智能卡部署方案
本产品版本以及包含此版本的混合环境都支持以下智能卡部署类型。其他配置或许可以正常运行,但我们不提供支持。
| 类型 | StoreFront™ 的连接能力和可用性 |
|---|---|
| 本地域加入的计算机 | 直接进行连接 |
| 从域加入的计算机进行远程访问 | 通过 Citrix 网关连接 |
| 未加入域的计算机 | 直接连接方式 |
| 从未加入域的计算机进行远程访问 | 通过 思杰网关 连接 |
| 访问桌面设备站点的未加入域的计算机和瘦客户端 | 通过部署桌面设备的站点连接 |
| 通过 XenApp® 服务 URL 访问 StoreFront 的域加入计算机和瘦客户端 | 通过 XenApp 服务地址 连接 |
部署类型是根据智能卡读卡器所连接的那个用户设备的特性来定义的:
- 设备是已加入域的还是未加入域的。
- 设备如何连接到 StoreFront。
- 使用什么软件来查看虚拟桌面和应用程序。
此外,这些部署中可以使用支持智能卡的应用程序,例如 Microsoft Word 和 Microsoft Excel。这些应用程序允许用户对文档进行数字签名或加密。
双模式身份验证
在这些部署中,如果可能,Receiver 通过向用户提供使用智能卡或输入其用户名和密码的选择来支持双模式身份验证。如果智能卡无法使用(例如,用户将其遗忘在家中或登录证书已过期),这会很有用。
由于未加入域的设备用户直接登录到 Receiver for Windows,因此您可以让用户回退到显式身份验证。如果配置双模式身份验证,用户最初会收到使用其智能卡和 PIN 登录的提示,但如果他们的智能卡出现任何问题,他们可以选择显式身份验证。
如果部署 Citrix Gateway,用户将登录到其设备,并且 Receiver for Windows 会提示他们向 Citrix Gateway 进行身份验证。这适用于已加入域和未加入域的设备。用户可以使用其智能卡和 PIN 或显式凭据登录到 Citrix Gateway。这使您能够为 Citrix Gateway 登录提供双模式身份验证。配置从 Citrix Gateway 到 StoreFront 的直通身份验证,并将凭据验证委托给 Citrix Gateway 以供智能卡用户使用,以便用户可以静默地向 StoreFront 进行身份验证。
多个活动目录林的注意事项
在 Citrix 环境中,智能卡在单个林中受支持。跨林的智能卡登录需要对所有用户帐户建立直接的双向林信任。不支持涉及智能卡的更复杂的多林部署(即,信任是单向或不同类型的部署)。
您可以在包含远程桌面的 Citrix 环境中使用智能卡。此功能可以本地安装(在智能卡所连接的用户设备上)或远程安装(在用户设备所连接的远程桌面上)。
智能卡移除策略
产品上设置的智能卡移除策略决定了如果在会话期间从读卡器中移除智能卡会发生什么。智能卡移除策略通过 Windows 操作系统进行配置和处理。
| 策略设置 | 桌面行为 |
|---|---|
| 无操作 | 无操作。 |
| 锁定工作站 | 桌面会话已断开连接,虚拟桌面已锁定。 |
| 强制注销 | 用户被强制注销。如果网络连接丢失且此设置已启用,则会话可能会被注销,用户可能会丢失数据。 |
| 如果是远程终端服务会话,则断开连接 | 会话已断开连接,虚拟桌面已锁定。 |
证书吊销状态检查
如果启用了证书吊销检查,并且用户将带有无效证书的智能卡插入读卡器,则用户无法进行身份验证或访问与该证书相关的桌面或应用程序。例如,如果无效证书用于电子邮件解密,则电子邮件仍保持加密状态。如果卡上的其他证书(例如用于身份验证的证书)仍然有效,则这些功能将保持活动状态。
部署示例:已加入域的计算机
此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的已加入域的用户设备。
用户使用智能卡和 PIN 登录设备。Receiver 使用集成 Windows 身份验证 (IWA) 对用户向 Storefront 服务器进行身份验证。StoreFront 将用户安全标识符 (SID) 传递给 Citrix Virtual Apps 或 Citrix Virtual Desktops。当用户启动虚拟桌面或应用程序时,由于 Receiver 上配置了单点登录功能,因此不会再次提示用户输入 PIN。
通过添加第二个 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展为双跳。虚拟桌面中的 Receiver 向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。为第一个跳显示的配置可以在第二个跳中重复使用,或者仅在第二个跳中使用。
部署示例:来自已加入域的计算机的远程访问
此部署涉及运行 Desktop Viewer 并通过 Citrix 网关/访问网关连接到 StoreFront 的已加入域的用户设备。
用户使用智能卡和 PIN 登录设备,然后再次登录 Citrix Gateway/Access Gateway。第二次登录可以使用智能卡和 PIN,也可以使用用户名和密码,因为在此部署中 Receiver 允许双模式身份验证。
用户自动登录到 StoreFront,StoreFront 将用户安全标识符 (SID) 传递给 Citrix Virtual Apps™ 或 Citrix Virtual Desktops。当用户启动虚拟桌面或应用程序时,由于 Receiver 上配置了单点登录功能,因此不会再次提示用户输入 PIN。
通过添加第二个 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展为双跳。虚拟桌面中的 Receiver 向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。为第一个跳显示的配置可以在第二个跳中重复使用,或者仅在第二个跳中使用。
