智能卡的部署
此产品版本和包含此版本的混合环境支持以下类型的智能卡部署。其他配置可能可以工作,但不受支持。
| 类型 | 店面的连接 |
|---|---|
| 当地domain-joined电脑 | 直接连接 |
| 从域连接的计算机进行远程访问 | 通过Citrix Gateway连接 |
| Non-domain-joined电脑 | 直接连接 |
| 从非域加入的计算机进行远程访问 | 通过Citrix Gateway连接 |
| 访问Desktop一体机站点的非域加入计算机和瘦客户机 | 通过桌面一体机站点连接 |
| 通过XenApp Services URL访问StoreFront的域连接计算机和瘦客户机 | 通过XenApp Services url连接 |
部署类型是根据智能卡阅读器所连接的用户设备的特征定义的:
- 设备是否加入域。
- 设备如何连接到StoreFront。
- 使用什么软件查看虚拟桌面和应用程序?
此外,可以在这些部署中使用支持智能卡的应用程序,如Microsoft Word和Microsoft Excel。这些应用程序允许用户对文档进行数字签名或加密。
双向认证
在可能的情况下,Receiver通过向用户提供使用智能卡和输入用户名和密码之间的选择,支持双模式身份验证。如果智能卡无法使用(例如,用户将智能卡留在家中或登录证书已过期),这将非常有用。
因为非域加入设备的用户直接登录到Windows的Receiver,所以您可以允许用户退回到显式身份验证。如果配置了双峰式身份验证,用户最初会被提示使用他们的智能卡和pin登录,但如果他们的智能卡遇到任何问题,他们可以选择显式身份验证。
如果部署了Citrix Gateway,用户登录到他们的设备,接收端会提示Windows对Citrix Gateway进行身份验证。无论是加入域的设备,还是非加入域的设备。用户可以使用他们的智能卡和pin或显式凭证登录到Citrix Gateway。这使您能够为用户提供Citrix Gateway登录的双峰式身份验证。配置从Citrix Gateway到StoreFront的直通身份验证,并为智能卡用户将凭据验证委托给Citrix Gateway,以便以静默方式对用户进行StoreFront的身份验证。
多个Active Directory林的注意事项
在Citrix环境中,智能卡在单个林中得到支持。智能卡跨森林登录需要对所有用户帐户的直接双向森林信任。不支持涉及智能卡的更复杂的多森林部署(即仅单向信任或不同类型的信任)。
您可以在包含远程桌面的Citrix环境中使用智能卡。该特性可以本地安装(安装在智能卡所连接的用户设备上)或远程安装(安装在用户设备所连接的远程桌面上)。
智能卡换领政策
产品上设置的智能卡删除策略决定了在会话期间从阅读器中删除智能卡时会发生什么。智能卡拔插策略由Windows操作系统配置和处理。
| 策略设置 | 桌面行为 |
|---|---|
| 不采取行动 | 没有行动。 |
| 锁定工作站 | 桌面会话断开,虚拟桌面被锁定。 |
| 强制下线 | 用户被强制注销。如果网络连接丢失且启用了此设置,则会话可能会注销,用户可能会丢失数据。 |
| 断开远程终端服务会话 | 会话断开,虚拟桌面被锁定。 |
证书撤销检查
如果启用证书撤销检查,当用户在智能卡阅读器中插入无效证书的智能卡时,用户将无法进行证书认证,也无法访问与该证书相关的桌面或应用程序。例如,如果使用无效的证书进行邮件解密,邮件将保持加密状态。如果卡上的其他证书(例如用于身份验证的证书)仍然有效,则这些功能将保持活动状态。
部署示例:域连接计算机
此部署涉及到运行Desktop Viewer并直接连接到StoreFront的域加入用户设备。
用户使用智能卡和PIN登录设备。Receiver使用集成Windows身份验证(IWA)将用户验证到Storefront服务器。StoreFront将用户安全标识符(sid)传递给Citrix Virtual Apps或Citrix Virtual desktop。当用户启动虚拟桌面或应用程序时,不会再次提示用户输入PIN,因为Receiver上配置了单点登录特性。
通过添加第二个StoreFront服务器和承载应用程序的服务器,可以将此部署扩展为双跳部署。来自虚拟桌面的Receiver向第二个StoreFront服务器进行身份验证。任何身份验证方法都可以用于第二个连接。显示在第一个跳上的配置可以在第二个跳上重用,或者只在第二个跳上使用。
部署示例:从加入域的计算机进行远程访问
此部署涉及到运行Desktop Viewer并通过Citrix Gateway/Access Gateway连接到StoreFront的域加入用户设备。
用户使用智能卡和PIN登录设备,然后再次登录到Citrix Gateway/Access Gateway。第二次登录可以使用智能卡和PIN,也可以使用用户名和密码,因为Receiver在此部署中允许双模式身份验证。
用户自动登录到StoreFront, StoreFront将用户安全标识符(sid)传递给Citrix Virtual Apps或Citrix Virtual desktop。当用户启动虚拟桌面或应用程序时,不会再次提示用户输入PIN,因为Receiver上配置了单点登录特性。
通过添加第二个StoreFront服务器和承载应用程序的服务器,可以将此部署扩展为双跳部署。来自虚拟桌面的Receiver向第二个StoreFront服务器进行身份验证。任何身份验证方法都可以用于第二个连接。显示在第一个跳上的配置可以在第二个跳上重用,或者只在第二个跳上使用。
