配置工作区 URL

概述

首次启用 Workspace 时，系统会创建一个形式为 customername.cloud.com 的 Workspace URL，可用于从 Web 浏览器或本地安装的 Citrix Workspace 应用程序访问 Workspace。

您可以添加其他 cloud.com URL。 如果您定义了多个工作区 URL，则可以使用这些 URL 作为策略输入。 例如，您可能希望为组织内的不同部门提供不同的品牌、身份验证方法和资源。

您还可以使用自己的自定义域作为默认 cloud.com 域的别名。 有关更多信息，请参阅 配置自定义域。

存储名称

每个工作区 URL 都有一个商店名称。 此名称显示在 Citrix Workspace 应用程序内的帐户列表中。

您可以配置用户是否可以在 Citrix Workspace 应用程序中修改商店名称。 要允许用户从 Citrix Workspace 应用程序编辑其应用商店名称，用户必须使用以下版本的 Citrix Workspace 应用程序客户端：

• 适用于 Windows 的 Citrix Workspace 应用程序 2405 或更高版本
• 适用于 iOS 的 Citrix Workspace 应用程序 24.2.0 或更高版本
• 适用于 Mac 的 Citrix Workspace 应用程序 2402

启用或禁用工作区 URL

您可以禁用对 cloud.com URL 的工作区的所有访问。 这会影响本地安装的 Citrix Workspace 应用程序和浏览器。 用户可以继续使用自定义工作区 URL 访问默认工作区。 如果您没有自定义工作区 URL，那么这会阻止所有访问。

要禁用通过 cloud.com 的访问：

1. 取消勾选 工作区 URL 已启用。 这将弹出一个确认屏幕。
2. 选中复选框以确认您理解。
3. 按 禁用。

查看 URL

1. 转到 Citrix Cloud 并使用您的凭据登录。
2. 导航到 工作区配置 > 访问。 在 工作区 URL下，您可以找到现有 URL 的列表。

添加工作区 URL

您最多可以创建 10 个 URL。 您选择的工作区 URL 必须是唯一的。 Citrix Cloud 拒绝其他客户已在使用的工作区 URL。 建议使用包含您的组织独有的字符串的命名约定。

注意：

避免使用通用 URL，例如 workspace.cloud.com或 mystore.cloud.com。

例如，您可以使用以下格式创建 URL：

• YourOrgsales.cloud.com
• YourOrgengineering.cloud.com
• YourOrgmarketing.cloud.com

从“访问”选项卡添加 URL：

1. 点击 + 添加工作区 URL

2. 输入应用商店名称.

3. 选择是否希望用户能够在 Citrix Workspace 应用程序中修改商店名称。

4. 输入子域名。

   

5. 选中复选框作为确认您必须在配置后向最终用户提供新的 URL。

6. 单击 添加 保存 URL。

修改工作区 URL

警告：

重命名 URL 时，旧的 URL 会立即被删除，不再可用。 告诉订阅者新 URL 是什么，然后手动更新所有本地 Citrix Workspace 应用程序以使用新 URL。 新的 URL 最多 10 分钟内不可用。 如果任何策略中使用该 URL，则必须手动更新该策略。

1. 单击 … 在您想要编辑的工作区 URL 行上。

2. 根据需要修改商店名称和工作区 URL。

3. 如果您修改了 URL，那么您必须勾选几个复选框以确认您了解其后果。

1. 按“编辑”保存更改

使用 PowerShell 配置工作区 URL

您还可以使用 PowerShell API 来添加或更改工作区 URL。

运行 cmdlet Set-WorkspaceCustomConfigurations 并将 $WorkspaceHosts 列表作为 -WorkspaceHosts 参数的参数，以更新工作区的 URL 列表。 将现有的 URL 作为 -WorkspaceUrl 参数的参数。 例如：

  #  Set a variable to the value of existing URL for the workspace. 
  $WSPURL = "wspmultiurlmain.cloud.com"

  # Specify the new URLs that you want to create in a list, including any existing URLs.
  $WorkspaceHosts = @($WSPURL,"wspmultiurl2.cloud.com","wspmultiurl3.cloud.com")

  # Update the configuration
  Set-WorkspaceCustomConfigurations -WorkspaceUrl $WSPURL `
                                    -WorkspaceHosts $WorkspaceHosts `
                                    -ClientId $APIClientID `
                                    -ClientSecret $APIClientSecret `
                                    -Verbose
<!--NeedCopy-->

