部署体系结构
简介
联合身份验证服务 (FAS) 是一个 Citrix 组件,与 Active Directory 证书颁发机构相集成,允许用户在 Citrix 环境中无缝执行身份验证。本文档介绍了可能适合于您的部署的各种身份验证体系结构。
启用后,FAS 将用户身份验证决策任务委派给可信 StoreFront 服务器。 StoreFront 内置一组全面的身份验证选项,这些选项根据新型 Web 技术构建,可以很方便地通过 StoreFront SDK 或第三方 IIS 插件进行扩展。 基本设计目标是,任何可在 Web 站点中对用户进行身份验证的身份验证技术现在都可以用于登录 Citrix Virtual Apps 或 Citrix Virtual Desktops 部署。
本文档介绍了顶级部署体系结构示例(按复杂性升序排列)。
提供了指向相关 FAS 文章的链接。对于所有体系结构,安装和配置一文是设置 FAS 的主要参考资料。
体系结构概述
FAS 已获授权,能够代表经 StoreFront 身份验证的 Active Directory 用户自动颁发智能卡类证书。 这将对工具使用类似的 API,以便管理员能够预配物理智能卡。当用户中转到 Citrix Virtual Apps 或 Citrix Virtual Desktops Virtual Delivery Agent (VDA) 时,证书将附加到计算机,并且 Windows 域会将登录视为标准智能卡身份验证。
当用户请求访问 Citrix 环境时,可信 StoreFront 服务器会联系 FAS。FAS 将授予一个票据,允许单个 Citrix Virtual Apps 或 Citrix Virtual Desktops 会话使用该会话的证书进行身份验证。当 VDA 需要对用户进行身份验证时,它会连接到 FAS 并找回票据。仅 FAS 有权访问用户证书的私钥;VDA 必须发送每个签名和解密操作(它需要使用证书对 FAS 执行此操作)。
下图显示了 FAS 与 Microsoft 证书颁发机构集成,并向 StoreFront、Citrix Virtual Apps and Desktops Virtual Delivery Agent (VDA) 提供支持服务。
内部部署
FAS 允许用户使用多种身份验证选项(包括 Kerberos 单点登录)安全地向 StoreFront 进行身份验证,并连接到已经过完全身份验证的 Citrix HDX 会话。
这允许在不提示输入用户凭据或智能卡 PIN 码且不使用“已保存密码管理”功能(例如 Single Sign-On Service)的情况下执行 Windows 身份验证。 这可用于取代 Citrix Virtual Apps 早期版本中提供的“Kerberos 约束委派”登录功能。
所有用户都有权在自己的会话中访问公钥基础结构 (PKI) 证书,而无论其是否使用智能卡登录到端点设备。这样就能够平滑迁移到双重身份验证模型,即使是从智能手机和平板电脑等不具备智能卡读卡器的设备迁移也是如此。
此部署中增加了一个用于运行 FAS 的新服务器,该服务器已获得代表用户颁发智能卡类证书的授权。这些证书之后在 Citrix HDX 环境中用于登录用户会话,就如同已使用智能卡登录一样。
必须以类似于智能卡登录的方式配置 Citrix Virtual Apps 或 Citrix Virtual Desktops 环境,CTX206156 对此进行了说明。
在现有部署中,此过程通常只需确保已加入域的 Microsoft 证书颁发机构可用,并且已为域控制器分配域控制器证书。 (请参阅 CTX206156 中的“颁发域控制器证书”部分。)
相关信息:
Citrix Gateway 部署
Citrix Gateway 部署与内部部署类似,但增加了与 StoreFront 配对的 Citrix Gateway,从而将主身份验证点移动到 Citrix Gateway 本身。Citrix Gateway 包括多个复杂的身份验证和授权选项,这些选项可用于确保安全地远程访问公司的 Web 站点。
此部署可用于避免在首次对 Citrix Gateway 进行身份验证后登录用户会话时多次提示输入 PIN 码。 此外,还允许使用高级 Citrix Gateway 身份验证技术,不再需要 AD 密码或智能卡。
必须以类似于智能卡登录的方式配置 Citrix Virtual Apps 或 Citrix Virtual Desktops 环境,CTX206156 对此进行了说明。
在现有部署中,此过程通常只需确保已加入域的 Microsoft 证书颁发机构可用,并且已为域控制器分配域控制器证书。 (请参阅 CTX206156 中的“颁发域控制器证书”部分)。
将 Citrix Gateway 配置为主身份验证系统时,请确保 Citrix Gateway 与 StoreFront 之间的所有连接都通过 TLS 确保安全。具体而言,请务必将回调 URL 正确配置为指向 Citrix Gateway 服务器,因为这可用于对此部署中的 Citrix Gateway 服务器进行身份验证。
相关信息:
- 要配置 Citrix Gateway,请参阅“如何将 NetScaler Gateway 10.5 配置为与 StoreFront 3.6 和 Citrix Virtual Desktops 7.6 结合使用”。
- 安装和配置介绍了如何安装和配置 FAS。
ADFS SAML 部署
关键 Citrix Gateway 身份验证技术允许与 Microsoft ADFS 相集成,这样可用作 SAML 身份提供程序 (IdP)。 SAML 断言是一个通过密码签名的 XML 块,由授权用户登录计算机系统的可信 IdP 颁发。 这表示 FAS 服务器允许将用户的身份验证委派给 Microsoft ADFS 服务器(或其他能够识别 SAML 的 IdP)。
ADFS 通常用于安全地验证用户的身份以通过 Internet 远程访问公司资源;例如,通常用于 Office 365 集成。
相关信息:
- ADFS 部署一文包含详细信息。
- 安装和配置一文介绍了如何安装和配置 FAS。
- 本文中的 Citrix Gateway 部署部分包含配置注意事项。
B2B 帐户映射
如果有两家公司希望使用对方的计算机系统,常见方案为设置一个具有信任关系的 Active Directory 联合身份验证服务 (ADFS) 服务器。这样将允许一家公司的用户无缝进行身份验证以登录另一家公司的 Active Directory (AD) 环境。 登录时,每个用户都将使用自己的公司登录凭据;ADFS 会自动将其映射到同行公司的 AD 环境中的“影子帐户”。
相关信息:
- 安装和配置一文介绍了如何安装和配置 FAS。
Windows 10 Azure AD 联接
Windows 10 中引入了“Azure AD 联接”的概念,其概念与传统的 Windows 域加入类似,但主要针对“通过 Internet”的场景。 此功能特别适用于便携式计算机和平板电脑。 与传统的 Windows 域加入相同,Azure AD 具有允许对公司 Web 站点和资源使用单点登录模块的功能。 这些都能“识别 Internet”,因此,将从任何连接了 Internet 的位置进行工作,而非仅从办公室局域网进行工作。
此部署是实际上没有“办公室中的最终用户”概念的示例。便携式计算机完全通过 Internet 使用最新的 Azure AD 功能进行注册和身份验证。
请注意,此部署中的基础结构能够在提供了 IP 地址的任意位置运行:本地、托管提供程序、Azure 或其他云提供程序。 Azure AD Connect 同步器将自动连接到 Azure AD。 为便于说明,示例图形使用 Azure VM。
相关信息:
- 安装和配置一文介绍了如何安装和配置 FAS。
- Azure AD 集成一文包含详细信息。