This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
智能卡部署方案
本产品版本以及包含此版本的混合环境,均对以下智能卡部署类型提供支持。其他配置可能可以正常运行,但我们不提供支持。
| 类型 | StoreFront™ 连接性、功能和配置 |
|---|---|
| 本地域加入的计算机 | 直接连接方式 |
| 从域加入的计算机进行远程访问 | 通过思杰网关连接 |
| 未加入域的计算机 | 直接连接的 |
| 从未加入域的计算机进行远程访问 | 通过 Citrix Gateway 建立的连接部署方案 |
| 访问 Desktop Appliance 站点的未加入域的计算机和瘦客户端 | 通过 Desktop Appliance 站点建立的连接部署方案 |
| 通过 XenApp® 服务 URL 访问 StoreFront 的域加入的计算机和瘦客户端 | 通过 XenApp 服务 URL 连接 |
部署类型是根据智能卡读卡器所连接的各种用户设备的具体特性来定义的:
- 设备是已加入域的,还是未加入域的。
- 设备如何连接到 StoreFront。
- 使用什么软件来查看虚拟桌面和应用程序。
此外,这些部署中还可以使用支持智能卡的应用程序,例如 Microsoft Word 和 Microsoft Excel。这些应用程序允许用户对文档进行数字签名或加密。
双模式身份验证
在这些部署中,Receiver 尽可能通过向用户提供使用智能卡或输入其用户名和密码的选择来支持双模式身份验证。如果智能卡无法使用(例如,用户将其遗忘在家中或登录证书已过期),此功能会很有用。
由于未加入域的设备用户直接登录到 Receiver for Windows,因此您可以让用户回退到显式身份验证。如果配置了双模式身份验证,用户最初会收到使用智能卡和 PIN 登录的提示,但如果他们的智能卡出现任何问题,他们可以选择显式身份验证。
如果您部署 Citrix Gateway,用户将登录到其设备,并且 Receiver for Windows 会提示他们向 Citrix Gateway 进行身份验证。这适用于已加入域和未加入域的设备。用户可以使用其智能卡和 PIN 或显式凭据登录到 Citrix Gateway。这使您能够为 Citrix Gateway 登录提供双模式身份验证。配置从 Citrix Gateway 到 StoreFront 的直通身份验证,并将凭据验证委托给 Citrix Gateway 以供智能卡用户使用,以便用户可以静默地向 StoreFront 进行身份验证。
关于多个 Active Directory 林的相关注意事项
在 Citrix 环境中,智能卡在单个林中受支持。跨林的智能卡登录需要与所有用户帐户建立直接的双向林信任。不支持涉及智能卡的更复杂的多林部署(即,信任仅为单向或不同类型的部署)。
您可以在包含远程桌面的 Citrix 环境中使用智能卡。此功能可以本地安装(在智能卡连接到的用户设备上)或远程安装(在用户设备连接到的远程桌面上)。
智能卡移除策略
产品上设置的智能卡移除策略决定了在会话期间从读卡器中移除智能卡时会发生什么。智能卡移除策略通过 Windows 操作系统进行配置和处理。
| 策略设置 | 桌面行为 |
|---|---|
| 无操作 | 无操作。 |
| 锁定工作站 | 桌面会话已断开连接,虚拟桌面已锁定。 |
| 强制注销 | 用户被强制注销。如果网络连接丢失且此设置已启用,会话可能会被注销,用户可能会丢失数据。 |
| 如果是远程终端服务会话,则断开连接 | 会话已断开连接,虚拟桌面已锁定。 |
证书吊销情况检查
如果启用了证书吊销检查,并且用户将带有无效证书的智能卡插入读卡器,则用户无法对与该证书相关的桌面或应用程序进行身份验证或访问。例如,如果无效证书用于电子邮件解密,则电子邮件仍保持加密状态。如果卡上的其他证书(例如用于身份验证的证书)仍然有效,则这些功能将保持活动状态。
部署示例:已加入域的计算机
此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的已加入域的用户设备。
用户使用智能卡和 PIN 登录设备。Receiver 使用集成 Windows 身份验证 (IWA) 对用户向 StoreFront 服务器进行身份验证。StoreFront 将用户安全标识符 (SID) 传递给 Citrix Virtual Apps 或 Citrix Virtual Desktops。当用户启动虚拟桌面或应用程序时,由于 Receiver 上配置了单点登录功能,用户不会再次被要求输入 PIN。
此部署可以通过添加第二个 StoreFront 服务器和托管应用程序的服务器来扩展为双跳。虚拟桌面中的 Receiver 向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。针对第一个跳的配置可以在第二个跳中重复使用,或者仅在第二个跳中使用。
部署示例:来自已加入域的计算机的远程访问
此部署涉及运行桌面查看器并通过思杰网关/访问网关连接到 StoreFront 的已加入域的用户设备。
用户使用智能卡和 PIN 登录设备,然后再次登录 Citrix Gateway/Access Gateway。这第二次登录可以使用智能卡和 PIN,也可以使用用户名和密码,因为 Receiver 在此部署中允许双模式身份验证。
用户自动登录到 StoreFront,StoreFront 将用户安全标识符 (SID) 传递给 Citrix Virtual Apps™ 或 Citrix Virtual Desktops。当用户启动虚拟桌面或应用程序时,由于 Receiver 上配置了单点登录功能,用户不会再次被要求输入 PIN。
此部署可以通过添加第二个 StoreFront 服务器和托管应用程序的服务器来扩展为双跳。虚拟桌面中的 Receiver 向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。针对第一个跳的配置可以在第二个跳中重复使用,或者仅在第二个跳中使用。
部署示例:未加入域的计算机
此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的未加入域的用户设备。
