从 Citrix Gateway 直通
用户向 Citrix Gateway 进行身份验证后,在访问其应用商店时会自动登录。首次配置应用商店的远程访问时,默认启用从 Citrix Gateway 直通身份验证。用户可以通过 Citrix Gateway 使用本地安装的 Citrix Workspace app 或 Web 浏览器连接到应用商店。有关为 Citrix Gateway 配置 StoreFront 的详细信息,请参阅配置 Citrix Gateway。
StoreFront 支持通过以下 Citrix Gateway 身份验证方法进行直通:
- 域 用户使用其 Active Directory 用户名和密码登录。
- RSA 用户使用由安全令牌生成的令牌代码(有时与个人识别码结合)派生的密码登录。如果仅通过安全令牌启用直通身份验证,请确保您提供的资源不需要额外的或替代的身份验证形式,例如用户的 Microsoft Active Directory 域凭据。
- 智能卡 用户使用与其 Active Directory 帐户关联的智能卡登录。
- RSA + 域 用户使用其域凭据和安全令牌密码登录。
- SAML 用户被重定向到第三方 IdP 以通过 SAML 登录。SAML 断言必须包含用户 Active Directory 帐户的 UPN。
- 通过 OIDC 的 Entra ID 用户被重定向到 Microsoft Entra ID 进行身份验证。用户可以是纯 Entra ID 用户,也可以具有混合身份。有关详细信息,请参阅使用 OIDC 进行 Entra ID 身份验证。
如果在 Citrix Gateway 上禁用了身份验证或禁用了单点登录,则不使用直通,您必须配置其他身份验证方法之一。
如果您为通过 Citrix Workspace app 访问应用商店的远程用户配置了到 Citrix Gateway 的双源身份验证,则必须在 Citrix Gateway 上创建两个身份验证策略。将 RADIUS (Remote Authentication Dial-In User Service) 配置为主要身份验证方法,将 LDAP (Lightweight Directory Access Protocol) 配置为辅助方法。修改凭据索引以在会话配置文件中使用辅助身份验证方法,以便将 LDAP 凭据传递给 StoreFront。将 Citrix Gateway 设备添加到 StoreFront 配置时,将“登录类型”设置为“域和安全令牌”。有关详细信息,请参阅 http://support.citrix.com/article/CTX125364
要通过 Citrix Gateway 到 StoreFront 启用多域身份验证,请在每个域的 Citrix Gateway LDAP 身份验证策略中将 SSO 名称属性设置为 userPrincipalName。您可以要求用户在 Citrix Gateway 登录页面上指定一个域,以便确定要使用的相应 LDAP 策略。为连接到 StoreFront 配置 Citrix Gateway 会话配置文件时,请勿指定单点登录域。您必须在每个域之间配置信任关系。确保允许用户从任何域登录到 StoreFront,而不是仅限制对显式受信任域的访问。
在您的 Citrix Gateway 部署支持的情况下,您可以使用 SmartAccess 根据 Citrix Gateway 会话策略控制用户对 Citrix Virtual Apps and Desktops 资源的访问。
启用 Gateway 直通
要在通过 Workspace app 连接时为应用商店启用或禁用网关直通身份验证,请在“身份验证方法”(Authentication Methods) 窗口中勾选或取消勾选“从 Citrix Gateway 直通”。
默认情况下,为应用商店启用 Citrix Gateway 直通身份验证也会为该应用商店的所有网站启用此功能。您可以在“身份验证方法”(Authentication methods) 选项卡上禁用特定网站的用户名和密码身份验证。
配置受信任的用户域
如果您的 Citrix Gateway 配置为使用 LDAP 身份验证,则可以限制对特定域的访问。
-
在“管理身份验证方法”窗口中,从“从 Citrix Gateway 直通”>“设置”下拉菜单中,选择“配置受信任域”。
-
选择“仅受信任域”,然后单击“添加”以输入受信任域的名称。拥有该域中帐户的用户能够登录到所有使用身份验证服务的应用商店。要修改域名称,请在“受信任域”列表中选择该条目,然后单击“编辑”。要停止对域中用户帐户的应用商店访问,请在列表中选择该域,然后单击“删除”。
指定域名称的方式决定了用户输入其凭据的格式。如果您希望用户以域用户名格式输入其凭据,请将 NetBIOS 名称添加到列表中。要要求用户以用户主体名称格式输入其凭据,请将完全限定域名添加到列表中。如果您希望用户能够以域用户名格式和用户主体名称格式输入其凭据,则必须将 NetBIOS 名称和完全限定域名都添加到列表中。
-
