StoreFront

智能卡身份验证

用户在访问应用商店时其使用智能卡和 PIN 进行身份验证。安装 StoreFront 时,智能卡身份验证默认情况下处于禁用状态。可以为通过 Citrix Workspace 应用程序、Web 浏览器和 XenApp Services URL 连接到应用商店的用户启用智能卡身份验证。

使用智能卡身份验证可简化用户的登录过程,同时还能提高用户访问基础结构的安全性。对内部企业网络的访问受基于证书的使用公钥基础结构的双重身份验证所保护。私钥受硬件控制保护,离不开智能卡。使用智能卡和 PIN,用户可以方便地从一系列的企业设备访问其桌面和应用程序。

可以使用智能卡实现 StoreFront 对用户的身份验证,以访问 Citrix Virtual Apps and Desktops 提供的桌面和应用程序。登录 StoreFront 的智能卡用户还可以访问 Endpoint Management 提供的应用程序。但是,用户必须重新进行身份验证才能访问使用客户端证书身份验证的 Endpoint Management Web 应用程序。

要启用智能卡身份验证,必须在包含 StoreFront 服务器的 Microsoft Active Directory 域或与 StoreFront 服务器域具有直接双向信任关系的域中配置用户的帐户。支持涉及双向信任的多林部署。

对 StoreFront 使用智能卡身份验证的配置取决于用户设备、安装的客户端以及设备是否已加入域。在本上下文中,已加入域表示设备已加入包含 StoreFront 服务器的 Active Directory 林中的一个域。

为 Citrix 环境配置智能卡文档介绍了如何为 Citrix 部署配置使用特定智能卡类型的智能卡。类似的步骤适用于其他供应商提供的智能卡。

必备条件

  • 确保在计划部署 StoreFront 服务器的 Microsoft Active Directory 域或者与 StoreFront 服务器域具有直接双向信任关系的域内配置所有用户的帐户。
  • 如果您计划启用智能卡直通身份验证,请确保您的智能卡读卡器类型、中间件类型和配置以及中间件 PIN 缓存策略允许这种验证方式。
  • 在提供用户桌面和应用程序并运行 Virtual Delivery Agent 的虚拟机或物理机上安装供应商的智能卡中间件。有关将智能卡与 Citrix Virtual Desktops 结合使用的详细信息,请参阅智能卡
  • 请确保正确配置了您的公钥基础结构。确认针对 Active Directory 环境正确配置了帐户映射的证书并且可以成功执行用户证书验证。

配置 StoreFront

  • 必须将 HTTPS 用于 StoreFront 和用户设备之间的通信,以启用智能卡身份验证。请参阅使用 HTTPS 保护 StoreFront 的安全

  • 要在通过 Citrix Workspace 应用程序连接到应用商店时启用智能卡身份验证,请在身份验证方法中勾选或取消勾选智能卡

  • 默认情况下,为应用商店启用智能卡身份验证也会为该应用商店的所有 Web 站点启用智能卡身份验证。您可以在 Manage Receiver for Web Sites Authentication methods(管理 Receiver for Web 站点身份验证方法)选项卡上为特定 Web 站点单独启用或禁用智能卡身份验证。

  • 如果您同时配置了智能卡以及用户名和密码身份验证,系统最初会提示用户使用智能卡和 PIN 码进行登录,但在智能卡出现任何问题时可以选择使用显式身份验证。

将 Delivery Controller 配置为信任 StoreFront

使用智能卡身份验证时,StoreFront 无权访问用户的凭据,因此无法向 Citrix Virtual Apps and Desktops 进行身份验证。因此,您必须将 Delivery Controller 配置为信任来自 StoreFront 的请求,请参阅 Citrix Virtual Apps and Desktops 安全注意事项和最佳做法

通过 Citrix Gateway 进行远程访问

对于远程访问,您可以在 Citrix Gateway 上启用智能卡,然后使用委派身份验证启用对 StoreFront 的直通身份验证。有关更多详细信息,请参阅网关直通

为确保用户在建立与其资源的连接时不会在虚拟服务器上收到额外的凭据提示,请创建第二个网关并在安全套接字层 (SSL) 参数中禁用客户端身份验证。有关详细信息,请参阅配置智能卡身份验证。通过使用智能卡身份验证的网关访问 StoreFront 时。通过此虚拟服务器配置最佳 Citrix Gateway 路由,以便连接到为应用商店提供桌面和应用程序的部署。有关详细信息,请参阅为应用商店配置最佳 HDX 路由

单点登录到 VDA

您可以通过直接传递用户的智能卡凭据来启用到 VDA 的单点登录。可以通过 Web 浏览器或适用于 Windows 的 Citrix Workspace 应用程序访问应用商店,但资源必须在适用于 Windows 的 Citrix Workspace 应用程序中打开。在其他操作系统上或者通过浏览器访问资源时,用户在连接到 VDA 时必须重新输入其凭据。

