联合身份验证服务体系结构概述

简介

联合身份验证服务 (FAS) 是一个 Citrix 组件,与 Active Directory 证书颁发机构 (CA) 相集成,允许用户在 Citrix 环境中无缝执行身份验证。本文档介绍了适合于您的部署的各种身份验证体系结构。

启用后,FAS 将用户身份验证决策任务委派给可信 StoreFront 服务器。StoreFront 内置一组全面的身份验证选项,这些选项根据新型 Web 技术构建,可以很方便地通过 StoreFront SDK 或第三方 IIS 插件进行扩展。基本设计目标是,任何可在 Web 站点中对用户进行身份验证的身份验证技术现在都可以用于登录 Citrix XenApp 或 XenDesktop 部署。

本文介绍了一些顶级部署体系结构示例(按复杂性升序排列)。

提供了指向相关 FAS 文章的链接。对于所有体系结构,都可以将联合身份验证服务一文用作设置 FAS 时所参考的主要信息源。

工作原理

FAS 已获授权,能够代表经 StoreFront 身份验证的 Active Directory 用户自动颁发智能卡类证书。这将对工具使用类似的 API,以便管理员能够预配物理智能卡。

当用户中转到 Citrix XenApp 或 XenDesktop Virtual Delivery Agent (VDA) 时,证书将附加到计算机,并且 Windows 域会将登录视为标准智能卡身份验证。

内部部署

FAS 允许用户使用多种身份验证选项(包括 Kerberos 单点登录 (SSO))安全地向 StoreFront 进行身份验证,并连接到已经过完全身份验证的 Citrix HDX 会话。

这允许在不提示输入用户凭据或智能卡 PIN 码且不使用“已保存密码管理”功能(例如 SSO 服务)的情况下执行 Windows 身份验证。这可用于取代 XenApp 早期版本中的“Kerberos 约束委派”登录功能。

所有用户都有权在自己的会话中访问公钥基础结构 (PKI) 证书,而无论其是否使用智能卡登录到端点设备。这样就能够平滑迁移到双重身份验证模型,即使是从智能手机和平板电脑等不具备智能卡读卡器的设备迁移也是如此。

此部署中增加了一个用于运行 FAS 的服务器,该服务器已获得代表用户颁发智能卡类证书的授权。这些证书之后在 Citrix HDX 环境中用于登录用户会话,就如同已使用智能卡登录一样。

本地化后的图片

必须以类似于智能卡登录的方式配置 XenApp 或 XenDesktop 环境,CTX206156 对此过程进行了说明。

在现有部署中,此过程通常只需确保已加入域的 Microsoft 证书颁发机构 (CA) 可用,并且已为域控制器分配域控制器证书。(请参阅 CTX206156 中的“颁发域控制器证书”部分。)

相关信息:

NetScaler Gateway 部署

NetScaler 部署与内部部署类似,但增加了与 StoreFront 配对的 Citrix NetScaler Gateway,从而将主身份验证点移动到 NetScaler 本身。Citrix NetScaler 包括多个复杂的身份验证和授权选项,这些选项可用于确保安全地远程访问公司的 Web 站点。

此部署可用于避免在首次对 NetScaler 进行身份验证后登录用户会话时多次提示输入 PIN 码。此外,还允许使用高级 NetScaler 身份验证技术,不需要 AD 密码或智能卡。

本地化后的图片

注意:

如果后端资源为 Windows VDA 或 Linux VDA,则没有区别。

必须以类似于智能卡登录的方式配置 XenApp 或 XenDesktop 环境,CTX206156 对此过程进行了说明。

在现有部署中,此过程通常只需确保已加入域的 Microsoft 证书颁发机构 (CA) 可用,并且已为域控制器分配域控制器证书。(请参阅 CTX206156 中的“颁发域控制器证书”部分。)

将 NetScaler 配置为主身份验证系统时,请确保 NetScaler 与 StoreFront 之间的所有连接都通过 TLS 确保安全。具体而言,请务必将回调 URL 正确配置为指向 NetScaler 服务器,因为这可用于对此部署中的 NetScaler 服务器进行身份验证。

本地化后的图片

相关信息:

ADFS SAML 部署

关键 NetScaler 身份验证技术允许与 Microsoft ADFS 相集成,这样可用作 SAML 身份提供程序 (IdP)。SAML 断言是一个通过密码签名的 XML 块,由授权用户登录计算机系统的可信 IdP 颁发。它表示 FAS 服务器现在允许将用户的身份验证委派给 Microsoft ADFS 服务器(或其他能够识别 SAML 的 IdP)。

本地化后的图片

ADFS 通常用于安全地验证用户的身份以通过 Internet 远程访问公司资源。例如,它通常用于 Office 365 集成。

相关信息:

B2B 帐户映射

如果有两家公司希望使用对方的计算机系统,常见方案为设置一个具有信任关系的 Active Directory 联合身份验证服务 (ADFS) 服务器。这样将允许一家公司的用户无缝进行身份验证以登录另一家公司的 Active Directory (AD) 环境。登录时,每个用户都使用自己的公司登录凭据。ADFS 会自动将其映射到同行公司的 AD 环境中的“重影帐户”。

本地化后的图片

相关信息:

Windows 10 Azure AD 联接

Windows 10 中引入了“Azure AD 联接”的概念,其概念与传统的 Windows 域加入类似,但主要针对“通过 Internet”的场景。此功能特别适用于便携式计算机和平板电脑。与传统的 Windows 域加入相同,Azure AD 具有允许对公司 Web 站点和资源使用 SSO 模块的功能。这些设备都能“识别 Internet”,因此,将从任何连接了 Internet 的位置进行工作,而非仅从办公室局域网进行工作。

本地化后的图片

此部署是实际上没有“办公室中的最终用户”概念的示例。便携式计算机完全通过 Internet 使用最新的 Azure AD 功能进行注册和身份验证。

此部署中的基础结构能够在提供了 IP 地址的任意位置运行:本地、托管提供程序、Azure 或其他云提供程序。Azure AD Connect 同步器将自动连接到 Azure AD。为便于说明,示例图形使用 Azure VM。

相关信息:

联合身份验证服务体系结构概述