用户身份验证
StoreFront 为访问应用商店的用户提供多种不同的身份验证方法。根据用户访问方法及其网络位置,并非所有功能都可用。出于安全原因,在创建第一个应用商店时,某些身份验证方法默认情况下处于禁用状态。有关启用和禁用用户身份验证方法的详细信息,请参阅创建和配置身份验证服务。
用户名和密码
用户在访问应用商店时将输入其凭据以进行身份验证。默认情况下会启用显式身份验证。所有用户访问方法都支持显式身份验证。
当用户利用 Citrix Gateway 访问 Citrix Receiver for Web 时,Citrix Gateway 将处理登录,并且密码将在过期时更改。用户可以通过 Citrix Receiver for Web 用户界面选择更改密码。选择更改密码后,Citrix Gateway 会话将终止,用户必须重新登录。Citrix Receiver for Linux 或适用于 Linux 的 Citrix Workspace 应用程序用户只能更改过期密码。
SAML 身份验证
用户向 SAML 身份提供程序验证身份后,即可在访问自己的应用商店时自动登录。StoreFront 可以支持直接在企业网络中进行 SAML 身份验证,无需通过 Citrix Gateway。
SAML(安全声明标记语言)是身份和身份验证产品(例如 Microsoft AD FS(Active Directory 联合身份验证服务))使用的开放式标准。通过 StoreFront 集成 SAML 身份验证后,管理员可以允许用户(例如)登录其企业网络一次,然后获取对其已发布的应用程序的单点登录。
要求:
- 实施 Citrix 联合身份验证服务。
- 符合 SAML 2.0 标准的身份提供程序 (IdPs):
- 在新部署中(请参阅创建新部署)或在现有部署中(请参阅配置身份验证服务),使用 StoreFront 管理控制台在 StoreFront 中配置 SAML 身份验证。还可以使用 PowerShell cmdlet 配置 SAML 身份验证,请参阅 StoreFront SDK。
- Citrix Receiver for Windows(4.6 及更高版本)或适用于 Windows 的 Citrix Workspace 应用程序,或者 Citrix Receiver for Web。
Receiver for Web 站点支持 SAML 身份验证与 Citrix Gateway 结合使用。
域直通
用户向其加入域的 Windows 计算机验证身份后,即可在访问自己的应用商店时使用其凭据自动登录。
安装 StoreFront 时,域直通身份验证默认情况下处于禁用状态。可以为通过 Citrix Workspace 应用程序和 XenApp Services URL 连接到应用商店的用户启用域直通身份验证。Citrix Receiver for Web 站点支持在已加入域的 Windows 客户端计算机上对 Internet Explorer、Microsoft Edge、Mozilla Firefox 和 Google Chrome 进行域直通身份验证。
注意:
要使用此选项,在用户设备上安装 Citrix Receiver for Windows 时,必须启用直通身份验证。面向 Citrix Receiver for Web 的域直通身份验证仅对使用 Internet Explorer、Microsoft Edge、Mozilla Firefox 和 Google Chrome 的 Windows 操作系统有效,并且这些浏览器依赖成功的客户端检测来与本机 Citrix Workspace 应用程序进行通信。这是域直通身份验证发挥作用的必备条件。
启用域直通身份验证
- 在用户设备上安装 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序,或者适用于 Windows 的 Citrix 联机插件。确保已启用直通身份验证。
- 在管理控制台中的“Citrix Receiver for Web 站点”节点中,启用域直通身份验证。
- 在 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序上配置 SSON,如配置域直通身份验证中所述。适用于 HTML5 的 Citrix Workspace 应用程序不支持域直通身份验证。
- Windows 的默认行为是“仅在 Intranet 区域中自动登录”。对于 Internet Explorer、Mozilla Firefox 和 Google Chrome,请使用“Internet 选项”将 Citrix Receiver for Web 站点配置为 Intranet 站点,或为受信任的区域启用自动登录。对于 Microsoft Edge,必须将 Citrix Receiver for Web 站点配置为 Intranet 站点。
- 对于 Mozilla Firefox,请修改浏览器高级设置以信任 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序 URI。
警告:
错误地编辑高级设置可能会导致严重问题。自行承担编辑风险。
- 启动 Firefox,在地址栏中输入 about:config 并选择“我接受风险!”
