配置身份验证服务

管理身份验证方法

可以启用或禁用在创建身份验证服务时所设置的用户身份验证方法,具体操作为:在 Citrix StoreFront 管理控制台的结果窗格中选择身份验证方法,然后在操作窗格中单击 Manage Authentication Methods(管理身份验证方法)。

  1. 在 Windows 开始屏幕或应用程序屏幕中,找到并单击 Citrix StoreFront 磁贴。
  2. 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店节点,然后在操作窗格中单击管理身份验证方法
  3. 指定要为用户启用的访问方法。

本地化后的图片

  • 选中用户名和密码复选框可启用显式身份验证。用户在访问自己的应用商店时需要输入凭据。
  • 选择 SAML 身份验证复选框以支持与 SAML 身份提供程序的集成。用户向身份提供程序验证身份后,即可在访问自己的应用商店时自动登录。从“设置”下拉菜单中:
    • 选择身份提供程序以配置对身份提供程序的信任。
    • 选择服务提供商以对服务提供商配置信任。身份提供程序需要此信息。
  • 选中域直通以启用从用户设备直通 Active Directory 域凭据。用户向其加入域的 Windows 计算机验证身份后,即可在访问自己的应用商店时自动登录。要使用此选项,在用户设备上安装 Citrix Receiver for Windows 或适用于 Windows 的 Citrix Workspace 应用程序时,必须启用直通身份验证。
  • 选中智能卡以启用智能卡身份验证。用户在访问应用商店时其使用智能卡和 PIN 进行身份验证。
  • 选中 HTTP Basic 以启用 HTTP Basic 身份验证。用户将向 StoreFront 服务器的 IIS Web 服务器进行身份验证。
  • 选择从 Citrix Gateway 直通以启用从 Citrix Gateway 直通身份验证。用户向 Citrix Gateway 验证身份后,即可在访问自己的应用商店时自动登录。

要为通过 Citrix Gateway 访问应用商店的智能卡用户启用直通身份验证,请使用“配置委派身份验证”任务。

配置可信用户域

可以通过执行“可信域”任务限制使用显式域凭据登录(直接登录或使用 Citrix Gateway 直通身份验证登录)的用户对应用商店的访问。

  1. 在 Windows 开始屏幕或应用程序屏幕中,找到并单击 Citrix StoreFront 磁贴。

  2. 在 Citrix StoreFront 管理控制台的左侧窗格中选择“应用商店”节点,然后在结果窗格中选择适当的身份验证方法。在“操作”窗格中,单击管理身份验证方法

  3. 用户名和密码 > 设置列表中,选择配置可信域

  4. 选择仅限可信域,然后单击添加输入可信域的名称。在该域中具有帐户的用户将能够登录所有使用此身份验证服务的应用商店。要修改域名,请在“可信域”列表中选择相应的条目,然后单击编辑。要禁止某个域中的用户帐户访问应用商店,请在列表中选择该域并单击删除

    您指定域名的方式将决定用户输入凭据时必须采用的格式。如果希望用户按照域用户名格式输入凭据,请将 NetBIOS 名称添加到列表中。如果要求用户按照用户主体名称格式输入凭据,请将完全限定的域名添加到列表中。如果希望用户既能按照域用户名格式又能按照用户主体名称格式输入凭据,则必须同时将 NetBIOS 名称和完全限定的域名添加到列表中。

  5. 如果配置多个可信域,请从默认域列表中选择用户登录时默认选择的域。

  6. 如果要在登录页面上列出可信域,请选中在登录页面中显示域列表复选框。

允许用户更改密码

可以通过执行管理密码选项任务来允许使用域凭据登录的 Citrix Workspace 应用程序和 Receiver for Web 站点用户更改其密码。创建身份验证服务时,默认配置会禁止 Citrix Workspace 应用程序和 Citrix Receiver for Web 站点用户更改自己的密码,即使密码已过期也是如此。如果决定启用此功能,请确保服务器所在域的策略允许用户更改其密码。如果用户可以访问使用此身份验证服务的任何应用商店,则允许用户更改其密码会将敏感的安全功能暴露给这些用户。如果贵组织的安全策略将用户密码更改功能保留为仅供内部使用,请确保用户无法从企业网络外部访问任何应用商店。

  1. Citrix Receiver for Web 支持过期时更改密码以及选择更改密码。所有桌面 Citrix Workspace 应用程序仅支持在过期时通过 Citrix Gateway 更改密码。在 Windows 开始屏幕或应用程序屏幕中,找到并单击 Citrix StoreFront 磁贴。

  2. 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店节点,然后在“操作”窗格中单击管理身份验证方法

  3. 用户名和密码 > 设置下拉菜单中,选择管理密码选项,指定在哪些情况下允许使用域凭据登录的 Citrix Receiver for Web 站点用户更改其密码。

    • 要允许用户随时更改其密码,请选择“随时”。对于密码即将过期的本地用户,系统会在其登录时显示一条警告。系统只向从内部网络进行连接的用户显示密码过期警告。默认情况下,向用户发出通知的时间段由相应的 Windows 策略设置决定。有关设置自定义通知时间段的详细信息,请参阅配置密码过期通知时间段。仅受 Citrix Receiver for Web 支持。
    • 要允许用户只能在密码已经过期的情况下更改其密码,请选择到期时。由于密码过期而无法登录的用户将重定向到更改密码对话框。Citrix Workspace 应用程序和 Citrix Receiver for Web 支持此功能。
    • 要阻止用户更改其密码,请勿选择允许用户更改密码。如果选择此选项,则必须自行安排支持方案,以为由于密码过期而无法访问桌面和应用程序的用户提供支持。

