配置对工作区的访问权限

Citrix 建议使用最新版本的 Citrix Workspace 应用程序访问工作区。Citrix Workspace 应用程序取代了 Citrix Receiver。您也可以使用最新版本的 Microsoft Edge、Google Chrome、Mozilla Firefox 或带有 Workspace URL 的 Apple Safari 访问 Workspace。

本文总结了配置和使用所涉及的步骤:

概述

订阅者可以通过带有工作区 URL 的浏览器或通过其设备上安装的 Citrix Workspace 应用程序访问 Citrix Workspace。

工作区 URL 是可自定义的,默认情况下处于启用状态。有关编辑工作区 URL 的说明,请参阅本文中的 工作区 URL

Citrix Workspace 应用程序取代 Citrix Receiver 成为本机安装的应用程序,提供对 Workspace 用户界面 (UI) 的访问权限。有关 Citrix Workspace 应用程序和从 Citrix Receiver 过渡的信息,请参阅本文中的 Citrix Workspace 应用程序(以前称为 Citrix Receiver

如果您使用 Citrix Gateway 或 Citrix Gateway 服务配置外部连接,则远程订阅者可以获得对其工作区的外部访问权限。有关启用远程访问工作区的信息,请参阅本文中的 外部连接

或者,仅用于内部连接,您可以单独使用 Citrix Workspace 或在本地托管 StoreFront。对于内部连接,端点必须直接连接到Virtual Delivery Agent (VDA) 的 IP 地址。

Citrix Workspace 支持越来越多的身份提供商,您可以将其连接到 Citrix Cloud,然后在 Workspace 配置中启用,以对工作区的订阅者进行身份验证。有关为 Workspace 订阅者配置 身份验证的信息,请参阅本文中的工作区 身份验证。

Citrix Workspace 还支持以下身份验证选项:

  • 令牌是使用 Active Directory 登录工作区时进行身份验证的第二个因素。有关为工作区设置多重身份验证 (MFA) 的更多信息,请参阅 双重身份验证
  • Citrix 联合身份验证服务 (FAS) 可在 Citrix Workspace 中为 DaaS 提供单点登录 (SSO)。有关使用 FAS 设置 SSO 的更多信息,请参阅使用 Citrix 联合身份验证服务为 Workspace 启用单点登录

Workspace URL

Workspace URL 已准备就绪,可在 Citrix Cloud > Workspace 配置 > 访问中找到,您可以在其中启用、编辑和禁用 Workspace URL。

访问控制台页面

自定义工作区 URL

工作区 URL 的第一部分是可自定义的。例如,您可以将 URL 从更改 https://example.cloud.comhttps://newexample.cloud.com

只有启用工作区 URL 后,才能更改它。如果 URL 已禁用,则必须先将其重新启用。

要启用 Workspace URL,请导航到“Workspace 配置”>“访问”,然后选择开关以启用它。重新启用工作区 URL 可能需要 10 分钟才能生效。

Workspace URL 的第一部分代表使用 Citrix Cloud 帐户的组织,并且必须遵守 Cloud Software Group 最终用户协议。滥用第三方知识产权(包括商标)可能会导致 URL 被撤销和重新分配或暂停 Citrix Cloud 帐户。

要自定义 URL,请转到 Workspace 配置 > 访问,然后选择编辑。URL 的可自定义部分:

  • 长度必须介于 6 到 63 个字符之间。如果要将 URL 的可自定义部分更改为少于 6 个字符,请在 Citrix Cloud 中打开票证。
  • 必须仅由字母和数字组成。
  • 不能包含 Unicode 字符。

重命名 URL 时,旧的 URL 会立即被删除,不再可用。告诉订阅者新 URL 是什么,然后手动更新所有本地 Citrix Workspace 应用程序以使用新 URL。

禁用 Workspace URL

您可以禁用工作区 URL 以防止用户通过 Citrix Workspace 进行身份验证。例如,您可能希望订阅者使用本地 StoreFront URL 访问资源,或者您可能希望在维护期间阻止访问。

工作区 URL 切换按钮

禁用工作区 URL 可能需要 10 分钟才能生效。

禁用工作区 URL 会产生以下影响:

