使用不同的域进行身份验证

某些组织配置了一些策略,这些策略不允许这些组织向第三方开发人员或合同工提供对生产环境中的已发布资源的访问权限。本文介绍如何在一个域内通过 Citrix Gateway 进行身份验证来提供对测试环境中的已发布资源的访问权限。您随后可以使用不同的域对 StoreFront 和 Receiver for Web 站点进行身份验证。对于通过 Receiver for Web 站点登录的用户,本文中介绍的“通过 Citrix Gateway 进行身份验证”不受支持。对于本机桌面或移动 Citrix Receiver 或 Citrix Workspace 应用程序,此身份验证方法不受支持。

设置测试环境

此示例使用名为 production.com 的生产域和名为 development.com 的测试域。

production.com

此示例中的 production.com 域的设置方式如下所示:

  • Citrix Gateway 配置了 production.com LDAP 身份验证策略。
  • 通过网关进行的身份验证使用 production\testuser1 帐户和密码进行。

development.com

此示例中的 development.com 域的设置方式如下所示:

  • StoreFront、Citrix Virtual App and Desktops 和 VDA 均位于 development.com 域中。
  • 对 Citrix Receiver for Web 站点进行的身份验证使用 development\testuser1 帐户和密码进行。
  • 这两个域之间不存在信任关系。

为应用商店配置 Citrix Gateway

要为应用商店配置 Citrix Gateway,请执行以下操作:

  1. 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店,然后在操作窗格中单击管理 Citrix Gateway
  2. 在“管理 Citrix Gateway”屏幕中,单击添加
  3. 完成“常规设置”、“Secure Ticket Authority”和“身份验证”步骤。

    本地化后的图片

    本地化后的图片

    本地化后的图片

注意:

可能需要添加 DNS 条件转发器,以便这两个域中正在使用的 DNS 服务器可以解析另一个服务器上的 FQDN。Citrix ADC 设备必须能够使用其 production.com DNS 服务器解析 development.com 域中的 STA 服务器 FQDN。StoreFront 还应能够使用其 development.com DNS 服务器解析 production.com 域中的回调 URL。此外,还可以使用 development.com FQDN,该地址被解析为 Citrix Gateway 虚拟服务器的虚拟 IP (VIP)。

启用从 Citrix Gateway 直通

  1. 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店,然后在操作窗格中单击管理身份验证方法
  2. 在“管理身份验证方法”屏幕中,选择从 Citrix Gateway 直通
  3. 单击确定

本地化后的图片

配置应用商店以便使用网关进行远程访问

  1. 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店节点,然后在结果窗格中选择一个应用商店。在操作窗格中,单击配置远程访问设置
  2. 选择启用远程访问
  3. 请确保您已在自己的应用商店中注册 Citrix Gateway。如果未注册 Citrix Gateway,STA 票证将不起作用。

本地化后的图片

禁用令牌一致

  1. 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店节点,然后在结果窗格中选择一个应用商店。在操作窗格中,单击配置应用商店设置
  2. 在“配置应用商店设置”页面上,选择高级设置
  3. 取消选中要求令牌一致复选框。有关详细信息,请参阅高级应用商店设置
  4. 单击确定

    本地化后的图片

注意:

“要求令牌一致”设置默认处于选中状态。如果禁用此设置,用于 Citrix ADC 端点分析 (EPA) 的 SmartAccess 功能将停止运行。有关 SmartAccess 的详细信息,请参阅 CTX138110

对 Receiver for Web 站点禁用从 Citrix Gateway 直通

重要:

禁用从 Citrix Gateway 直通将阻止 Receiver for Web 尝试使用 production.com 域中不正确的凭据从 Citrix ADC 设备通过。禁用从 Citrix Gateway 直通会导致 Receiver for Web 提示用户输入凭据。这些凭据与用于通过 Citrix Gateway 登录的凭据不同。

  1. 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店节点。
  2. 选择要修改的应用商店
  3. 操作窗格中,单击管理 Receiver for Web 站点
  4. 在“管理身份验证方法”中,取消选择从 Citrix Gateway 直通
  5. 单击确定

    本地化后的图片

使用 production.com 用户和凭据登录网关

要进行测试,请使用 production.com 用户和凭据登录网关。

本地化后的图片

登录后,系统将提示用户输入 development.com 凭据。

本地化后的图片

在 StoreFront 中添加可信域下拉列表(可选)

此设置为可选设置,但可以帮助阻止用户意外输入错误的域以通过 Citrix Gateway 进行身份验证。

如果用户名与这两个域的用户名相同,输入错误域的可能性更大。新用户通过 Citrix Gateway 登录时,也可能会使用新用户退出域。系统提示用户登录 Receiver for Web 站点时,这些用户随后也可能会忘记输入第二个域的域\用户名。

  1. 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店,然后在操作窗格中单击管理身份验证方法
  2. 选择用户名和密码旁边的下拉箭头。
  3. 单击添加development.com 添加为可信域,然后选中在登录页面中显示域列表复选框。
  4. 单击确定

本地化后的图片

本地化后的图片

注意:

不建议在此身份验证场景中使用浏览器密码缓存。如果用户为两个不同的域帐户设置了不同的密码,密码缓存会导致体验较差。

Citrix Gateway 无客户端 VPN (CVPN) 会话操作策略

  • 如果在您的 Citrix Gateway 会话策略中启用了“单点登录到 Web 应用程序”,Citrix ADC 设备向 Receiver for Web 发送的不正确的凭据将被忽略,因为您已在 Receiver for Web 站点上禁用从 Citrix Gateway 直通身份验证方法。无论此选项的设置为何,Receiver for Web 都会提示输入凭据。
  • 在 Citrix ADC 设备中的“Client Experience”(客户端体验)和“Published App”(已发布的应用程序)选项卡中填充单点登录条目不会改变本文中介绍的行为。

    本地化后的图片

    本地化后的图片