智能卡部署方案
本产品版本以及包含此版本的混合环境,均支持以下智能卡部署方式。其他配置可能可以运行,但不受支持。
| 类型 | StoreFront™ 的连接方式和能力 |
|---|---|
| 本地已加入域的计算机 | 直接连接方式 |
| 从已加入域的计算机进行远程访问 | 通过 思杰网关 连接 |
| 未加入域的计算机 | 直接连接方式 |
| 从未加入域的计算机进行远程访问 | 通过 思杰网关 连接 |
| 访问 Desktop Appliance 站点的未加入域的计算机和瘦客户端 | 通过 桌面设备站点 连接 |
| 通过 XenApp® Services URL 访问 StoreFront 的已加入域的计算机和瘦客户端 | 通过 XenApp 服务 URL 地址连接 |
部署类型是根据智能卡读卡器所连接的用户设备的具体特性来定义的:
- 设备是已加入域,还是未加入域。
- 设备如何连接到 StoreFront。
- 使用什么软件来查看虚拟桌面和应用程序。
此外,这些部署中可以使用支持智能卡的应用程序,例如 Microsoft Word 和 Microsoft Excel。这些应用程序允许用户对文档进行数字签名或加密。
双模式身份验证
在这些部署中,只要有可能,Receiver 都支持双模式身份验证,为用户提供使用智能卡或输入其用户名和密码的选择。如果智能卡无法使用(例如,用户将其遗忘在家中或登录证书已过期),这会很有用。
由于未加入域的设备用户直接登录到 Receiver for Windows,因此您可以让用户回退到显式身份验证。如果您配置双模式身份验证,用户最初会收到使用其智能卡和 PIN 登录的提示,但如果他们的智能卡出现任何问题,他们可以选择显式身份验证。
如果您部署 Citrix Gateway,用户将登录到其设备,并且 Receiver for Windows 会提示他们向 Citrix Gateway 进行身份验证。这适用于已加入域和未加入域的设备。用户可以使用其智能卡和 PIN 登录 Citrix Gateway,也可以使用显式凭据登录。这使您能够为 Citrix Gateway 登录提供双模式身份验证。配置从 Citrix Gateway 到 StoreFront 的直通身份验证,并将凭据验证委托给 Citrix Gateway 以供智能卡用户使用,以便用户可以静默地向 StoreFront 进行身份验证。
多个活动目录林的考量因素
在 Citrix 环境中,智能卡在单个林中受支持。跨林的智能卡登录需要与所有用户帐户建立直接的双向林信任。涉及智能卡的更复杂的多林部署(即,信任仅为单向或不同类型的部署)不受支持。
您可以在包含远程桌面的 Citrix 环境中使用智能卡。此功能可以本地安装(在智能卡所连接的用户设备上)或远程安装(在用户设备所连接的远程桌面上)。
智能卡移除策略
产品上设置的智能卡移除策略决定了在会话期间从读卡器中移除智能卡时会发生什么。智能卡移除策略通过 Windows 操作系统进行配置和处理。
| 策略设置 | 桌面行为 |
|---|---|
| 无操作 | 无操作。 |
| 锁定工作站 | 桌面会话已断开连接,虚拟桌面已锁定。 |
| 强制注销 | 用户被强制注销。如果网络连接丢失且此设置已启用,会话可能会被注销,用户可能会丢失数据。 |
| 如果是远程终端服务会话,则断开连接 | 会话已断开连接,虚拟桌面已锁定。 |
证书吊销状态检查
如果启用了证书吊销检查,并且用户将带有无效证书的智能卡插入读卡器,则用户无法进行身份验证或访问与该证书相关的桌面或应用程序。例如,如果无效证书用于电子邮件解密,则电子邮件仍将保持加密状态。如果卡上的其他证书(例如用于身份验证的证书)仍然有效,则这些功能将保持活动状态。
部署示例:已加入域的计算机
此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的已加入域的用户设备。
用户使用智能卡和 PIN 登录设备。Receiver 使用集成 Windows 身份验证 (IWA) 对用户向 StoreFront 服务器进行身份验证。StoreFront 将用户安全标识符 (SID) 传递给 Citrix Virtual Apps 或 Citrix Virtual Desktops。当用户启动虚拟桌面或应用程序时,由于 Receiver 上配置了单点登录功能,因此不会再次提示用户输入 PIN。
通过添加第二个 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展为双跳。来自虚拟桌面的 Receiver 向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。为第一个跳点显示的配置可以在第二个跳点中重复使用,或者仅在第二个跳点中使用。
部署示例:来自已加入域的计算机的远程访问
此部署涉及已加入域的用户设备。这些设备会运行桌面查看器应用程序,并通过 Citrix Gateway/Access Gateway 这一网络网关连接到 StoreFront 服务。
用户使用智能卡和 PIN 登录设备,然后再次登录 Citrix Gateway/Access Gateway。由于 Receiver 在此部署中允许双模式身份验证,因此第二次登录可以使用智能卡和 PIN,也可以使用用户名和密码。
用户自动登录到 StoreFront,StoreFront 将用户安全标识符 (SID) 传递给 Citrix Virtual Apps™ 或 Citrix Virtual Desktops。当用户启动虚拟桌面或应用程序时,由于 Receiver 上配置了单点登录功能,因此不会再次提示用户输入 PIN。
通过添加第二个 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展为双跳。来自虚拟桌面的 Receiver 向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。为第一个跳点显示的配置可以在第二个跳点中重复使用,或者仅在第二个跳点中使用。
部署示例:未加入域的计算机
此部署涉及未加入域的用户设备,这些设备运行 Desktop Viewer 并直接连接到 StoreFront。
用户登录设备。通常,用户输入用户名和密码,但由于设备未加入域,因此此登录的凭据是可选的。由于此部署中可能存在双模式身份验证,Receiver 会提示用户输入智能卡和 PIN 或用户名和密码。然后 Receiver 向 StoreFront 进行身份验证。