根据工作区 URL 配置主题和徽标

使用多 URL 功能，您可以为每个 URL 创建并分配单独的外观主题和徽标。 它使您能够根据工作区 URL 改变最终用户可见的主题和徽标。

要根据 URL 创建主题和徽标： 登录 Citrix Cloud 控制台门户。

1. 导航到 工作区配置 > 自定义 > 外观。
2. 选择 添加主题 或使用编辑选项修改现有主题。
3. 在 登录后外观 选项卡上，上传徽标并选择主题颜色。
4. 在 主题详情 选项卡上，在 分配访问域 字段中输入所需的工作区 URL。
5. 保存您的主题配置。 有关创建主题的更多信息，请参阅 创建多个自定义主题。

主题应用

主题可以配置并应用于以下用例：

• 将主题应用于特定 URL： 配置的主题适用于使用特定工作区 URL 的任何最终用户。 在这些情况下，用户组成员身份不被视为一个因素。
• 将主题应用于一个或多个用户组： 该主题适用于属于任何选定用户组的最终用户。 在这种情况下，无论使用什么 URL，都会应用主题。
• 将主题应用于特定 URL 和一个或多个用户组： 如果最终用户属于任何选定的用户组并使用特定的 URL，则该主题适用于该最终用户。

主题优先级机制与以前相同。 有关更多信息，请参阅 优先考虑自定义主题

如果没有配置主题，则应用默认主题。 它还适用于以下场景：

• 查看任何登录前消息或 UI 时
• 查看登录屏幕时，除非使用具有自己的登录页面的第三方提供商
• 登录后，若 URL 没有配置外观主题

根据工作区 URL 过滤资源

使用新的多工作区 URL 功能，您可以根据最终用户正在使用的工作区 URL 过滤和交付资源。 有两种方法可以根据工作区 URL 过滤资源：

• 使用安全私人访问（SPA）
• 使用 DaaS 管理控制台 (Studio)

使用安全私有访问进行资源过滤

在使用安全私有访问配置 Citrix DaaS 时，您可以控制最终用户对资源的访问。 您可以通过配置基于工作区 URL 的访问策略来实现此功能。 可以使用工作区 URL 过滤器为交付组配置访问策略。

有关更多信息，请参阅 Citrix Secure Private Access

使用 DaaS 管理控制台 (Studio) 进行资源过滤

您现在可以基于工作区 URL 为交付组配置访问策略。 您可以根据最终用户正在使用的工作区 URL 来控制他们对资源的访问。 要根据工作区 URL 为交付组配置访问策略，您需要应用以下 SmartAccess 过滤器。 过滤器值也作为 SmartAccess 标签发送到 DaaS 服务。 它适用于以下两种场景：

• 同时列出 DaaS 发布的应用程序和桌面
• 启动应用程序或桌面时

| 过滤 | 值 | 说明 | | ——————– | ———— | ——————————————– | | Citrix.Workspace.使用域 | 示例.cloud.com | 允许通过工作区 URL 过滤交付组资源。 该值是工作区 URL 的完全限定域名。 | | Citrix Via Workspace | True | 表示最终用户正在使用 Workspace 服务，而不是本地 StoreFront 部署。 |

注意：

SmartAccess 标签会自动发送。 DaaS 将来自 Workspace 的请求视为不通过 Citrix Gateway。 如果您没有使用网络位置或设备姿态，则需要将这些过滤器的过滤条件添加到 非 Citrix 网关连接 规则中。

这允许根据以下标准对交付组内的应用程序和桌面进行过滤：

• 最终用户正在使用的工作区 URL
• 用户是否已登录 Workspace 或 StoreFront

有关配置交付组的访问策略的更多信息，请参阅 管理交付组。

注意：

启用自适应访问（网络位置或设备姿态）功能会导致 DaaS 将通过工作区发出的请求视为通过网关发出的请求。 如果打开任一功能，则需要将多个 URL 过滤条件添加到 Citrix Gateway 连接规则中。 这些功能会导致其他 SmartAccess 标签被发送。 有关更多信息，请参阅 根据用户网络位置的自适应访问 和 设备姿态。

为多个 URL 工作流创建访问策略规则

1. 要创建访问策略规则，请转到 编辑交付组 > 访问策略，然后单击添加。 仅当创建交付组后才可以更改访问策略。
2. 添加描述性策略名称。
3. 选择以下其中一个条件作为您的过滤器：
   • 匹配任何：如果任何给定的过滤条件与传入请求匹配，则访问策略允许访问。
   • 匹配全部：仅当所有给定的过滤条件与传入请求匹配时，访问策略才允许访问。
4. 为 **Citrix.Workspace.UsingDomain** 和 **Citrix-Via-Workspace** 过滤器添加值。

