使用 Citrix 联合身份验证服务为工作区启用单点登录

Citrix 联合身份验证服务 (FAS) 支持在 Citrix Workspace 中对 DaaS 进行单点登录 (SSO)。如果您使用以下身份提供商之一进行 Citrix Workspace 身份验证,通常会采用 FAS:

  • Azure Active Directory
  • Okta
  • SAML 2.0
  • Citrix Gateway

使用 FAS,订阅者只需输入一次凭据即可访问其 DaaS 应用程序和桌面。

如果您使用的是 Active Directory (AD)、AD plus 令牌或 Citrix Gateway 的特定配置,则对 DaaS 的 SSO 不需要 FAS。有关配置 Citrix Gateway 的更多信息,请访问 在本地 Citrix Gateway 上创建 OAuth IdP 策略

FAS 服务器

在每个资源位置中,可以将多个 FAS 服务器连接到 Citrix Cloud,以便进行负载平衡和故障转移。

Citrix Cloud 支持在以下情况下使用 FAS 服务器。

在这两种情况下,通过联合身份提供商登录其工作空间的订阅者只需输入一次凭据即可访问应用程序和桌面。

通过单个资源位置连接的 FAS 服务器

如果您的资源位置包含不同的基础架构(例如,不同的资源位置包含不同的 AD 林),请将 FAS 服务器部署到 VDA 所在的资源位置。SSO 仅在连接了一个或多个 FAS 服务器的资源位置处于活动状态。

FAS 服务器与多个资源位置相连

如果您的资源位置之间有网络连接,并且它们包含相似的基础架构,则可以将 FAS 服务器与多个资源位置连接。SSO 适用于连接到这些资源位置中的应用程序和桌面的工作空间订阅者。在这种情况下,无需将单独的 FAS 服务器连接到每个资源位置。

订阅者启动虚拟应用程序或桌面时,Citrix Cloud 会选择与正在启动的应用程序或桌面位于同一资源位置的 FAS 服务器。Citrix Cloud 联系选定的 FAS 服务器以获取票证,该票证授予对 FAS 服务器上存储的用户证书的访问权限。要对订阅者进行身份验证,VDA 将连接到 FAS 服务器并出示票证。

您可以对本地和 Citrix Cloud 使用相同的 FAS 服务器,并配置正确的规则。

使用 Citrix Cloud 的 FAS 服务器请求流

多个资源位置的故障切换优先级

使用具有多个资源位置的 FAS 服务器时,位于一个资源位置的 FAS 服务器可以提供到其他资源位置的 FAS 服务器的故障转移。将 FAS 服务器添加到其他资源位置时,将每台服务器指定为主服务器或辅助服务器。订阅者启动虚拟应用程序或桌面时,Citrix Cloud 将按以下方式使用此名称来选择 FAS 服务器:

  • 首先考虑在给定资源位置中被指定为主服务器的 FAS 服务器。
  • 如果没有主服务器可用,则考虑指定为辅助服务器的 FAS 服务器。
  • 如果没有辅助服务器可用,则启动会继续,但不会进行单点登录。

视频概览

有关 Citrix Workspace 的联合身份验证服务的概述,请观看以下技术洞察视频:

[适用于 Citrix Citrix Workspace](https://www.youtube.com/watch?v=WQfn_rLyZWs的 C “itrix 联合身份验证服务适用于 Citrix Workspace”)

要求

连通性要求

使用 FAS 管理控制台将 FAS 服务器连接到 Citrix Cloud。您可以使用此控制台配置本地或远程 FAS 服务器。要使用 FAS 为工作区启用 SSO,FAS 管理控制台和 FAS 服务分别使用控制台用户的帐户和网络服务帐户访问以下地址。

  • FAS 管理控制台,使用控制台用户的帐户
    • *.cloud.com
    • *.citrixworkspacesapi.net
    • 第三方身份提供程序所需的地址(如果您的环境中使用了第三方身份提供程序)
  • FAS 服务,使用网络服务帐户: *.citrixworkspacesapi.net

如果您的环境包含代理服务器,请使用 FAS 管理控制台的地址配置用户代理。此外,请确保网络服务帐户的地址配置为适合您的环境。

FAS 系统要求

本节中的要求适用于计划与 Citrix Cloud 连接的所有 FAS 服务器。

FAS 产品文档的 系统要求部分描述了 FAS 服务器的完整系统要求

本地 Citrix Virtual Apps and Desktops 环境中的 FAS 服务器必须安装联合身份验证服务 2003(版本 10.1)或更高版本。

如果现有 FAS 服务器的版本早于版本 10,则可以在创建此连接之前从 Citrix 下载最新的 FAS 软件并就地升级服务器。创建连接时,请选择 FAS 服务器的资源位置。SSO 仅在存在 FAS 服务器的资源位置对订阅者有效。

有关升级现有 FAS 服务器的更多信息,请参阅 FAS 产品文档中的 安装和配置 。同一 FAS 服务器可用于工作空间和本地部署。

Citrix Workspace

必须在 Workspace 中配置并启用 Citrix DaaS。默认情况下,订阅服务后,将在工作区配置中启用 DaaS。但是,该服务要求您部署 Citrix Cloud Connector 才能允许 Citrix Cloud 与您的本地环境通信。

Cloud Connector

Citrix Cloud 连接器支持您的资源位置(VDA 所在的位置)与 Citrix Cloud 之间的通信。部署至少两个 Cloud Connector 以确保高可用性。安装 Cloud Connector 软件的服务器必须满足以下要求:

  • Cloud Connector 技术详情中所述的系统要求
  • 未安装其他 Citrix 组件,服务器不是 Active Directory 域控制器,也不是对您的资源位置基础架构至关重要的计算机。
  • 已加入您的 VDA 所在的域。

