使用 Azure Active Directory 作为身份提供程序域直通到 Citrix Workspace

可以使用 Azure Active Directory (AAD) 作为身份提供程序来实现到 Citrix Workspace 的单点登录 (SSO),其中包含已加入域的端点/VM、混合端点/VM 和注册了 Azure AD 的端点/VM。

使用此配置,您还可以使用 Windows Hello 通过注册了 AAD 的端点对 Citrix Workspace 进行单点登录。

  • 可以使用 Windows Hello 向 Citrix Workspace 应用程序进行身份验证。
  • 使用 Citrix Workspace 应用程序进行基于 FIDO2 的身份验证。
  • 借助 AAD 从加入了 Microsoft AAD 的计算机(AAD 作为 IdP)和条件访问单点登录到 Citrix Workspace 应用程序。

要实现对虚拟应用程序和桌面的单点登录,您可以按如下所示部署 FAS 或配置 Citrix Workspace 应用程序。

注意:

只有在使用 Windows Hello 时,才能实现单点登录到 Citrix Workspace 资源。但是,在访问已发布的虚拟应用程序和桌面时,系统会提示您输入用户名和密码。要解决此提示问题,您可以将 FAS 和 SSO 部署到虚拟应用程序和桌面。

必备条件:

  1. 将 Azure Active Directory 连接到 Citrix Cloud。有关详细信息,请参阅 Citrix Cloud 文档中的将 Azure Active Directory 连接到 Citrix Cloud
  2. 启用 Azure AD 身份验证以访问工作区。有关详细信息,请参阅 Citrix Cloud 文档中的 Enable Azure AD authentication for workspaces(为工作区启用 Azure AD 身份验证)。

要实现对 Citrix Workspace 的单点登录,请执行以下操作:

  1. 使用 includeSSON 配置 Citrix Workspace 应用程序。
  2. 在 Citrix Cloud 中禁用 prompt=login 属性。
  3. 使用 Azure Active Directory Connect 配置 Azure Active Directory 直通。

配置 Citrix Workspace 应用程序以支持 SSO

必备条件:

  • Citrix Workspace 版本 2109 或更高版本。

注意:

如果您使用 FAS 进行 SSO,则不需要 Citrix Workspace 配置。

  1. 从带选项 includeSSON 的管理命令行安装 Citrix Workspace 应用程序:

    CitrixWorkspaceApp.exe /includeSSON

  2. 从 Windows 客户端注销并登录以启动 SSON 服务器。
  3. 单击计算机配置 > 管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证将 Citrix Workspace GPO 更改为允许本地用户名和密码

    注意:

    这些策略可以通过 Active Directory 推送到客户端设备。仅当从 Web 浏览器访问 Citrix Workspace 时才需要执行此步骤。

  4. 请根据屏幕截图启用该设置。

    用户身份验证

  5. 通过 GPO 添加以下可信站点:

    • https://aadg.windows.net.nsatc.net
    • https://autologon.microsoftazuread-sso.com
    • https://xxxtenantxxx.cloud.com:Workspace URL

添加可信站点

注意:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzle 中的 AllowSSOForEdgeWebview 注册表设置为 false 时,AAD 的单点登录将处于禁用状态。

在 Citrix Cloud 中禁用 prompt=login 参数

默认情况下为 Citrix Workspace 启用了 prompt=login,即使用户选择保持登录状态或者设备已加入 Azure AD,也会强制进行身份验证。

请联系 Citrix 技术支持以在 Citrix Workspace 中禁用 prompt=login 参数以实现单点登录。有关详细信息,请参阅 Citrix 知识中心文章 CTX253779

注意:

在已加入 AAD 或已加入混合 AAD 的设备上,如果 AAD 用作 Workspace 的 IdP,Citrix Workspace 应用程序不会提示输入凭据。用户可以使用工作帐户或学校帐户自动登录。

要允许用户使用其他帐户登录,请将以下注册表设置为 false。

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\DazzleComputer\HKEY_CURRENT_USER\SOFTWARE\Citrix\Dazzle 下创建并添加一个名为 AllowSSOForEdgeWebview 的注册表字符串 REG_SZ,并将其值设置为 False。或者,如果用户从 Citrix Workspace 应用程序注销,则用户可以在下次登录时使用其他帐户登录。

使用 Azure Active Directory Connect 配置 Azure Active Directory 直通

  • 如果您是首次安装 Azure Active Directory Connect,请在 User sign-in(用户登录)页面上选择 Pass-through Authentication(直通身份验证)作为登录方法。有关详细信息,请参阅 Microsoft 文档中的 Azure Active Directory Pass-through Authentication: Quickstart(Azure Active Directory 直通身份验证:快速入门)。
  • 如果 Microsoft Azure Active Directory Connect 存在:

    1. 选择 Change user sign-in(更改用户登录)任务,然后单击 Next(下一步)。
    2. 选择 Pass-through Authentication(直通身份验证)作为登录方法。

注意:

如果客户端设备已加入 Azure AD 或已加入混合 Azure AD,则可以跳过此步骤。如果设备已加入 AD,则使用 kerberos 身份验证进行域直通身份验证。

使用 Azure Active Directory 作为身份提供程序域直通到 Citrix Workspace