从 Citrix Gateway 直通
用户向 Citrix Gateway 验证身份后,即可在访问自己的应用商店时自动登录。 在首次配置对应用商店的远程访问时,Citrix Gateway 直通身份验证方法默认情况下处于启用状态。 用户可以使用本地安装的 Citrix Workspace 应用程序或 Web 浏览器通过 Citrix Gateway 连接到应用商店。 有关针对 Citrix Gateway 配置 StoreFront 的详细信息,请参阅配置 Citrix Gateway。
StoreFront 支持使用针对以下 Citrix Gateway 身份验证方法进行直通。
- 域 用户使用其 Active Directory 用户名和密码进行登录。
- RSA 用户使用派生自令牌代码(由安全令牌生成)的通行码登录 Citrix Gateway,有时还会结合使用 PIN 码。 如果您启用了仅通过安全令牌进行直通身份验证,请确保您设置为可用的资源不需要额外或附加形式的身份验证,例如用户的 Microsoft Active Directory 域凭据。
- 智能卡 用户使用智能卡登录
- RSA + 域 登录到 Citrix Gateway 的用户需要输入域凭据和安全令牌通行码。
如果您在 Citrix Gateway 上禁用了身份验证或者禁用了单点登录,则不使用直通,并且您必须配置其他身份验证方法之一。
如果您为从 Citrix Workspace 应用程序访问应用商店的远程用户配置了为 Citrix Gateway 执行双来源身份验证,则必须在 Citrix Gateway 上创建两个身份验证策略。 将 RADIUS(远程身份验证拨入用户服务)配置为主要身份验证方法,将 LDAP(轻型目录访问协议)配置为辅助方法。 将凭据索引修改为在会话配置文件中使用辅助身份验证方法,以便将 LDAP 凭据传递到 StoreFront。 将 Citrix Gateway 设备添加到 StoreFront 配置时,请将“登录类型”设置为“域和安全令牌”。 有关详细信息,请参阅 http://support.citrix.com/article/CTX125364
要启用通过 Citrix Gateway 对 StoreFront 进行的多域身份验证,请在每个域的 Citrix Gateway LDAP 身份验证策略中将“SSO Name Attribute”(SSO 名称属性)设置为 userPrincipalName。 可以要求用户在 Citrix Gateway 登录页面中指定一个域,以便确定要使用的相应 LDAP 策略。 在为指向 StoreFront 的连接配置 Citrix Gateway 会话配置文件时,不要指定单点登录域。 您必须在各个域之间配置信任关系。 确保不要将用户限制为只能访问显式可信域,以便他们可以从任何域登录到 StoreFront。
在 Citrix Gateway 部署支持的情况下,您可以使用 SmartAccess 并根据 Citrix Gateway 会话策略来控制用户对 Citrix Virtual Apps and Desktops 资源的访问。
启用网关直通
要在通过 Workspace 应用程序连接时为应用商店启用或禁用网关直通身份验证,请在身份验证方法窗口中勾选或取消勾选从 Citrix Gateway 直通。
默认情况下,为应用商店启用 Citrix Gateway 直通身份验证也会为该应用商店的所有 Web 站点启用 Citrix Gateway 直通身份验证。 您可以在身份验证方法选项卡上为特定 Web 站点禁用用户名和密码身份验证。
配置可信用户域
如果您的 Citrix Gateway 配置为使用 LDAP 身份验证,则可以限制对特定域的访问。
-
在“管理身份验证方法”窗口中,从从 Citrix Gateway 直通 > 设置下拉菜单中,选择配置可信域。
-
选择仅限可信域,然后单击添加输入可信域的名称。 在该域中具有帐户的用户能够登录所有使用此身份验证服务的应用商店。 要修改域名,请在“可信域”列表中选择相应的条目,然后单击编辑。 要禁止某个域中的用户帐户访问应用商店,请在列表中选择该域并单击删除。
