产品文档
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
查看 PDF

增强的单点登录的域直通

January 15, 2025
投稿者: 
C

使用加入了 Active Directory (AD) 的客户端设备和 Citrix StoreFront 时,增强的单点登录的域直通使用 Kerberos 启用对 Citrix Workspace 应用程序以及虚拟应用程序和桌面会话的单点登录。

注意:

  • 32 位操作系统不支持此功能。

  • 此功能取代了基于 Citrix Single Sign-on Service (ssonsvr.exe) 的旧版直通身份验证功能。

  • 旧版域直通 (SSON) 身份验证要求在组策略对象模板中启用 Enable MPR notifications for the System(为系统启用 MPR 通知)策略。 但是,增强的域直通允许进行直通身份验证,而无需启用此策略。

  • 您不能同时使用旧版域直通 (SSON) 身份验证和增强的域直通进行身份验证。

  • 如果您使用以下版本的 Citrix Workspace 应用程序和 VDA,Windows 11 将不支持此功能:

  • VDA:2308、2311、2402
  • Citrix Workspace 应用程序:2309、2309.1、2311、2402、2405

系统要求

  • 控制平面
    • Citrix DaaS
    • Citrix Virtual Apps and Desktops 2311 或更高版本
  • Virtual Delivery Agent
    • Windows:版本 2308 或更高版本

    注意:

    如果您使用的是 Virtual Delivery Agent 版本 2308 至 2402,则 Windows 11 不支持此功能。 2407 或更高版本在 Windows 11 中支持此功能。

  • Citrix Workspace 应用程序
    • 适用于 Windows 的 Citrix Workspace 应用程序 2309 或更高版本

    注意:

    如果您使用的是 Citrix Workspace 应用程序版本 2309 至 2405,则 Windows 11 不支持此功能。 2405.10 或更高版本在 Windows 11 中支持此功能。

  • 客户端设备
    • 已加入到 Active Directory 域
    • Windows 10 64 位
    • Windows 11 64 位
  • 多会话会话主机:
    • Windows Server 2016

注意:

自 VDA 版本 2402 起,Windows Server 2016 已弃用。

-  Windows Server 2019
-  Windows Server 2022
-  Windows 10 Enterprise 多会话 22H2
-  Windows 11 Enterprise 多会话 22H2 或更高版本
  • 单会话会话主机:
    • Windows 10 版本 22H2
    • Windows 11 版本 22H2 或更高版本

注意:

  • 客户端设备必须直接连接到域控制器。 如果设备在网络外部,则不支持单点登录。

StoreFront 配置

必须为应用商店及其相应的 Web 站点启用域直通身份验证。

请执行以下步骤,为应用商店启用域直通:

  1. 打开 StoreFront 管理控制台。

  2. 转至应用商店 > 管理身份验证方法。 此时将出现管理身份验证方法 - Web 窗口。

  3. 选中域直通复选框。

    管理身份验证方法

  4. 单击确定

请执行以下步骤,为 Web 站点启用域直通:

  1. 打开 StoreFront 管理控制台。
  2. 打开应用商店 > Receiver for Web 站点选项卡 > 管理 Receiver for Web 站点 > 配置 > 身份验证方法。 此时将出现编辑 Receiver for Web 站点 - /Citrix/Web 窗口

  3. 选中域直通复选框。

    编辑 Receiver for Web 站点

  4. 单击确定

Citrix 策略配置

必须使用 Citrix 策略启用该设置:

  1. 导航到 Citrix Studio 或 Web 控制台。
  2. 单击策略 > 创建策略。 此时将出现创建策略对话框。
  3. 搜索增强的单点登录的域直通策略。 此时将出现编辑设置对话框。

  4. 选择允许选项以启用增强的单点登录的域直通策略。 编辑 Receiver for Web 站点

  5. 单击确定

会话主机配置

使用 Citrix 策略启用增强的单点登录的域直通功能后,还必须在会话主机上启用 Windows 设置。 可以通过本地策略或 GPO 启用 Windows 设置:

  1. 导航到计算机配置\策略\管理模板\系统\凭据委派

  2. 启用 Remote host allows delegation of non-exportable credentials(远程主机允许委派不可导出的凭据)设置。

    远程主机允许委托不可导出的凭据

  3. 重新启动会话主机以使设置生效。

注意:

Remote host allows delegation of non-exportable credentials(远程主机允许委派不可导出的凭据)设置在 Windows Server 2016 本地策略中不可用。 如果您需要在会话主机上本地配置此设置而非使用 GPO,必须添加以下注册表值:

注册表项:HKLM\SYSTEM\CurrentControlSet\Control\Lsa

  • 值类型:DWORD
  • 值名称:DisableRestrictedAdmin
  • 值数据:0

客户端设备配置

必须在客户端设备上执行以下操作:

  • 启用“增强的单点登录的域直通”
  • 信任 StoreFront 站点

启用“增强的单点登录的域直通”

必须在客户端设备上启用增强的单点登录的域直通功能。 可以通过本地策略或 GPO 来完成此操作。

  1. 导航到计算机配置\策略\管理模板\Citrix 组件\Citrix Workspace\用户身份验证

  2. 启用增强的单点登录的域直通设置。

    选定的增强域

  3. 重新启动 Citrix Workspace 应用程序以使设置生效。

信任 StoreFront 站点

必须确保您的 StoreFront URL 受到客户端设备的信任。 如果该 URL 不是可信域的一部分,则必须将其添加为本地 Intranet 站点或可信站点。 可以通过本地策略或 GPO 来完成此操作。

  1. 导航到计算机配置\策略\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\安全页面。

  2. 启用 Site to Zone Assignment List(站点到区域分配列表)设置并添加相应的 URL 和相应的区域分配。

    站点到区域

  3. 启用登录选项设置并将其设置为使用当前用户名和密码自动登录

    登录选项

    登录选项已启用

增强的单点登录的域直通
January 15, 2025
投稿者: 
C
January 15, 2025
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.