- 在搜索框中键入 ntlm。
- 双击 network.automatic-ntlm-auth.trusted-uris,然后在弹出对话框中键入 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序站点 URL。
- 单击确定。
从 Citrix Gateway 直通
用户向 Citrix Gateway 验证身份后,即可在访问自己的应用商店时自动登录。在首次配置对应用商店的远程访问时,Citrix Gateway 直通身份验证方法默认情况下处于启用状态。用户可以使用 Citrix Workspace 应用程序或 Citrix Receiver for Web 站点通过 Citrix Gateway 连接到应用商店。有关针对 Citrix Gateway 配置 StoreFront 的详细信息,请参阅添加 Citrix Gateway 连接。
StoreFront 支持使用针对以下 Citrix Gateway 身份验证方法进行直通。
- 安全令牌。用户使用派生自令牌代码(由安全令牌生成)的通行码登录 Citrix Gateway,有时还会结合使用 PIN。如果您启用了仅通过安全令牌进行直通身份验证,请确保您设置为可用的资源不需要额外或附加形式的身份验证,例如用户的 Microsoft Active Directory 域凭据。
- 域和安全令牌。登录到 Citrix Gateway 的用户需要输入域凭据和安全令牌通行码。
- 客户端证书。用户登录到 Citrix Gateway,并根据提供给 Citrix Gateway 的客户端证书的属性进行身份验证。可以配置客户端证书身份验证,以允许用户使用智能卡登录到 Citrix Gateway。也可以将客户端证书身份验证与其他身份验证类型结合使用,以提供双来源身份验证。
StoreFront 使用 Citrix Gateway 身份验证服务为远程用户提供直通身份验证,以便这些用户只需输入一次凭据。但是,直通身份验证默认情况下仅对支持密码登录到 Citrix Gateway 的用户。要为智能卡用户配置从 Citrix Gateway 到 StoreFront 的直通身份验证,需要将凭据验证委派给 Citrix Gateway。有关详细信息,请参阅创建和配置身份验证服务。
用户可以使用 Citrix Gateway 插件通过安全套接字层 (SSL) 虚拟专用网络 (VPN) 通道以直通身份验证的方式从 Citrix Workspace 应用程序连接到应用商店。无法安装 Citrix Gateway 插件的远程用户可以使用无客户端访问,以直通身份验证的方式从 Citrix Workspace 应用程序连接到应用商店。要使用无客户端访问连接到应用商店,用户需要使用支持无客户端访问的 Citrix Workspace 应用程序版本。
此外,您还可以允许以直通身份验证的方式对 Citrix Receiver for Web 站点执行无客户端访问。为此,应将 Citrix Gateway 配置为安全远程代理。用户直接登录 Citrix Gateway,并使用 Citrix Receiver for Web 站点访问应用程序,而无需再次进行身份验证。
采用无客户端访问的形式连接到 Endpoint Management 资源的用户仅能访问外部软件即服务 (SaaS) 应用程序。要访问内部 Web 应用程序,远程用户必须使用 Citrix Gateway 插件。
如果您为从 Citrix Workspace 应用程序访问应用商店的远程用户配置了为 Citrix Gateway 执行双来源身份验证,则必须在 Citrix Gateway 上创建两个身份验证策略。将 RADIUS(远程身份验证拨入用户服务)配置为主要身份验证方法,将 LDAP(轻型目录访问协议)配置为辅助方法。将凭据索引修改为在会话配置文件中使用辅助身份验证方法,以便将 LDAP 凭据传递到 StoreFront。将 Citrix Gateway 设备添加到 StoreFront 配置时,请将“登录类型”设置为“域和安全令牌”。有关详细信息,请参阅http://support.citrix.com/article/CTX125364。
要启用通过 Citrix Gateway 向 StoreFront 的多域身份验证,请在每个域的 Citrix Gateway LDAP 身份验证策略中将“SSO Name Attribute”(SSO 名称属性)设置为 userPrincipalName。可以要求用户在 Citrix Gateway 登录页面中指定一个域,以便确定要使用的相应 LDAP 策略。在为指向 StoreFront 的连接配置 Citrix Gateway 会话配置文件时,不要指定单点登录域。您必须在各个域之间配置信任关系。确保不要将用户限制为只能访问显式可信域,以便他们可以从任何域登录到 StoreFront。
