配置自定义域

为您的 Workspace 配置自定义域允许您使用自己选择的域来访问您的 Citrix Workspace 存储。然后,您可以使用此域代替分配的 cloud.com 域,以便从 Web 浏览器和 Citrix Workspace 应用程序进行访问。

自定义域无法与其他 Citrix Workspace 客户共享。每个自定义域对于该客户来说都必须是唯一的。确保选择不想分配给其他客户的自定义域,除非您愿意稍后删除该自定义域。

在 Citrix Cloud 中禁用 Workspace URL 不会禁用通过自定义域访问 Citrix Workspace。要在使用自定义域时禁用 Citrix Workspace 访问权限,还要禁用自定义域。

支持的场景

方案 受支持 不支持
身份提供商 AD(+Token)、Azure AD、Citrix Gateway、Okta 和 SAML Google
资源类型 Virtual Apps and Desktops SaaS 应用程序
访问方法 浏览器(不包括 Internet Explorer)、适用于 Windows、Mac、Linux 和 iOS 应用程序的 Citrix Workspace 应用程序 -
使用情况 Workspace Cloud Connector 云管理员控制台

它与当前的自定义 Workspace URL 有何不同

如果您已经为客户启用了自定义 Workspace URL,则会显示以下视图。

启用 URL 的 Workspace 配置

您可以暂时使用此 URL,然后继续执行本文档中的步骤来加载不同的自定义 Workspace URL。将来会被弃用。

如果您想使用相同的 URL,请移除之前的自定义 Workspace URL 并移除所有 DNS 记录以继续。

必备条件

  • 您可以选择新注册的域名,也可以选择已经拥有的域名。域名必须采用子域名格式 (your.company.com)。Citrix 不支持只使用根域 (company.com)。

  • Citrix 建议您使用专用域作为访问 Citrix Workspace 的自定义域,以便在必要时可以轻松更改它。

  • 自定义域不能包含任何 Citrix 商标。 在此处查找 Citrix 商标的完整列表。
  • 您选择的域必须在公有 DNS 中配置。您的域配置中包含的任何 CNAME 记录名称和值都必须可由 Citrix 解析。

注意:

不支持专用 DNS 配置。

  • 域名的长度不应超过 64 个字符。

配置您的自定义域

设置自定义域名后,您就无法更改 URL 或证书类型。您只能将其删除。确保您选择的域名尚未在 DNS 中配置。在尝试配置您的自定义域之前,请删除所有现有的 CNAME 记录。

如果您使用 SAML 连接到身份提供商,则需要执行额外的步骤才能完成 SAML 配置。有关更多信息,请参阅 SAML

添加自定义域

  1. 登录 Citrix Cloud,网址为 https://citrix.cloud.com

  2. 从 Citrix Cloud 菜单中,选择 Workspace 配置,然后选择访问

  3. 在“访问”选项卡的“自定义 Workspace URL”下,选择 + 添加自己的域

    添加您的域名

  4. 阅读 概览 页面上显示的信息,然后选择 下一步

  5. 在“提供 URL”页面中输入您选择的域名。选择“确认您或您的公司拥有所提供的 URL”,然后选择您的 TLS 证书管理首选项,确认您拥有指定的域。Citrix 建议采用托管方式,因为证书续订将由您处理。有关更多信息,请参阅提供续订证书。单击下一步

    如果此页面上出现任何警告,请更正突出显示的问题以继续。

    如果您选择提供自己的证书,则说明中还有一个额外的步骤需要完成。

    预配您选择的域需要一些时间。您可以等待页面处于打开状态,也可以在配置进行时将其关闭。

    验证您的域

  6. 如果您在配置完成时打开“提供 URL”页面,“配置您的 DNS”页面将自动打开。如果您已关闭页面,请从“访问”选项卡中为您的自定义域选择“继续”按钮。

    完成配置

  7. 在您的 DNS 注册商提供的管理门户中执行此步骤。为您选择的自定义域添加一个 CNAME 记录,该记录指向分配给您的 Azure 流量管理器。

    从“配置您的 DNS”页面复制流量管理器的地址。示例中的地址如下所示:

    wsp-cd-eastus2-production-traffic-manager-profile-1-52183.trafficmanager.net

    如果您在 DNS 中配置了任何证书颁发机构授权 (CAA) 记录,请添加一个允许让我们加密为您的域名生成证书的记录。让我们加密是 Citrix 用来为您的自定义域生成证书的证书颁发机构 (CA)。CAA 记录的值必须如下所示:0 issue “letsencrypt.org”

