联合身份验证服务体系结构概述
概况介绍
联合身份验证服务 (FAS) 是一个 Citrix® 组件,它与您的 Active Directory 证书颁发机构 (CA) 集成,允许用户在 Citrix 环境中无缝进行身份验证。本文档介绍了适用于您的部署的各种身份验证体系结构。
启用后,FAS 会将用户身份验证决策委托给受信任的 StoreFront™ 服务器。StoreFront 围绕现代 Web 技术构建了一整套内置身份验证选项,并且可以使用 StoreFront SDK 或第三方 IIS 插件轻松扩展。基本设计目标是,任何可以将用户验证到网站的身份验证技术现在都可以用于登录到 Citrix XenApp 或 XenDesktop 部署。
本文档涵盖了一些示例顶级部署体系结构,其复杂性递增。
- 内部部署
- 思杰网关部署
- ADFS SAML 联邦身份验证(/zh-cn/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service/fas-architectures.html#adfs-saml-deployment)
- B2B 帐户映射
- Windows 10 操作系统 Azure 活动目录 加入
提供了相关 FAS 文章的链接。对于所有体系结构,联合身份验证服务 文章是设置 FAS 的主要参考资料。
工作原理
FAS 被授权代表由 StoreFront 验证的 Active Directory 用户自动颁发智能卡类证书。这使用的 API 与允许管理员预配物理智能卡的工具类似。
当用户被代理到 Citrix XenApp 或 XenDesktop® 虚拟投递代理 (VDA) 时,证书会附加到计算机,并且 Windows 域会将此登录视为标准智能卡身份验证。
内部部署方案
FAS 允许用户使用各种身份验证选项(包括 Kerberos 单点登录 (SSO))安全地向 StoreFront 进行身份验证,并通过完全经过身份验证的 Citrix HDX™ 会话进行连接。
这允许 Windows 身份验证,而无需提示输入用户凭据或智能卡 PIN,也无需使用“保存的密码管理”功能(例如 SSO 服务)。这可用于替换早期版本 XenApp 中提供的 Kerberos 约束委派登录功能。
所有用户都可以在其会话中访问公钥基础设施 (PKI) 证书,无论他们是否使用智能卡登录到端点设备。这使得可以顺利迁移到双因素身份验证模型,即使是从没有智能卡读卡器的智能手机和平板电脑等设备。
此部署添加了一台运行 FAS 的服务器,该服务器被授权代表用户颁发智能卡类证书。然后,这些证书用于登录 Citrix HDX 环境中的用户会话,就像使用了智能卡登录一样。
XenApp 或 XenDesktop 环境必须以与智能卡登录类似的方式进行配置,这在 CTX206156 中有记载。
在现有部署中,这通常只涉及确保域加入的 Microsoft 证书颁发机构 (CA) 可用,并且域控制器已分配域控制器证书。(请参阅 CTX206156 中的“颁发域控制器证书”部分。)
相关信息:
- 密钥可以存储在硬件安全模块 (HSM) 或内置的可信平台模块 (TPM) 中。有关详细信息,请参阅 Federated Authentication Service 私钥保护 文章。
- 《联合身份验证服务》(/zh-cn/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service.html) 文章介绍了如何安装和配置 FAS。
NetScaler® Gateway deployment
NetScaler 部署与内部部署类似,但增加了与 StoreFront 配对的 Citrix NetScaler Gateway,将主要身份验证点转移到 NetScaler 本身。Citrix NetScaler 包含复杂的身份验证和授权选项,可用于保护对公司网站的远程访问。
此部署可用于避免在首次向 NetScaler 进行身份验证然后登录用户会话时出现的多个 PIN 提示。它还允许使用高级 NetScaler 身份验证技术,而无需 AD 密码或智能卡。
注意:
如果后端资源是 Windows VDA 或 Linux VDA,则没有区别。
XenApp 或 XenDesktop 环境必须以与智能卡登录类似的方式进行配置,这在 CTX206156 中有记载。
在现有部署中,这通常只涉及确保域加入的 Microsoft 证书颁发机构 (CA) 可用,并且域控制器已分配域控制器证书。(请参阅 CTX206156 中的“颁发域控制器证书”部分)。
将 NetScaler 配置为主要身份验证系统时,请确保 NetScaler 和 StoreFront 之间的所有连接都通过 TLS 保护。特别是,请确保回调 URL 已正确配置为指向 NetScaler 服务器,因为这可用于在此部署中对 NetScaler 服务器进行身份验证。
相关信息:
- To configure NetScaler Gateway, see How to Configure NetScaler Gateway 10.5 to use with StoreFront 3.6 and XenDesktop 7.6.
- 联合身份验证服务 一文介绍了如何安装和配置 FAS。
ADFS SAML deployment
一项关键的 NetScaler 身份验证技术允许与 Microsoft ADFS 集成,后者可以充当 SAML 身份提供程序 (IdP)。SAML 断言是由受信任的 IdP 颁发的经过加密签名的 XML 块,它授权用户登录计算机系统。这意味着 FAS 服务器现在允许将用户的身份验证委托给 Microsoft ADFS 服务器(或其他支持 SAML 的 IdP)。
ADFS 通常用于通过 Internet 远程安全地对用户进行身份验证以访问公司资源。例如,它常用于 Office 365 集成。
相关信息:
- 联合身份验证服务 ADFS 部署 一文包含详细信息。
- 联合身份验证服务 一文介绍了如何安装和配置 FAS。
- 本文中的 NetScaler Gateway 部署 部分包含配置注意事项。
B2B 帐户映射
如果两家公司希望使用彼此的计算机系统,一种常见的选择是设置一个具有信任关系的 Active Directory 联合身份验证服务 (ADFS) 服务器。这允许一家公司的用户无缝地验证到另一家公司的 Active Directory (AD) 环境中。登录时,每个用户都使用自己的公司登录凭据。ADFS 会自动将其映射到对等公司 AD 环境中的“影子帐户”。
相关信息:
- 联合身份验证服务 一文介绍了如何安装和配置 FAS。
Windows 10 Azure AD Join
Windows 10 引入了“Azure AD 加入”的概念,这在概念上类似于传统的 Windows 域加入,但针对的是“通过互联网”的场景。这非常适用于笔记本电脑和平板电脑。与传统的 Windows 域加入一样,Azure AD 具有允许公司网站和资源使用 SSO 模型的功能。这些都“支持互联网”,因此可以在任何连接互联网的位置工作,而不仅仅是办公室局域网。
此部署是一个示例,其中实际上没有“办公室中的最终用户”的概念。笔记本电脑完全通过互联网使用现代 Azure AD 功能进行注册和身份验证。
此部署中的基础结构可以在任何有 IP 地址的地方运行:本地、托管提供商、Azure 或其他云提供商。Azure AD Connect 同步器将自动连接到 Azure AD。示例图为了简化起见使用了 Azure VM。
相关信息:
- 联合身份验证服务 一文介绍了如何安装和配置 FAS。
- 联合身份验证服务 Azure AD 集成 一文包含详细信息。