  • 所有服务集成均已禁用。订阅者无法从 Citrix Workspace 中的服务访问数据和应用程序。
  • 您无法自定义 Workspace URL。必须先重新启用 URL,然后才能对其进行更改。
  • 任何访问该 URL 的人都会在其浏览器中收到一条消息,指出找不到工作区或无法加载资源。

Citrix Workspace 应用程序(以前称为 Citrix Receiver

重要:

Citrix Receiver 已达到生命周期终止 (EoL),不再受支持。如果继续使用 Citrix Receiver,则技术支持仅限于 生命周期里程碑和定义中描述的选项。有关 Citrix Receiver 按平台划分的 EoL 里程碑的信息,请参阅 Citrix Workspace 应用程序和 Citrix Receiver 的生命周期里程碑

Citrix Workspace 应用程序是本机安装的应用程序,它取代了 Citrix Receiver 访问工作区。

Citrix Workspace 应用程序支持的身份验证方法

下表显示了 Citrix Workspace 应用程序支持的身份验证方法。该表包括与 Citrix Workspace 应用程序所取代的特定版本的 Citrix Receiver 相关的身份验证方法。

Citrix Workspace 应用程序 Active Directory 身份验证 Active Directory 加令牌身份验证 Azure Active Directory 身份验证
适用于 Windows 的 Citrix Workspace 是(Workspace 应用程序;仅限 Receiver 4.9 LTSR CU2 及更高版本;仅限 Receiver 4.11 CR 及更高版本)
适用于 Linux 的 Citrix Workspace 是(Workspace 应用程序;仅限 Receiver 13.8 及更高版本)
适用于 Mac 的 Citrix Workspace
适用于 iOS 的 Citrix Workspace
适用于 Android 的 Citrix Workspace 是(Workspace 应用程序;仅限 Receiver 3.13 及更高版本)

有关各平台的 Citrix Workspace 应用程序中支持的功能的详细信息,请参阅 Citrix Workspace 应用程序功能列表

有关 Citrix Receiver 支持 TLS 和 SHA2 的概述,请参阅 CTX23226 支持文章。

从 Citrix Receiver 过渡到Citrix Workspace 应用程序

Citrix Workspace 应用程序取代并扩展了 Citrix Receiver 的功能

Citrix Workspace 应用程序通过单点登录 (SSO) 体验为订阅者提供 SaaS、Web 和虚拟应用程序的访问权限。有关工作区订阅者单点登录的信息,请参阅 使用 Citrix 联合身份验证服务为工作区启用单点登录

Citrix Receiver 不支持此访问控制功能。因此,在启用了相同的服务和访问控制的情况下,Citrix Receiver 用户仍然可以看到紫色用户界面,但没有 Web 和 SaaS 应用程序。此外,Citrix Receiver 不支持 文件 ,订阅者无法通过这种方式访问它们。

带有 Citrix Receiver 和访问控制的 Citrix Workspace

Azure Active Directory (AAD) 也与 Citrix Receiver 不兼容。如果订阅者在启用 AAD 作为身份验证方法时尝试使用 Citrix Receiver 访问 Workspace,他们会看到一条消息,指出该设备不受支持。升级到 Citrix Workspace 应用程序后,他们就可以访问自己的工作区。

带 AAD 的 Citrix Receiver

升级到 Citrix Workspace 应用程序(或使用 Web 浏览器)的客户将看到新的用户界面。有关此 UI 的订阅者体验的更多信息,请访问管理您的 Workspace 体验

除了新的用户界面外,Citrix Workspace 应用程序还允许订阅者使用您已启用的所有新功能。订阅者可以通过 Citrix Gateway 服务访问 文件、查看 DaaS 以及访问 Web 和 SaaS 应用程序。

如果您有 StoreFront(本地)部署,从 Citrix Receiver 升级到 Citrix Workspace 应用程序只会更改图标以打开 Citrix Workspace

在本地使用StoreFront 的 Citrix Workspace 应用程序

注意:

使用 Citrix Workspace 应用程序或从 Web 浏览器访问 Workspace 时,Citrix Cloud Government 用户会继续看到其紫色 UI。

外部连接

通过将 Citrix Gateway 或 Citrix Gateway 服务添加到资源位置,为远程订阅者提供安全访问。

Citrix 支持以下外部连接选项:

