配置身份验证服务
管理身份验证方法
可以启用或禁用在创建身份验证服务时所设置的用户身份验证方法,具体操作为:在 Citrix StoreFront 管理控制台的结果窗格中选择身份验证方法,然后在操作窗格中单击 Manage Authentication Methods(管理身份验证方法)。
- 在 Windows“开始”屏幕或“应用程序”屏幕中,找到并单击 Citrix StoreFront 磁贴。
- 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店节点,然后在操作窗格中单击管理身份验证方法。
- 指定要为用户启用的访问方法。
- 选中用户名和密码复选框可启用显式身份验证。用户在访问自己的应用商店时需要输入凭据。
- 选择 SAML 身份验证复选框以支持与 SAML 身份提供程序的集成。用户向身份提供程序验证身份后,即可在访问自己的应用商店时自动登录。从“设置”下拉菜单中:
- 选择身份提供程序以配置对身份提供程序的信任。
- 选择服务提供商以对服务提供商配置信任。身份提供程序需要此信息。
- 选中域直通以启用从用户设备直通 Active Directory 域凭据。用户向其加入域的 Windows 计算机验证身份后,即可在访问自己的应用商店时自动登录。要使用此选项,在用户设备上安装 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序时,必须启用直通身份验证。
注意:
面向 Citrix Receiver for Web 的域直通身份验证仅对使用 Internet Explorer、Microsoft Edge、Mozilla Firefox 和 Google Chrome 的 Windows 操作系统有效,并且这些浏览器依赖成功的客户端检测来与本机 Citrix Workspace 应用程序进行通信。这是域直通身份验证发挥作用的必备条件。
- 选中智能卡以启用智能卡身份验证。用户在访问应用商店时其使用智能卡和 PIN 进行身份验证。
- 选中 HTTP Basic 以启用 HTTP Basic 身份验证。用户将向 StoreFront 服务器的 IIS Web 服务器进行身份验证。
- 选择从 Citrix Gateway 直通以启用从 Citrix Gateway 直通身份验证。用户向 Citrix Gateway 验证身份后,即可在访问自己的应用商店时自动登录。
要为通过 Citrix Gateway 访问应用商店的智能卡用户启用直通身份验证,请使用“配置委派身份验证”任务。
配置可信用户域
可以通过执行“可信域”任务限制使用显式域凭据登录(直接登录或使用 Citrix Gateway 直通身份验证登录)的用户对应用商店的访问。
-
在 Windows 的开始屏幕或应用程序屏幕中,找到并单击 Citrix StoreFront 磁贴。
-
在 Citrix StoreFront 管理控制台的左侧窗格中选择“应用商店”节点,然后在结果窗格中选择适当的身份验证方法。在“操作”窗格中,单击管理身份验证方法。
-
在用户名和密码 > 设置列表中,选择配置可信域。
-
选择仅限可信域,然后单击添加输入可信域的名称。在该域中具有帐户的用户能够登录所有使用此身份验证服务的应用商店。要修改域名,请在“可信域”列表中选择相应的条目,然后单击编辑。要禁止某个域中的用户帐户访问应用商店,请在列表中选择该域并单击删除。
您指定域名的方式将决定用户输入凭据时必须采用的格式。如果希望用户按照域用户名格式输入凭据,请将 NetBIOS 名称添加到列表中。如果要求用户按照用户主体名称格式输入凭据,请将完全限定的域名添加到列表中。如果希望用户既能按照域用户名格式又能按照用户主体名称格式输入凭据,则必须同时将 NetBIOS 名称和完全限定的域名添加到列表中。
-
如果配置多个可信域,请从默认域列表中选择用户登录时默认选择的域。
-
如果要在登录页面上列出可信域,请选中“在登录页面中显示域列表”复选框。
允许用户更改密码
