StoreFront

配置 Citrix 网关

使用 Citrix 网关为 StoreFront 和您的虚拟投递代理 (VDA) 提供身份验证和远程访问。Citrix 网关运行在硬件或软件 NetScaler ADC 上。Citrix 网关服务由 Citrix 管理,可用于 HDX 路由,但不能用于 StoreFront 的身份验证或远程访问。

有关配置您的网关的详细信息,请参阅 将 NetScaler Gateway 与 StoreFront 集成

您必须在 StoreFront 中配置您的网关,然后 StoreFront 才能允许通过该网关进行访问。

查看网关

要查看在 StoreFront 中配置的网关,请在 Citrix StoreFront 管理控制台的左窗格中选择“应用商店”节点,然后单击 管理 Citrix Gateway。这将显示“管理 Citrix Gateway”窗口。

管理 思杰网关 屏幕截图

命令行管理程序

要获取网关及其配置的列表,请调用 Get-STFRoamingGateway

添加 思杰网关 设备

  1. 在“管理 Citrix Gateway”窗口中单击“添加”。

  2. 在“常规设置”选项卡上输入设置,然后按“下一步”。

    • 为 Citrix Gateway 部署指定一个“显示名称”,以帮助用户识别它。

      用户在 Citrix Workspace 应用程序中会看到您指定的显示名称,因此请在名称中包含相关信息,以帮助用户决定是否使用该部署。例如,您可以在 Citrix Gateway 部署的显示名称中包含地理位置,以便用户可以轻松识别对其位置最方便的部署。

    • 将“网关类型”设置为“Citrix Gateway 设备”。

    • 输入网关的 URL。

      StoreFront 部署的完全限定域名 (FQDN) 必须是唯一的,并且不同于 Citrix Gateway 虚拟服务器的 FQDN。不支持为 StoreFront 和 Citrix Gateway 虚拟服务器使用相同的 FQDN。网关会将 URL 添加到 X-Citrix-Via HTTP 标头。StoreFront 使用此标头来确定正在使用哪个网关。

      使用 GUI 只能添加一个网关 URL。如果网关可以通过多个 URL 访问,则需要添加两次相同的网关,除了 URL 之外,配置必须相同。为了简化配置,您可以配置一个用于访问网关的辅助 URL。此选项在 GUI 中不可用,因此您必须使用 PowerShell 进行配置。在运行任何 PowerShell 命令之前,应关闭管理控制台。例如,如果您在全球服务器负载均衡器后面有多个网关,通常添加 GSLB URL 和可用于访问每个特定区域网关的 URL 会很有用,例如用于测试或故障排除。创建网关后,您可以使用 Set-STFRoamingGateway 添加一个额外的 URL,其中 -GSLBurl 参数用于辅助 URL。尽管该参数名为 GSLBurl,但它可用于任何需要添加第二个 URL 的情况。例如:

       Set-STFRoamingGateway -Name "Europe Gateway" -GSLBurl "eugateway.example.com" -GatewayUrl "gslb.example.com"
      <!--NeedCopy-->
      

      注意:

      在此示例中,与直觉相反,GSLBurl 参数包含区域 URL,而 GatewayUrl 参数包含 GSLB URL。对于大多数用途,这些 URL 被视为相同,如果商店仅通过 Web 浏览器访问,则可以以任何方式配置它们。但是,当通过 Citrix Workspace 应用程序访问 StoreFront 时,它会从 StoreFront 读取 GatewayUrl,然后将其用于远程访问,并且最好将其配置为始终连接到 GSLB URL。

      如果您需要两个以上的 URL,则需要将其配置为单独的网关。

    • 选择用途或角色:

      用途或角色 描述信息
      身份验证和 HDX 路由 使用网关提供对 StoreFront 的远程访问以及访问 VDA。
      仅身份验证 如果网关仅用于远程访问 StoreFront,请选择此项。此选项会阻止 Citrix Workspace 启动器 工作。因此,如果您需要使用混合启动,即使网关仅用于身份验证,也请选择身份验证和 HDX 路由
      仅 HDX 路由 如果网关仅用于向 VDA 提供 HDX 访问(例如,在没有 StoreFront 实例的站点),请选择此项。