  1. 请在安装适用于 Windows 的 Citrix Workspace 时包括单点登录组件并将其配置为执行单点登录。请参阅配置域直通身份验证

  2. 使用文本编辑器打开应用商店的 default.ica 文件。请参阅默认 ica

  3. 要为不通过 Citrix Gateway 访问应用商店的用户启用智能卡凭据直通功能,请在 [Application] 部分中添加以下设置。

    DisableCtrlAltDel=Off

    此设置适用于此应用商店的所有用户。要对桌面和应用程序同时启用域直通和使用智能卡进行直通身份验证,则必须为每种身份验证方法创建单独的应用商店。然后,将用户定向到与其身份验证方法所对应的应用商店。

  4. 要为通过 Citrix Gateway 访问应用商店的用户启用智能卡凭据直通功能,请在 [Application] 部分中添加以下设置。

    UseLocalUserAndPassword=On

    此设置适用于此应用商店的所有用户。要为部分用户启用直通身份验证,而要求其他用户登录才可访问其桌面和应用程序,必须为每组用户创建单独的应用商店。然后,将用户定向到与其身份验证方法所对应的应用商店。

使用 FAS 单点登录到 VDA

或者,在使用本地安装的 Citrix Workspace 应用程序但不使用适用于 HTML5 的 Citrix Workspace 应用程序时,您可以将联合身份验证服务配置为单点登录到 VDA。

重要注意事项

使用智能卡进行用户身份验证以访问 StoreFront 时需满足和遵循以下要求和限制。

  • 要使用虚拟专用网络 (VPN) 通道进行智能卡身份验证,用户必须安装 Citrix Gateway 插件或通过 Web 页面进行登录,并在执行每个步骤时都使用智能卡和 PIN 进行身份验证。使用 Citrix Gateway 插件通过直通身份验证访问 StoreFront 不适用于智能卡用户。

  • 可以在同一用户设备上使用多个智能卡和多个读卡器,但是,如果启用了通过智能卡直通身份验证,则用户必须确保在访问桌面或应用程序时只插入一个智能卡。

  • 在应用程序中使用智能卡时(例如,进行数字签名或加密时),用户可能会看到额外的要求插入智能卡或输入 PIN 的提示。同时插入多个智能卡时可能会发生这种情况。配置设置(例如,通常使用组策略配置的 PIN 缓存等中间件设置)也会导致出现这种情况。当智能卡已插入读卡器中,但仍提示插入智能卡时,用户必须单击“取消”。如果提示用户输入 PIN,则必须再次输入 PIN。

  • 如果为使用加入了域的设备但不通过 Citrix Gateway 访问应用商店的适用于 Windows 的 Citrix Workspace 应用程序用户启用了对 Citrix Virtual Apps and Desktops 使用智能卡进行直通身份验证,此设置将应用到应用商店的所有用户。要对桌面和应用程序同时启用域直通和使用智能卡进行直通身份验证,则必须为每种身份验证方法创建单独的应用商店。然后,用户必须连接到与其身份验证方法所对应的应用商店。

  • 如果为使用加入了域的设备并通过 Citrix Gateway 访问应用商店的适用于 Windows 的 Citrix Workspace 应用程序用户启用了对 Citrix Virtual Apps and Desktops 使用智能卡进行直通身份验证,此设置将应用到应用商店的所有用户。要为某些用户启用直通身份验证,但要求其他用户登录到桌面和应用程序,必须为每组用户创建单独的应用商店。然后,将用户定向到与其身份验证方法所对应的应用商店。

  • 只能为每个 XenApp Services URL 配置一种身份验证方法,而且每个应用商店只能使用一个 URL。如果除了智能卡身份验证以外,您还需要启用其他类型的身份验证,则必须为每种身份验证方法创建单独的应用商店,每个应用商店都具有一个 XenApp Services URL。然后,将用户定向到与其身份验证方法所对应的应用商店。

  • 安装 StoreFront 时,Microsoft Internet Information Services (IIS) 中的默认配置仅要求 StoreFront 身份验证服务的证书身份验证 URL 的 HTTPS 连接提供客户端证书。对于任何其他 StoreFront URL,IIS 不要求提供客户端证书。此配置能够让智能卡用户在智能卡出现问题时,可以选择回退至显式身份验证。根据相应的 Windows 策略设置而定,用户也可以移除智能卡,而不需要重新进行身份验证。

    如果您决定将 IIS 配置为要求所有 StoreFront URL 的 HTTPS 连接提供客户端证书,则必须将身份验证服务和应用商店放置在同一服务器上。必须使用对所有应用商店都有效的客户端证书。使用此 IIS 站点配置时,智能卡用户无法通过 Citrix Gateway 进行连接,也无法回退至显式身份验证。如果从设备上移除了智能卡,用户必须重新登录。

智能卡身份验证