配置域直通身份验证

Single Sign-On 允许您对域进行身份验证,并使用该域提供的应用程序和桌面,而不需要重新对每个应用程序或桌面进行身份验证。

登录到 Citrix Receiver 时,您的凭据将随为您枚举的应用程序和桌面一起传递到 StoreFront,包括“开始”菜单设置。配置 Single Sign-on 后,可以登录到 Citrix Receiver 并启动 XenApp 或 XenDesktop 会话,而不需要多次键入您的凭据。

单击某个应用程序图标时,Citrix Receiver 会将您的域凭据传递到 Delivery Controller,此时将启动应用程序或桌面。

使用以下选项之一安装 Citrix Receiver 时,可以配置 Single Sign-on:

  • 命令行界面
  • 图形用户界面

必备条件

  1. 使用 Internet Explorer 将 StoreFront 服务器添加到受信任的站点列表。为此,请执行以下操作:
    1. 启动 Internet Explorer。
    2. 选择工具 > Internet 选项 > 安全 > 本地 Internet,然后单击站点。此时将显示本地 Intranet 窗口。
    3. 选择高级
    4. 添加使用恰当的 HTTP 或 HTTPS 协议的 StoreFront 或 Web Interface FQDN 的 URL。
    5. 单击应用和确定。
  2. 在 Internet Explorer 中修改用户身份验证设置。为此,请执行以下操作:
    1. 启动 Internet Explorer。
    2. Internet 选项 > 安全选项卡中,单击受信任的站点
    3. 单击自定义级别。此时将显示安全设置 – 受信任的站点区域窗口。
    4. 用户身份验证窗格中,选择使用当前用户名和密码自动登录

alt_text

使用命令行界面配置 Single Sign-On

使用 /includeSSON 开关安装 Citrix Receiver for Windows。

重新启动 Receiver for Windows 以使所做的更改生效。

注意

如果安装 Citrix Receiver 时未安装 Single Sign-On 组件,则不支持使用 /includeSSON 开关升级到最新版本的 Citrix Receiver。

使用图形用户界面配置 Single Sign-On

  1. 找到 Citrix Receiver for Windows 安装文件 (CitrixReceiver.exe)。
  2. 双击 CitrixReceiver.exe 启动安装程序。
  3. 在“启用单点登录”安装向导中,选中“启用单点登录”复选框以安装启用了 SSON 功能的 Citrix Receiver for Windows;这等同于使用命令行开关 /includeSSON 安装 Citrix Receiver for Windows。

下图说明了如何启用 Single Sign-On:

alt_text

在 Receiver for Web 中配置 Single Sign-On

可以使用组策略对象管理模板为 Receiver for Web 配置 Single Sign-On。

注意:首次升级或安装 Citrix Receiver for Windows 时,必须向本地 GPO 中添加最新的模板文件。有关向本地 GPO 中添加模板文件的详细信息,请参阅 https://docs.citrix.com/zh-cn/receiver/windows/current-release/configure/config-gpo-template.html。进行升级时,导入最新文件的过程中将保留现有设置。

  1. 通过运行 gpedit.msc 打开 Citrix Receiver GPO 管理模板。
  2. 计算机配置节点下,转至管理模板 > Citrix 组件 > Citrix Receiver > 用户身份验证
  3. 选择本地用户名密码策略并将其设置为已启用
  4. 单击启用直通身份验证。此选项允许 Citrix Receiver 使用您的登录凭据在远程服务器上进行身份验证。
  5. 单击允许对所有 ICA 连接执行直通身份验证。此选项将跳过任何身份验证限制,并允许对所有连接传递凭据。
  6. 单击应用确定
  7. 重新启动适用于 Web 的 Citrix Receiver for Windows 以使所做的更改生效。

通过启动 Citrix Receiver 验证是否已启用 Single Sign-On。启动 Receiver 后,启动任务管理器并检查 ssonsvr.exe 进程是否正在运行。

