智能卡身份验证
通过智能卡身份验证,用户在访问其应用商店时使用智能卡和 PIN 进行身份验证。智能卡身份验证可用于通过 Citrix Workspace 应用程序、Web 浏览器和 XenApp Services URL 连接到应用商店的用户。
注意:
如果用户使用智能卡登录 Windows,建议您启用 域直通身份验证,而不是(或同时)智能卡身份验证。这使得用户无需使用智能卡重新进行身份验证即可实现对应用商店的单点登录。
使用智能卡身份验证可简化用户的登录过程,同时增强用户对其基础架构访问的安全性。通过使用公钥基础架构的基于证书的双因素身份验证,可以保护对内部公司网络的访问。私钥受硬件控制保护,并且永远不会离开智能卡。您的用户可以方便地使用智能卡和 PIN 从各种公司设备访问其桌面和应用程序。
要启用智能卡身份验证,必须在包含 StoreFront 服务器的 Microsoft Active Directory 域中或与 StoreFront 服务器域具有直接双向信任关系的域中配置用户帐户。支持涉及双向信任的多林部署。
文档 适用于 Citrix 环境的智能卡配置 介绍了如何配置 Citrix 部署以使用特定智能卡类型。类似步骤也适用于其他供应商的智能卡。
先决条件
- 确保所有用户的帐户均已在您计划部署 StoreFront 服务器的 Microsoft Active Directory 域中或与 StoreFront 服务器域具有直接双向信任关系的域中配置。
- 如果您计划启用智能卡身份验证的直通,请确保您的智能卡读卡器类型、中间件类型和配置以及中间件 PIN 缓存策略允许这样做。
- 在运行 Virtual Delivery Agent 的虚拟或物理计算机上安装供应商的智能卡中间件,这些计算机提供用户的桌面和应用程序。有关将智能卡与 Citrix Virtual Desktops 结合使用的详细信息,请参阅 智能卡。
- 确保您的公钥基础架构已正确配置。检查证书到帐户的映射是否已为您的 Active Directory 环境正确配置,并且用户证书验证可以成功执行。
配置 StoreFront
-
您必须使用 HTTPS 进行 StoreFront 与用户设备之间的通信才能启用智能卡身份验证。请参阅 使用 HTTPS 保护 StoreFront。
-
要在通过 Citrix Workspace 应用程序连接到应用商店时启用智能卡身份验证,请在 身份验证方法 中勾选或取消勾选 智能卡。
-
默认情况下,为应用商店启用智能卡身份验证也会为该应用商店的所有网站启用智能卡身份验证。您可以在 管理网站身份验证方法选项卡 上独立启用或禁用特定网站的智能卡身份验证。
-
如果您同时配置智能卡和用户名密码身份验证,系统会首先提示用户使用智能卡和 PIN 登录,但如果智能卡出现任何问题,他们可以选择显式身份验证。
配置 Delivery Controller™ 以信任 StoreFront
使用智能卡身份验证时,StoreFront 无法访问用户凭据,因此无法对 Citrix Virtual Apps and Desktops 进行身份验证。因此,您必须配置 Delivery Controller 以信任来自 StoreFront 的请求,请参阅 Citrix Virtual Apps and Desktops 安全注意事项和最佳实践。
通过 Citrix Gateway 进行远程访问
对于远程访问,您可以在 Citrix Gateway 上启用智能卡,然后通过委派身份验证启用对 StoreFront 的直通身份验证。有关更多详细信息,请参阅 Gateway 直通。
为确保用户在建立与其资源的连接时不会在虚拟服务器处收到额外的凭据提示,请创建第二个网关并在安全套接字层 (SSL) 参数中禁用客户端身份验证。有关更多信息,请参阅 配置智能卡身份验证。通过启用了智能卡身份验证的网关访问 StoreFront 时。通过此虚拟服务器配置最佳 Citrix Gateway 路由,以连接到为应用商店提供桌面和应用程序的部署。有关更多信息,请参阅 为应用商店配置最佳 HDX 路由。
对 VDA 进行单点登录
您可以通过直通用户的智能卡凭据来启用对 VDA 的单点登录。可以通过 Web 浏览器或适用于 Windows 的 Citrix Workspace™ 应用程序访问应用商店,但资源必须在适用于 Windows 的 Citrix Workspace 应用程序中打开。在其他操作系统上或通过浏览器访问资源时,用户在连接到 VDA 时必须重新输入其凭据。
-