在 Citrix Gateway 部署支持的情况下,您可以使用 SmartAccess 并根据 Citrix Gateway 会话策略来控制用户对 Citrix Virtual Apps and Desktops 资源的访问。有关 SmartAccess 的详细信息,请参阅 How SmartAccess works for Citrix Virtual Apps and Desktops(SmartAccess 用于 Citrix Virtual Apps and Desktops 的方式)。
智能卡
用户在访问应用商店时其使用智能卡和 PIN 进行身份验证。安装 StoreFront 时,智能卡身份验证默认情况下处于禁用状态。可以为通过 Citrix Workspace 应用程序、Citrix Receiver for Web 和 XenApp Services URL 连接到应用商店的用户启用智能卡身份验证。
使用智能卡身份验证可简化用户的登录过程,同时还能提高用户访问基础结构的安全性。对内部企业网络的访问受基于证书的使用公钥基础结构的双重身份验证所保护。私钥受硬件控制保护,离不开智能卡。使用智能卡和 PIN,用户可以方便地从一系列的企业设备访问其桌面和应用程序。
可以使用智能卡实现 StoreFront 对用户的身份验证,以访问 Citrix Virtual Apps and Desktops 提供的桌面和应用程序。登录 StoreFront 的智能卡用户还可以访问 Endpoint Management 提供的应用程序。但是,用户必须重新进行身份验证才能访问使用客户端证书身份验证的 Endpoint Management Web 应用程序。
要启用智能卡身份验证,必须在包含 StoreFront 服务器的 Microsoft Active Directory 域或与 StoreFront 服务器域具有直接双向信任关系的域中配置用户的帐户。支持涉及双向信任的多林部署。
对 StoreFront 使用智能卡身份验证的配置取决于用户设备、安装的客户端以及设备是否已加入域。在本上下文中,已加入域表示设备已加入包含 StoreFront 服务器的 Active Directory 林中的一个域。
对 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序使用智能卡
使用运行 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序的设备的用户可以使用智能卡直接进行身份验证,或通过 Citrix Gateway 进行身份验证。既可以使用加入域的设备,也可以使用未加入域的设备,但用户体验稍有不同。
下图显示了通过 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序实现智能卡身份验证的选项。
对于使用已加入域的设备的用户,可以配置智能卡身份验证,以便系统仅提示用户输入凭据一次。用户将使用其智能卡和 PIN 登录设备,进行适当配置后,不会再次提示输入 PIN。用户在访问其桌面和应用程序时,会在无提示情况下向 StoreFront 进行身份验证。为此,可以为 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序配置直通身份验证并启用向 StoreFront 的域直通身份验证。
用户登录其设备,然后使用其 PIN 向 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序验证身份。尝试启动应用程序和桌面时,不再显示 PIN 提示。
由于未加入域的设备的用户将直接登录 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序,因此,您可以允许用户回退至显式身份验证。如果同时配置了智能卡和显式身份验证,则系统最初会提示用户使用智能卡和 PIN 进行登录,但在智能卡出现问题时可以选择使用显式身份验证。
