部署指南:多域 FAS 架构-外部电子健康记录

电子健康记录 (EHR) 对于医疗保健专业人员为患者提供重症监护任务至关重要。截至2021 年,近十分之九的临床医生 使用电子病历。由于托管和部署电子健康纪录需要付出大量精力,许多医疗保健企业都使用第三方托管的解决方案。Epic报告说,有 97家客户 正在使用Epic自己的私有托管云。

除了这些外部部署外,许多医疗保健公司还转向基于SAML的身份验证,以增强安全性,因为它为身份验证提供了更大的灵活性和更精细的策略。SAML 为使用内部和第三方托管的 Citrix 环境进行部署带来了挑战:如何在没有 LDAP 身份验证的情况下为 VDA 启用一致的 SSO?这一挑战可以通过通过Active Directory (AD) 双向信任与外部供应商实施Citrix联合身份验证服务 (FAS) 来解决。信任可以是双向林信任,也可以是特定域之间的双向外部信任。

我们 之前的文档 涵盖了当用户和计算机对象处于两个不同的域中时的配置。本部署指南涵盖了 Citrix 基础架构在两个域之间拆分时的配置,这在第三方托管的 EHR 中很常见。计划将来为备用域配置提供部署指南。

Active Directory 信任复习

大多数最终用户需要访问多个域才能共享资源,而信任使用户能够访问这些域。当域之间存在信任时,每个域中的身份验证过程都信任来自另一个域的身份验证。信任可以是单向信任,即向信任域中的用户提供对信任域中资源的访问权限。信任也可以是双向的,即提供从每个域对另一个域的资源的访问权限。

还有信托的范围需要考虑。信任有两种选择:全林身份验证或选择性身份验证。Forest-wide 身份验证允许信任域中的用户针对可信域中的所有资源进行身份验证。选择性身份验证不会自动允许用户访问可信域中的资源。管理员需要向个人授予他们希望最终用户使用的特定资源的访问权限。当两个林属于同一个组织时,首选全林信任。如果林属于不同的组织,则首选选择性身份验证信任。组织也可以将这两种类型的范围设置为不同的方向(选择性出站和完全入站或相反)。

要使用第三方托管 VD A 配置 FAS,需要双向信任。第三方托管林必须信任客户林,客户帐户才能登录该托管林中的 VDA。

客户林还必须信任托管林,因为托管 VDA 必须与客户 FAS 服务器和证书颁发机构通信。出于安全考虑,由于在本例中第三方组织托管 VDA, Citrix 建议配置选择性 身份验证而不是全林身份验证。

概念体系结构

架构图

高级配置摘要

为了使组织能够针对外部资源启用 FAS SAML 身份验证,出于上一节中讨论的原因,需要启用双向信任。客户用户必须能够针对托管域中的 Citrix 资源进行身份验证。这包括交付控制器或云连接器以及 VDA 计算机对象。要通过 FAS 进行身份验证,托管 VDA 必须能够针对客户 FAS 服务器和域控制器进行身份验证。

此外,要允许托管 VDA 根据客户证书颁发机构进行身份验证,必须将来自客户域的所有根/中间证书添加到 VDA。必须将证书添加到 VDA 上的 NTauth 和可信根证书颁发机构存储中。托管的 VDA 会延伸到客户域,因此需要客户证书链。

在 FAS 方面,必须在两个域中配置 FAS GPO ,以将托管的 VDA 和客户 StoreFront 指向 FAS 服务器。 如果用户直接在 StoreFront 进行身份验证,则必须将相关的 StoreFront 商店配置为处理 SAML 身份验证。 如果正在使用 NetScaler,则无需执行此步骤。 NetScaler 处理 SAML 身份验证并将用户传递到 StoreFront。

此外,默认情况下, FAS 默认规则 仅包括客户域中的 VDA,需要更新该规则以包括托管的 VDA。

Citrix Cloud 注意事项

本文详细介绍了当客户和托管环境完全位于本地环境时所需的配置。下表列出了使用各种 Citrix Cloud 解决方案实施解决方案时所需的配置更改。

客户\ 托管 CVAD DaaA
CVAD + StoreFront 在本文中介绍。 无需更改配置。任何引用托管交付控制器的内容都应应用于托管的云连接器。
DaaS + 店面 无需更改配置。任何引用托管交付控制器的内容都应应用于托管的云连接器。 无需更改配置。任何引用托管交付控制器的内容都应应用于托管的云连接器。
DaaS + 工作空间 需要 将本地托管 CVAD 站点映射到工作区用户界面。 目前无法将多个 DaaS 租户映射到工作区用户界面。此功能已在公共技术预览版中。如果您想启用此功能,请联系您的账户技术专家。

必备条件

本部署指南假设最终用户已经在访问外部托管的 VDA。唯一需要更改的配置是启用 FAS 的 SAML 身份验证。在这种情况下,客户和托管域之间已经存在单向信任,允许用户进行身份验证。客户用户已配置为针对托管的交付控制器和 VDA 进行身份验证。的 CVAD 站点设置设置为-TrustRequestsSentToTheXmlServicePort true。 如果使用 DaaS,可以在此处找到配置此设置的说明。

#run these commands on the Delivery Controller
#add Citrix snap-in
asnp Citrix*
#see brokersite information
get-brokersite
#set XML trust requests to true
set-brokersite -TrustRequestsSentToTheXmlServicePort $true
<!--NeedCopy-->

