智能卡身份验证
通过智能卡身份验证,用户在访问其应用商店时可使用智能卡和 PIN 进行身份验证。智能卡身份验证可用于通过 Citrix Workspace 应用程序、Web 浏览器和 XenApp Services URL 连接到应用商店的用户。
注意:
如果用户使用智能卡登录 Windows,建议您启用域直通身份验证,而不是(或同时)智能卡身份验证。这可实现对应用商店的单点登录,而无需使用智能卡重新进行身份验证。
使用智能卡身份验证可简化用户的登录过程,同时增强用户对其基础结构的访问安全性。对内部公司网络的访问通过使用公钥基础结构的基于证书的双因素身份验证进行保护。私钥受硬件控制保护,并且永远不会离开智能卡。您的用户可以方便地使用智能卡和 PIN 从各种公司设备访问其桌面和应用程序。
要启用智能卡身份验证,必须在包含 StoreFront 服务器的 Microsoft Active Directory 域中,或在与 StoreFront 服务器域具有直接双向信任关系的域中配置用户帐户。支持涉及双向信任的多林部署。
文档适用于 Citrix 环境的智能卡配置介绍了如何为智能卡配置 Citrix 部署,其中使用了特定的智能卡类型。其他供应商的智能卡也适用类似的步骤。
先决条件
- 确保所有用户帐户均在您计划部署 StoreFront 服务器的 Microsoft Active Directory 域中,或在与 StoreFront 服务器域具有直接双向信任关系的域中配置。
- 如果您计划启用智能卡身份验证直通,请确保您的智能卡读卡器类型、中间件类型和配置以及中间件 PIN 缓存策略允许此操作。
- 在运行提供用户桌面和应用程序的 Virtual Delivery Agent 的虚拟或物理计算机上安装供应商的智能卡中间件。有关将智能卡与 Citrix Virtual Desktops 结合使用的详细信息,请参阅智能卡。
- 确保您的公钥基础结构已正确配置。检查证书到帐户的映射是否已为您的 Active Directory 环境正确配置,并且用户证书验证可以成功执行。
配置 StoreFront
-
您必须使用 HTTPS 在 StoreFront 和用户设备之间进行通信,以启用智能卡身份验证。请参阅使用 HTTPS 保护 StoreFront。
-
要在通过 Citrix Workspace 应用程序连接到应用商店时启用智能卡身份验证,请在身份验证方法中选中或取消选中智能卡。
-
默认情况下,为应用商店启用智能卡身份验证也会为该应用商店的所有网站启用智能卡身份验证。您可以在管理适用于 Web 站点的 Receiver 身份验证方法选项卡上独立启用或禁用特定网站的智能卡身份验证。
-
如果您同时配置智能卡和用户名密码身份验证,用户最初会收到使用智能卡和 PIN 登录的提示,但如果他们的智能卡出现任何问题,则可以选择显式身份验证。
配置 Delivery Controller™ 以信任 StoreFront
使用智能卡身份验证时,StoreFront 无法访问用户凭据,因此无法向 Citrix Virtual Apps and Desktops 进行身份验证。因此,您必须将 Delivery Controller 配置为信任来自 StoreFront 的请求,请参阅Citrix Virtual Apps and Desktops 安全注意事项和最佳实践。
通过 Citrix Gateway 进行远程访问
对于远程访问,您可以在 Citrix Gateway 上启用智能卡,然后通过委派身份验证启用对 StoreFront 的直通身份验证。有关详细信息,请参阅网关直通。
为确保用户在建立与其资源的连接时不会在虚拟服务器上收到额外的凭据提示,请创建第二个网关并在安全套接字层 (SSL) 参数中禁用客户端身份验证。有关详细信息,请参阅配置智能卡身份验证。通过启用了智能卡身份验证的网关访问 StoreFront 时。通过此虚拟服务器配置最佳 Citrix Gateway 路由,以连接到为应用商店提供桌面和应用程序的部署。有关详细信息,请参阅为应用商店配置最佳 HDX 路由。
对 VDA 进行单点登录
您可以通过直通用户的智能卡凭据来启用对 VDA 的单点登录。可以通过 Web 浏览器或适用于 Windows 的 Citrix Workspace™ 应用程序访问应用商店,但资源必须在适用于 Windows 的 Citrix Workspace 应用程序中打开。在其他操作系统上或通过浏览器访问资源时,用户在连接到 VDA 时必须重新输入其凭据。
-