    如果允许 Citrix Receiver for Web 站点用户随时更改密码,请确保 StoreFront 服务器上有足够的磁盘空间,用来存储所有用户的配置文件。为检查用户的密码是否即将过期,StoreFront 会在服务器上为该用户创建一个本地配置文件。StoreFront 必须能够与域控制器进行通信,才能更改用户的密码。

    Citrix Workspace 应用程序 如果在 StoreFront 上启用,用户可以更改已过期的密码 系统会通知用户密码将过期 如果在 StoreFront 上启用,用户可以在密码过期之前更改密码
    Windows    
    Mac    
    Android      
    iOS      
    Linux    
    Web

自助服务密码重置安全问题

通过自助服务密码重置,最终用户能够在更大程度上控制其用户帐户。配置自助服务密码重置后,如果最终用户在登录其系统时遇到问题,可以通过正确回答多个安全问题来解锁其帐户或将其密码重置为新密码。

设置自助服务密码重置时,请指定能够使用管理控制台执行密码重置和解锁帐户操作的用户。如果为 StoreFront 启用了这些功能,根据在自助服务密码重置配置控制台中配置的设置,仍可以拒绝用户执行这些任务的权限。

自助服务密码重置仅供使用 HTTPS 连接访问 StoreFront 的用户使用。这些用户不能使用 HTTP 连接访问 StoreFront,可以使用自助服务密码重置。仅当直接使用用户名和密码向 StoreFront 进行身份验证时才能使用自助服务密码重置。

自助服务密码重置不支持 UPN 登录,例如 username@domain.com

在为应用商店配置自助服务密码重置之前,必须确保:

  • 应用商店配置为使用用户名和密码身份验证。
  • 应用商店配置为仅使用一个自助服务密码重置。如果 StoreFront 配置为使用同一域或可信域中的多个场,则必须将自助服务密码重置配置为接受来自所有这些域的凭据。
  • 应用商店配置为允许用户在希望启用密码重置功能时随时更改其密码。
  • 必须将 StoreFront 应用商店与 Receiver for Web 站点相关联。

必须先安装并配置自助服务密码重置才能进行使用。它在 Citrix Virtual Apps and Desktops 介质中提供。有关信息,请参阅自助服务密码重置文档。

  1. 通过在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店节点,在操作窗格中单击管理身份验证方法 > 用户名和密码,然后从下拉菜单中选择管理密码选项,在 StoreFront 中启用自助服务密码重置支持。
  2. 选择希望用户更改密码的时间,然后单击确定
  3. 用户名和密码下拉菜单中选择配置帐户自助服务,从下拉菜单中选择 Citrix SSPR,然后单击确定
  4. 指定用户是否能够通过自助服务密码重置来重置密码和解锁帐户,添加密码重置服务帐户 URL,单击确定,然后单击确定

本地化后的图片

仅当 StoreFront 基本 URL 为 HTTPS(而非 HTTP)时此选项才可用,并且仅当您使用管理密码选项以允许用户随时更改密码之后,启用密码重置选项才可用。

本地化后的图片

用户下次登录 Citrix Workspace 应用程序或 Citrix Receiver for Web 时,安全注册将可用。单击启动后,将显示用户必须指定回答的问题。

本地化后的图片

在 StoreFront 中配置后,Citrix Receiver for Web 登录屏幕上将显示帐户自助服务链接(在其他 Citrix Workspace 应用程序中显示为按钮)。

单击此链接会引导用户填写一系列表单,以首先选择解锁帐户重置密码(如果两个选项均可用)。

选中一个单选按钮并单击下一步,下一个屏幕将提示您输入域和用户名(域\用户),前提是未在登录表单中输入该信息。请注意,帐户自助服务不支持 UPN 登录,例如 username@domain.com

本地化后的图片

用户需要回答安全问题。如果所有答案都与用户提供的答案一致,则执行请求的操作(解锁或重置),并通知用户操作成功。

共享身份验证服务设置

可以通过执行“共享身份验证服务设置”任务指定要共享身份验证服务的应用商店,从而实现在这些应用商店之间进行单点登录。

  1. 在 Windows 开始屏幕或应用程序屏幕中,找到并单击 Citrix StoreFront 磁贴。
  2. 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店节点,然后在结果窗格中选择一个应用商店。在操作窗格中,单击管理身份验证方法
  3. 高级下拉菜单中,选择共享身份验证服务设置
  4. 单击使用共享身份验证服务复选框,并从应用商店名称下拉菜单中选择一个应用商店。

注意:

共享身份验证服务与专用身份验证服务之间不存在功能差异。多个应用商店共享的身份验证服务被视为共享身份验证服务,并且任何配置更改都会影响对使用共享身份验证服务的所有应用商店的访问。

将凭据验证委派给 Citrix Gateway

可以通过执行“配置委派身份验证”任务为通过 Citrix Gateway 访问应用商店的智能卡用户启用直通身份验证。仅当在结果窗格中启用并选择了“从 Citrix Gateway 直通”时,才能执行此项任务。

如果将凭据验证委派给 Citrix Gateway,则用户使用智能卡向 Citrix Gateway 验证身份后,即可在访问自己的应用商店时自动登录。在您启用了“从 Citrix Gateway 直通”身份验证时,此设置默认处于禁用状态,以便只有用户使用密码登录 Citrix Gateway 时才会进行直通身份验证。

上一步

配置身份验证服务