您指定域名的方式将决定用户输入凭据时必须采用的格式。 如果希望用户按照域用户名格式输入凭据,请将 NetBIOS 名称添加到列表中。 如果要求用户按照用户主体名称格式输入其凭据,请将完全限定的域名添加到列表中。 如果希望用户既能按照域用户名格式又能按照用户主体名称格式输入凭据,则必须同时将 NetBIOS 名称和完全限定的域名添加到列表中。
-
如果配置多个可信域,请从默认域列表中选择用户登录时默认选择的域。
-
如果要在登录页面上列出可信域,请选中“在登录页面中显示域列表”复选框。
将凭据验证委派给 Citrix Gateway
默认情况下,StoreFront 会验证从网关收到的用户名和密码。 如果您的 Citrix Gateway 配置为使用智能卡等无密码身份验证方法,则必须配置 StoreFront,使其不验证凭据,因此依赖于 Gateway 的身份验证。 在这种情况下,建议您在配置网关时输入回调 URL,这样 StoreFront 就可以验证来自网关的请求,请参阅管理 Citrix Gateway。
-
在管理身份验证方法窗口中,从从 Citrix Gateway 直通 > 设置下拉菜单中,选择配置委派身份验证。
-
选择完全将凭据验证委派给 Citrix Gateway。
.
PowerShell SDK
要将应用商店配置为使用 PowerShell SDK 将身份验证委派给网关,请使用 cmdlet Set-STFCitrixAGBasicOptions 将 CredentialValidationMode
设置为 Auto
。 要配置 StoreFront 以验证凭据,请将 CredentialValidationMode
设置为 Password
。
允许用户在登录时更改过期的密码
如果您的 Citrix Gateway 配置为使用 LDAP(用户名和密码)身份验证,则可以将 NetScaler 配置为允许在登录时更改过期的密码。
- 登录 NetScaler 管理 Web 站点
- 在侧面菜单中转到身份验证 > 控制板。
- 单击身份验证服务器。
- 在其他设置下,勾选允许更改密码。
允许用户在登录后更改密码
您可以将 StoreFront 配置为允许用户在登录后更改密码。 仅当网关使用 LDAP 身份验证并且用户通过浏览器(而不是本地安装的 Citrix Workspace 应用程序)访问应用商店时,此功能才可用。
默认 StoreFront 配置可防止用户更改其密码,即使密码已过期亦如此。 如果决定启用此功能,请确保服务器所在域的策略允许用户更改其密码。 如果用户可以访问使用此身份验证服务的任何应用商店,则允许用户更改其密码会将敏感的安全功能暴露给这些用户。 如果贵组织的安全策略将用户密码更改功能保留为仅供内部使用,请确保用户无法从企业网络外部访问任何应用商店。
-
在管理身份验证方法窗口中,从从 Citrix Gateway 直通 > 设置下拉菜单中,选择管理密码选项
-
要允许用户更改密码,请选择允许用户更改密码复选框。
注意:
如果您选择或取消选择允许用户更改密码,这也会影响管理密码选项下用于用户名和密码身份验证的设置。
PowerShell SDK
要使用 PowerShell SDK 修改更改密码选项,请使用 cmdlet Set-STFExplicitCommonOptions。
将 Delivery Controller 配置为信任 StoreFront
当 Citrix Gateway 配置为进行 LDAP 身份验证时,它会将凭据传递到 StoreFront。 对于其他身份验证方法,StoreFront 无法访问凭据,因此无法向 Citrix Virtual Apps and Desktops 进行身份验证。 因此,您必须将 Delivery Controller 配置为信任来自 StoreFront 的请求,请参阅 Citrix Virtual Apps and Desktops 安全注意事项和最佳做法。
使用联合身份验证服务单点登录到 VDA
当网关配置为进行 LDAP 身份验证时,它会将凭据传递到 StoreFront,以便可以单点登录 VDA。 对于其他身份验证方法,StoreFront 无权访问凭据,因此默认情况下单点登录不可用。 您可以使用联合身份验证服务提供单点登录。