如果当前未为外部托管的 VDA 配置环境,则无需配置单向信任。可以从一开始就部署双向信任。要成功访问资源,还需要配置其他先决条件。

部署步骤

AD 信任配置

  1. 将现有的单向信任更新为双向信任(通过 GUI)或 PowerShell)。

域本地组和选择性身份验证

注意:

如果您使用全林身份验证(而不是推荐的选择性身份验证),则可以跳过这些步骤,因为无需明确定义权限。

  1. Citrix 建议为客户域中的托管 VDA 创建一个域本地 Active Directory 组。这些组可以更轻松地应用身份验证权限。在此示例中,域本地组名为 “Hosted-allowedAuth”。托管域中的所有 VDA 都应添加到该组中。在本示例中,使用由所有 VDA 组成的安全组。

    图片 01

  2. 如果已经存在单向信任,则客户用户应该已经拥有一个有权针对托管的 Delivery Controller 和 VDA 进行身份验证的域本地组。如果以前未使用过此配置,请使用托管域中的客户 Citrix 用户创建一个域本地组。

    图片 02

  3. 在客户域中,托管的 VDA 需要权限才能针对 FAS 服务器和域控制器进行身份验证。

    注意:

    如果您之前未进行过外部部署,则必须允许客户用户根据托管的交付控制器和 VDA 进行身份验证。所示的相同过程也适用于这些权限。

  4. 在 “Active Directory 用户和计算机” 中,导航到包含 FAS 服务器的 OU。右键单击服务器,然后选择 “属性”。

    图片 03

  5. 单击 “安全” 选项卡查看权限。请注意,如果您看不到 “安全” 选项卡,则必须启用 “查看” 菜单下的 “高级功能”。

    图片 04

    图片 05

  6. 单击 “高级” 按钮,然后选择 “添加”。

    图片 06

  7. 对于委托人,请选择之前创建的 Hosted-allowedAuth 群组。此权限应适用于 “后代计算机对象”。授予 “允许进行身份验证” 权限。“读取” 权限是自动添加的。点击 “确定”。

    图片 07

  8. 对域控制器 OU 重复步骤 5—8。

VDA 证书

  1. 通过 GPO 向托管的 VDA 黄金映像分发客户根证书和中间证书。托管的 VDA 需要安装完整的客户证书链。
  2. 验证根证书/中间证书是否显示在 VDA 的 “ 可信根证书颁发机构” > “证书 ” 文件夹中。

    图片 08

  3. 本指南介绍如何向 NTauth AD 容器添加证书。此方法将客户根 CA 推送到 NTauth 存储在域中的所有计算机。如果您只想在 VDA 上安装证书,请跳至步骤 6。在托管环境中,导航到托管的证书颁发机构并打开 MMC 控制台 > 添加/删除管理单元企业 PKI。

    图片 09

  4. 右键单击 “企业 PKI”,然后选择 “管理 AD 容器…”。

    图片 10

  5. 转到 “ntauthContainers” 选项卡,单击 “添加”,从本地计算机上的某个位置添加客户根证书。

    图片 11

  6. 在 VDA 黄金映像上的 PowerShell 中,使用命令。 certutil -viewstore -enterprise NTAuth 验证客户证书是否已安装在 NTauth 商店中。

    图片 12

    注意:

    PowerShell 命令可用于将证书添加到 VDA 映像上本地的 NTauth 存储区。

    #add certificate:
    certutil -addstore- enterprise NTAuth “C:\filepath\certname.cer”
    #delete certificate:
    certutil -viewdelstore -enterprise NTAuth
    #view NTAuth Store:
    certutil -viewstore -enterprise NTAuth
    <!--NeedCopy-->
    

FAS 配置

此配置需要对 常规 FAS 配置稍作修改。

  1. 创建 默认 FAS 规则时,在 VDA 的权限下包括 Hosted-allowedAuth 组,允许托管 VDA 也使用 FAS。

    图片 13

  2. 在客户和托 管的域控制器上安装 FAS .admx 和.adml 模板
  3. 在客户域中,在 “ 管理模板” > “Citrix 组件”“身份验证 OU” 中实施联合身份验证服务策略设置。此策略应指向 FAS 服务器并应用于包含 StoreFront 服务器的文件夹。

    注意:

    如果您希望使用注册表项来实现此设置,则注册表项位于中 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\Addresses。密钥名称是 Address1,值是 FAS 服务器的 FQDN。如果您使用多个 FAS 服务器,则可以使用 Address2、Address3 等名称添加更多密钥。

    图片 14

  4. 在托管域上,在 管理模板 > Citrix 组件身份验证 OU 中实现联合身份验证服务策略设置。此策略应指向 FAS 服务器并应用于包含 VDA 的文件夹。

    图片 15

  5. 考虑实施 FAS 强化建议 ,以提高 FAS 的安全性。
  6. 验证应用程序启动是否正常以及用户是否可以 SSO 访问其资源。

请参阅此 博客 对 FAS 问题进行故障排除。

引用

FAS 产品文档

FAS 多域名博客

故障排除 FAS 博客

FAS 身份验证失败并显示错误 “用户名或密码不正确”

自动化 FAS 博客

Windows 身份验证概念

部署指南:多域 FAS 架构-外部电子健康记录