    配置 DNS

  8. 在 DNS 提供商处配置 CNAME 记录后,选择“检测 CNAME 记录”以验证您的 DNS 配置是否正确。如果 CNAME 记录配置正确,则 CNAME 配置部分旁边会出现绿色勾号。

    如果此页面上出现任何警告,请更正突出显示的问题以继续。

    如果您在 DNS 提供商处配置了任何 CAA 记录,则会出现单独的 CAA 配置 。选择“检测 CAA 记录”以验证您的 DNS 配置是否正确。如果您的 CAA 记录配置正确,则 CAA 配置 部分旁边会出现绿色勾号。

    验证您的 DNS 配置后,单击“下一步”。

    CNAME 配置

  9. 这是一个可选步骤。如果您选择添加自己的证书,请在添加自己的证书页面上填写所需信息。

    如果此页面上出现任何警告,请更正突出显示的问题以继续。 确保证书满足以下条件。

    • 它应该采用 PEM 编码。
    • 它应至少在接下来的 30 天内保持有效。
    • 它应专门用于自定义 Workspace URL,不接受通配符证书。
    • 证书的公用名称应与自定义域相匹配。
    • 证书上的 SAN 应用于自定义域,不允许使用任何其他 SAN。
    • 证书的有效期不应超过 10 年。

    添加您自己的证书

    注意:

    Citrix 建议您使用使用安全的加密哈希函数(SHA 256 或更高版本)的证书。您有责任续订证书。如果您的证书已过期或即将过期,请参阅提供续订证书部分。

  10. 这是可选步骤。如果您使用 SAML 作为身份提供商,请提供相关配置。在“配置 SAML”页面上填写所需信息。

    在身份提供商中配置应用程序时,请使用以下详细信息:

    属性
    受众 https://saml.cloud.com
    收件人 https://<your custom domain>/saml/acs
    ACS URL 验证器 https://<your custom domain>/saml/acs
    ACS 消费者 URL https://<your custom domain>/saml/acs
    单一注销 URL https://<your custom domain>/saml/logout/callback
  11. 阅读“提供您的域名”页面上显示的信息,并确认给定的说明。准备好继续时,选择“同意并继续”。

    最后的配置步骤可能需要一些时间才能完成。您可以在操作完成时等待页面处于打开状态,也可以关闭页面。

    配置您的域名

删除自定义域

从客户那里删除自定义域将无法使用自定义域访问 Citrix Workspace。删除自定义域后,您只能使用 cloud.com 地址访问 Citrix Workspace。