如果配置了多个受信任域,请从“默认域”列表中选择用户登录时默认选择的域。
-
如果您希望在登录页面上列出受信任域,请勾选“在登录页面中显示域列表”复选框。
委派身份验证
默认情况下,StoreFront 会验证从 Citrix Gateway 接收的用户名和密码。如果您的 Citrix Gateway 不使用通过 LDAP 的 Active Directory 凭据作为因素(例如,在使用 SAML 或智能卡时),则必须将 StoreFront 配置为信任网关执行的验证。在这种情况下,在配置网关时输入回调 URL 非常重要,以便 StoreFront 可以验证请求是否来自 Citrix Gateway,请参阅管理 Citrix Gateway。
-
在“管理身份验证方法”窗口中,从“从 Citrix Gateway 直通”>“设置”下拉菜单中,选择“配置委派身份验证”。
-
选择“完全将凭据验证委派给 Citrix Gateway”。
。
PowerShell
要使用 PowerShell 配置应用商店以将身份验证委派给 Citrix Gateway,请运行 cmdlet Set-STFCitrixAGBasicOptions。
- 要将身份验证委派给网关,请将
CredentialValidationMode设置为Auto。 - 要让 StoreFront 验证凭据,请将
CredentialValidationMode设置为Password。
密码验证
您可以选择 StoreFront 是自行验证凭据,还是要求 Delivery Controller 验证凭据。有关详细信息,请参阅用户名和密码身份验证 - 密码验证。
如果选择了“完全将凭据验证委派给 Citrix Gateway”,则使用 Delivery Controller 验证密码的设置将不起作用。在这种情况下,StoreFront 必须能够查找 Active Directory 中的用户,因此 StoreFront 服务器的域必须始终与用户域具有信任关系。
允许用户在登录时更改过期密码
如果您的 Citrix Gateway 配置为使用 LDAP(用户名和密码)身份验证,则可以配置 NetScaler 以允许在登录时更改过期密码。
- 登录到 NetScaler® 管理网站。
- 在侧面菜单中,转至“身份验证”>“控制板”。
- 单击身份验证服务器。
- 在“其他设置”下,勾选“允许更改密码”。
允许用户在登录后更改密码
您可以配置 StoreFront 以允许用户在登录后更改其密码。此功能仅在网关使用 LDAP 身份验证且用户通过浏览器(而非本地安装的 Citrix Workspace app)访问应用商店时可用。
默认的 StoreFront 配置会阻止用户更改其密码,即使密码已过期。如果您决定启用此功能,请确保包含您服务器的域的策略不会阻止用户更改其密码。允许用户更改其密码会将敏感的安全功能暴露给任何可以访问使用身份验证服务的任何应用商店的人。如果您的组织有安全策略,将用户密码更改功能仅限于内部使用,请确保任何应用商店都无法从公司网络外部访问。
-
在“管理身份验证方法”窗口中,从“从 Citrix Gateway 直通”>“设置”下拉菜单中,选择“管理密码选项”。
-
要允许用户更改密码,请勾选“允许用户更改密码”复选框。
注意:
如果您选择或清除“允许用户更改密码”,这也会影响用户名和密码身份验证的“管理密码选项”下的设置。
PowerShell
要使用 PowerShell 修改更改密码选项,请运行 cmdlet Set-STFExplicitCommonOptions。
配置 Delivery Controller™ 以信任 StoreFront
当 Citrix Gateway 配置了 LDAP 身份验证时,它会将凭据传递给 StoreFront。对于其他身份验证方法,StoreFront 无法访问凭据,因此无法向 Citrix Virtual Apps and Desktops 进行身份验证。因此,您必须配置 Delivery Controller 以信任来自 StoreFront 的请求,请参阅 Citrix Virtual Apps and Desktops 安全注意事项和最佳实践。
对 VDA 进行单点登录
使用 Active Directory 凭据
当用户使用 LDAP 身份验证在网关进行身份验证时,网关会将凭据传递给 StoreFront 以进行 VDA 身份验证,从而提供单点登录。这不需要额外的配置。
使用 Federated Authentication Service
当用户使用 LDAP 以外的身份验证方法在网关进行身份验证时,StoreFront 无法访问用户的凭据,因此默认情况下无法进行单点登录。您可以配置 Federated Authentication Service 以提供单点登录。
使用 Entra ID
当您将网关配置为通过 OIDC 使用 Entra ID 身份验证时,可以启用 Entra ID 单点登录。此功能需要 CU1 或更高版本。有关详细信息,请参阅配置 VDA Entra ID 单点登录。