通过 Citrix Gateway 进行连接的用户必须至少使用其智能卡和 PIN 登录两次,才能访问其桌面和应用程序。对于加入域的设备和未加入域的设备均是如此。用户使用智能卡和 PIN 进行身份验证,如果进行适当配置,用户在访问其桌面或应用程序时只会收到再次输入 PIN 的提示。为此,应启用通过 Citrix Gateway 进行针对 StoreFront 的直通身份验证并将凭据验证工作委派给 Citrix Gateway。然后,创建额外的 Citrix Gateway 虚拟服务器,用来将用户连接路由到资源。对于加入域的设备,还必须为 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序配置直通身份验证。
注意:
如果使用的是 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序,则可以设置第二个虚拟服务器并使用最佳网关路由功能,这样在启动应用程序和桌面时,不需要再提示输入 PIN。
用户可以使用智能卡和 PIN 或使用显式凭据登录 Citrix Gateway。这允许您为用户提供选项,以回退至使用显式身份验证进行 Citrix Gateway 登录。可以配置从 Citrix Gateway 到 StoreFront 的直通身份验证,并将智能卡用户的凭据验证委派给 Citrix Gateway,这样用户就可以无提示地向 StoreFront 进行身份验证。
对 XenApp Services URL 使用智能卡
运行 Citrix Desktop Lock 的 PC 的用户可以使用智能卡进行身份验证。与其他访问方法不同,当智能卡身份验证被配置为支持 XenApp Services URL 时,会自动启用智能卡凭据直通功能。
下图显示了如何从运行 Citrix Desktop Lock 的已加入域的设备进行智能卡身份验证。
用户使用智能卡和 PIN 登录到设备。随后,Citrix Desktop Lock 通过 XenApp Services URL 无提示地进行 StoreFront 对用户的身份验证。用户在访问桌面和应用程序时会自动进行身份验证,不会再次提示其输入 PIN。
对 Citrix Receiver for Web 使用智能卡
可以从 StoreFront 管理控制台启用向 Citrix Receiver for Web 的智能卡身份验证。
- 在左侧面板中选择 Citrix Receiver for Web 节点。
- 选择要使用智能卡身份验证的站点。
- 在右侧面板中选择选择身份验证方法任务。
- 选中弹出对话框屏幕中的“智能卡”复选框,然后单击“确定”。
如果为使用已加入域的设备但不通过 Citrix Gateway 访问应用商店的 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序用户启用了向 Citrix Virtual Apps and Desktops 使用智能卡进行直通身份验证,则此设置将应用于应用商店的所有用户。要对桌面和应用程序同时启用域直通和使用智能卡进行直通身份验证,则必须为每种身份验证方法创建单独的应用商店。然后,用户必须连接到与其身份验证方法所对应的应用商店。
如果为使用已加入域的设备通过 Citrix Gateway 访问应用商店的 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序用户启用了向 Citrix Virtual Apps and Desktops 使用智能卡进行直通身份验证,则此设置将应用于应用商店的所有用户。要为某些用户启用直通身份验证,但要求其他用户登录到桌面和应用程序,必须为每组用户创建单独的应用商店。然后,将用户定向到与其身份验证方法所对应的应用商店。
对适用于 iOS 和 Android 的 Citrix Workspace 应用程序使用智能卡
使用运行适用于 iOS 和 Android 的 Citrix Workspace 应用程序的设备的用户可以使用智能卡直接进行身份验证,或通过 Citrix Gateway 进行身份验证。可以使用未加入域的设备。
如果在本地网络中存在设备,用户最少会收到两次登录提示。用户向 StoreFront 验证身份或最初创建应用商店时,会收到输入智能卡 PIN 码的提示。进行适当配置后,用户仅在访问其桌面和应用程序时,再次收到输入 PIN 的提示。为此,应启用针对 StoreFront 的智能卡身份验证,并在 VDA 上安装智能卡驱动程序。
使用这些 Citrix Workspace 应用程序,您可以选择指定智能卡或域凭据。如果您创建了应用商店以使用智能卡或希望使用域凭据连接到同一应用商店,则必须在未打开智能卡的情况下添加单独的应用商店。
