产品文档
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
查看 PDF

使用不同域进行身份验证

March 9, 2026
投稿者: 
C C

某些组织制定了相关策略,不允许第三方开发人员或承包商访问生产环境中的已发布资源。本文介绍如何通过 Citrix Gateway 使用一个域进行身份验证,从而授予对测试环境中已发布资源的访问权限。然后,您可以使用不同的域向 StoreFront 和 Receiver for Web 站点进行身份验证。本文所述的通过 Citrix Gateway 进行身份验证支持通过 Receiver for Web 站点登录的用户。此身份验证方法不支持本机桌面或移动 Citrix Receiver 或 Citrix Workspace 应用程序的用户。

设置测试环境

此示例使用名为 production.com 的生产域和名为 development.com 的测试域。

production.com

此示例中的 production.com 域设置如下:

  • Citrix Gateway,配置了 production.com LDAP 身份验证策略。
  • 通过网关进行身份验证时使用 production\testuser1 帐户和密码。

development.com

此示例中的 development.com 域设置如下:

  • StoreFront、Citrix Virtual Apps and Desktops 和 VDA 均位于 development.com 域中。
  • 向 Citrix Receiver for Web 站点进行身份验证时使用 development\testuser1 帐户和密码。
  • 两个域之间没有信任关系。

为应用商店配置 Citrix Gateway

要为应用商店配置 Citrix Gateway,请执行以下操作:

  1. 在 Citrix StoreFront 管理控制台的左窗格中选择应用商店,然后在操作窗格中单击管理 Citrix Gateway
  2. 在“管理 Citrix Gateway”屏幕上,单击添加

  3. 完成“常规设置”、“安全票据颁发机构”和“身份验证”步骤。

    Add Citrix Gateway Appliance 窗口的“常规设置”部分的屏幕截图

    Add Citrix Gateway Appliance 窗口的“安全票据颁发机构”部分的屏幕截图

    Add Citrix Gateway Appliance 窗口的“身份验证设置”部分的屏幕截图

注意:

可能需要添加 DNS 条件转发器,以便两个域中使用的 DNS 服务器可以解析另一个域上的 FQDN。Citrix ADC 设备必须能够使用其 production.com DNS 服务器解析 development.com 域上的 STA 服务器 FQDN。StoreFront 也应该能够使用其 development.com DNS 服务器解析 production.com 域上的回调 URL。或者,可以使用解析为 Citrix Gateway 虚拟服务器虚拟 IP (VIP) 的 development.com FQDN。

启用 Citrix Gateway 直通

  1. 在 Citrix StoreFront 管理控制台的左窗格中选择应用商店,然后在操作窗格中单击管理身份验证方法
  2. 在“管理身份验证方法”屏幕上,选择从 Citrix Gateway 直通
  3. 单击确定

“管理身份验证方法”窗口的屏幕截图

使用网关配置应用商店以进行远程访问

  1. 在 Citrix StoreFront 管理控制台的左窗格中选择应用商店节点,然后在结果窗格中选择一个应用商店。在操作窗格中,单击配置远程访问设置
  2. 选择启用远程访问
  3. 确保您已将 Citrix Gateway 注册到您的应用商店。如果您未注册 Citrix Gateway,STA 票据将无法工作。

“配置远程访问设置”窗口的屏幕截图

禁用令牌一致性

  1. 在 Citrix StoreFront 管理控制台的左窗格中选择应用商店节点,然后在结果窗格中选择一个应用商店。在操作窗格中,单击配置应用商店设置
  2. 在“配置应用商店设置”页面上,选择高级设置

  3. 清除要求令牌一致性复选框。有关详细信息,请参阅高级应用商店设置

    高级设置中“要求令牌一致性”设置的屏幕截图

  4. 单击确定

注意:

“要求令牌一致性”设置默认处于选中(启用)状态。如果禁用此设置,用于 Citrix ADC 端点分析 (EPA) 的 SmartAccess 功能将停止工作。

禁用 Receiver for Web 站点的 Citrix Gateway 直通

重要提示:

禁用 Citrix Gateway 直通可防止 Receiver for Web 尝试使用从 Citrix ADC 设备传递的 production.com 域中的不正确凭据。禁用 Citrix Gateway 直通会导致 Receiver for Web 提示用户输入凭据。这些凭据与通过 Citrix Gateway 登录时使用的凭据不同。

  1. 在 Citrix StoreFront 管理控制台的左窗格中选择应用商店节点。
  2. 选择要修改的应用商店
  3. 操作窗格中,单击管理 Receiver for Web 站点
  4. 在“身份验证方法”中,清除从 Citrix Gateway 直通

  5. 单击确定

    “编辑 Receiver for Web 站点”窗口的“身份验证方法”部分的屏幕截图

使用 production.com 用户和凭据登录到网关

要进行测试,请使用 production.com 用户和凭据登录到网关。

登录屏幕的屏幕截图

登录后,系统会提示用户输入 development.com 凭据。

第二个登录屏幕的屏幕截图

在 StoreFront 中添加受信任域下拉列表(可选)

此设置是可选的,但它可能有助于防止用户在通过 Citrix Gateway 进行身份验证时意外输入错误的域。

如果两个域的用户名相同,则输入错误域的可能性更大。新用户可能也习惯于在通过 Citrix Gateway 登录时省略域。然后,当系统提示用户登录到 Receiver for Web 站点时,用户可能会忘记为第二个域输入 domain\username。

  1. 在 Citrix StoreFront 管理控制台的左窗格中选择应用商店,然后在操作窗格中单击管理身份验证方法
  2. 选择用户名和密码旁边的下拉箭头。
  3. 单击添加以将 development.com 添加为受信任域,然后选中在登录页面中显示域列表复选框。
  4. 单击确定

“配置受信任域”窗口的屏幕截图

带有域下拉列表的登录屏幕的屏幕截图

注意:

在此身份验证方案中不建议使用浏览器密码缓存。如果用户对两个不同域帐户使用不同的密码,密码缓存可能会导致糟糕的体验。

Citrix Gateway 无客户端 VPN (CVPN) 会话操作策略

  • 如果在 Citrix Gateway 会话策略中启用了 Web 应用程序的单点登录,则 Citrix ADC 设备发送到 Receiver for Web 的不正确凭据将被忽略,因为您已在 Receiver for Web 站点上禁用了从 Citrix Gateway 直通身份验证方法。无论此选项设置为如何,Receiver for Web 都会提示输入凭据。

  • 在 Citrix ADC 设备中的“客户端体验”和“已发布应用程序”选项卡中填充单点登录条目不会改变本文所述的行为。

    NetScaler 策略屏幕的“客户端体验”选项卡的屏幕截图

    NetScaler 策略屏幕的“已发布应用程序”选项卡的屏幕截图

使用不同域进行身份验证
March 9, 2026
投稿者: 
C C
March 9, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.