使用 Azure Active Directory 作为身份提供程序域直通到 Citrix Workspace
可以使用 Azure Active Directory (AAD) 作为身份提供程序来实现到 Citrix Workspace 的单点登录 (SSO),其中包含已加入域的端点/VM、混合端点/VM 和注册了 Azure AD 的端点/VM。
使用此配置,您还可以使用 Windows Hello 通过注册了 AAD 的端点对 Citrix Workspace 进行单点登录。
- 可以使用 Windows Hello 向 Citrix Workspace 应用程序进行身份验证。
- 使用 Citrix Workspace 应用程序进行基于 FIDO2 的身份验证。
- 借助 AAD 从加入了 Microsoft AAD 的计算机(AAD 作为 IdP)和条件访问单点登录到 Citrix Workspace 应用程序。
要实现对虚拟应用程序和桌面的单点登录,您可以按如下所示部署 FAS 或配置 Citrix Workspace 应用程序。
注意:
只有在使用 Windows Hello 时,才能实现单点登录到 Citrix Workspace 资源。但是,在访问已发布的虚拟应用程序和桌面时,系统会提示您输入用户名和密码。要解决此提示问题,您可以将 FAS 和 SSO 部署到虚拟应用程序和桌面。
必备条件:
- 将 Azure Active Directory 连接到 Citrix Cloud。有关详细信息,请参阅 Citrix Cloud 文档中的将 Azure Active Directory 连接到 Citrix Cloud。
- 启用 Azure AD 身份验证以访问工作区。有关详细信息,请参阅 Citrix Cloud 文档中的 Enable Azure AD authentication for workspaces(为工作区启用 Azure AD 身份验证)。
要实现对 Citrix Workspace 的单点登录,请执行以下操作:
- 使用 includeSSON 配置 Citrix Workspace 应用程序。
- 在 Citrix Cloud 中禁用
prompt=login
属性。 - 使用 Azure Active Directory Connect 配置 Azure Active Directory 直通。
配置 Citrix Workspace 应用程序以支持 SSO
必备条件:
- Citrix Workspace 版本 2109 或更高版本。
注意:
如果您使用 FAS 进行 SSO,则不需要 Citrix Workspace 配置。
-
从带选项
includeSSON
的管理命令行安装 Citrix Workspace 应用程序:CitrixWorkspaceApp.exe /includeSSON
- 从 Windows 客户端注销并登录以启动 SSON 服务器。
-
单击计算机配置 > 管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证将 Citrix Workspace GPO 更改为允许本地用户名和密码。
注意:
这些策略可以通过 Active Directory 推送到客户端设备。仅当从 Web 浏览器访问 Citrix Workspace 时才需要执行此步骤。
-
请根据屏幕截图启用该设置。
-
通过 GPO 添加以下可信站点:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com
-
https://xxxtenantxxx.cloud.com
:Workspace URL
注意:
当
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzle
中的 AllowSSOForEdgeWebview 注册表设置为 false 时,AAD 的单点登录将处于禁用状态。
在 Citrix Cloud 中禁用 prompt=login 参数
默认情况下为 Citrix Workspace 启用了 prompt=login
,即使用户选择保持登录状态或者设备已加入 Azure AD,也会强制进行身份验证。
可以在您的 Citrix 云帐户中禁用 prompt=login
。导航到 Workspace Configuration\Customize\Preferences-Federated Identity Provider Sessions
并禁用该开关。
有关详细信息,请参阅知识中心文章 CTX253779。
注意:
在已加入 AAD 或已加入混合 AAD 的设备上,如果 AAD 用作 Workspace 的 IdP,Citrix Workspace 应用程序不会提示输入凭据。用户可以使用工作帐户或学校帐户自动登录。
要允许用户使用其他帐户登录,请将以下注册表设置为 false。
在
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzle
或Computer\HKEY_CURRENT_USER\SOFTWARE\Citrix\Dazzle
下创建并添加一个名为 AllowSSOForEdgeWebview 的注册表字符串 REG_SZ,并将其值设置为 False。或者,如果用户从 Citrix Workspace 应用程序注销,则用户可以在下次登录时使用其他帐户登录。
使用 Azure Active Directory Connect 配置 Azure Active Directory 直通
- 如果您是首次安装 Azure Active Directory Connect,请在 User sign-in(用户登录)页面上选择 Pass-through Authentication(直通身份验证)作为登录方法。有关详细信息,请参阅 Microsoft 文档中的 Azure Active Directory Pass-through Authentication: Quickstart(Azure Active Directory 直通身份验证:快速入门)。
-
如果 Microsoft Azure Active Directory Connect 存在:
- 选择 Change user sign-in(更改用户登录)任务,然后单击 Next(下一步)。
- 选择 Pass-through Authentication(直通身份验证)作为登录方法。
注意:
如果客户端设备已加入 Azure AD 或已加入混合 Azure AD,则可以跳过此步骤。如果设备已加入 AD,则使用 kerberos 身份验证进行域直通身份验证。