有关部署 Cloud Connector 的更多信息,请参阅以下文章:

设置概述

  1. 如果要部署新的 FAS 服务器,请查看 要求 并按照本文中 安装和配置 FAS 中的说明进行操作。
  2. 按照本文将 FAS 服务器连接到 Citrix Cloud 中所述,将 FAS 服务器连接到 Citrix Cloud。完成此任务后,您的 FAS 服务器连接到单个资源位置。
  3. 如果您计划将 FAS 服务器连接到多个资源位置,请按照本文中 将 FAS 服务器添加到多个资源位置 中的说明进行操作。

安装和配置 FAS

按照 FAS 产品文档中描述的 FAS安装和配置过程进行操作。StoreFront 和Delivery Controller 配置步骤不是必需的。

提示:

您也可以从 Citrix Cloud 控制台下载联合身份验证服务安装程序:

  1. 从 Citrix Cloud 菜单中,选择资源位置
  2. 选择 FAS 服务器 磁贴,然后单击 下载

将 FAS 服务器连接到 Citrix Cloud

按照 FAS 产品文档中的 安装和配置 中所述,使用 FAS 管理控制台将 FAS 服务器连接到 Citrix Cloud。

完成“连接到 Citrix Cloud”配置步骤后,Citrix Cloud 会注册 FAS 服务器并将其显示在您的 Citrix Cloud 帐户的“资源位置”页面上。

添加了 FAS 服务器的“资源位置”页面

如果您的浏览器中已经加载了“资源位置”页面,请刷新该页面以显示已注册的 FAS 服务器。

将 FAS 服务器添加到多个资源位置

  1. 从 Citrix Cloud 菜单中,选择 资源位置 ,然后选择 FAS 服务器 选项卡。
  2. 找到要管理的 FAS 服务器,单击条目右侧的省略号 (…),然后选择 管理服务器突出显示了“管理服务器”菜单选项的 FAS 服务器选项卡
  3. 选择“添加到资源位置”,然后选择所需的资源位置。 突出显示“添加到资源位置”选项的“管理服务器”对话框
  4. 选择“”或“辅助”作为 FAS 服务器在每个选定资源位置的故障转移优先级。
  5. 选择 保存更改

要查看添加的 FAS 服务器,请从 Citrix Cloud 菜单中选择“资源位置”,然后选择“FAS 服务器”选项卡。此时将显示所有已连接资源位置的所有 FAS 服务器的列表。要显示特定资源位置的 FAS 服务器,请从下拉列表中选择资源位置。

更改 FAS 服务器的故障切换优先级

  1. 在“资源位置”页面中,选择要管理的资源位置的 FAS 服务器磁贴。
  2. 选择 FAS 服务器 选项卡。
  3. 找到要管理的 FAS 服务器,单击条目右侧的省略号,然后选择 管理服务器
  4. 找到要更改优先级的资源位置,然后从下拉列表中选择新的优先级。 管理 FAS 服务器,突出显示优先级下拉菜单
  5. 选择 保存更改

为工作区启用联合身份验证

  1. 在 Citrix Cloud 菜单中,选择 Workspace Configuration(工作区配置),然后选择 Authentication(身份验证)。
  2. 单击 Enable FAS(启用 FAS)。此更改最多可能需要五分钟才能应用到订阅者会话。

突出显示“Enable FAS”(启用 FAS)按钮的“Workspace Configuration”(工作区配置)页面

之后,联合身份验证服务将对从 Citrix Workspace 启动的所有虚拟应用程序和桌面启用。

启用了 FAS 的“Workspace Configuration”(工作区配置)页面

当订阅者登录其工作区并在与 FAS 服务器相同的资源位置启动虚拟应用程序或桌面时,应用程序或桌面将在不提示输入凭据的情况下启动。

注意:

如果资源位置中的所有 FAS 服务器都已关闭或处于维护模式,应用程序启动将成功,但单点登录未激活。系统会提示订阅者输入其 AD 凭据以访问每个应用程序或桌面。

移除 FAS 服务器

要从单个资源位置删除 FAS 服务器,请执行以下操作:

  1. 在“资源位置”页面中,选择要管理的资源位置的 FAS 服务器磁贴。
  2. 选择 FAS 服务器 选项卡。
  3. 找到要管理的 FAS 服务器,单击条目右侧的省略号,然后选择 管理服务器
  4. 找到要移除的资源位置,然后单击 X 图标。 使用突出显示的移除图标管理 FAS 服务器

要从所有连接的资源位置删除 FAS 服务器,请执行以下操作:

  1. 从 Citrix Cloud 菜单中,选择资源位置
  2. 找到要管理的资源位置,然后选择 FAS 服务器 磁贴。
  3. 找到要删除的 FAS 服务器,单击条目右侧的省略号,然后选择删除 FAS 服务器删除 FAS 服务器菜单命令
  4. 在 FAS 管理控制台(在您的本地 FAS 服务器上)的 连接到 Citrix Cloud中,选择 断开连接。或者,您可以卸载 FAS。 突出显示“禁用”命令的 FAS 管理控制台

故障排除

如果 FAS 服务器不可用,则 FAS 服务器页面上会显示一条警告消息。

FAS 服务器控制台页面

要诊断问题,请打开本地 FAS 服务器上的 FAS 管理控制台并检查状态。例如,FAS 服务器在 FAS 服务器 GPO 中不存在:

FAS 服务器在 FAS 服务器管理员控制台中不可用

如果 FAS 管理控制台指示服务器运行正常,但仍存在 VDA 登录问题,请参阅 FAS 故障排除指南

使用 Citrix 联合身份验证服务为工作区启用单点登录