删除自定义域名时,请确保从您的 DNS 提供商中删除 CNAME 记录。

要删除自定义域,

  1. 登录 Citrix Cloud,网址为 https://citrix.cloud.com

  2. 从 Citrix Cloud 菜单中,选择 Workspace 配置 > 访问权限

  3. 展开上下文菜单 (…) 在“访问”选项卡上为自定义域,然后选择“删除”。

    删除您的域名

  4. 阅读 删除自定义域 页面上显示的信息并确认给定的说明。当您准备好继续时,选择“删除”。

    删除自定义域需要一些时间才能完成。您可以在操作完成时等待页面处于打开状态,也可以关闭页面。

    确认删除

提供续订证书

  1. 登录 Citrix Cloud

  2. 从 Citrix Cloud 菜单中,选择 Workspace 配置 > 访问权限

  3. 证书的到期日期将显示在分配给它的自定义域名旁边。

    证书到期

    当您的证书将在 30 天或更短时间内到期时,您的自定义域名将显示警告。

    证书已过期

  4. 在“访问权限”选项卡上展开自定义域的上下文菜单 (…) 。选择“更新证书”。

    证书更新

  5. 更新证书页面上输入所需信息,然后保存

如果此页面上出现任何警告,请更正突出显示的问题以继续。

证书必须满足与创建自定义域时相同的要求,可以在此处查看添加自定义域

配置您的身份提供商

配置 Okta

如果您使用 Okta 作为 Citrix Workspace 访问的身份提供商,请执行以下步骤。

  1. 登录您的 Okta 实例的管理员门户。此实例包含 Citrix Cloud 使用的应用程序。

  2. 展开 应用程序 ,然后在菜单中选择 应用程序

    配置 Okta

  3. 打开链接到 Citrix Cloud 的应用程序。
  4. 在“常规设置”部分中选择“编辑”。

    常规设置

  5. 在“常规设置”的“登录”部分中,为 登录重定向 URI 添加一个新值。添加除任何现有值以外的新值,而不是替换这些现有值。新值必须采用以下格式:https://your.company.com/core/login-okta

  6. 在同一部分中,为注销重定向 URI 添加一个新值。添加除任何现有值以外的新值,而不是替换这些现有值。新值必须采用以下格式:https://your.company.com

    添加新值

  7. 单击“保存”以存储新配置。

配置 OAuth 策略和配置文件

重要提示

将 Citrix Cloud 和 Citrix Gateway 或您的自适应身份验证 HA 配对链接在一起的现有 OAuth 策略和配置文件只有在 OAuth 证书丢失时才必须更新。修改此政策可能会中断 Citrix Cloud 和 Workspaces 之间的联系,并将影响您登录 Workspaces 的能力。

配置 Citrix Gateway

Citrix Cloud 管理员有权访问未加密的客户端密钥。这些凭证由 Citrix Cloud 在 Citrix Gateway 链接过程中在“身份和访问管理”>“身份验证”中提供。OAuth 配置文件和策略由 Citrix 管理员在连接过程中在 Citrix Gateway 上手动创建。

您需要在 Citrix Gateway 连接过程中提供的客户端 ID 和未加密的客户端密钥。这些凭证由 Citrix Cloud 提供并已安全保存。 需要未加密的密钥才能使用 Citrix ADC 接口或命令行接口 (CLI) 创建 OAuth 策略和配置文件。

以下是向 Citrix 管理员提供客户端 ID 和密钥时的用户界面示例。如果 Citrix 管理员在连接过程中未能保存凭证,则在连接 Citrix Gateway 后,他们将无法获得未加密密钥的副本。

创建连接

使用 Citrix Cloud

执行以下步骤,使用 Citrix Gateway 接口添加额外的 OAuth 配置文件和策略:

  1. 从菜单中选择 安全 > AAA-应用程序流量 > OAuth IDP。 选择现有的 OAuth 策略,然后单击“添加”。

    添加 OAuth 策略

  2. 出现提示时,修改新 OAuth 策略的名称,使其与上一步中选择的现有策略不同。Citrix 建议在其名称中添加 自定义 URL

    修改 OAuth 策略名称

  3. 在 Citrix Gateway GUI 上,创建您现有的 OAuth 配置文件
  4. 在“操作”旁边的同一 GUI 菜单上,单击“添加”。

    添加策略

  5. 在 Citrix Gateway GUI 上,将新的 OAuth 策略绑定到您现有的身份验证、授权和审计虚拟服务器。

  6. 导航到“安全”>“虚拟服务器”>“编辑”

    创建策略

使用命令行界面 (CLI)

重要提示

如果您没有安全保存 OAuth 凭据的副本,则需要断开连接并重新连接 Citrix Gateway,并使用 Citrix Cloud 身份和访问管理提供的新 OAuth 凭据更新现有的 OAuth 配置文件。只有在旧凭证不可恢复时,才使用新凭证更新现有 OAuth 配置文件。除非您别无选择,否则不建议这样做。