部署示例:未加入域的计算机
此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的未加入域的用户设备。
用户登录设备。通常,用户输入用户名和密码,但由于设备未加入域,因此此登录的凭据是可选的。由于在此部署中可以进行双模式身份验证,Receiver 会提示用户输入智能卡和 PIN 或用户名和密码。然后 Receiver 向 Storefront 进行身份验证。
StoreFront 将用户安全标识符 (SID) 传递给 Citrix Virtual Apps 或 Citrix Virtual Desktops。当用户启动虚拟桌面或应用程序时,由于此部署中不提供单点登录功能,因此会再次提示用户输入 PIN。
通过添加第二个 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展为双跳。虚拟桌面中的 Receiver 向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。为第一个跳显示的配置可以在第二个跳中重复使用,或者仅在第二个跳中使用。
部署示例:来自未加入域的计算机的远程访问
此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的非域加入用户设备。
用户登录到设备。通常,用户输入用户名和密码,但由于设备未加入域,因此此登录的凭据是可选的。由于此部署中可能存在双模式身份验证,因此 Receiver 会提示用户输入智能卡和 PIN 或用户名和密码。然后,Receiver 会向 Storefront 进行身份验证。
StoreFront 将用户安全标识符 (SID) 传递给 Citrix Virtual Apps 或 Citrix Virtual Desktops。当用户启动虚拟桌面或应用程序时,系统会再次提示用户输入 PIN,因为此部署中不提供单点登录功能。
此部署可以通过添加第二个 StoreFront 服务器和托管应用程序的服务器来扩展为双跳。来自虚拟桌面的 Receiver 会向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。为第一个跳显示的配置可以在第二个跳中重复使用,或者仅在第二个跳中使用。
部署示例:未加入域的计算机和瘦客户端访问桌面设备站点
此部署涉及可能运行 Desktop Lock 并通过桌面设备站点连接到 StoreFront 的非域加入用户设备。
Desktop Lock 是一个独立组件,随 Citrix Virtual Apps、Citrix Virtual Desktops 和 VDI-in-a-Box 一起发布。它是 Desktop Viewer 的替代品,主要为重新利用的 Windows 计算机和 Windows 瘦客户端设计。Desktop Lock 会替换这些用户设备中的 Windows 外壳程序和任务管理器,从而阻止用户访问底层设备。借助 Desktop Lock,用户可以访问 Windows Server 计算机桌面和 Windows 桌面计算机桌面。Desktop Lock 的安装是可选的。
用户使用智能卡登录到设备。如果设备上运行 Desktop Lock,则设备配置为通过在 Kiosk 模式下运行的 Internet Explorer 启动桌面设备站点。站点上的 ActiveX 控件会提示用户输入 PIN,并将其发送到 StoreFront。StoreFront 将用户安全标识符 (SID) 传递给 Citrix Virtual Apps 或 Citrix Virtual Desktops。分配的桌面组中按字母顺序排列的第一个可用桌面将启动。
此部署可以通过添加第二个 StoreFront 服务器和托管应用程序的服务器来扩展为双跳。来自虚拟桌面的 Receiver 会向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。为第一个跳显示的配置可以在第二个跳中重复使用,或者仅在第二个跳中使用。
部署示例:域加入计算机和瘦客户端通过 XenApp Services URL 访问 StoreFront
此部署涉及运行桌面锁定并通过 XenApp Services URL 连接到 StoreFront 的已加入域的用户设备。
桌面锁定是一个单独的组件,随 Citrix Virtual Apps、Citrix Virtual Desktops 和 VDI-in-a-Box 一起发布。它是桌面查看器的替代品,主要为重新利用的 Windows 计算机和 Windows 瘦客户端设计。桌面锁定会替换这些用户设备中的 Windows 外壳程序和任务管理器,从而阻止用户访问底层设备。借助桌面锁定,用户可以访问 Windows 服务器计算机桌面和 Windows 桌面计算机桌面。桌面锁定的安装是可选的。
用户使用智能卡和 PIN 登录设备。如果设备上运行 Desktop Lock,它会使用集成 Windows 身份验证 (IWA) 对用户向 StoreFront 服务器进行身份验证。StoreFront 将用户安全标识符 (SID) 传递给 Citrix Virtual Apps 或 Citrix Virtual Desktops。当用户启动虚拟桌面时,由于在 Receiver 上配置了单点登录功能,用户不会再次被要求输入 PIN。
此部署可以通过添加第二个 StoreFront 服务器和托管应用程序的服务器来扩展为双跳。虚拟桌面中的 Receiver 向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。针对第一个跳的配置可以在第二个跳中重复使用,或者仅在第二个跳中使用。