    添加网关设备屏幕常规设置选项卡的屏幕截图(/zh-cn/storefront/2507-ltsr/media/integrate-with-citrix-gateway-and-citrix-adc/gateway-general-settings.png)

  3. 填写“安全票证颁发机构”选项卡上的设置。

    安全票证颁发机构响应连接请求颁发会话票证。这些会话票证构成了 Citrix Workspace 应用程序检测和访问 VDA 的身份验证和授权基础。

    • 输入一个或多个安全票证颁发机构服务器 URL。

      • 如果您使用的是 Citrix Virtual Apps and Desktops™,则可以使用交付控制器作为 STA 服务器。
      • 如果您使用的是 Citrix Desktop as a Service,则可以使用云连接器作为 STA 服务器。这些服务器要么将请求代理到 Citrix Cloud™ Ticketing Authority,要么在 LHC 模式下生成自己的票证。将来,这将发生变化,以便它们始终生成自己的票证以提高弹性。
      • 建议您至少使用 2 个 STA 服务器以实现冗余。
      • 当使用云连接器作为 STA 服务器时,建议您在至少一个资源位置中包含所有云连接器。首先,在资源位置内,Citrix Cloud 确保一次只升级一个云连接器,因此包含所有连接器可确保始终至少有一个连接器未被升级。其次,如果资源位置进入 LHC 模式,则只有指定为“elected broker”的单个云连接器才能颁发 STA 票证。由于您无法提前知道是哪个连接器,因此请在资源位置中包含所有云连接器。
      • 确保 StoreFront 中列出的所有 STA 服务器也作为 STA 服务器列在 Citrix Gateway 虚拟服务器中。如果 Citrix Gateway 中缺少任何服务器,则可能导致启动失败。目前,当使用云连接器作为 STA 时,这在正常使用中可能不明显,因为任何连接器都可以用于从 Citrix Cloud Ticking Authority 兑换票证。但是,在本地主机缓存模式下,连接器会生成自己的票证,将来这将成为默认行为。
      • 交付控制器或云连接器可能已配置为要求 StoreFront 必须包含安全密钥。无法使用 GUI 添加安全密钥;有关使用 PowerShell 添加它们的步骤,请参阅后面的步骤。
    • 选择“负载平衡多个 STA 服务器”以在 STA 服务器之间分配请求。如果未选中,则 StoreFront 将按照列出的顺序尝试服务器。

    • 如果 StoreFront 无法访问 STA 服务器,则它会在一段时间内避免使用该服务器。默认情况下,此时间为 1 小时,但您可以自定义此值。

    • 如果您希望 Citrix Virtual Apps and Desktops 在 Citrix Workspace 应用程序尝试自动重新连接时保持断开连接的会话打开,请选择“启用会话可靠性”。

    • 如果您配置了多个 STA,可以选择“从两个 STA 请求票证(如果可用)”。

      当选中“从两个 STA 请求票证(如果可用)”时,StoreFront 会从两个不同的 STA 获取会话票证,这样即使其中一个 STA 在会话期间变得不可用,用户会话也不会中断。如果 StoreFront 因任何原因无法联系到两个 STA,它将回退到使用单个 STA。

    添加网关设备屏幕安全票证颁发机构选项卡的屏幕截图(/zh-cn/storefront/2507-ltsr/media/integrate-with-citrix-gateway-and-citrix-adc/gateway-sta.png)

    填写完设置后,按“下一步

  4. 填写“身份验证设置”选项卡上的设置。

    • 选择 NetScaler® 软件的版本

    • 如果存在多个具有相同 URL 的网关(通常在使用全局服务器负载平衡器时),并且您已输入回调 URL,则必须输入网关的 VIP。这允许 StoreFront 确定请求来自哪个网关,从而确定使用回调 URL 联系哪个服务器。否则,可以将其留空。