例如，在以下场景中，使用 匹配任何 过滤器意味着该规则允许使用 的用户或从内部网络连接的用户进行访问（根据网络位置配置）。 有关更多信息，请参阅 [根据用户网络位置的自适应访问](/zh-cn/citrix-daas/manage-deployment/adaptive-access/adaptive-access-based-on-users-network-location.html)。

将过滤器更改为 匹配所有 意味着该规则只允许使用 <wspmultiurlmain.cloud.com> 从内部网络访问的用户。

确认更改后，新策略就会出现在“访问策略”页面上。 有关更多信息，请参阅 管理交付组

根据工作区 URL 配置 nFactor 身份验证流程

您可以使用自适应身份验证服务将身份验证策略与工作区 URL 关联。 这使您能够根据最终用户使用的工作区 URL 为他们配置不同的身份验证策略。 您可以创建一个策略或编辑现有策略以将其与工作区 URL 关联。 使用下列方法之一：

• 使用 UI 配置多个身份验证策略

• 使用命令行界面配置多个身份验证策略

使用 UI 配置多个身份验证策略

自适应身份验证服务允许您创建基于最终用户正在使用的工作区 URL 对其进行身份验证的策略。

步骤 1： 配置一系列您想要用于工作区 URL 的身份验证操作和策略。 策略配置取决于您想要使用的身份验证类型和身份验证因素。 可以使用任何受支持的 nFactor 身份验证流程。

有关更多信息，请参阅 自适应身份验证

例如，考虑以下场景：

• 第一个 URL <https://wspmultiurlmain.cloud.com> 必须映射到 LDAP 身份验证和 OTP。
• 第二个 URL <https://wspmultiurl2.cloud.com> 必须映射到 LDAP 身份验证。
• 第三个 URL <https://wspmultiurl3.cloud.com> 必须具有最终用户证书身份验证

策略语法

使用精确的字符串匹配来检查特定的工作区 URL。

  AAA.USER.WSP.EQ("wspmultiurlmain.cloud.com")

<!--NeedCopy-->

使用子字符串匹配检查特定字符串是否包含在工作区 URL 中。

  AAA.USER.WSP.CONTAINS("wspmultiurlmain")
<!--NeedCopy-->

第 2 步： 配置身份验证策略并添加您的工作区 URL 作为表达式。 然后，身份验证策略对于您在 表达式 文本字段中输入的工作区 URL 有效。

步骤 3： 一旦您根据您的 URL 配置了身份验证策略，您就需要将它们绑定到您的身份验证虚拟服务器。 有关更多信息，请参阅 身份验证策略。

根据工作区 URL 将 SmartAccess 标签发送到 DaaS

DaaS 交付组支持基于所使用的工作区 URL 的 SmartAccess 标签。 标签可以是固定集合，如 配置工作区以根据工作区 URL 过滤 DaaS 资源中所述，或者您可以使用 Citrix.Workspace.UsingDomain 过滤器或任何其他 SmartAccess 标签来影响 DaaS 资源枚举行为。 AAA 管理员可以定义多个条件来控制何时将 SmartAccess 标签发送到 DaaS 交付组。

1. 使用您想要发送到 DaaS 的标签字符串配置 SmartAccess 标签配置文件。

2. 配置 SmartAccess 标签策略表达式并将该策略链接到您之前创建的操作。

3. 现在将身份验证策略绑定到您的 AAA 虚拟服务器。

使用命令行界面配置多个身份验证策略

根据所使用的工作区 URL 发送 SmartAccess 标签

创建 SmartAccess 标签配置文件

  add authentication smartAccessProfile WSPMultiURLMain-SmartAccessProfile -tags "WSPMultiURLMain"

  add authentication smartAccessProfile WSPMultiURL2-SmartAccessProfile -tags "WSPMultiURL2"

  add authentication smartAccessProfile WSPMultiURL3-SmartAccessProfile -tags "WSPMultiURL3"

<!--NeedCopy-->

创建 智能访问 标签策略

  add authentication smartAccessPolicy WSPMultiURLMain-SmartAccessPol -rule "AAA.USER.WSP.EQ(\"wspmultiurlmain.cloud.com\")" -action WSPMultiURLMain-SmartAccessProfile

  add authentication smartAccessPolicy WSPMultiURL2-SmartAccessPol -rule "AAA.USER.WSP.EQ(\"wspmultiurl2.cloud.com\")" -action WSPMultiURL2-SmartAccessProfile

  add authentication smartAccessPolicy WSPMultiURL3-SmartAccessPol -rule "AAA.USER.WSP.EQ(\"wspmultiurl3.cloud.com\")" -action WSPMultiURL3-SmartAccessProfile
<!--NeedCopy-->

