Azure Active Directory 单点登录
Citrix 联合身份验证服务 (FAS) 为加入了域的 Virtual Delivery Agent (VDA) 提供单点登录 (SSO)。FAS 通过向 VDA 提供用户证书来实现 SSO,VDA 使用该证书向 Active Directory (AD) 对用户进行身份验证。登录 VDA 会话后,无需重新进行身份验证即可访问 AD 资源。
在实现 Azure Active Directory (AAD) 时,通常会在 AD 与 AAD 之间进行同步,这会为用户和计算机创建混合身份。本文介绍了使用 FAS 时从 VDA 会话中实现 SSO 到 AAD 所需的其他配置,这使用户无需重新进行身份验证即可访问受 AAD 保护的应用程序。
注意:
- FAS 不需要任何特殊配置即可将 SSO 用于 AAD。
- 不需要 FAS 会话中证书。
- 可以使用任何版本的 FAS。
- 可以使用支持 FAS 的任何版本的 VDA。
下表总结了 AAD SSO 的技术:
| AAD 身份验证类型 |
VDA 已加入域 |
VDA 已加入混合域 |
| 受管理 |
使用 AAD 无缝 SSO |
使用基于 AAD 证书的身份验证 |
| 联合到 Active Directory 联合身份验证服务 (ADFS) |
在 ADFS 中启用 Windows 身份验证 |
确保 WS-Trust certificatemixed 端点已启用 |
| 联合到第三方身份提供商 |
使用第三方解决方案 |
使用第三方解决方案 |
-
托管 AAD 域是在 AAD 进行用户身份验证的域,有时也称为本机 AAD 身份验证。
-
联合 AAD 域是将 AAD 配置为将身份验证重定向到其他地方的域。例如,重定向到 ADFS 或第三方身份提供商。
-
加入了混合域的 VDA 是指同时加入了 AD 和 AAD 的 VDA。
加入了域的 VDA
对于加入了域的 VDA,使用 Windows 身份验证(传统上称为集成 Windows 身份验证或 Kerberos)实现 SSO 到 AAD。当用户从 VDA 会话中访问受 AAD 保护的应用程序时,会对 AAD 进行身份验证。下图在高级别显示了身份验证过程:
具体细节因 AAD 域是托管域还是联合域而异。
有关托管 AAD 域设置的信息,请参阅无缝单点登录。
对于联合到 ADFS 的 AAD 域,请在 ADFS 服务器上启用 Windows 身份验证。
对于联合到第三方身份提供商的 AAD 域,也存在类似的解决方案。请联系您的身份提供商寻求帮助。
注意:
也可以对加入了混合域的 VDA 使用为加入了域的 VDA 列出的解决方案。但是,使用 FAS 时不会生成 AAD 主刷新令牌 (PRT)。
加入了混合域的 VDA
加入了混合域的 VDA 会同时加入 AD 和 AAD。当用户登录 VDA 时,将创建以下对象:
- Kerberos 票证授予票证 (TGT),用于对 AD 资源进行身份验证
- 主刷新令牌 (PRT),用于对 AAD 资源进行身份验证
PRT 包含有关用户和计算机的信息。如有必要,将在 AAD 条件访问策略中使用此信息。
由于 FAS 通过向 VDA 提供证书来对用户进行身份验证,因此只有在实现了基于证书的 AAD 身份验证后才能创建 PRT。下图在高级别显示了身份验证过程:
具体细节因 AAD 域是托管域还是联合域而异。
对于托管 AAD 域,请配置 AAD CBA。有关详细信息,请参阅基于 Azure AD 证书的身份验证概述。VDA 使用 AAD CBA 通过用户的 FAS 证书向 AAD 对用户进行身份验证。
注意:
Microsoft 文档描述了使用智能卡证书登录,但基础技术在使用 FAS 用户证书登录时适用。
对于联合到 ADFS 的 AAD 域,VDA 使用 ADFS 服务器的 WS-Trust certificatemixed 端点通过用户的 FAS 证书向 AAD 进行身份验证。默认情况下,此端点处于启用状态。
对于联合到第三方身份提供商的 AAD 域,可能存在类似的解决方案。身份提供商必须实现 WS-Trust certificatemixed 端点。请联系您的身份提供商寻求帮助。
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
DIESER DIENST KANN ÜBERSETZUNGEN ENTHALTEN, DIE VON GOOGLE BEREITGESTELLT WERDEN. GOOGLE LEHNT JEDE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG IN BEZUG AUF DIE ÜBERSETZUNGEN AB, EINSCHLIESSLICH JEGLICHER GEWÄHRLEISTUNG DER GENAUIGKEIT, ZUVERLÄSSIGKEIT UND JEGLICHER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN DRITTER.
CE SERVICE PEUT CONTENIR DES TRADUCTIONS FOURNIES PAR GOOGLE. GOOGLE EXCLUT TOUTE GARANTIE RELATIVE AUX TRADUCTIONS, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE D'EXACTITUDE, DE FIABILITÉ ET TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET D'ABSENCE DE CONTREFAÇON.
ESTE SERVICIO PUEDE CONTENER TRADUCCIONES CON TECNOLOGÍA DE GOOGLE. GOOGLE RENUNCIA A TODAS LAS GARANTÍAS RELACIONADAS CON LAS TRADUCCIONES, TANTO IMPLÍCITAS COMO EXPLÍCITAS, INCLUIDAS LAS GARANTÍAS DE EXACTITUD, FIABILIDAD Y OTRAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN EN PARTICULAR Y AUSENCIA DE INFRACCIÓN DE DERECHOS.
本服务可能包含由 Google 提供技术支持的翻译。Google 对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性、特定用途的适用性和非侵权性的任何暗示保证。
このサービスには、Google が提供する翻訳が含まれている可能性があります。Google は翻訳について、明示的か黙示的かを問わず、精度と信頼性に関するあらゆる保証、および商品性、特定目的への適合性、第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め、一切保証しません。
ESTE SERVIÇO PODE CONTER TRADUÇÕES FORNECIDAS PELO GOOGLE. O GOOGLE SE EXIME DE TODAS AS GARANTIAS RELACIONADAS COM AS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA DE PRECISÃO, CONFIABILIDADE E QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO ESPECÍFICO E NÃO INFRAÇÃO.