产品文档
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
查看 PDF

使用不同的域进行身份验证

March 9, 2026
投稿者: 
C C

有些组织制定了相关策略,不允许第三方开发人员或承包商访问生产环境中的已发布资源。本文介绍了如何通过使用一个域通过 Citrix Gateway 进行身份验证,从而授予对测试环境中已发布资源的访问权限。然后,您可以使用不同的域向 StoreFront 和适用于 Web 的 Receiver 站点进行身份验证。本文中描述的通过 Citrix Gateway 进行的身份验证支持通过适用于 Web 的 Receiver 站点登录的用户。本机桌面或移动版 Citrix Receiver 或 Citrix Workspace 应用程序的用户不支持此身份验证方法。

设置测试环境

此示例使用名为 production.com 的生产域和名为 development.com 的测试域。

production.com

此示例中的 production.com 域设置如下:

  • 配置了具有 production.com LDAP 身份验证策略的 Citrix Gateway。
  • 通过网关进行身份验证时使用 production\testuser1 帐户和密码。

development.com

此示例中的 development.com 域设置如下:

  • StoreFront、Citrix Virtual Apps and Desktops 和 VDA 均位于 development.com 域中。
  • 向适用于 Web 的 Citrix Receiver 站点进行身份验证时使用 development\testuser1 帐户和密码。
  • 两个域之间没有信任关系。

为应用商店配置 Citrix Gateway

要为应用商店配置 Citrix Gateway,请执行以下操作:

  1. 在 Citrix StoreFront 管理控制台的左窗格中选择应用商店,然后在操作窗格中,单击管理 Citrix Gateway
  2. 在“管理 Citrix Gateway”屏幕上,单击添加

  3. 完成“常规设置”、“安全票证颁发机构”和“身份验证”步骤。

    添加 Citrix Gateway 窗口,常规设置部分

    添加 Citrix Gateway 窗口,安全票证颁发机构部分

    添加 Citrix Gateway 窗口,身份验证设置部分

注意:

可能需要添加 DNS 条件转发器,以便两个域中使用的 DNS 服务器可以解析另一个域上的 FQDN。Citrix Gateway 必须能够使用其 production.com DNS 服务器解析 development.com 域上的 STA 服务器 FQDN。StoreFront 还应该能够使用其 development.com DNS 服务器解析 production.com 域上的回调 URL。或者,可以使用解析为 Citrix Gateway 虚拟服务器虚拟 IP (VIP) 的 development.com FQDN。

启用从 Citrix Gateway 直通

  1. 在 Citrix StoreFront 管理控制台的左窗格中选择应用商店,然后在操作窗格中,单击管理身份验证方法
  2. 在“管理身份验证方法”屏幕上,选择从 Citrix Gateway 直通
  3. 单击确定

管理身份验证方法窗口

使用 Gateway 配置应用商店以进行远程访问

  1. 在 Citrix StoreFront 管理控制台的左窗格中选择应用商店节点,然后在结果窗格中选择一个应用商店。在操作窗格中,单击配置远程访问设置
  2. 选择启用远程访问
  3. 确保已向应用商店注册 Citrix Gateway。如果未注册 Citrix Gateway,STA 票证将无法工作。

配置远程访问设置窗口

禁用令牌一致性

  1. 在 Citrix StoreFront 管理控制台的左窗格中选择应用商店节点,然后在结果窗格中选择一个应用商店。在操作窗格中,单击配置应用商店设置
  2. 在“配置应用商店设置”页面上,选择高级设置

  3. 清除要求令牌一致性复选框。有关详细信息,请参阅高级应用商店设置

    高级设置中的“要求令牌一致性”设置

  4. 单击确定

注意:

“要求令牌一致性”设置默认处于选中(启用)状态。如果禁用此设置,用于 Citrix Gateway 端点分析 (EPA) 的 SmartAccess 功能将停止工作。

禁用从 Citrix Gateway 到网站的直通

重要:

禁用从 Citrix Gateway 直通可防止网站尝试使用从 Citrix Gateway 传递的 production.com 域中的不正确凭据。禁用从 Citrix Gateway 直通会导致网站提示用户输入凭据。这些凭据与通过 Citrix Gateway 登录时使用的凭据不同。

  1. 在 Citrix StoreFront 管理控制台的左窗格中选择应用商店节点。
  2. 选择要修改的应用商店
  3. 操作窗格中,单击管理网站
  4. 在“身份验证方法”中,清除从 Citrix Gateway 直通

  5. 单击确定

    编辑适用于 Web 的 Receiver 站点窗口,身份验证方法部分

使用 production.com 用户和凭据登录到 Gateway

要进行测试,请使用 production.com 用户和凭据登录到 Gateway。

登录屏幕

登录后,系统会提示用户输入 development.com 凭据。

第二个登录屏幕

在 StoreFront 中添加受信任域下拉列表(可选)

此设置是可选的,但它可能有助于防止用户意外输入错误的域以通过 Citrix Gateway 进行身份验证。

如果两个域的用户名相同,则输入错误域的可能性更大。新用户也可能习惯于在通过 Citrix Gateway 登录时省略域。然后,当系统提示用户登录适用于 Web 的 Receiver 站点时,他们可能会忘记输入第二个域的 domain\username。

  1. 在 Citrix StoreFront 管理控制台的左窗格中选择应用商店,然后在操作窗格中,单击管理身份验证方法
  2. 选择用户名和密码旁边的下拉箭头。
  3. 单击添加以将 development.com 添加为受信任域,然后选中在登录页面中显示域列表复选框。
  4. 单击确定

配置受信任域窗口

带有域下拉列表的登录屏幕

注意:

在此身份验证方案中不建议使用浏览器密码缓存。如果用户对两个不同的域帐户使用不同的密码,密码缓存可能会导致糟糕的体验。

NetScaler® 会话操作策略

  • 如果在 Citrix Gateway 会话策略中启用了 Web 应用程序的单点登录,则 Citrix Gateway 发送到网站的不正确凭据将被忽略,因为您已在网站上禁用了从 Citrix Gateway 直通身份验证方法。无论此选项设置为如何,网站都会提示输入凭据。

  • 在 Citrix Gateway 的“客户端体验”和“已发布的应用程序”选项卡中填充单点登录条目不会改变本文中描述的行为。

    Citrix 策略屏幕,客户端体验选项卡

    Citrix 策略屏幕,已发布的应用程序选项卡

使用不同的域进行身份验证
March 9, 2026
投稿者: 
C C
March 9, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.