    • 从“登录类型”列表中选择您在设备上为 Citrix Workspace 应用程序用户配置的身份验证方法。

    您提供的有关 Citrix Gateway 设备配置的信息将添加到商店的预配文件中。这使 Citrix Workspace 应用程序能够在首次联系设备时发送相应的连接请求。

    • 对于 LDAP 身份验证,选择“”。
    • 对于本机 OTP 身份验证,选择“安全令牌”。
    • 对于 LDAP 加 OTP 身份验证,选择“域和安全令牌”。
    • 对于通过短信进行的 OTP 身份验证,选择“SMS 身份验证”。
    • 对于证书身份验证,选择“智能卡”。
    • 对于 SAML 身份验证,选择“”。
    • 对于 OIDC 身份验证,选择“”。

    如果您配置了智能卡身份验证,并带有一个辅助身份验证方法,如果用户在使用智能卡时遇到任何问题,可以回退到该方法,请从“智能卡回退”列表中选择辅助身份验证方法。

    • 可选地,在“回调 URL”框中输入网关的内部可访问 URL。这允许 StoreFront 联系 Citrix Gateway 身份验证服务,以验证从 Citrix Gateway 收到的请求是否源自该设备。智能访问和无密码身份验证场景(例如智能卡或 SAML)需要此项,否则可以将其留空。如果您有多个具有相同 URL 的 Citrix Gateway,则此 URL 必须用于特定的网关服务器。

    “添加网关设备”屏幕“身份验证设置”选项卡的屏幕截图(/zh-cn/storefront/2507-ltsr/media/integrate-with-citrix-gateway-and-citrix-adc/gateway-authentication.png)

    填写完设置后,按 下一步

  5. 单击 创建 以应用配置。

    “添加网关设备”摘要屏幕的屏幕截图(/zh-cn/storefront/2507-ltsr/media/integrate-with-citrix-gateway-and-citrix-adc/gateway-summary.png)

  6. 部署应用后,单击 完成

  7. 如果您已配置 安全密钥(推荐),则必须关闭管理控制台并使用 PowerShell 配置它们。例如:

    $gateway = Get-STFRoamingGateway -Name [Gateway name]
    $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
    $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
    Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
    <!--NeedCopy-->
    
  8. 要使用户能够通过网关访问您的应用商店,请配置 远程用户访问

  9. 默认情况下,StoreFront 使用对用户进行身份验证的网关进行 HDX 路由以访问其资源。您可以选择配置 StoreFront,以便在使用 最佳 HDX 路由 访问特定资源时使用该网关。

命令行管理程序

要添加一个网关,您需要使用 PowerShell 命令行工具来执行名为 New-STFRoamingGateway 的 cmdlet 命令。

添加 Citrix 网关服务

如果您已在 Citrix Cloud 中启用了 适用于 StoreFront 的 Citrix 网关服务,则必须将其配置为 StoreFront 中的网关。

  1. 管理 Citrix Gateway 窗口中,单击 添加

  2. 在“常规设置”选项卡上,输入设置,然后按 下一步

    • 指定一个显示名称用于 Citrix Gateway 部署,以帮助用户识别它。

      用户在 Citrix Workspace 应用程序中看到您指定的显示名称,因此,请在名称中包含相关信息,以帮助用户决定是否使用该部署。例如,您可以在 Citrix Gateway 部署的显示名称中包含地理位置,以便用户可以轻松识别对其位置最方便的部署。

    • 网关类型设置为Citrix Gateway Service。这将导致用法或角色设置为仅 HDX™ 路由,并禁用Citrix Gateway URL

    • (可选)输入Citrix Gateway Service URL。如果 URL 留空,则它将使用默认的商业 URL https://global.g.nssvc.net,该 URL 会为用户的位置选择最佳接入点。如果您希望使用特定的网关区域(例如,用于特定区域),则可以在此处输入其 URL。有关可用网关服务 URL 的列表,请参阅Citrix Gateway Service 文档