显示 智能访问 配置文件和策略

  show authentication smartAccessProfile
  show authentication smartAccessPolicy
<!--NeedCopy-->

将策略绑定到名为“auth_vs”的自适应身份验证虚拟服务器

  bind authentication vserver auth_vs -policy WSPMultiURLMain-SmartAccessPol -priority 10

  bind authentication vserver auth_vs -policy WSPMultiURL2-SmartAccessPol -priority 20

  bind authentication vserver auth_vs -policy WSPMultiURL3-SmartAccessPol -priority 30

<!--NeedCopy-->

电子邮件发现将工作区 URL 添加到 Citrix Workspace 应用程序

电子邮件发现将服务 URL 列表中配置的所有工作区 URL 添加为存储。 如果您想通过电子邮件发现添加两个或更多商店，请将每个工作区 URL 配置为服务 URL。 它确保在电子邮件发现过程中将 URL 添加为存储。 您可以使用以下任意一种方式添加店铺：

• 全局应用程序配置服务 UI：有关更多信息，请参阅 配置云存储设置

• 全局应用程序配置 API：您可以使用上述门户，使用您注册的域对 POST /aca/discovery/app/workspace/domain 进行 API 调用。有关更多信息，请参阅全局应用程序配置服务 API。

如果在 Citrix Workspace 应用程序中输入 <user@yourdomain.com> ，则电子邮件发现服务会添加服务 URL 中列出的所有存储。 当 UPN 或电子邮件地址包含正确的域后缀 mydomain.com时，您可以使用它。

已知限制

以下是影响多个 URL 功能的一些限制。

工作空间平台

• 您不能禁用单个 URL。 如果您在 Citrix Cloud 管理控制台中禁用工作区 URL，它将禁用所有配置的 URL。

Citrix Virtual Apps and Desktops

• 不支持使用 Citrix Virtual Apps 和 Desktops（本地聚合）的工作区 URL 进行资源过滤。

自定义工作区域

工作区仅限于单个自定义域。 它始终链接到管理控制台中标记为默认的工作区 URL。

Citrix Workspace 应用程序

要将来自同一客户的多个 URL 添加为商店，用户必须使用以下版本的 Citrix Workspace 应用程序客户端：

• 适用于 Windows 的 Citrix Workspace 应用程序 2302 或更高版本
• 适用于 iOS 的 Citrix Workspace 应用程序 2303 或更高版本
• 适用于 Android 的 Citrix Workspace 应用程序 2303 或更高版本
• 适用于 Linux 的 Citrix Workspace 应用程序 2303 或更高版本
• 适用于 Mac 的 Citrix Workspace 应用程序 2305
• 适用于 iOS 的 Citrix Workspace 应用程序版本 2303
• 旧版本的 Citrix Workspace 应用程序显示 Workspace 域选择器菜单。 在这种情况下，最终用户必须选择添加商店时输入的相同 URL。 选择不同的 URL 需要用户再次登录。

Global App Configuration Service

• 如果为多个工作区 URL 配置了全局应用程序配置服务设置，则一次只能将一个工作区 URL 添加到 Citrix Workspace 应用程序。 向 Citrix Workspace 应用程序添加第二个 URL 失败。 例如，如果为 <https://wspmultiurlmain.yourdomain.com:443> 和 <https://wspmultiurl2.yourdomain.com:443> 同时配置了 GACS 设置，则用户只能向 Citrix Workspace 应用程序添加一个 URL。
• 如果在全局应用程序配置服务发现期间发现多个 GACS 配置的 URL，则帐户添加失败。 例如，考虑用户在 Citrix Workspace 应用程序中输入 <user@yourdomain.com> 的情况。 基于域的发现找到两个结果，并且为它们都配置了 GACS 设置。 返回的响应是： <https://wspmultiurlmain.yourdomain.com:443> 和 <https://wspmultiurl2.yourdomain.com:443>。 在这种情况下，Citrix Workspace 应用程序添加帐户会失败，因为它仅支持添加一个具有 GACS 设置配置的帐户。

  {
    "items": [
   {
     "domain": {
       "name": "yourdomain.com"
     },
     "app": {
       "workspace": {
         "serviceURLs": [
           {
             "url": "https://wspmultiurlmain.yourdomain.com:443"
           },
           {
             "url": "https://wspmultiurl2.yourdomain.com:443"
           },
           {
             "url": "https://wspmultiurl3.yourdomain.com:443"
           }
         ]
       }
     }
   }
    ],
    "nextToken": "None",
    "count": 1
  }

<!--NeedCopy-->