使用Citrix联邦身份验证服务启用工作区的单点登录

Citrix联邦认证服务(FAS)支持在Citrix Workspace中对虚拟应用和桌面进行单点登录。在每个资源位置中，您可以将多个FAS服务器连接到Citrix Cloud，以实现负载平衡和故障转移。

Citrix Cloud支持使用FAS服务器的场景如下:

• 与单一资源位置连接的FAS服务器:如果您的资源位置包含不同的基础结构(例如，不同的资源位置包含不同的Active Directory林(AD林)，则可以将FAS服务器部署到VDAs所在的相同资源位置。单点登录仅在连接了一个或多个FAS服务器的资源位置是活动的。

• 连接多个资源位置的FAS服务器:如果您的资源位置之间有网络连接，并且它们包含类似的基础设施(例如，它们驻留在单个AD林中)，那么您可以将您的FAS服务器与多个资源位置连接。对于连接到这些资源位置的虚拟应用程序和桌面的工作区订阅者来说，单点登录是活跃的。在这个场景中，不需要将独立的FAS服务器连接到每个资源位置。

  注意:

  使用具有多个资源位置的FAS目前是一个预览功能。Citrix建议仅在测试环境或有限的生产环境中使用预览特性。

在这两种场景中，通过联合身份提供者(如Azure AD、Okta、SAML等)登录到他们的工作区的订阅者只输入一次凭证就可以访问他们的应用程序和桌面。

当用户启动虚拟应用程序或桌面时，Citrix Cloud选择与正在启动的应用程序或桌面相同资源位置的FAS服务器。Citrix Cloud联系所选的FAS服务器，以获得一张票据，授予对存储在FAS服务器上的用户证书的访问权。为了对用户进行身份验证，VDA连接到FAS服务器并出示票据。

通过适当的规则配置，您可以为本地和Citrix Cloud使用相同的FAS服务器。

要了解Citrix工作区联邦认证服务的概述，请查看以下Tech Insight视频:

需求

连接要求

使用FAS管理控制台将FAS服务器连接到Citrix Cloud。您可以使用此控制台配置本地或远程FAS服务器。要启用带有FAS的工作空间的单点登录，FAS管理控制台和FAS服务分别使用控制台用户帐户和Network service帐户访问以下地址。

• FAS管理控制台，使用控制台用户的帐户
  • * .cloud.com
  • * .citrixworkspacesapi.net
  • 如果您的环境中使用了第三方标识提供者，则该标识提供者所需的地址
• FAS服务，使用Network service帐户:* .citrixworkspacesapi.net

如果您的环境包括代理服务器，则使用FAS管理控制台的地址配置用户代理。另外，确保网络服务帐户的地址配置适合您的环境。

FAS系统需求

本节的要求适用于所有计划连接Citrix Cloud的FAS服务器。

对FAS服务器的完整系统要求在系统需求部分的FAS产品文档。

您本地Citrix虚拟应用程序和桌面环境中的FAS服务器必须安装联邦认证服务2003(版本10.1)或更高版本。有关升级现有FAS服务器的详细信息，请参见安装和配置在FAS产品文件中。相同的FAS服务器可以用于工作区和内部部署。

Citrix工作区

您必须在工作区中提供并启用Citrix虚拟应用程序和桌面服务。在“工作空间配置”中默认启用“虚拟应用和桌面”服务。但是，该服务要求您部署Citrix Cloud Connectors，以允许Citrix Cloud与您的本地环境通信。

云连接器

Citrix Cloud Connectors支持在您的资源位置(VDAs所在的位置)和Citrix Cloud之间进行通信。部署至少两个云连接器以确保高可用性。安装Cloud Connector软件的服务器必须满足以下要求:

• 系统需求如云连接器技术细节
• 没有安装其他Citrix组件，该服务器不是Active Directory域控制器，也不是对资源位置基础结构至关重要的机器。
• 加入到您的VDAs所在的域。

有关部署云连接器的更多信息，请参阅以下文章:

• 云连接器代理和防火墙配置
• 云连接器安装

设置概述

1. 如果您正在部署新的FAS服务器，请查看需求然后按照里面的说明去做安装和配置FAS在这篇文章中。
2. 将您的FAS服务器连接到Citrix Cloud，请参见连接FAS服务器到Citrix Cloud在这篇文章中。完成此任务将您的FAS服务器连接到单个资源位置。
3. 如果您计划将FAS服务器连接到多个资源位置，请按照中所述添加FAS服务器将FAS服务器添加到多个资源位置在这篇文章中。