  1. 使用诸如 PuTTY 之类的 SSH 工具连接到您的 Citrix Gateway 实例。

  2. 创建 OAuthProfile 和 OAuthPolicy。添加身份验证 OAuthIDPProfile。

    "CustomDomain-OAuthProfile" -clientID "<clientID>" -clientSecret "<unencrypted client secret>" -redirectURL "https://hostname.domain.com/core/login-cip" -audience "<clientID>" -sendPassword ON

    add authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile"

  3. 将 OAuthPolicy 绑定到正确的身份验证、授权和审计虚拟服务器,其优先级低于现有策略。此实例假设现有策略的优先级为 10,因此新策略使用 20。绑定身份验证虚拟服务器。

    "CitrixGatewayAAAvServer" -policy "CustomDomain-OAuthPol" -priority 20

配置自适应身份验证

重要提示

在自适应身份验证主网关和辅助 HA 网关上,OAuth 配置文件的加密密钥和加密参数不同。确保从主 HA 网关获取加密密钥,并在主 HA 网关上运行这些命令。

Citrix Cloud 管理员无权访问未加密的客户端密钥。OAuth 策略和配置文件由 Citrix 自适应身份验证服务在配置阶段创建。必须使用从 ns.conf 文件中获得的加密密钥和 CLI 命令来创建 OAuth 配置文件。无法使用 Citrix ADC 用户界面执行此操作。使用比绑定到现有身份验证、授权和审计虚拟服务器的现有策略更高的优先级,将新的自定义 URL OAuthPolicy 绑定到您现有的身份验证、授权和审计虚拟服务器。请注意,优先级较低的数字会先进行评估。将现有策略设置为优先级 10,将新策略设置为优先级 20,以确保按正确的顺序对其进行评估。

  1. 使用像 PuTTY 这样的 SSH 工具连接到您的自适应身份验证主节点。

    show ha node

    自适应身份验证

  2. 在包含现有 OAuth 配置文件的主 HA 网关的运行配置中找到该行。

    sh runn | grep oauth

  3. 复制 Citrix ADC CLI 的输出,包括所有加密参数。

    复制输出

  4. 修改您在上一步中复制的行,并使用它来构建新的 CLI 命令,该命令将允许您使用客户端 ID 的加密版本创建 OAuth 配置文件。这需要包括所有加密参数。

    这是两次更新后的示例。

    add authentication OAuthIDPProfile "CustomDomain-OAuthProfile" -clientID b1656835-20d1-4f6b-addd-1a531fd253f6 -clientSecret <long encrypted client Secret> -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_04_19_09_12_25 -redirectURL "https://hostname.domain.com/core/login-cip" -audience b1656835-20d1-4f6b-addd-1a531fd253f6 -sendPassword ON

    add authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile"

  5. 将 OAuthPolicy 绑定到正确的身份验证、授权和审计虚拟服务器,其优先级低于现有策略。所有自适应身份验证部署的身份验证、授权和审计虚拟服务器名称均为 auth_vs。此实例假设现有策略的优先级为 10,因此新策略使用 20。

    bind authentication vserver "auth_vs" -policy "CustomDomain-OAuthPol" -priority 20

已知限制

自定义域解决方案的一些已知限制如下:

Workspace 平台

  • 目前,每位客户仅支持一个自定义域。
  • 自定义域只能链接到默认 Workspace URL。通过多 URL 功能添加的其他 Workspace URL 不能有自定义域。多 URL 功能目前处于私有技术预览阶段,可能并非所有客户都可用。
  • 如果您在先前的解决方案中配置了自定义域,并且正在使用 SAML 或 AzureAD 对 Citrix Workspace 访问权限进行身份验证,则如果不先删除现有自定义域,则无法在新解决方案上配置定制域。

SAML

SAML 支持仅限于以下用例之一:

  • SAML 可以专门用于 cloud.com 域名。在这种情况下,SAML 的使用将包括 Citrix Workspace 访问权限和 Citrix Cloud 管理员访问权限。
  • SAML 可以专门用于自定义域。

Windows 版 Citrix Workspace 应用程序

  • 适用于 Windows 的 Citrix Workspace 应用程序版本 2305 和 2307 不支持此功能。更新到最新的支持版本。
配置自定义域