简化了 Web 和 SaaS 应用程序的单点登录过程
注意:
使用 PowerShell 模块配置单点登录 (SSO) 即将过时。因此,我们建议您通过全局应用程序配置服务配置 SSO。有关更多信息,请参阅 通过全局应用程序配置服务管理 Web 和 SaaS 应用程序的单点登录。
单点登录是一种身份验证功能,允许用户使用一组登录凭据访问多个应用程序。企业通常使用 SSO 身份验证来简化对各种 Web、本地和云应用程序的访问,以获得更好的用户体验。
SSO 功能使管理员可以更好地控制以下内容:
- 用户访问权限
- 减少与密码相关的支持电话
- 提高安全性和合规性。
以前,需要为部署的每个 Web 或 SaaS 应用程序配置 SSO。有关更多信息,请参阅 Workspace 单点登录。
此功能旨在将 SSO 配置简化为单个 PowerShell 命令。此功能适用于跨平台的所有 Web 和 SaaS 应用程序,无需在身份提供商 (IdP) 链中配置网关服务。此功能还可以改善用户体验,前提是使用相同的 IdP 对 Citrix Workspace 应用程序和 Web 或 SaaS 应用程序进行身份验证。
PowerShell 模块使用在 Citrix Cloud 中运行的 StoreFrontConfiguration 服务来获取和设置工作区的配置。此模块可帮助您为 Citrix Workspace 配置某些属性。
要下载,请单击用于 Citrix Workspace 配置的 PowerShell 模块。
必备条件
- 使用相同的身份提供商 (IdP) 对 Citrix Workspace 应用程序和特定的 Web 或 SaaS 应用程序进行身份验证。
- 在第三方 IdP 配置中启用永久 Cookie,以获得无缝的 SSO 体验。
-
本机操作系统所需的最低 Citrix Workspace 应用程序版本为:
- 适用于 Win 的 Citrix Workspace 应用程序 2204.1
- 适用于 macOS 的 Citrix Workspace 应用程序 2203.1
- 适用于Android 22.3.5 的 Citrix Workspace 应用程序
- 适用于 iOS 的 Citrix Workspace 22.3.5
- 如果使用 Google IdP,则 Android 和 iOS 不支持此功能。
注意:
- 简化的 SSO 功能将身份验证Android 版 Citrix Workspace 应用程序所需的 Web 视图更改为 Android WebView,将适用于 iOS 的 Citrix Workspace 应用程序更改为 WKWebView。Citrix 建议管理员测试 Android WebView 和 WKWebView,以验证在使用 Intune 的条件访问等其他 Endpoint Management 配置时可能受到影响的限制。
- 如有必要,您可以禁用特定操作系统的 SSO 功能。有关更多信息,请参阅本文中的“Set-WorkspaceCustomConfigurations”部分。
开始之前的准备工作
要配置 SSO,必须具备以下条件:
- ClientID
- ClientSecret
- PowerShell 命令语法
获取 ClientId 和 ClientSecret
要生成 ID 和密钥值,请执行以下操作:
- 使用您的 Citrix Cloud 凭据登录 Citrix Cloud 控制台。
- 导航到身份和访问管理。
-
转到 API 访问选项卡 > 安全客户端 > 在命名您的安全客户端字段中输入安全客户端的名称 > 单击创建客户端。
出现“已成功创建 ID 和密钥”消息。
- (可选)下载 .csv 文件格式的 ID 和密钥值以备将来使用。有关更多信息,请参阅 开始使用 Citrix Cloud API。
PowerShell 模块语法
PowerShell 模块由以下两个命令组成:
- Get-WorkspaceCustomConfigurations
- Set-WorkspaceCustomConfigurations
Get-WorkspaceCustomConfigurations
语法如下:
Get-WorkspaceCustomConfigurations [-WorkspaceUrl] <String> [-ClientId] <String> [-ClientSecret] <String>
示例:
Get-WorkspaceCustomConfigurations -WorkspaceUrl `https://xyz.cloud.com` -ClientId `abc-0000-xyz00` -ClientSecret `abcdefg12345`
<!--NeedCopy-->
注意:
客户端机密已被删除。
Set-WorkspaceCustomConfigurations
语法如下:
Set-WorkspaceCustomConfigurations [-WorkspaceUrl] <URL> [-ClientId] <String> [-ClientSecret] <String> IdpDomains <string[]> [[-IosWebViewType] <String>] [[-AndroidWebViewType] <String>] [[-WindowsShareIdpSessions] <Boolean>] [[-MacShareIdpSessions] <Boolean>] [[-LinuxShareIdpSessions] <Boolean>]
示例:
Set-WorkspaceCustomConfigurations -WorkspaceUrl `https://xyz.cloud.com` -ClientId `abc-0000-xyz00` -ClientSecret `abcdefg12345` -IdpDomains @('abc.okta.com', 'xyz.okta.com') -IosWebViewType "wkwebview" -AndroidWebViewType "webview" -WindowsShareIdpSessions $true -MacShareIdpSessions $true -LinuxShareIdpSessions $true
<!--NeedCopy-->
注意:
客户端机密已被删除。
下表描述了键值对:
键 | 值 |
---|---|
IdPDomains | IdP 域名列表。该列表取决于环境中使用的身份提供商。 |
WindowsShareIdpSessions | 用于切换适用于 Windows 的 Citrix Workspace 应用程序的功能的布尔值。接受的值为 true 或 false。 |
MacShareIdpSessions | 用于切换适用于 macOS 的 Citrix Workspace 应用程序的功能的布尔值。接受的值为 true 或 false。 |
LinuxShareIdpSessions | 用于切换适用于 Linux 的 Citrix Workspace 应用程序的功能的布尔值。此功能不适用于适用于 Linux 操作系统的 Citrix Workspace 应用程序。接受的值为 true 或 false。 |
IosWebViewType | WKWebView 用于在您登录适用于 iOS 的 Citrix Workspace 应用程序时进行身份验证。接受的值要么是启用 SSO 的 wkwebview (WKWebView),要么是禁用 SSO 的 safari (SafariViewController) SafariViewController 是适用于 iOS 的 Citrix Workspace 应用程序的默认身份验证 Web |
AndroidWebViewType | WebView 用于在您登录适用于 Android 的 Citrix Workspace 应用程序时进行身份验证。接受的值要么是启用 SSO 的 webview (WebView),要么是禁用 SSO 的 cctab (ChromeCustomTab)。ChromeCustomTab 是适用于 Android 的 Citrix Workspace 应用程序的默认身份验证 Web 视图。 |
如何配置 SSO
要使用 PowerShell 模块配置 SSO,请执行以下操作:
- 下载并保存用于 Citrix Workspace 配置的 PowerShell 模块。
- 打开 PowerShell。
- 导航到 Citrix.Workspace.StoreConfigs 文件夹。
- 导入 PowerShell 模块。语法如下:
Import-Module ./Citrix.Workspace.StoreConfigs
- 运行 Get-WorkspaceCustomConfigurations 命令来检查现有值。
- 运行 Set-WorkspaceCustomConfigurations 命令来应用 SSO。