StoreFront

配置 Citrix Gateway

使用 Citrix Gateways 提供身份验证以及对 StoreFront 和您的 Virtual Delivery Agent (VDA) 的远程访问。Citrix Gateway 在硬件或软件 NetScaler ADC 上运行。

有关配置您的网关的详细信息,请参阅将 NetScaler Gateway 与 StoreFront 集成

必须在 StoreFront 中配置您的网关,StoreFront 才允许通过该网关进行访问。

查看网关

要查看在 StoreFront 中配置的网关,请在 Citrix StoreFront 管理控制台的左侧窗格中选择“应用商店”节点,然后单击管理 Citrix Gateway。这将显示管理 Citrix Gateway 窗口。

“管理 Citrix Gateway”屏幕的屏幕截图

PowerShell

要获取网关及其配置的列表,请调用 Get-STFRoamingGateway

添加 Citrix Gateway

  1. 管理 Citrix Gateway 窗口中,单击添加

  2. 在“常规设置”选项卡上,输入设置,然后按下一步

    • 为 Citrix Gateway 部署指定便于用户识别的显示名称

      用户将在 Citrix Workspace 应用程序中看到您指定的显示名称,因此,请在该名称中包含相关信息,以帮助用户决定是否使用该部署。例如,可以在 Citrix Gateway 部署的显示名称中包含地理位置信息,以便用户能够轻松识别最便于其所在位置使用的部署。

    • 输入网关的 URL。

      StoreFront 部署的完全限定的域名 (FQDN) 必须唯一,并且不同于 Citrix Gateway 虚拟服务器的 FQDN。不支持对 StoreFront 和 Citrix Gateway 虚拟服务器使用相同的 FQDN。网关将 URL 添加到 X-Citrix-Via HTTP 标头中。StoreFront 使用此标头来确定正在使用的网关。

      使用 GUI 只能添加单个网关 URL。如果一个网关可以通过多个 URL 访问,则除了该 URL 之外,您需要使用相同的配置两次添加同一个网关。要简单配置,您可以配置用于访问网关的辅助 URL。此选项在使用 GUI 时不可用,因此必须使用 PowerShell 进行配置。应在运行任何 PowerShell 命令之前关闭管理控制台。例如,如果您在全局服务器负载平衡器后面有多个网关,则通常同时添加 GSLB URL 和可用于访问每个特定区域性网关的 URL 将非常有用,例如用于测试或故障排除。 创建网关后,您可以使用 Set-STFRoamingGateway 添加其他 URL,使用 -GSLBurl 参数添加辅助 URL。尽管该参数调用了 GSLBurl,但它可用于您希望添加第二个 URL 的任何情况。例如:

       Set-STFRoamingGateway -Name "Europe Gateway" -GSLBurl "eugateway.example.com" -GatewayUrl "gslb.example.com"
      <!--NeedCopy-->
      

      注意:

      在本示例中,GSLBurl 参数包含区域 URL,而 GatewayUrl 参数包含 GSLB URL,这与直觉背道而驰。在大多数情况下,URL 的处理方式相同,如果只能通过 Web 浏览器访问应用商店,则可以采用任何一种方式对其进行配置。但是,通过 Citrix Workspace 应用程序访问 StoreFront 时,它会从 StoreFront 中读取 GatewayUrl,然后将其用于远程访问,最好将其配置为始终连接到 GSLB URL。

      如果您需要两个以上的 URL,则需要将其配置为单独的网关。

    • 选择用法或作用:

      用法或作用 说明
      身份验证和 HDX 路由 使用网关提供对 StoreFront 的远程访问权限以及对 VDA 的访问权限。
      仅限身份验证 如果网关仅用于远程访问 StoreFront,请选择此选项。此选项阻止 Citrix Workspace 启动器运行。因此,如果您需要使用混合启动,即使网关仅用于身份验证,也要选择身份验证和 HDX 路由
      仅限 HDX 路由 如果网关仅用于提供对 VDA 的 HDX 访问权限,例如,在没有 StoreFront 实例的站点上,请选择此选项。

    “添加网关设备”屏幕的“常规设置”选项卡的屏幕截图

  3. 填写 Secure Ticketing Authority 选项卡上的设置。

    Secure Ticketing Authority 根据连接请求签发会话票据。这些会话票证构成了进行 Citrix Workspace 应用程序检测和访问 VDA 时使用的身份验证和授权的基础。

    • 请输入至少一个 Secure Ticket Authority 服务器 URL。如果您使用的是 Citrix Virtual Apps and Desktops,则可以将 Delivery Controller 用作 STA。如果您使用的是 Citrix 桌面即服务,则可以输入 Cloud Connector,代理会向 Citrix Cloud Ticketing Authority 提出请求。此列表中的条目必须与在 Citrix Gateway 中配置的列表完全匹配。无法使用 GUI 添加安全密钥,请参阅下文中使用 PowerShell 添加安全密钥的步骤。