部署示例:非域连接计算机
此部署涉及运行Desktop Viewer并直接连接到StoreFront的非域加入用户设备。
用户登录设备。通常,用户输入用户名和密码,但由于设备没有加入域,因此该登录的凭据是可选的。由于在此部署中可以使用双峰式身份验证,因此Receiver提示用户输入智能卡和PIN或用户名和密码。然后,Receiver向Storefront进行身份验证。
StoreFront将用户安全标识符(sid)传递给Citrix Virtual Apps或Citrix Virtual desktop。当用户启动虚拟桌面或应用程序时,会再次提示用户输入PIN,因为在此部署中无法使用单点登录功能。
通过添加第二个StoreFront服务器和承载应用程序的服务器,可以将此部署扩展为双跳部署。来自虚拟桌面的Receiver向第二个StoreFront服务器进行身份验证。任何身份验证方法都可以用于第二个连接。显示在第一个跳上的配置可以在第二个跳上重用,或者只在第二个跳上使用。
部署示例:从非域加入的计算机进行远程访问
此部署涉及运行Desktop Viewer并直接连接到StoreFront的非域加入用户设备。
用户登录设备。通常,用户输入用户名和密码,但由于设备没有加入域,因此该登录的凭据是可选的。由于在此部署中可以使用双峰式身份验证,因此Receiver提示用户输入智能卡和PIN或用户名和密码。然后,Receiver向Storefront进行身份验证。
StoreFront将用户安全标识符(sid)传递给Citrix Virtual Apps或Citrix Virtual desktop。当用户启动虚拟桌面或应用程序时,会再次提示用户输入PIN,因为在此部署中无法使用单点登录功能。
通过添加第二个StoreFront服务器和承载应用程序的服务器,可以将此部署扩展为双跳部署。来自虚拟桌面的Receiver向第二个StoreFront服务器进行身份验证。任何身份验证方法都可以用于第二个连接。显示在第一个跳上的配置可以在第二个跳上重用,或者只在第二个跳上使用。
部署示例:未加入域的计算机和访问Desktop一体机站点的瘦客户机
此部署涉及到可能运行Desktop Lock并通过Desktop一体机站点连接到StoreFront的非域加入用户设备。
桌面锁是一个单独的组件,与Citrix Virtual Apps、Citrix Virtual Desktop和VDI-in-a-Box一起发布。它是Desktop Viewer的替代方案,主要为重新使用的Windows计算机和Windows瘦客户机而设计。桌面锁取代了这些用户设备中的Windows外壳和任务管理器,防止用户访问底层设备。通过“桌面锁”,用户可以访问Windows Server Machine和Windows Desktop Machine桌面。安装桌面锁是可选的。
用户使用智能卡登录到设备上。如果设备上正在运行“桌面锁定”,则该设备已配置为通过以“Kiosk模式”运行的Internet Explorer启动桌面一体机站点。站点上的一个ActiveX控件提示用户输入PIN,并将其发送到StoreFront。StoreFront将用户安全标识符(sid)传递给Citrix Virtual Apps或Citrix Virtual desktop。分配的桌面组中字母列表中的第一个可用桌面启动。
通过添加第二个StoreFront服务器和承载应用程序的服务器,可以将此部署扩展为双跳部署。来自虚拟桌面的Receiver向第二个StoreFront服务器进行身份验证。任何身份验证方法都可以用于第二个连接。显示在第一个跳上的配置可以在第二个跳上重用,或者只在第二个跳上使用。
部署示例:域连接计算机和瘦客户机通过XenApp Services URL访问StoreFront
此部署涉及到运行Desktop Lock并通过XenApp Services url连接到StoreFront的域加入用户设备。
桌面锁是一个单独的组件,与Citrix Virtual Apps、Citrix Virtual Desktop和VDI-in-a-Box一起发布。它是Desktop Viewer的替代方案,主要为重新使用的Windows计算机和Windows瘦客户机而设计。桌面锁取代了这些用户设备中的Windows外壳和任务管理器,防止用户访问底层设备。通过“桌面锁”,用户可以访问Windows Server Machine和Windows Desktop Machine桌面。安装桌面锁是可选的。
用户使用智能卡和PIN登录设备。如果在设备上运行Desktop Lock,它将使用集成Windows身份验证(IWA)对用户进行Storefront服务器的身份验证。StoreFront将用户安全标识符(sid)传递给Citrix Virtual Apps或Citrix Virtual desktop。当用户启动虚拟桌面时,不会再次提示用户输入PIN码,因为Receiver上配置了单点登录特性。
通过添加第二个StoreFront服务器和承载应用程序的服务器,可以将此部署扩展为双跳部署。来自虚拟桌面的Receiver向第二个StoreFront服务器进行身份验证。任何身份验证方法都可以用于第二个连接。显示在第一个跳上的配置可以在第二个跳上重用,或者只在第二个跳上使用。