    • 如果您已输入Citrix Gateway Service URL,则还必须输入相应的Citrix Gateway Service URL (STA Connector Mode)。这指定了当云连接器无法访问 Citrix Cloud 时要使用的网关服务 URL,因此它会颁发自己的 STA 票证。如果 URL 留空,则它将使用默认 URL https://global-s.g.nssvc.net

    添加网关设备屏幕常规设置选项卡的屏幕截图

  3. 填写云连接器选项卡上的设置。

    云连接器允许 StoreFront 访问 Citrix Cloud 以查找网关配置,并访问云票证颁发机构以请求会话票证。

    • 输入至少一个云连接器服务器 URL。

      StoreFront 调用这些云连接器以检索 STA 票证,Citrix Workspace 应用程序可以使用这些票证通过 验证请求。在正常操作中,云连接器将请求代理到 Citrix Cloud 票证颁发机构,或者在 LHC 模式下生成自己的票证。将来,这将发生变化,以便它们始终生成自己的票证以提高弹性。

      • 建议您在同一资源位置包含多个云连接器,因为每个资源位置一次只升级一个云连接器,从而确保至少有一个云连接器始终可用。为了进一步提高冗余性,请在多个资源位置添加云连接器。
      • 您无需单独列出资源位置中的每个云连接器,您可以添加一个负载均衡器,用于在该位置的云连接器之间分配请求。但是,在 VServer 配置中,您必须单独列出每个连接器。
      • Citrix DaaS 可能已配置为要求 StoreFront 包含安全密钥。无法使用 GUI 添加安全密钥;有关使用 PowerShell 添加安全密钥的步骤,请参阅后面的步骤。
    • 选择负载均衡多个服务器以在服务器之间分配请求。如果未选中,StoreFront 将按照列出的顺序尝试服务器。

    • 如果 StoreFront 无法访问服务器,则它会在一段时间内避免使用该服务器。默认情况下,此时间为 1 小时,但您可以自定义此值。

    • 可选地选择 启用会话可靠性

    • 可选地选择 从两个云连接器请求票证(如果可用)

    添加网关设备屏幕云连接器选项卡的屏幕截图(/zh-cn/storefront/2507-ltsr/media/integrate-with-citrix-gateway-and-citrix-adc/gateway-cloud-connectors.png)

    填写完设置后,选择 下一步

  4. 选择 创建 以应用配置。

    添加网关设备摘要屏幕的屏幕截图(/zh-cn/storefront/2507-ltsr/media/integrate-with-citrix-gateway-and-citrix-adc/gateway-summary.png)

  5. 应用部署后,选择 完成

  6. 如果您已配置 安全密钥(推荐),则必须关闭管理控制台并使用 PowerShell 进行配置。例如:

    $gateway = Get-STFRoamingGateway -Name [Gateway name]
    $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
    $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
    Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
    <!--NeedCopy-->
    
  7. 默认情况下,StoreFront 使用与用于身份验证相同的网关来访问资源,因此从不使用 Citrix Gateway 服务。您必须使用 最佳 HDX 路由 来配置 StoreFront 何时应使用 Citrix Gateway 服务。

泡谢尔

为了通过使用 PowerShell 来添加一个网关,您需要执行 New-STFRoamingGateway 命令,并对 -IsCloudGateway $true 进行相关设置。

编辑 Citrix 网关

  1. 在“管理 Citrix Gateway”窗口中,单击要更改的网关,然后按 编辑

    有关参数的说明,请参阅 添加 Citrix Gateway 设备

  2. 保存 以保存更改。

泡谢尔

To modify gateway configuration using PowerShell, run cmdlet Set-STFRoamingGateway.

删除 Citrix 网关

  1. 在“管理 Citrix 网关”窗口中,单击要更改的网关,然后按“删除”。

  2. 在确认窗口中按“”。

跑沃壳

要使用 PowerShell 删除网关,请运行 (https://developer-docs.citrix.com/zh-cn/storefront-powershell-sdk/2507/remove-stfroaminggateway) cmdlet 命令。

配置 Citrix 网关