  • Citrix 托管Citrix Gateway 和Citrix ADC
  • 您在本地托管 Citrix Gateway 和 Citrix ADC

您可以通过 Workspace 配置 > 访问 > 外部连接Citrix Cloud > 资源位置添加 Citrix Gateway。

工作区外部访问设置

注意:

Workspace 配置 > 访问页面的外部连接部分在 Citrix Virtual Apps Essentials 中不可用。Citrix Virtual Apps Essentials 服务使用 Citrix Gateway 服务,该服务无需额外配置。

工作区身份验证

为订阅者配置工作区身份验证分为两个步骤:

  1. 在身份 和访问管理中定义一个或多个身份提供商。有关说明,请访问 身份和访问管理
  2. 在 Workspace 配置中选择一个已 配置的身份提供商作为订阅者登录其工作区时使用的身份验证方法。有关说明,请访问 选择或更改身份验证方法

在“身份 和访问管理”中配置更多身份 提供程序后,您可以在 Workspace 配置 中选择更多选项,以了解订阅者如何登录其工作区。

支持对订阅者进行身份验证的身份提供商

订阅者可以使用以下方法之一对其工作区进行身份验证:

有关支持的工作区订阅者身份验证方法的更多信息,请访问 安全工作区

Active Directory (AD) 要求您在本地 AD 域中至少安装两个 Citrix Cloud 连接器。有关 Citrix Cloud Connector 的信息,请访问 Citrix Cloud Connector。

AD plus 令牌是用于对工作区订阅者进行身份验证的默认身份提供程序。订阅者使用任何遵循 基于时间的一次性密码 (TOTP) 标准的应用程序(例如 Citrix SSO)生成令牌作为身份验证的第二要素。有关设置基于令牌的双重身份验证的信息,请参阅 双重身份验证

更改身份提供商

在工作区 配置中,您可以选择身份提供程序作为 Citrix Workspace的主要身份验证方法。您选择的身份提供商必须首先在 身份和访问管理中进行配置。在 Workspace 配置 中更改身份提供者不会影响您在身份 和访问管理中配置的身份提供商。

在身份 和访问管理中配置身份 提供程序不会更改登录 Citrix Workspace 的主要身份验证方法。要 更改 登录 Citrix Workspace 的主要身份验证方法,您必须:

  1. 在身份 和访问管理中配置新的身份提供程序。
  2. Workspace 配置中更改身份提供者。

您可以配置和更改 Citrix Workspace 的主要身份验证方法,而不会破坏生产环境。如果要测试新的身份提供商,可以创建测试 Citrix Cloud 组织,也可以计划在订阅者未使用其工作区时更改 Workspace 配置 中的身份验证方法。

SaaS 和 Web 应用程序的单点登录 (SSO)

Citrix Workspace 通过在订阅者登录其工作区后向辅助资源提供单点登录 (SSO) 来提供无缝体验。Citrix Secure Private Access 与 Citrix Gateway 服务一起提供对 SaaS 和 Web 应用程序的 SSO,作为 Citrix Workspace 的集成组成部分。

除了 SSO 功能外,Citrix Secure Private Access 还允许您设置增强的安全策略、配置上下文访问和收集分析。有关 Citrix Secure Private Access 的更多信息,请访问 Citrix Secure Private Access

单点登录 (SSO) 到 DaaS

除了 SaaS 和 Web 应用程序外,Active Directory (AD) 和 AD plus Token 已经在订阅者登录其工作区后为 DaaS 应用程序和桌面提供了 SSO。

如果为订阅者对 Citrix Workspace 的初始身份验证选择其他身份提供商,则还可以安装和配置 Citrix 联合身份验证服务 (FAS)。使用 FAS,订阅者只需输入一次凭据即可访问其 DaaS,就像使用 SaaS 和 Web 应用程序一样。

如果您使用以下身份提供商之一进行 Workspace 身份验证,通常会采用 FAS:

  • Azure AD
  • Okta
  • SAML 2.0
  • Citrix Gateway

注意:

根据配置 Citrix Gateway 的方式,可能不需要 FAS 来进行 DaaS 的 SSO。有关配置 Citrix Gateway 的更多信息,请访问 在本地 Citrix Gateway 上创建 OAuth IdP 策略

有关 FAS 的更多信息,请参阅 使用 Citrix 联合身份验证服务为工作区启用单点登录

更多信息

配置对工作区的访问权限