产品文档
Citrix云
查看PDF

Citrix虚拟应用和桌面服务的内部StoreFront认证参考架构

2019年12月12日
由:
J C

将Citrix StoreFront托管在客户数据中心而不是使用Citrix Workspace平台的原因有很多。由于某些环境的复杂性,有必要了解当StoreFront是服务的主要用户前端时,Citrix Cloud组件如何与StoreFront和Active Directory交互。

虽然Citrix Workspace可以满足Citrix虚拟应用程序和桌面的大多数用例的需求,但也有一些用例和需求需要StoreFront被托管在客户的数据中心或资源位置。

维护内部店面的原因

  • 在云连接器中支持本地主机缓存功能
  • Citrix工作区不支持智能卡或SAML等身份验证方法
  • 非默认存储配置(web。配置更改)
  • 为内部和外部用户托管多个存储配置

本文描述了高级体系结构,以及组件如何与Active Directory设计支持的各种身份验证场景交互。云连接器将加入其中一个域,并允许虚拟应用程序和桌面服务分配域或可信域的Active Directory用户和组。云连接器还将充当StoreFront和Citrix Gateway组件的交付控制器和STA服务器。

本文假设StoreFront和Gateway组件一起托管在每个数据中心中。

父子域作为资源域

父子域作为资源域

在此场景中,子域充当虚拟桌面代理(VDAs)和StoreFront实例的资源域。父域包含将访问子域中的资源的用户。

  1. 云连接器只连接到子域。子域和父域之间的双向传递信任允许云连接器与父域中的全局编录通信。
  2. StoreFront连接到子域。“用户名/密码”和“来自Citrix Gateway的直通”配置了存储认证。用户名/密码认证配置为信任任何域。
  3. 为父域配置Citrix网关认证配置文件,以使用UPN作为主要登录方法。如果有用户需要从子域进行身份验证,则子域的LDAP Authentication配置文件和策略也必须绑定到Gateway vServer。
  4. 编辑Citrix网关会话操作系统和Web配置文件,并将发布应用程序/单点登录域设置为空白(可能需要设置覆盖设置)。

连接工作流程

  1. User@corp.com登录到Citrix Gateway。网关通过认证配置文件查找用户,匹配策略动作。
  2. 凭据被传递到StoreFront。StoreFront接受凭据并将它们传递给云连接器(充当交付控制器)
  3. 云连接器查找Citrix Cloud所需的用户对象详细信息。
  4. Cloud Connectors将身份信息传递给Citrix Cloud,身份令牌验证用户并枚举分配给用户的资源。
  5. Cloud Connectors将分配的资源返回给StoreFront用于用户枚举。
  6. 当用户启动应用程序或桌面时,Citrix Gateway使用配置的云连接器生成STA票据请求。
  7. Citrix云代理管理资源域云连接器和在该资源位置注册的VDAs之间的会话。
  8. 客户端与Citrix Gateway之间建立会话。和解决的共识。

从外部信任域到资源域

从外部信任域到资源域

在此场景中,业务合作伙伴需要访问发布给企业用户的资源。公司域名为corp.com,合作伙伴域名为partner.com。

  1. 公司域对合作伙伴域具有外向的外部信任。来自合作伙伴域的用户可以对加入到公司域的资源进行身份验证。
  2. Citrix Cloud客户需要两个资源位置:一个用于corp.com Cloud Connectors,另一个用于partner.com Cloud Connectors。partner.com云连接器只需要用于对域的身份验证和身份调用;它们不会被用于代理VDAs或会话。
  3. StoreFront加入了corp.com域。corp.com域中的云连接器用作存储配置中的交付控制器。“用户名/密码”和“来自Citrix Gateway的直通”配置了存储认证。“用户名/密码认证”配置为信任任何域。
  4. corp.com域配置了Citrix Gateway认证配置文件,使用UPN作为主要登录方式。为partner.com域配置第二个概要文件和策略,以使用UPN,并将其绑定到与corp.com域相同的Gateway vServer。
  5. 编辑Citrix网关会话操作系统和Web配置文件,并将发布应用程序/单点登录域设置为空白(可能需要设置覆盖设置)。

注意:

根据外部受信任域的位置,外部域用户可能经历比资源或父域用户更长的启动时间。

连接工作流程

  1. User@partner.com登录到Citrix Gateway。网关通过与UPN查找匹配的认证配置文件查找用户,并匹配策略动作。
  2. 凭据被传递到StoreFront。StoreFront接受凭据并将它们传递给云连接器(充当交付控制器)。
  3. 云连接器执行查找Citrix Cloud所需的用户对象详细信息。
  4. Cloud Connectors将身份信息传递给Citrix Cloud,身份令牌验证用户并枚举分配给用户的资源。
  5. Cloud Connectors将分配的资源返回给StoreFront用于用户枚举。
  6. 当用户启动一个应用程序或桌面时,Citrix Gateway使用配置的云连接器(在本例中来自child1.corp.com)生成STA票请求。
  7. Citrix云代理管理资源域云连接器和在该资源位置注册的VDAs之间的会话。
  8. 客户端、Citrix Gateway和解析后的VDA之间建立会话。

对资源域的森林信任/快捷信任

林信任域和快捷信任域只有在被视为与资源域的外部域信任关系时才受支持。对于林信任,您可以遵循与从外部信任域到资源域部分。根据用户和资源域/森林之间的原生森林信任的可支持性,这一节将来可能会改变。

Citrix虚拟应用和桌面服务的内部StoreFront认证参考架构
2019年12月12日
由:
J C
2019年12月12日
由:
J C

在这篇文章中

网站反馈 | 隐私和法律条款 | 饼干的偏好 | 同意设置
©1999 -思杰系统有限公司。保留所有权利。