在安装适用于 Windows 的 Citrix Workspace 时包含单点登录组件,并将其配置为单点登录。请参阅 配置域直通身份验证。
-
使用文本编辑器打开应用商店的 default.ica 文件。请参阅 Default ica。
-
要为不通过 Citrix Gateway 访问应用商店的用户启用智能卡凭据的直通,请在
[Application]部分中添加以下设置。DisableCtrlAltDel=Off此设置适用于应用商店的所有用户。要同时启用域直通和智能卡身份验证直通到桌面和应用程序,您必须为每种身份验证方法创建单独的应用商店。然后,将用户引导至适合其身份验证方法的应用商店。
-
要为通过 Citrix Gateway 访问应用商店的用户启用智能卡凭据的直通,请在
[Application]部分中添加以下设置。UseLocalUserAndPassword=On此设置适用于应用商店的所有用户。要为某些用户启用直通身份验证并要求其他用户登录才能访问其桌面和应用程序,您必须为每组用户创建单独的应用商店。然后,将用户引导至适合其身份验证方法的应用商店。
或者,您可以配置 Federated Authentication Service 以对 VDA 进行单点登录。
重要注意事项
将智能卡用于 StoreFront 用户身份验证时,需遵守以下要求和限制。
-
要将虚拟专用网络 (VPN) 隧道与智能卡身份验证结合使用,用户必须安装 Citrix Gateway 插件并通过网页登录,使用智能卡和 PIN 在每个步骤进行身份验证。对于智能卡用户,不支持通过 Citrix Gateway 插件对 StoreFront 进行直通身份验证。
-
可以在同一用户设备上使用多张智能卡和多个读卡器,但如果启用智能卡身份验证的直通,用户必须确保在访问桌面或应用程序时只插入一张智能卡。
-
当智能卡在应用程序中使用时,例如用于数字签名或加密,用户可能会看到额外的提示,要求插入智能卡或输入 PIN。如果同时插入多张智能卡,可能会发生这种情况。这也可能由于配置设置而发生,例如通常使用组策略配置的中间件设置(如 PIN 缓存)。当智能卡已在读卡器中但仍提示用户插入智能卡时,用户必须单击“取消”。如果提示用户输入 PIN,他们必须再次输入 PIN。
-
如果您为适用于 Windows 的 Citrix Workspace 应用程序用户(使用未通过 Citrix Gateway 访问应用商店的已加入域的设备)启用智能卡身份验证直通到 Citrix Virtual Apps and Desktops,则此设置适用于应用商店的所有用户。要同时启用域直通和智能卡身份验证直通到桌面和应用程序,您必须为每种身份验证方法创建单独的应用商店。然后,您的用户必须连接到适合其身份验证方法的应用商店。
-
如果您为适用于 Windows 的 Citrix Workspace 应用程序用户(使用通过 Citrix Gateway 访问应用商店的已加入域的设备)启用智能卡身份验证直通到 Citrix Virtual Apps and Desktops,则此设置适用于应用商店的所有用户。要为某些用户启用直通身份验证并要求其他用户登录才能访问其桌面和应用程序,您必须为每组用户创建单独的应用商店。然后,将用户引导至适合其身份验证方法的应用商店。
-
每个 XenApp® Services URL 只能配置一种身份验证方法,并且每个应用商店只能使用一个 URL。如果您除了智能卡身份验证之外还需要启用其他类型的身份验证,则必须为每种身份验证方法创建单独的应用商店,每个应用商店都有一个 XenApp Services URL。然后,将用户引导至适合其身份验证方法的应用商店。
-
安装 StoreFront 时,Microsoft Internet Information Services (IIS) 中的默认配置仅要求为 StoreFront 身份验证服务的证书身份验证 URL 的 HTTPS 连接提供客户端证书。IIS 不会为任何其他 StoreFront URL 请求客户端证书。此配置使您能够为智能卡用户提供回退到显式身份验证的选项,以防智能卡出现任何问题。根据适当的 Windows 策略设置,用户还可以移除智能卡而无需重新进行身份验证。
-
如果您决定将 IIS 配置为要求所有 StoreFront URL 的 HTTPS 连接都提供客户端证书,则身份验证服务和应用商店必须位于同一服务器上。您必须使用对所有应用商店都有效的客户端证书。在此 IIS 站点配置下,智能卡用户无法通过 Citrix Gateway 连接,也无法回退到显式身份验证。如果用户从设备中移除智能卡,则必须重新登录。