产品文档
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
查看 PDF

域直通(单点登录)身份验证

January 15, 2025
投稿者: 
C

域直通(单点登录或 SSON)又称为旧版域直通 (SSON),它允许您对域进行身份验证并使用 Citrix Virtual Apps and Desktops 和 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务),而无需再次重新进行身份验证。

注意:

  • 必须启用组策略对象模板中的 Enable MPR notifications for the System(为系统启用 MPR 通知)策略,以支持 Windows 11 上的域直通(单点登录)身份验证功能。 默认情况下,此策略在 Windows 11 24H2 中处于禁用状态。 因此,如果升级到 Windows 11 24H2,则必须启用 Enable MPR notifications for the System(为系统启用 MPR 通知)策略。

  • 此功能在适用于 Windows 的 Citrix Workspace 应用程序版本 2012 及更高版本中提供。

  • 不能同时使用旧版域直通 (SSON) 和增强的域直通进行身份验证。

启用后,域直通(单点登录)会缓存您的凭据,这样您就可以连接到其他 Citrix 应用程序,而不必每次都登录。 请确保您的设备上仅运行符合公司政策的软件,以降低凭据泄露的风险。

当您登录 Citrix Workspace 应用程序时,您的凭据将随应用程序和桌面以及“开始”菜单设置一起传递到 StoreFront。 配置单点登录后,您可以登录 Citrix Workspace 应用程序并启动虚拟应用程序和桌面会话,而不需要重新键入您的凭据。

所有 Web 浏览器都要求您使用组策略对象 (GPO) 管理模板来配置单点登录。 有关使用组策略对象 (GPO) 管理模板配置单点登录的详细信息,请参阅使用 Citrix Gateway 配置单点登录

您可以使用以下任意选项在进行全新安装或升级安装时配置单点登录:

  • 命令行接口
  • GUI

注意:

在本文档中,术语域直通、单点登录和 SSON 可以互换使用。

限制:

使用用户凭据进行域直通有以下限制:

  • 不支持使用新式验证方法(例如 Windows Hello 或 FIDO2)进行无密码身份验证。 单点登录 (SSO) 需要一个名为联合身份验证服务 (FAS) 的附加组件。
  • 安装或升级启用了 SSON 的 Citrix Workspace 应用程序需要重新启动设备。
  • 需要在 Windows 11 计算机上启用多提供商路由器 (Multi Provider Router, MPR) 通知。
  • 必须位于网络提供商订单列表的顶部。

要克服上述限制,请使用增强的单点登录的域直通(增强型 SSO)

在全新安装过程中配置单点登录

要在全新安装过程中配置单点登录,请执行以下步骤:

  1. StoreFront 上的配置。
  2. 在 Delivery Controller 上配置 XML 信任服务。
  3. 修改 Internet Explorer 设置。
  4. 安装具有单点登录功能的 Citrix Workspace 应用程序。

在 StoreFront 上配置单点登录

单点登录允许您对域进行身份验证,并使用来自相同域的 Citrix Virtual Apps and Desktops 和 Citrix DaaS,而不需要重新对每个应用程序或桌面进行身份验证。

使用 Storebrowse 实用程序添加应用商店时,您的凭据将随为您枚举的应用程序和桌面一起传递到 Citrix Gateway 服务器,包括“开始”菜单设置。 配置单点登录后,可以添加应用商店、枚举应用程序和桌面以及启动所需的资源,而无需多次键入您的凭据。

根据 Citrix Virtual Apps and Desktops 部署,可以使用管理控制台在 StoreFront 上配置单点登录身份验证。

通过下表了解不同的用例及其各自的配置:

用例 配置详细信息 其他信息
StoreFront 上已配置的 SSON 启动 Citrix Studio,转至应用商店 > 管理身份验证方法 - 应用商店 > 启用域直通 如果没有为 Citrix Workspace 应用程序配置单点登录,它会自动将身份验证方法从域直通切换到用户名和密码(如果可用)。
需要适用于 Web 的 Workspace 时 启动应用商店 > Workspace for Web 站点 > 管理身份验证方法 - 应用商店 > 启用域直通 如果没有为 Citrix Workspace 应用程序配置单点登录,它会自动将身份验证方法从域直通切换到用户名和密码(如果可用)。

通过 Citrix Gateway 配置单点登录

使用组策略对象管理模板对 Citrix Gateway 启用单点登录。 但是,您必须确保已在 Citrix Gateway 上启用基本身份验证和单因素(包含 1 个因素的 nFactor)身份验证。