用户登录设备。通常,用户输入用户名和密码,但由于设备未加入域,此登录的凭据是可选的。由于此部署中可能进行双模式身份验证,Receiver 会提示用户输入智能卡和 PIN 或用户名和密码。然后 Receiver 向 StoreFront 进行身份验证。
StoreFront 将用户安全标识符 (SID) 传递给 Citrix Virtual Apps 或 Citrix Virtual Desktops。当用户启动虚拟桌面或应用程序时,用户会再次被要求输入 PIN,因为此部署中不提供单点登录功能。
此部署可以通过添加第二个 StoreFront 服务器和托管应用程序的服务器来扩展为双跳。虚拟桌面中的 Receiver 向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。针对第一个跳的配置可以在第二个跳中重复使用,或者仅在第二个跳中使用。
部署示例:来自未加入域的计算机的远程访问
此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的非域加入用户设备。
部署示例:从非域加入计算机进行远程访问(/zh-cn/citrix-virtual-apps-desktops/2402-ltsr/media/smartcard4_1.png)
用户登录到设备。通常,用户输入用户名和密码,但由于设备未加入域,此登录的凭据是可选的。由于此部署中可能存在双模式身份验证,因此 Receiver 会提示用户输入智能卡和 PIN 或用户名和密码。然后,Receiver 会向 Storefront 进行身份验证。
StoreFront 将用户安全标识符 (SID) 传递给 Citrix Virtual Apps 或 Citrix Virtual Desktops。当用户启动虚拟桌面或应用程序时,系统会再次提示用户输入 PIN,因为此部署中不提供单点登录功能。
通过添加第二个 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展为双跳。来自虚拟桌面的 Receiver 向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。为第一个跳线显示的配置可以在第二个跳线中重复使用,或者仅在第二个跳线中使用。
部署示例:非域加入计算机和瘦客户端访问 Desktop Appliance 站点
此部署涉及可能运行 Desktop Lock 并通过 Desktop Appliance 站点连接到 StoreFront 的非域加入用户设备。
桌面锁定是一个单独的组件,随 Citrix Virtual Apps、Citrix Virtual Desktops 和 VDI-in-a-Box 一起发布。它是桌面查看器的替代方案,主要为重新利用的 Windows 计算机和 Windows 瘦客户端设计。桌面锁定会替换这些用户设备中的 Windows 外壳和任务管理器,从而阻止用户访问底层设备。借助桌面锁定,用户可以访问 Windows Server 计算机桌面和 Windows 桌面计算机桌面。桌面锁定的安装是可选的。
部署示例:非域加入计算机和瘦客户端访问 Desktop Appliance 站点(/zh-cn/citrix-virtual-apps-desktops/2402-ltsr/media/smartcard5_1.png)
用户使用智能卡登录到设备。如果设备上运行 Desktop Lock,则设备配置为通过在 Kiosk 模式下运行的 Internet Explorer 启动 Desktop Appliance 站点。站点上的 ActiveX 控件会提示用户输入 PIN,并将其发送到 StoreFront。StoreFront 将用户安全标识符 (SID) 传递给 Citrix Virtual Apps 或 Citrix Virtual Desktops。分配的桌面组中按字母顺序排列的第一个可用桌面将启动。
通过添加第二个 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展为双跳。来自虚拟桌面的 Receiver 向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。为第一个跳线显示的配置可以在第二个跳线中重复使用,或者仅在第二个跳线中使用。
部署示例:域加入计算机和瘦客户端通过 XenApp Services URL 访问 StoreFront
此部署涉及运行桌面锁定并通过 XenApp 服务 URL 连接到 StoreFront 的域加入用户设备。
桌面锁定是一个单独的组件,随 Citrix Virtual Apps、Citrix Virtual Desktops 和 VDI-in-a-Box 一起发布。它是桌面查看器的替代方案,主要为重新利用的 Windows 计算机和 Windows 瘦客户端设计。桌面锁定会替换这些用户设备中的 Windows shell 和任务管理器,从而阻止用户访问底层设备。借助桌面锁定,用户可以访问 Windows Server 计算机桌面和 Windows 桌面计算机桌面。桌面锁定的安装是可选的。
部署示例:域加入计算机和瘦客户端通过 XenApp Services URL 访问 StoreFront(/zh-cn/citrix-virtual-apps-desktops/2402-ltsr/media/smartcard6.png)
用户使用智能卡和PIN登录设备。如果设备上运行Desktop Lock,它会使用集成Windows身份验证 (IWA) 对用户进行身份验证,以连接到StoreFront服务器。StoreFront将用户安全标识符 (SID) 传递给Citrix Virtual Apps或Citrix Virtual Desktops。当用户启动虚拟桌面时,由于Receiver上配置了单点登录功能,用户不会再次被要求输入PIN。
通过添加第二个StoreFront服务器和托管应用程序的服务器,此部署可以扩展为双跳。虚拟桌面中的Receiver向第二个StoreFront服务器进行身份验证。此第二个连接可以使用任何身份验证方法。针对第一个跳的配置可以在第二个跳中重复使用,或者仅在第二个跳中使用。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.