可以通过执行管理密码选项任务来允许使用域凭据登录的 Citrix Workspace 应用程序和 Receiver for Web 站点用户更改其密码。创建身份验证服务时,默认配置会禁止 Citrix Workspace 应用程序和 Citrix Receiver for Web 站点用户更改自己的密码,即使密码已过期也是如此。如果决定启用此功能,请确保服务器所在域的策略允许用户更改其密码。如果用户可以访问使用此身份验证服务的任何应用商店,则允许用户更改其密码会将敏感的安全功能暴露给这些用户。如果贵组织的安全策略将用户密码更改功能保留为仅供内部使用,请确保用户无法从企业网络外部访问任何应用商店。
-
Citrix Receiver for Web 支持过期时更改密码以及选择更改密码。所有桌面 Citrix Workspace 应用程序仅支持在过期时通过 Citrix Gateway 更改密码。在 Windows 的开始屏幕或应用程序屏幕中,找到并单击 Citrix StoreFront 磁贴。
-
在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店节点,然后在“操作”窗格中单击管理身份验证方法。
-
在用户名和密码 > 设置下拉菜单中,选择管理密码选项,指定在哪些情况下允许使用域凭据登录的 Citrix Receiver for Web 站点用户更改其密码。
- 要允许用户随时更改其密码,请选择随时。对于密码即将过期的本地用户,系统会在其登录时显示一条警告。系统只向从内部网络进行连接的用户显示密码过期警告。默认情况下,向用户发出通知的时间段由相应的 Windows 策略设置决定。有关设置自定义通知时间段的详细信息,请参阅配置密码过期通知时间段。仅受 Citrix Receiver for Web 支持。
-
要允许用户仅在密码已过期时更改其密码,请选择过期时。由于密码过期而无法登录的用户将重定向到更改密码对话框。Citrix Workspace 应用程序和 Citrix Receiver for Web 支持此功能。
注意:
确保 StoreFront 服务器上有足够的磁盘空间来存储所有用户的配置文件。为检查用户的密码是否即将过期,StoreFront 会在服务器上为该用户创建一个本地配置文件。StoreFront 必须能够与域控制器进行通信,才能更改用户的密码。
-
要阻止用户更改其密码,请勿选择允许用户更改密码。如果选择此选项,则必须自行安排支持方案,以为由于密码过期而无法访问桌面和应用程序的用户提供支持。
- 要阻止用户更改其密码,请勿选择允许用户更改密码。如果选择此选项,则必须自行安排支持方案,以为由于密码过期而无法访问桌面和应用程序的用户提供支持。
Citrix Workspace 应用程序 如果在 StoreFront 上启用,用户可以更改已过期的密码 系统会通知用户密码过期 如果在 StoreFront 上启用,用户可以在密码过期之前更改密码 Windows 是 Mac 是 Android iOS Linux 是 Web 是 是 是
共享身份验证服务设置
可以通过执行“共享身份验证服务设置”任务指定要共享身份验证服务的应用商店,从而实现在这些应用商店之间进行单点登录。
- 在 Windows 的开始屏幕或应用程序屏幕中,找到并单击 Citrix StoreFront 磁贴。
- 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店节点,然后在结果窗格中选择一个应用商店。在操作窗格中,单击管理身份验证方法。
- 在高级下拉菜单中,选择共享身份验证服务设置。
- 单击使用共享身份验证服务复选框,并从应用商店名称下拉菜单中选择一个应用商店。
注意:
共享身份验证服务与专用身份验证服务之间不存在功能差异。多个应用商店共享的身份验证服务被视为共享身份验证服务,并且任何配置更改都会影响对使用共享身份验证服务的所有应用商店的访问。
将凭据验证委派给 Citrix Gateway
可以通过执行“配置委派身份验证”任务为通过 Citrix Gateway 访问应用商店的智能卡用户启用直通身份验证。仅当在结果窗格中启用并选择了“从 Citrix Gateway 直通”时,才能执行此项任务。
如果将凭据验证委派给 Citrix Gateway,则用户使用智能卡向 Citrix Gateway 验证身份后,即可在访问自己的应用商店时自动登录。在您启用了“从 Citrix Gateway 直通”身份验证时,此设置默认处于禁用状态,以便只有用户使用密码登录 Citrix Gateway 时才会进行直通身份验证。