  1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序 GPO 管理模板。
  2. “计算机配置”节点下,转至管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证,然后选择适用于 Citrix Gateway 的单点登录策略。
  3. 选择已启用
  4. 单击应用确定
  5. 重新启动 Citrix Workspace 应用程序以使所做的更改生效。

在 Delivery Controller 上配置 XML 信任服务

在 Citrix Virtual Apps and Desktops 和 Citrix DaaS 上,以管理员身份在 Delivery Controller 上运行以下 PowerShell 命令:

asnp Citrix* ; Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

修改 Internet Explorer 设置

  1. 使用 Internet Explorer 将 StoreFront 服务器添加到可信站点列表。 要添加:
    1. 从控制面板启动 Internet 选项

    2. 单击安全 > 本地 Intranet,然后单击站点

      此时将显示本地 Intranet 窗口。

    3. 选择高级
    4. 添加使用恰当的 HTTP 或 HTTPS 协议的 StoreFront FQDN 的 URL。
    5. 单击应用确定
  2. Internet Explorer 中修改用户身份验证设置。 要修改:
    1. 从控制面板启动 Internet 选项
    2. 单击安全选项卡 > 本地 Intranet
    3. 单击自定义级别。 此时将显示安全设置 — 本地 Intranet 区域窗口。

    4. 用户身份验证窗格中,选择使用当前用户名和密码自动登录

      用户身份验证

    5. 单击应用确定

使用命令行接口配置单点登录

使用 /includeSSON 开关安装 Citrix Workspace 应用程序,然后重新启动 Citrix Workspace 应用程序以使更改生效。

使用 GUI 配置单点登录

  1. 找到 Citrix Workspace 应用程序安装文件 (CitrixWorkspaceApp.exe)。
  2. 双击 CitrixWorkspaceApp.exe 启动安装程序。
  3. 启用单点登录安装向导中,选择启用单点登录选项。
  4. 单击下一步,然后按照提示完成安装。

您现在不需要输入用户凭据即可使用 Citrix Workspace 应用程序登录到现有应用商店(或配置一个新应用商店)。

在适用于 Web 的 Workspace 中配置单点登录

可以使用组策略对象管理模板在适用于 Web 的 Workspace 上配置单点登录。

  1. 通过运行 gpedit.msc 打开适用于 Web 的 Workspace GPO 管理模板。
  2. 计算机配置节点下,转至管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证
  3. 选择本地用户名和密码策略并将其设置为已启用
  4. 单击启用直通身份验证。 此选项允许适用于 Web 的 Workspace 使用您的登录凭据在远程服务器上进行身份验证。
  5. 单击允许对所有 ICA 连接执行直通身份验证。 此选项将跳过任何身份验证限制,并允许在所有连接上传递凭据。
  6. 单击应用确定
  7. 重新启动适用于 Web 的 Workspace 以使所做的更改生效。

请通过启动任务管理器来验证单点登录功能是否已启用,然后检查 ssonsvr.exe 进程是否正在运行。

使用 Active Directory 配置单点登录

请完成以下步骤以使用 Active Directory 组策略为 Citrix Workspace 应用程序配置直通身份验证。 在这种情况下,可以实现单点登录身份验证,而无需使用企业软件部署工具,例如 Microsoft System Center Configuration Manager。

  1. 下载 Citrix Workspace 应用程序安装文件 (CitrixWorkspaceApp.exe) 并将其放在合适的网络共享上。 在其上安装了 Citrix Workspace 应用程序的目标计算机必须能够访问该安装文件。

  2. 适用于 Windows 的 Citrix Workspace 应用程序下载页面获取 CheckAndDeployWorkspacePerMachineStartupScript.bat 模板。

  3. 编辑内容以反映 CitrixWorkspaceApp.exe 的位置和版本。

  4. Active Directory 组策略管理控制台中,键入 CheckAndDeployWorkspacePerMachineStartupScript.bat 作为启动脚本。 有关部署启动脚本的详细信息,请参阅 Active Directory 部分。

  5. 计算机配置节点中,转至管理模板 > 添加/删除模板添加 receiver.adml 文件。

  6. 添加 receiver.adml 模板后,转至计算机配置 > 管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证。 有关添加模板文件的详细信息,请参阅组策略对象管理模板

  7. 选择本地用户名和密码策略并将其设置为已启用

  8. 选择启用直通身份验证,然后单击应用

  9. 重新启动计算机以使更改生效。

在 StoreFront 上配置单点登录

StoreFront 配置

  1. 在 StoreFront 服务器上启动 Citrix Studio 并选择应用商店 > 管理身份验证方法 - 应用商店
  2. 选择域直通

alt_text

通过 Kerberos 进行域直通(单点登录)身份验证

本主题仅适用于在适用于 Windows 的 Citrix Workspace 应用程序与 StoreFront、Citrix Virtual Apps and Desktops 和 Citrix DaaS 之间建立的连接。

