This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
智能卡部署方案
本产品版本以及包含本版本的混合环境,均支持以下类型的智能卡部署。虽然其他配置可能在某些情况下正常运行,但它们并未获得官方支持。
| 类型 | StoreFront™ 连接和通信功能 |
|---|---|
| 本地已加入域的计算机 | 直接连接方式 |
| 从已加入域的计算机进行远程访问 | 通过 NetScaler® 网关进行连接 |
| 未加入域的计算机 | 直接进行连接 |
| 从未加入域的计算机进行远程访问 | 通过 NetScaler 网关进行连接 |
| 访问 Desktop Appliance 站点的未加入域的计算机和瘦客户端 | 通过桌面设备站点进行连接 |
| 通过 XenApp® Services URL 访问 StoreFront 的已加入域的计算机和瘦客户端 | 通过 XenApp 服务 URL 连接 |
部署类型是根据智能卡读卡器所连接的用户设备的具体特性来确定的:
- 设备是已加入域的,还是尚未加入任何域的。
- 设备如何连接到 StoreFront。
- 用于查看虚拟桌面和应用程序的软件是什么。
此外,这些部署中可以使用支持智能卡的应用程序,例如 Microsoft Word 和 Microsoft Excel。这些应用程序允许用户对文档进行数字签名或加密。
双模身份验证
在这些部署中,如果可能,Receiver 支持双模身份验证,为用户提供使用智能卡或输入其用户名和密码的选择。如果智能卡无法使用(例如,用户将其遗忘在家中或登录证书已过期),此功能会很有用。
由于未加入域的设备用户直接登录到 Receiver for Windows,因此您可以让用户回退到显式身份验证。如果配置双模身份验证,用户最初会收到使用智能卡和 PIN 登录的提示,但如果他们的智能卡出现任何问题,他们可以选择显式身份验证。
如果您部署 NetScaler Gateway,用户将登录到其设备,并且 Receiver for Windows 会提示他们向 NetScaler Gateway 进行身份验证。这适用于已加入域和未加入域的设备。用户可以使用其智能卡和 PIN 或显式凭据登录到 NetScaler Gateway。这使您能够为 NetScaler Gateway 登录提供双模身份验证。配置从 NetScaler Gateway 到 StoreFront 的直通身份验证,并将凭据验证委托给 NetScaler Gateway 以供智能卡用户使用,以便用户可以静默地向 StoreFront 进行身份验证。
多个活动目录林的注意事项
在 Citrix® 环境中,智能卡在单个林中受支持。跨林的智能卡登录需要与所有用户帐户建立直接的双向林信任。涉及智能卡的更复杂的多林部署(即,信任仅为单向或不同类型的部署)不受支持。
您可以在包含远程桌面的 Citrix 环境中使用智能卡。此功能可以本地安装(在智能卡连接到的用户设备上)或远程安装(在用户设备连接到的远程桌面上)。
智能卡移除策略
产品上设置的智能卡移除策略决定了在会话期间从读卡器中移除智能卡时会发生什么。智能卡移除策略通过 Windows 操作系统进行配置和处理。
| 策略设置 | 桌面行为 |
|---|---|
| 无操作 | 无操作。 |
| 锁定工作站 | 桌面会话已断开连接,虚拟桌面已锁定。 |
| 强制注销 | 用户被强制注销。如果网络连接丢失且此设置已启用,则会话可能会被注销,并且用户可能会丢失数据。 |
| 如果是远程终端服务会话,则断开连接 | 会话已断开连接,虚拟桌面已锁定。 |
证书吊销情况检查
如果启用了证书吊销检查,并且用户将带有无效证书的智能卡插入读卡器,则用户无法进行身份验证或访问与该证书相关的桌面或应用程序。例如,如果无效证书用于电子邮件解密,则电子邮件将保持加密状态。如果卡上的其他证书(例如用于身份验证的证书)仍然有效,则这些功能将保持活动状态。
部署示例:已加入域的计算机
此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的已加入域的用户设备。
用户使用智能卡和 PIN 登录设备。Receiver 使用集成 Windows 身份验证 (IWA) 对用户向 StoreFront 服务器进行身份验证。StoreFront 将用户安全标识符 (SID) 传递给 XenApp 或 XenDesktop。当用户启动虚拟桌面或应用程序时,由于 Receiver 上配置了单点登录功能,因此不会再次提示用户输入 PIN。
通过添加第二个 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展到双跳。虚拟桌面中的 Receiver 向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。针对第一个跳线显示的配置可以在第二个跳线中重复使用,或者仅在第二个跳线中使用。
部署示例:从已加入域的计算机进行远程访问
此部署涉及运行桌面查看器并通过 NetScaler Gateway/Access Gateway 连接到 StoreFront 的已加入域的用户设备。
用户使用智能卡和 PIN 登录设备,然后再次登录 NetScaler Gateway/Access Gateway。第二次登录可以使用智能卡和 PIN,也可以使用用户名和密码,因为在此部署中 Receiver 允许双模式身份验证。
用户自动登录到 StoreFront,StoreFront 将用户安全标识符 (SID) 传递给 XenApp 或 XenDesktop。当用户启动虚拟桌面或应用程序时,由于 Receiver 上配置了单点登录功能,因此不会再次提示用户输入 PIN。
