管理通过 Citrix Gateway 对应用商店的远程访问
可以通过执行“远程访问设置”任务为从公用网络连接的用户配置通过 Citrix Gateway 对应用商店的访问。无法对未经身份验证的应用商店应用通过 Citrix Gateway 进行远程访问。
重要:
在多服务器部署中,请一次仅使用一台服务器以更改服务器组的配置。确保 Citrix StoreFront 管理控制台未在部署中的任何其他服务器上运行。完成后,请 将对配置所做的更改传播到服务器组,以便更新部署中的其他服务器。
-
在 Windows 的开始屏幕或应用程序屏幕中,找到并单击 Citrix StoreFront 磁贴。
-
在 Citrix StoreFront 管理控制台的右侧窗格中选择“应用商店”节点,然后在结果窗格中选择一个应用商店。在“操作”窗格中,单击配置远程访问设置。
-
在“配置远程访问设置”对话框中,指定从公用网络连接的用户是否以及如何能够通过 Citrix Gateway 访问应用商店。
- 要将应用商店设置为对公共网络中的用户不可用,请务必不选中启用远程访问。这样,只有内部网络的本地用户才能够访问应用商店。
- 要启用远程访问,请选中启用远程访问。
- 要使通过该应用商店交付的资源可通过 Citrix Gateway 访问,请选择无 VPN 通道。用户使用 ICAProxy 或无客户端 VPN (cVPN) 登录到 Citrix Gateway,不需要使用 Citrix Gateway 插件来建立完整的 VPN。
- 要通过安全套接字层 (SSL) 虚拟专用网络 (VPN) 通道获得该应用商店以及内部网络中的其他资源,请选择完整 VPN 通道。用户需要使用 Citrix Gateway 插件创建 VPN 通道。
允许对应用商店进行远程访问时,将自动启用从 Citrix Gateway 直通身份验证方法。用户向 Citrix Gateway 验证身份后,即可在访问自己的应用商店时自动登录。
-
如果已启用远程访问,请从 Citrix Gateway 设备列表中选择用户可通过其访问应用商店的部署。先前为该应用商店和其他应用商店配置的所有部署都将显示在列表中,以供选择。如果希望在列表中添加更多部署,请单击添加。否则,请继续执行步骤 14。
-
在“常规设置”页面上,为 Citrix Gateway 设备指定便于用户识别的显示名称。
用户将在 Citrix Workspace 应用程序中看到您指定的显示名称,因此,请在该名称中包含相关信息,以帮助用户决定是否使用该网关。例如,可以在 Citrix Gateway 部署的显示名称中包含地理位置信息,以便用户能够轻松识别最便于其所在位置使用或者最靠近其所在位置的网关。
-
对于 Citrix Gateway URL,请键入用于您的部署的 Citrix Gateway 虚拟服务器的“URL:端口”组合。如果未指定端口,则使用默认
https://端口 443。没有必要在 URL 中指定端口 443。 - 从可用选项中选择 Citrix Gateway 的用法。
- 身份验证和 HDX 路由: Citrix Gateway 将用于进行身份验证以及路由任何 HDX 会话。
- 仅限身份验证: Citrix Gateway 将用于身份验证,不用于任何 HDX 会话路由。
- 仅限 HDX 路由: Citrix Gateway 将用于 HDX 会话路由,不用于身份验证。
-
对于要使由 Citrix Virtual Apps and Desktops 或XenApp 6.5 提供的资源在应用商店中可用的所有部署,请在 Secure Ticket Authority 页面上列出运行 STA 的服务器的 Secure Ticket Authority (STA) URL。添加多个 STA 的 URL 以启用容错功能,并按优先级顺序列出这些服务器以设置故障转移顺序。
STA 托管在 Citrix Virtual Apps and Desktops 或 XenApp 6.5 服务器上,并发出会话票据以响应连接请求。这些会话票据构成了对访问 Citrix Virtual Apps and Desktops 或 XenApp 6.5 资源进行身份验证和授权的基础。使用正确的 STA URL(例如
