11 计算机上启用多提供商路由器 (Multi Provider Router, MPR) 通知。
- 必须位于网络提供商订单列表的顶部。
在此版本中,Citrix Workspace 应用程序支持增强的域直通功能,这是一种新的 SSO 方法。它利用 Kerberos 身份验证而不是用户凭据,有助于克服前面提到的限制。现在,用户可以使用集成 Windows 身份验证登录 Citrix Virtual Apps and Desktops 和 StoreFront。
注意:
32 位 Windows 10 和 Windows Server 2016 不支持此功能。
系统要求
- Citrix Workspace 应用程序 2309 或更高版本
- Citrix Virtual Apps and Desktops 2308 或更高版本
支持的 VDA 操作系统版本
-
对于多会话:
- Windows Server 2019
- Windows Server 2022
-
对于单会话:
- Windows 10 版本 22H2
- Windows 11 版本 22H2
必备条件
- 客户端或端点必须连接到域。
- 需要 Active Directory 的直接路径。
StoreFront 和 DDC 设置
请使用以下设置设置域直通环境:
注意:
如果您已在环境中配置了域直通,则可以跳过此步骤。
-
在 StoreFront 上配置 Citrix Workspace 应用程序时:
- 打开 StoreFront Studio。
- 转至应用商店 > 管理身份验证方法。
- 启用域直通。
或者,
-
通过浏览器使用 Citrix Workspace 应用程序时:
- 打开 StoreFront。
- 打开应用商店 > Receiver for Web 站点 > 管理身份验证方法。
-
启用域直通。
-
在 DDC 上启用 Enhanced domain passthrough for single sign on(增强了单点登录的域直通功能)策略。
-
单击确定。
VDA 设置
- 导航到 VDA 上的计算机配置\管理模板\系统\凭据委派。
-
在 VDA 上启用 Remote host allows delegation of non-exportable credentials(远程主机允许委派不可导出的凭据)Windows 策略。
- 重新启动 VDA 计算机。
客户端设置
- 确保客户端计算机已加入域。
- 确保客户端计算机为 64 位。
- 打开组策略编辑器。
- 导航到计算机配置\管理模板\Citrix 组件\Citrix Workspace\用户身份验证。
-
配置 Enhanced Domain passthrough for single sign-on(增强了单点登录的域直通功能)组策略。
- 修改客户端上的 Internet 选项设置。
注意:
如果您已在环境中配置了域直通,则可以跳过此步骤。
-
使用 Internet 选项将 StoreFront 服务器添加到可信站点列表。要添加:
- 从控制面板 > 网络和 Internet 中打开 Internet 选项。
- 单击安全 > 本地 Internet,然后单击站点。此时将显示本地 Intranet 窗口。
- 单击高级选项卡。
- 添加使用恰当的 HTTP 或 HTTPS 协议的 StoreFront FQDN 的 URL。
- 单击关闭和确定。
-
请按如下所示在 Internet Explorer 中修改用户身份验证设置:
- 从控制面板 > 网络和 Internet 中打开 Internet 选项。
- 单击安全选项卡 > 本地 Intranet。
- 单击自定义级别。此时将显示安全设置 — 本地 Intranet 区域窗口。
- 在用户身份验证窗格中,选择使用当前用户名和密码自动登录。
-
单击确定。