通过添加第二个 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展到双跳。虚拟桌面中的 Receiver 向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。针对第一个跳线显示的配置可以在第二个跳线中重复使用,或者仅在第二个跳线中使用。
部署示例:未加入域的计算机
此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的未加入域的用户设备。
用户登录设备。通常,用户输入用户名和密码,但由于设备未加入域,因此此登录的凭据是可选的。由于在此部署中可以进行双模式身份验证,Receiver 会提示用户输入智能卡和 PIN 或用户名和密码。然后 Receiver 向 StoreFront 进行身份验证。
StoreFront 将用户安全标识符 (SID) 传递给 XenApp 或 XenDesktop。当用户启动虚拟桌面或应用程序时,由于此部署中不提供单点登录功能,因此会再次提示用户输入 PIN。
通过添加第二个 StoreFront 服务器和托管应用程序的服务器,此部署可以扩展到双跳。虚拟桌面中的 Receiver 向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。针对第一个跳线显示的配置可以在第二个跳线中重复使用,或者仅在第二个跳线中使用。
部署示例:从未加入域的计算机进行远程访问
此部署涉及运行 Desktop Viewer 并直接连接到 StoreFront 的非域加入用户设备。
用户登录到设备。通常,用户输入用户名和密码,但由于设备未加入域,因此此登录的凭据是可选的。由于此部署中可能存在双模式身份验证,因此 Receiver 会提示用户输入智能卡和 PIN 或用户名和密码。然后 Receiver 会向 Storefront 进行身份验证。
StoreFront 将用户安全标识符 (SID) 传递给 XenApp 或 XenDesktop。当用户启动虚拟桌面或应用程序时,由于此部署中不提供单点登录功能,因此会再次提示用户输入 PIN。
此部署可以通过添加第二个 StoreFront 服务器和托管应用程序的服务器来扩展为双跳。来自虚拟桌面的 Receiver 会向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。为第一个跳显示的配置可以在第二个跳中重复使用,或者仅在第二个跳中使用。
部署示例:未加入域的计算机和瘦客户端访问桌面设备站点
此部署涉及可能运行 Desktop Lock 并通过桌面设备站点连接到 StoreFront 的非域加入用户设备。
Desktop Lock 是一个随 XenApp、XenDesktop 和 VDI-in-a-Box 一同发布的独立组件。它是 Desktop Viewer 的替代方案,主要为重新利用的 Windows 计算机和 Windows 瘦客户端设计。Desktop Lock 会替换这些用户设备中的 Windows 外壳和任务管理器,从而阻止用户访问底层设备。借助 Desktop Lock,用户可以访问 Windows Server 计算机桌面和 Windows Desktop 计算机桌面。Desktop Lock 的安装是可选的。
用户使用智能卡登录到设备。如果设备上运行 Desktop Lock,则设备会配置为通过在 Kiosk 模式下运行的 Internet Explorer 启动桌面设备站点。站点上的 ActiveX 控件会提示用户输入 PIN,并将其发送到 StoreFront。StoreFront 将用户安全标识符 (SID) 传递给 XenApp 或 XenDesktop。分配的桌面组中按字母顺序排列的第一个可用桌面将启动。
此部署可以通过添加第二个 StoreFront 服务器和托管应用程序的服务器来扩展为双跳。来自虚拟桌面的 Receiver 会向第二个 StoreFront 服务器进行身份验证。此第二个连接可以使用任何身份验证方法。为第一个跳显示的配置可以在第二个跳中重复使用,或者仅在第二个跳中使用。
部署示例:域加入计算机和瘦客户端通过 XenApp Services URL 访问 StoreFront
此部署涉及运行 Desktop Lock 的已加入域的用户设备,这些设备通过 XenApp 服务 URL 连接到 StoreFront。
Desktop Lock 是一个独立组件,随 XenApp、XenDesktop 和 VDI-in-a-Box 一起发布。它是 Desktop Viewer 的替代品,主要为重新利用的 Windows 计算机和 Windows 瘦客户端设计。Desktop Lock 会替换这些用户设备中的 Windows 外壳和任务管理器,从而阻止用户访问底层设备。借助 Desktop Lock,用户可以访问 Windows Server 计算机桌面和 Windows 桌面计算机桌面。Desktop Lock 的安装是可选的。
用户使用智能卡和PIN登录设备。如果设备上运行着Desktop Lock,它会使用集成Windows身份验证 (IWA) 对用户向StoreFront服务器进行身份验证。StoreFront将用户安全标识符 (SID) 传递给XenApp或XenDesktop。当用户启动虚拟桌面时,由于Receiver上配置了单点登录功能,用户不会再次被要求输入PIN。
通过添加第二个StoreFront服务器和托管应用程序的服务器,此部署可以扩展为双跳。虚拟桌面中的Receiver向第二个StoreFront服务器进行身份验证。此第二个连接可以使用任何身份验证方法。为第一个跳配置的设置可以在第二个跳中重复使用,或者仅在第二个跳中使用。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.