安装和配置FAS

按照本文档中描述的安装和配置流程进行安装和配置FAS产品文档．不需要StoreFront和Delivery Controller的配置步骤。

提示:

您还可以从Citrix Cloud控制台下载联邦身份验证服务安装程序:

1. 从Citrix Cloud菜单中选择资源位置．
2. 选择FAS服务器平铺，然后点击下载．

连接FAS服务器到Citrix Cloud

使用FAS管理控制台将您的FAS服务器连接到Citrix Cloud，请参见安装和配置在FAS产品文件中。

在您完成连接到Citrix Cloud配置步骤，Citrix Cloud注册FAS服务器，并将其显示在您的Citrix Cloud帐户的资源位置页面上。

如果您已经在浏览器中加载了资源位置页面，请刷新页面以显示注册的FAS服务器。

将FAS服务器添加到多个资源位置

这个功能可以预览。Citrix建议仅在测试环境或有限的生产环境中使用预览特性。

1. 从Citrix Cloud菜单中选择资源位置然后选择FAS服务器选项卡。
2. 找到要管理的FAS服务器，单击条目右侧的省略号(…)，然后选择管理服务器．
3. 选择添加到资源位置然后选择你想要的资源位置。
4. 选择主或二次查询每个选定资源位置中FAS服务器的故障转移优先级。
5. 选择保存更改．

选择，查看已添加的FAS服务器资源位置从Citrix Cloud菜单，然后选择FAS服务器选项卡。将显示所有连接资源位置的所有FAS服务器的列表。要显示特定资源位置的FAS服务器，请从下拉列表中选择资源位置。

修改FAS服务器的故障切换优先级

当用户启动虚拟应用程序或桌面时，Citrix Cloud使用以下顺序选择与正在启动的应用程序或桌面相同资源位置的FAS服务器:

• 首先考虑在给定资源位置中指定为主的FAS服务器。
• 如果没有可用的主服务器，则考虑指定为次要服务器的FAS服务器。
• 如果没有备用服务器可用，启动将继续，但不会发生单点登录。

1. 从资源位置页面,选择FAS服务器为您想要管理的资源位置平铺。
2. 选择FAS服务器选项卡。
3. 找到要管理的FAS服务器，单击条目右侧的省略号，然后选择管理服务器．
4. 找到具有要更改的优先级的资源位置，并从下拉列表中选择新的优先级。
5. 选择保存更改．

为工作区启用联邦身份验证

1. 从Citrix Cloud菜单中选择工作空间配置然后选择身份验证．
2. 点击使FAS．将此更改应用到订阅者会话可能需要5分钟。

之后，联邦认证服务对所有虚拟应用和从Citrix工作区启动的桌面应用都是活跃的。

当订阅者登录到他们的工作区并在与FAS服务器相同的资源位置启动虚拟应用程序或桌面时，应用程序或桌面启动时不提示输入凭据。

注意:

如果资源位置中的所有FAS服务器都关闭或处于维护模式，则应用程序启动成功，但单点登录不活动。将提示订阅者提交其AD凭据以访问每个应用程序或桌面。

拆卸FAS服务器

从单个资源位置移除FAS服务器:

1. 从资源位置页面,选择FAS服务器为您想要管理的资源位置平铺。
2. 选择FAS服务器选项卡。
3. 找到要管理的FAS服务器，单击条目右侧的省略号，然后选择管理服务器．
4. 找到需要移除的资源位置，单击X图标。

将FAS服务器从所有连接的资源位置移除:

1. 从Citrix Cloud菜单中选择资源位置．
2. 找到要管理的资源位置，然后选择FAS服务器瓷砖。
3. 找到要删除的FAS服务器，单击条目右侧的省略号，然后选择删除FAS服务器．
4. 在FAS管理控制台中(在您的本地FAS服务器上)连接到Citrix Cloud中,选择断开连接．或者，您可以卸载FAS。

故障排除

如果FAS服务器不可用，则会在“FAS服务器”界面弹出警告信息。

要诊断该问题，请打开本地FAS服务器上的FAS管理控制台并检查状态。例如，FAS服务器不在FAS服务器GPO中:

如果FAS管理控制台表明服务器运行正常，但仍然存在VDA登录问题，请咨询FAS故障排除指南．