Citrix Workspace 应用程序支持为使用智能卡的部署采用 Kerberos 进行域直通(单点登录或 SSON)身份验证。 Kerberos 是集成 Windows 身份验证 (IWA) 中包含的一种身份验证方法。

启用后,Kerberos 无需密码即可对 Citrix Workspace 应用程序进行身份验证。 因此,可以防止对试图获取密码访问权限的用户设备进行特洛伊木马式攻击。 用户可以使用任何身份验证方法登录并访问已发布的资源,例如指纹读取器等生物特征身份验证器。

使用智能卡登录到配置了智能卡身份验证的 Citrix Workspace 应用程序、StoreFront、Citrix Virtual Apps and Desktops 和 Citrix DaaS 时,Citrix Workspace 应用程序将:

  1. 在单点登录期间捕获智能卡 PIN。

  2. 使用 IWA (Kerberos) 向 StoreFront 验证用户身份。 然后,StoreFront 向您的 Citrix Workspace 应用程序提供有关可用 Citrix Virtual Apps and Desktops 和 Citrix DaaS 的信息。

    注意:

    应启用 Kerberos 以避免额外的 PIN 提示。 如果未使用 Kerberos 身份验证,Citrix Workspace 应用程序将使用智能卡凭据向 StoreFront 进行身份验证。

  3. HDX Engine(之前称为 ICA 客户端)将智能卡 PIN 传递给 VDA,从而使用户登录到 Citrix Workspace 应用程序会话。 Citrix Virtual Apps and Desktops 和 Citrix DaaS 随后提供请求的资源。

要将 Kerberos 身份验证用于 Citrix Workspace 应用程序,请检查您的 Kerberos 配置是否符合以下条件。

  • Kerberos 只在 Citrix Workspace 应用程序与属于相同或可信 Windows Server 域的服务器之间起作用。 请信任服务器进行委派,您可以通过“Active Directory 用户和计算机管理”工具配置该选项。
  • 必须在域和 Citrix Virtual Apps and Desktops 和 Citrix DaaS 上启用 Kerberos。 为了增强安全性并确保使用 Kerberos,请在域上禁用任何非 Kerberos IWA 选项。
  • Kerberos 登录不适用于配置为使用基本身份验证、始终使用指定的登录信息或始终提示输入密码的远程桌面服务连接。

警告:

注册表编辑器使用不当可能导致严重问题,可能需要重新安装操作系统。 Citrix 无法保证因注册表编辑器使用不当导致出现的问题能够得以解决。 使用注册表编辑器需自担风险。 请确保在编辑注册表之前进行备份。

通过 Kerberos 实现的域直通(单点登录)身份验证与智能卡结合使用

在继续操作之前,请参阅 Citrix Virtual Apps and Desktops 文档中的保护部署部分。

安装适用于 Windows 的 Citrix Workspace 应用程序时,请包含以下命令行选项:

  • /includeSSON

    此选项在加入域的计算机上安装 Single Sign-On 组件,从而使您的工作区能够使用 IWA (Kerberos) 向 StoreFront 进行身份验证。 单点登录组件存储智能卡 PIN 码,HDX Engine 在将智能卡硬件和凭据远程传递到 Citrix Virtual Apps and Desktops 和 Citrix DaaS 时会使用此 PIN 码。 Citrix Virtual Apps and Desktops 和 Citrix DaaS 自动从智能卡选择一个证书并从 HDX Engine 获取此 PIN 码。

    默认情况下,相关选项 ENABLE_SSON 处于启用状态。

如果安全策略阻止在设备上启用 Single Sign-On,请使用组策略对象管理模板配置 Citrix Workspace 应用程序。

  1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序组策略对象管理模板。
  2. 选择管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证 > 本地用户名和密码
  3. 选择启用直通身份验证

  4. 重新启动 Citrix Workspace 应用程序以使所做的更改生效。

    启用直通身份验证

配置 StoreFront:

在 StoreFront 服务器上配置身份验证服务时,选择域直通选项。 该设置将启用集成 Windows 身份验证。 无需选择智能卡选项,除非您还具有未加入域的客户端使用智能卡连接到 StoreFront。

有关将智能卡用于 StoreFront 的详细信息,请参阅 StoreFront 文档中的配置身份验证服务

域直通(单点登录)身份验证
January 15, 2025
投稿者: 
C
January 15, 2025
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.