在安装适用于 Windows 的 Citrix Workspace 时包含单点登录组件,并将其配置为单点登录。请参阅配置域直通身份验证。
-
使用文本编辑器打开应用商店的 default.ica 文件。请参阅默认 ICA。
-
要为不通过 Citrix Gateway 访问应用商店的用户启用智能卡凭据直通,请在 [Application] 部分中添加以下设置。
DisableCtrlAltDel=Off此设置适用于应用商店的所有用户。要同时启用域直通和智能卡身份验证直通到桌面和应用程序,您必须为每种身份验证方法创建单独的应用商店。然后,将用户引导至适合其身份验证方法的应用商店。
-
要为通过 Citrix Gateway 访问应用商店的用户启用智能卡凭据直通,请在 [Application] 部分中添加以下设置。
UseLocalUserAndPassword=On此设置适用于应用商店的所有用户。要为某些用户启用直通身份验证,并要求其他用户登录才能访问其桌面和应用程序,您必须为每组用户创建单独的应用商店。然后,将用户引导至适合其身份验证方法的应用商店。
或者,您可以配置 Federated Authentication Service 以对 VDA 进行单点登录
重要注意事项
将智能卡用于 StoreFront 的用户身份验证受以下要求和限制的约束。
-
要将虚拟专用网络 (VPN) 隧道与智能卡身份验证结合使用,用户必须安装 Citrix Gateway 插件并通过网页登录,在每个步骤中使用智能卡和 PIN 进行身份验证。对于智能卡用户,Citrix Gateway 插件不支持对 StoreFront 进行直通身份验证。
-
可以在同一用户设备上使用多张智能卡和多个读卡器,但如果您启用智能卡身份验证直通,用户必须确保在访问桌面或应用程序时只插入一张智能卡。
-
当在应用程序中使用智能卡时(例如用于数字签名或加密),用户可能会看到额外的提示,要求插入智能卡或输入 PIN。如果同时插入了多张智能卡,则可能会发生这种情况。这也可能是由于配置设置(例如通常使用组策略配置的 PIN 缓存等中间件设置)造成的。当智能卡已在读卡器中但用户仍收到插入智能卡的提示时,必须单击“取消”。如果用户收到输入 PIN 的提示,则必须再次输入其 PIN。
-
如果您为不通过 Citrix Gateway 访问应用商店的、使用已加入域的设备的适用于 Windows 的 Citrix Workspace 应用程序用户启用智能卡身份验证直通到 Citrix Virtual Apps and Desktops,则此设置适用于应用商店的所有用户。要同时启用域直通和智能卡身份验证直通到桌面和应用程序,您必须为每种身份验证方法创建单独的应用商店。然后,您的用户必须连接到适合其身份验证方法的应用商店。
-
如果您为通过 Citrix Gateway 访问应用商店的、使用已加入域的设备的适用于 Windows 的 Citrix Workspace 应用程序用户启用智能卡身份验证直通到 Citrix Virtual Apps and Desktops,则此设置适用于应用商店的所有用户。要为某些用户启用直通身份验证,并要求其他用户登录才能访问其桌面和应用程序,您必须为每组用户创建单独的应用商店。然后,将用户引导至适合其身份验证方法的应用商店。
-
每个 XenApp® Services URL 只能配置一种身份验证方法,并且每个应用商店只能有一个 URL。如果您除了智能卡身份验证之外还需要启用其他类型的身份验证,则必须为每种身份验证方法创建单独的应用商店,每个应用商店都有一个 XenApp Services URL。然后,将用户引导至适合其身份验证方法的应用商店。
-
安装 StoreFront 后,Microsoft Internet Information Services (IIS) 中的默认配置仅要求为 StoreFront 身份验证服务的证书身份验证 URL 的 HTTPS 连接提供客户端证书。IIS 不会为任何其他 StoreFront URL 请求客户端证书。此配置使您能够为智能卡用户提供回退到显式身份验证的选项,以防他们的智能卡出现任何问题。根据适当的 Windows 策略设置,用户还可以移除其智能卡,而无需重新进行身份验证。 如果您决定将 IIS 配置为要求为所有 StoreFront URL 的 HTTPS 连接提供客户端证书,则身份验证服务和应用商店必须位于同一服务器上。您必须使用对所有应用商店都有效的客户端证书。在此 IIS 站点配置下,智能卡用户无法通过 Citrix Gateway 连接,也无法回退到显式身份验证。如果用户从其设备中移除智能卡,则必须再次登录。