通过 Citrix Gateway 进行连接的用户必须至少使用其智能卡和 PIN 登录两次,才能访问其桌面和应用程序。用户使用智能卡和 PIN 进行身份验证,如果进行适当配置,用户在访问其桌面或应用程序时只会收到再次输入 PIN 的提示。为此,应启用通过 Citrix Gateway 进行针对 StoreFront 的直通身份验证并将凭据验证工作委派给 Citrix Gateway。然后,创建额外的 Citrix Gateway 虚拟服务器,用来将用户连接路由到资源。
用户可以使用智能卡和 PIN 或使用显式凭据登录到 Citrix Gateway,具体视您为连接指定身份验证的方式而定。可以配置从 Citrix Gateway 到 StoreFront 的直通身份验证,并将智能卡用户的凭据验证委派给 Citrix Gateway,这样用户就可以无提示地向 StoreFront 进行身份验证。如果要更改身份验证方法,必须先删除连接,然后再重新创建。
对 Citrix Receiver for Linux 或适用于 Linux 的 Citrix Workspace 应用程序使用智能卡
使用运行 Citrix Receiver for Linux 或适用于 Linux 的 Citrix Workspace 应用程序的设备的用户可以像未加入域的 Windows 设备的用户那样,使用智能卡直接进行身份验证。即使用户使用智能卡向 Linux 设备进行身份验证,Citrix Receiver for Linux 或适用于 Linux 的 Citrix Workspace 应用程序也无法获得或重用输入的 PIN。
采用与 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序相同的方式为服务器端组件配置智能卡。请参阅配置智能卡身份验证,有关使用智能卡的说明,请参阅 Citrix Receiver for Linux。
用户最少会收到一次登录提示。用户登录其设备,然后使用其智能卡和 PIN 向 Citrix Receiver for Linux 或适用于 Linux 的 Citrix Workspace 应用程序验证身份。用户在访问其桌面和应用程序时,不会再次收到输入 PIN 的提示。为此,应启用针对 StoreFront 的智能卡身份验证。
由于用户直接登录到 Citrix Receiver for Linux 或适用于 Linux 的 Citrix Workspace 应用程序,因此,您可以允许用户回退至显式身份验证。如果同时配置了智能卡和显式身份验证,则系统最初会提示用户使用智能卡和 PIN 进行登录,但在智能卡出现问题时可以选择使用显式身份验证。
通过 Citrix Gateway 进行连接的用户必须至少使用其智能卡和 PIN 登录一次,才能访问其桌面和应用程序。用户使用智能卡和 PIN 进行身份验证,如果进行适当配置,用户在访问其桌面或应用程序时不会收到再次输入 PIN 的提示。为此,应启用通过 Citrix Gateway 进行针对 StoreFront 的直通身份验证并将凭据验证工作委派给 Citrix Gateway。然后,创建额外的 Citrix Gateway 虚拟服务器,用来将用户连接路由到资源。
用户可以使用智能卡和 PIN 或使用显式凭据登录 Citrix Gateway。这允许您为用户提供选项,以回退至使用显式身份验证进行 Citrix Gateway 登录。可以配置从 Citrix Gateway 到 StoreFront 的直通身份验证,并将智能卡用户的凭据验证委派给 Citrix Gateway,这样用户就可以无提示地向 StoreFront 进行身份验证。
XenApp Services 支持站点不支持 Citrix Receiver for Linux 或适用于 Linux 的 Citrix Workspace 应用程序的智能卡。
同时为服务器和 Citrix Workspace 应用程序启用智能卡支持后,假设智能卡证书的应用程序策略允许使用,则可以使用智能卡执行以下操作:
- 智能卡登录身份验证。使用智能卡向 Citrix Virtual Apps and Desktops 服务器验证用户身份。
- 智能卡应用程序支持。允许支持智能卡的已发布应用程序访问本地智能卡设备。
对 XenApp Services 支持使用智能卡
登录 XenApp Services 支持站点以启动应用程序和桌面的用户可以使用智能卡进行身份验证,具体视特定硬件、操作系统和 Citrix Workspace 应用程序而定。用户访问 XenApp Services 支持站点并成功输入智能卡和 PIN 时,PNA 将确定用户身份、向 StoreFront 进行用户身份验证并返回可用资源。