StoreFront 将用户安全标识符 (SID) 传递给 Citrix Virtual Apps 或 Citrix Virtual Desktops。当用户启动虚拟桌面或应用程序时,由于此部署中不提供单点登录功能,因此会再次提示用户输入 PIN。
通过添加第二个 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展为双跳。来自虚拟桌面的 Receiver 向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。为第一个跳点显示的配置可以在第二个跳点中重复使用,或者仅在第二个跳点中使用。
部署示例:来自未加入域的计算机的远程访问
此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的非域加入用户设备。
部署示例:从非域加入计算机进行远程访问(/zh-cn/citrix-virtual-apps-desktops/2407/media/smartcard4_1.png)
用户登录到设备。通常,用户输入用户名和密码,但由于设备未加入域,因此此登录的凭据是可选的。由于此部署中可能存在双模式身份验证,因此 Receiver 会提示用户输入智能卡和 PIN 或用户名和密码。然后 Receiver 会向 Storefront 进行身份验证。
StoreFront 将用户安全标识符 (SID) 传递给 Citrix Virtual Apps 或 Citrix Virtual Desktops。当用户启动虚拟桌面或应用程序时,系统会再次提示用户输入 PIN,因为此部署中不提供单点登录功能。
通过添加第二个 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展为双跳。来自虚拟桌面的 Receiver 会向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。为第一个跳显示的配置可以在第二个跳中重复使用,或者仅在第二个跳中使用。
部署示例:非域加入计算机和瘦客户端访问 Desktop Appliance 站点
此部署涉及可能运行 Desktop Lock 并通过 Desktop Appliance 站点连接到 StoreFront 的非域加入用户设备。
Desktop Lock 是一款独立的组件,它与 Citrix Virtual Apps、Citrix Virtual Desktops 和 VDI-in-a-Box 等产品一同发布。它是 Desktop Viewer 的替代方案,主要针对那些被重新利用的 Windows 计算机和 Windows 瘦客户端而设计。Desktop Lock 会取代这些用户设备中的 Windows 外壳程序和任务管理器,从而阻止用户访问其底层设备。借助 Desktop Lock,用户可以访问 Windows Server 机器桌面和 Windows Desktop 机器桌面。Desktop Lock 的安装是可选的。
部署示例:非域加入计算机和瘦客户端访问 Desktop Appliance 站点(/zh-cn/citrix-virtual-apps-desktops/2407/media/smartcard5_1.png)
用户使用智能卡登录到设备。如果设备上运行 Desktop Lock,则设备会配置为通过在 Kiosk 模式下运行的 Internet Explorer 启动 Desktop Appliance 站点。站点上的 ActiveX 控件会提示用户输入 PIN,并将其发送到 StoreFront。StoreFront 将用户安全标识符 (SID) 传递给 Citrix Virtual Apps 或 Citrix Virtual Desktops。分配的桌面组中按字母顺序排列的第一个可用桌面将启动。
通过添加第二个 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展为双跳。来自虚拟桌面的 Receiver 会向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。为第一个跳显示的配置可以在第二个跳中重复使用,或者仅在第二个跳中使用。
部署示例:域加入计算机和瘦客户端通过 XenApp Services URL 访问 StoreFront
此部署涉及已加入域的用户设备,这些设备运行 Desktop Lock 并通过 XenApp Services URL 连接到 StoreFront。
Desktop Lock 是一款独立的组件,它与 Citrix Virtual Apps、Citrix Virtual Desktops 和 VDI-in-a-Box 等产品一同发布。它是 Desktop Viewer 的替代方案,主要针对那些被重新利用的 Windows 计算机和 Windows 瘦客户端而设计。Desktop Lock 会取代这些用户设备中的 Windows 外壳程序和任务管理器,从而阻止用户访问其底层设备。借助 Desktop Lock,用户可以访问 Windows Server 机器桌面和 Windows Desktop 机器桌面。Desktop Lock 的安装是可选的。
部署示例:域加入计算机和瘦客户端通过 XenApp Services URL 访问 StoreFront(/zh-cn/citrix-virtual-apps-desktops/2407/media/smartcard6.png)
用户使用智能卡和PIN登录设备。如果设备上运行Desktop Lock,它会使用集成Windows身份验证 (IWA) 对用户向StoreFront服务器进行身份验证。StoreFront将用户安全标识符 (SID) 传递给Citrix Virtual Apps或Citrix Virtual Desktops。当用户启动虚拟桌面时,由于Receiver上配置了单点登录功能,用户不会再次被要求输入PIN。
通过添加第二个StoreFront服务器和托管应用程序的服务器,此部署可以扩展为双跳。虚拟桌面中的Receiver向第二个StoreFront服务器进行身份验证。此第二个连接可以使用任何身份验证方法。针对第一跳显示的配置可以在第二跳中重复使用,或者仅在第二跳中使用。