HTTPS://或HTTP://),具体取决于 Delivery Controller 的配置方式。STA URL 还必须与在虚拟服务器上的 Citrix Gateway 中配置的 URL 相同。 -
选择设置要进行负载平衡的 Secure Ticket Authority。还可以指定时间间隔,超过此间隔后,将绕过未响应的 STA。
-
要确保 Citrix Virtual Apps and Desktops 或 XenApp 6.5 在 Citrix Workspace 应用程序尝试自动重新连接时保持断开连接的会话处于打开状态,请选择启用会话可靠性。
-
如果配置了多个 STA,并且希望确保会话可靠性始终可用,请选中从两个 STA (如果可用)请求票据。StoreFront 将从两个不同的 STA 获取会话票据,即使一个 STA 在会话过程中变得不可用,用户会话也不会中断。如果由于任何原因无法与两个 STA 进行通信,StoreFront 将回退到使用单个 STA。
-
在身份验证设置页面上,键入 Citrix Gateway 设备的虚拟服务器 IP 地址 (VIP)。
使用 Citrix Gateway 虚拟服务器的专用 IP 地址,而非通过网络地址转换功能转换为专用 IP 地址的公用 IP 地址。网关通常由 StoreFront 通过其 URL 进行识别。如果使用全局服务器负载平衡 (GSLB),则必须将 VIP 添加到每个网关中。这允许 StoreFront 识别多个网关,这些网关都使用相同的 URL(GSLB 域名)作为不同的网关。例如,可以为使用相同 URL 的应用商店配置三个网关(例如
https://gslb.domain.com),但每个网关都配置了唯一的 VIP,例如 10.0.0.1、10.0.0.2 和 10.0.0.3。 -
如果要添加运行 Citrix Gateway 的设备,请从登录类型列表中选择您在设备上为 Citrix Workspace 应用程序用户配置的身份验证方法。
- 如果系统要求用户输入其 Microsoft Active Directory 域凭据,请选择域。
- 如果系统要求用户输入从安全令牌获得的令牌代码,请选择安全令牌。
- 如果系统要求用户同时输入域凭据和从安全令牌获得的令牌代码,请选择域和安全令牌。
- 如果系统要求用户输入通过短信发送的一次性密码,请选择 SMS 身份验证。
- 如果系统要求用户提供智能卡并输入 PIN,请选择智能卡。
如果为智能卡身份验证配置了辅助身份验证方法(当用户智能卡出现问题时可以回退到该方法),请从智能卡回退列表中选择辅助身份验证方法。
-
如果要为 Citrix Gateway 配置 StoreFront 并希望使用智能访问,则必须键入回调 URL。StoreFront 会自动附加 URL 的标准部分。输入设备的内部可访问的 URL。StoreFront 连接 Citrix Gateway 身份验证服务,以验证从 Citrix Gateway 收到的请求是否来自该设备。
使用 GSLB 时,我们建议您为每个 GSLB 网关配置唯一的回调 URL。StoreFront 必须能够将每个唯一的回调 URL 解析为每个 GSLB 网关虚拟服务器配置的专用 VIP。例如,
emeagateway.domain.com、usgateway.domain.com和apacgateway.domain.com应解析为正确的网关 VIP。 -
单击创建,将 Citrix Gateway 设备添加到远程访问设置对话框的列表中。
有关 Citrix Gateway 设备的配置信息保存到应用商店的 .cr 预配文件中。这使 Citrix Workspace 应用程序能够在首次联系设备时发送相应的连接请求。
-
根据需要重复步骤 4 到 13,将更多 Citrix Gateway 设备添加到 Citrix Gateway 设备列表中。如果通过在列表中选择多个条目启用通过多个设备进行访问,请指定用于访问该应用商店的默认设备。
- 单击确定保存配置并关闭“配置远程访问”对话框。