要使直通和智能卡身份验证生效,您必须启用“Trust requests sent to the XML service”(信任发送到 XML Service 的请求)。
使用 Delivery Controller 上具有本地管理员权限的帐户启动 Windows PowerShell,然后在命令提示窗口处输入以下命令,以使 Delivery Controller 信任发送自 StoreFront 的 XML 请求。以下过程适用于 XenApp 7.5 到 7.8 以及 XenDesktop 7.0 到 7.8。
- 加载 Citrix cmdlet,方法是键入
asnp Citrix*.(包括句点)。 - 键入
Add-PSSnapin citrix.broker.admin.v2。 - 键入
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True。 - 关闭 PowerShell。
有关配置 XenApp Services 支持智能卡身份验证方法的信息,请参阅配置 XenApp Services URL 的身份验证。
重要注意事项
使用智能卡进行用户身份验证以访问 StoreFront 时需满足和遵循以下要求和限制。
-
要使用虚拟专用网络 (VPN) 通道进行智能卡身份验证,用户必须安装 Citrix Gateway 插件或通过 Web 页面进行登录,并在执行每个步骤时都使用智能卡和 PIN 进行身份验证。使用 Citrix Gateway 插件通过直通身份验证访问 StoreFront 不适用于智能卡用户。
-
可以在同一用户设备上使用多个智能卡和多个读卡器,但是,如果启用了通过智能卡直通身份验证,则用户必须确保在访问桌面或应用程序时只插入一个智能卡。
-
在应用程序中使用智能卡时(例如,进行数字签名或加密时),用户可能会看到额外的要求插入智能卡或输入 PIN 的提示。同时插入多个智能卡时可能会发生这种情况。配置设置(例如,通常使用组策略配置的 PIN 缓存等中间件设置)也会导致出现这种情况。如果智能卡已在读卡器中时提示用户插入智能卡,则此时必须单击取消。如果提示用户输入 PIN,则必须再次输入 PIN。
-
如果为使用已加入域的设备但不通过 Citrix Gateway 访问应用商店的 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序用户启用了向 Citrix Virtual Apps and Desktops 使用智能卡进行直通身份验证,则此设置将应用于应用商店的所有用户。要对桌面和应用程序同时启用域直通和使用智能卡进行直通身份验证,则必须为每种身份验证方法创建单独的应用商店。然后,用户必须连接到与其身份验证方法所对应的应用商店。
-
如果为使用已加入域的设备通过 Citrix Gateway 访问应用商店的 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序用户启用了向 Citrix Virtual Apps and Desktops 使用智能卡进行直通身份验证,则此设置将应用于应用商店的所有用户。要为某些用户启用直通身份验证,但要求其他用户登录到桌面和应用程序,必须为每组用户创建单独的应用商店。然后,将用户定向到与其身份验证方法所对应的应用商店。
-
只能为每个 XenApp Services URL 配置一种身份验证方法,而且每个应用商店只能使用一个 URL。如果除了智能卡身份验证以外,您还必须启用其他类型的身份验证,则必须为每种身份验证方法创建单独的应用商店,每个应用商店都具有一个 XenApp Services URL。然后,将用户定向到与其身份验证方法所对应的应用商店。
-
安装 StoreFront 时,Microsoft Internet Information Services (IIS) 中的默认配置仅要求 StoreFront 身份验证服务的证书身份验证 URL 的 HTTPS 连接提供客户端证书。对于任何其他 StoreFront URL,IIS 不要求提供客户端证书。此配置能够让智能卡用户在智能卡出现问题时,可以选择回退至显式身份验证。根据相应的 Windows 策略设置而定,用户也可以移除智能卡,而不需要重新进行身份验证。
如果您决定将 IIS 配置为要求所有 StoreFront URL 的 HTTPS 连接提供客户端证书,则必须将身份验证服务和应用商店放置在同一服务器上。必须使用对所有应用商店都有效的客户端证书。使用此 IIS 站点配置时,智能卡用户无法通过 Citrix Gateway 进行连接,也无法回退至显式身份验证。如果从设备上移除了智能卡,用户必须重新登录。