在 StoreFront 和 Web Interface 上配置 Single Sign-On

StoreFront 配置

要在 StoreFront 和 Web Ingterface 上配置 SSON,请在 StoreFront 服务器上打开 Citrix Studio,然后选择身份验证 -> 添加/删除方法。 选择域直通

alt_text

Web Interface 配置

要在 Web Interface 上配置 SSON,请选择 Citrix Web Interface 管理 -> XenApp Sevices 站点 -> 身份验证方法并启用直通

alt_text

使用配置检查器验证 Single Sign-On 配置

可以使用配置检查器运行测试,以确保 Single Sign-On 正确配置。该测试在 Single Sign-On 的不同检查点运行,并显示配置结果。

  1. 右键单击通知区域中的 Citrix Receiver for Windows 并单击高级首选项
  2. 单击配置检查器
    将显示 Citrix 配置检查器窗口。

alt_text

  1. 选择窗格中选择 SSONChecker
  2. 单击运行。将显示一个进度条,显示测试的状态。

配置检查器窗口包含以下列:

  1. 状态: 显示特定检查点的测试结果。
    • 绿色复选标记表明该特定检查点配置正确。
    • 蓝色的“I”指示有关检查点的信息。
    • 红色的“X”指示该特定检查点配置不正确。
  2. 提供程序: 显示在其上运行测试的模块的名称。在本案例中,为 Single Sign-On。
  3. 套件: 指示测试的类别。例如,安装。
  4. 测试: 指示运行的具体测试的名称。
  5. 详细信息: 提供有关测试的其他信息,无论通过还是未通过。

用户获得有关每个检查点和相应结果的详细信息。

需要执行以下测试:

  1. 已随 Single Sign-On 安装
  2. 登录凭据捕获
  3. 网络提供程序注册
    只有将“Citrix Single Sign-On”设置为网络提供程序列表中的第一个时,针对网络提供程序注册的测试结果才会显示一个绿色复选标记。如果 Citrix Single Sign-On 显示在列表中的任何其他位置,则针对网络提供程序注册的测试结果会显示一个蓝色的“I”,并包含其他信息。
  4. Single Sign-On 进程正在运行
  5. 组策略
    默认情况下,此策略配置在客户端上。
  6. Internet 的安全区域设置
    确保将 Store/XenApp Service URL 添加到“Internet 选项”中的安全区域列表中。 如果通过组策略配置安全区域,策略中出现任何更改时,都需要重新打开高级首选项窗口才能使更改生效,同时显示测试的正确状态。
  7. 适用于 Web Interface/StoreFront 的身份验证方法。

注意

  • 如果要访问 Receiver for Web,则测试结果不适用。 如果为多个应用商店配置了 Citrix Receiver for Windows,则会在所有已配置的应用商店上运行身份验证方法测试。
  • 可以将测试结果保存为报告。默认报告格式为 .txt。
  • 如果要访问 Receiver for Web,则测试结果不适用。
  • 如果为多个应用商店配置了 Citrix Receiver for Windows,则会在所有已配置的应用商店上运行身份验证方法测试。
  • 可以将测试结果保存为报告。默认报告格式为 .txt。
  • 如果要访问 Receiver for Web,则测试结果不适用。
  • 如果为多个应用商店配置了 Citrix Receiver for Windows,则会在所有已配置的应用商店上运行身份验证方法测试。
  • 可以将测试结果保存为报告。默认报告格式为 .txt。
    • 如果要访问 Receiver for Web,则测试结果不适用。
    • 如果为多个应用商店配置了 Citrix Receiver for Windows,则会在所有已配置的应用商店上运行身份验证方法测试。
    • 可以将测试结果保存为报告。默认报告格式为 .txt。

有关配置域直通身份验证的信息,请参阅知识中心文章 CTX133982

隐藏高级首选项窗口中的配置检查器选项

  1. 通过运行 gpedit.msc 打开 Citrix Receiver 组策略对象管理模板。
  2. 转至 Citrix 组件 > Citrix Receiver > 自助服务 > DisableConfigChecker
  3. 单击已启用将隐藏“高级首选项”窗口中的“配置检查器”选项。
  4. 单击应用确定
  5. 打开命令提示符。
  6. 运行 gpupdate /force 命令。

限制

配置检查器不包括 XenApp 和 XenDesktop 服务器上“信任发送到 XML Service 的请求”配置的检查点。