    • 勾选平衡多个 STA 服务器的负载以在 STA 服务器之间分发请求。如果未勾选,StoreFront 将按服务器列出的顺序试用服务器。

    • 如果 StoreFront 无法访问 STA 服务器,它会在一段时间内避免使用该服务器。默认情况下,此时间为 1 小时,但您可以自定义此值。

    • 如果要确保 Citrix Virtual Apps and Desktops 在 Citrix Workspace 应用程序尝试自动重新连接时保持断开连接的会话处于打开状态,请选中启用会话可靠性

    • 如果配置了多个 STA,并且希望确保会话可靠性始终可用,请选中从两个 STA (如果可用)请求票据

      选中从两个 STA (如果可用)请求票据后,StoreFront 将从两个不同的 STA 获取会话票据,这样,即使一个 STA 在会话过程中变得不可用,用户会话也不会中断。如果由于任何原因无法与两个 STA 进行通信,StoreFront 将回退到使用单个 STA。

    “添加网关设备”屏幕的“Secure Ticket Authority”选项卡的屏幕截图

    填写完设置后,按下一步

  4. 身份验证设置选项卡上填写设置。

    • 选择 NetScaler 版本。

    • 如果有多个网关具有相同的 URL(通常是在使用全局服务器负载平衡器时),并且您输入了回调 URL,则必须输入该网关的 VIP。这允许 StoreFront 使用回调 URL 确定请求来自哪个网关,从而确定要联系哪个服务器。否则,您可以将其留空。

    • 登录类型列表中选择在设备上为 Citrix Workspace 应用程序用户配置的身份验证方法。

    您所提供的有关 Citrix Gateway 设备配置的信息将添加到应用商店的预配文件中。这使 Citrix Workspace 应用程序能够在首次联系设备时发送相应的连接请求。

    • 如果系统要求用户输入其 Microsoft Active Directory 域凭据,请选择域。
    • 如果系统要求用户输入从安全令牌获得的令牌代码,请选择安全令牌。
    • 如果系统要求用户同时输入域凭据和从安全令牌获得的令牌代码,请选择域和安全令牌。
    • 如果系统要求用户输入通过短信发送的一次性密码,请选择 SMS 身份验证。
    • 如果系统要求用户提供智能卡并输入 PIN,请选择智能卡。

    如果为智能卡身份验证配置了辅助身份验证方法(当用户智能卡出现问题时可以回退到该方法),请从智能卡回退列表中选择辅助身份验证方法。

    • (可选)在“回调 URL”框中输入网关的内部可访问 URL。这允许 StoreFront 联系 Citrix Gateway 身份验证服务,以验证从 Citrix Gateway 收到的请求是否来自该设备。对于智能访问和无密码身份验证场景(例如智能卡或 SAML),它是必需的,否则您可以将其留空。如果您有多个 Citrix Gateway 具有相同的 URL,则此 URL 必须用于特定的网关服务器。

    “添加网关设备”屏幕的“身份验证设置”选项卡的屏幕截图

    填写完设置后,按下一步

  5. 单击创建以应用配置。

    “添加网关设备”摘要屏幕的屏幕截图

  6. 应用了部署后,单击完成

  7. 如果您已配置安全密钥(推荐),则必须关闭管理控制台并使用 PowerShell 配置它们。例如:

    $gateway = Get-STFRoamingGateway -Name [Gateway name]
    $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
    $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
    Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
    <!--NeedCopy-->
    
  8. 要使用户能够通过 Gateway 访问您的应用商店,请配置远程用户访问权限

  9. 默认情况下,StoreFront 使用对用户进行身份验证的网关通过 HDX 将用户路由到其资源。您还可以将 StoreFront 配置为在使用最佳 HDX 路由访问特定资源时使用网关。

PowerShell SDK

要使用 PowerShell SDK 添加网关,请调用 cmdlet New-STFRoamingGateway

编辑 Citrix Gateway

  1. 管理 Citrix Gateway 窗口中,单击要更改的网关,然后按编辑

    有关参数的说明,请参阅添加 Citrix Gateway

  2. 保存以保存您的更改。

PowerShell SDK

要使用 PowerShell SDK 修改网关配置,请调用 cmdlet Set-STFRoamingGateway

删除 Citrix Gateway

  1. 管理 Citrix Gateway 窗口中,单击要更改的网关,然后按删除

  2. 在确认窗口中,按

PowerShell SDK

要使用 PowerShell SDK 删除网关,请调用 Remove-STFRoamingGateway

配置 Citrix Gateway