配置到 Citrix Workspace 应用程序的单点登录
使用 Azure Active Directory 的单点登录
本部分内容介绍了如何使用 Azure Active Directory (AAD) 作为身份提供程序,在混合或 AAD 注册的端点中使用已加入域的工作负载来实现单点登录 (SSO)。使用此配置,您可以在注册到 AAD 的端点上使用 Windows Hello 或 FIDO2 向 Workspace 进行身份验证。
注意:
如果使用 Windows Hello 作为独立的身份验证,则可以实现对 Citrix Workspace 应用程序的单点登录。但是,在访问已发布的虚拟应用程序或桌面时,系统会提示您输入用户名和密码。解决方法:请考虑实施联合身份验证服务 (FAS)。
必备条件
-
与 Citrix Cloud 的活动 Azure Active Directory 连接。有关详细信息,请参阅将 Azure Active Directory 连接到 Citrix Cloud。
-
Azure Active Directory 工作区身份验证。有关详细信息,请参阅为工作区启用 Azure AD 身份验证。
-
验证您是否已配置 Azure AD 连接。有关详细信息,请参阅 Getting started with Azure AD Connect using express settings(使用快速设置开始使用 Azure AD Connect)。
-
在 Azure AD Connect 上激活直通身份验证。此外,请验证单点登录和直通选项在 Azure 门户中是否有效。有关详细信息,请参阅 Azure Active Directory 直通身份验证:快速入门。
配置
请执行以下步骤,以在您的设备上配置 SSO:
- 使用带
includeSSON
选项的 Windows 命令行安装 Citrix Workspace 应用程序:
CitrixWorkspaceApp.exe /includeSSON
-
重新启动您的设备。
-
通过运行
gpedit.msc
打开 Citrix Workspace 应用程序组策略对象管理模板。 -
转至管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证 > 本地用户名和密码。
-
选择启用直通身份验证。根据配置和安全设置,选择允许对所有 ICA 执行直通身份验证选项以便能够使用直通身份验证。
-
在 Internet Explorer 中修改用户身份验证设置。要修改设置,请执行以下操作:
- 从“控制面板”中打开 Internet 属性。
-
导航到常规属性 > 本地 Intranet,然后单击站点。
-
在本地 Intanet 窗口中,单击高级,添加可信站点,添加以下可信站点,然后单击关闭:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com
The name of your tenant, for example: https://xxxtenantxxx.cloud.com
-
通过禁用租户中的
prompt=login
属性禁用额外的身份验证提示。有关详细信息,请参阅 User Prompted for Additional Credentials on Workspace URLs When Using Federated Authentication Providers(使用联合身份验证提供程序时提示用户在 Workspace URL 上输入其他凭据)。您可以联系 Citrix 技术支持以禁用租户中的prompt=login
属性,从而成功配置单点登录。 -
在 Citrix Workspace 应用程序客户端上启用域直通身份验证。有关详细信息,请参阅域直通身份验证。
-
重新启动 Citrix Workspace 应用程序以使所做的更改生效。
使用 Okta 和联合身份验证服务进行单点登录
本部分内容介绍如何使用 Okta 作为身份提供程序以及加入域的设备和联合身份验证服务 (FAS) 来实现单点登录 (SSO)。通过此配置,您可以使用 Okta 向 Workspace 进行身份验证,以启用单点登录并防止出现第二次登录提示。要使此身份验证机制起作用,您需要将 Citrix 联合身份验证服务与 Citrix Cloud 结合使用。有关详细信息,请参阅将 Citrix 联合身份验证服务连接到 Citrix Cloud。
必备条件
-
Cloud Connector。有关安装 Cloud Connector 的详细信息,请参阅 Cloud Connector 安装。
-
Okta 代理。有关安装 Okta 代理的详细信息,请参阅 Install the Okta Active Directory agent(安装 Okta Active Directory 代理)。此外,您可以将 Okta IWA Web 代理配置为从已加入 Windows 域的设备登录。有关详细信息,请参阅 Install and configure the Okta IWA Web agent for Desktop single sign-on(安装和配置用于桌面单点登录的 Okta IWA Web 代理)
-
与 Citrix Cloud 的活动 Azure Active Directory 连接。有关详细信息,请参阅将 Azure Active Directory 连接到 Citrix Cloud。
-
联合身份验证服务。有关详细信息,请参阅安装联合身份验证服务。
配置
请执行以下步骤,以在您的设备上配置 SSO:
将 Citrix Cloud 连接到您的 Okta 组织:
-
下载并安装 Okta Active Directory 代理。有关详细信息,请参阅 Install the Okta Active Directory agent(安装 Okta Active Directory 代理)。
-
登录到 Citrix Cloud,网址为
https://citrix.cloud.com
。 -
在 Citrix Cloud 菜单中,选择 Identity and Access Management(身份和访问管理)。
-
找到 Okta,然后从省略号菜单中选择 Connect(连接)。
-
在 Okta URL 中,输入您的 Okta 域。
-
在 Okta API Token(Okta API 令牌)中,输入您的 Okta 组织的 API 令牌。
-
在 Client ID(客户端 ID)和 Client Secret(客户端密码)中,输入您之前创建的 OIDC Web 应用程序集成中的客户端 ID 和密码。要从 Okta 控制台复制这些值,请选择 Applications(应用程序)并找到您的 Okta 应用程序。在 Client Credentials(客户端凭据)下,对每个值使用 Copy to Clipboard(复制到剪贴板)按钮。
-
单击 Test and Finish(测试并完成)。Citrix Cloud 会验证您的 Okta 详细信息并测试连接。
为工作区启用 Okta 身份验证:
-
在 Citrix Cloud 菜单中,选择 Workspace Configuration(工作区配置)> Authentication(身份验证)。
-
选择 Okta。出现提示时,请选择 I understand the impact on the subscriber experience(我了解对订阅者体验产生的影响)。
-
单击 Accept(接受)接受权限申请。
启用联合身份验证服务:
-
在 Citrix Cloud 菜单中,选择 Workspace Configuration(工作区配置),然后选择 Authentication(身份验证)。
-
单击 Enable FAS(启用 FAS)。此更改最多可能需要五分钟才能应用到订阅者会话。
之后,联合身份验证服务将对从 Citrix Workspace 启动的所有虚拟应用程序和桌面启用。
当订阅者登录其工作区并在与 FAS 服务器相同的资源位置启动虚拟应用程序或桌面时,应用程序或桌面将在不提示输入凭据的情况下启动。
注意:
如果资源位置中的所有 FAS 服务器都已关闭或处于维护模式,应用程序启动将成功,但单点登录未激活。系统会提示订阅者输入其 AD 凭据以访问每个应用程序或桌面。