配置对工作区的访问
Citrix建议使用最新版本的Citrix Workspace应用程序访问工作空间。Citrix Workspace应用程序取代了Citrix Receiver。您还可以通过Workspace URL访问使用最新版本的Edge、Chrome、Firefox或Safari的工作区。
重要的是:
对ie浏览器的支持将于2022年3月31日结束。
Citrix建议用户在此日期之前过渡到最新版本的Edge、Chrome、Firefox或Safari。
本文总结了配置和使用所涉及的步骤:
- 的工作空间的URL
- 的Citrix工作空间应用(原名Citrix Receiver).
- Citrix Gateway或Citrix Gateway服务外部连接.
- 身份提供者验证工作空间.
概述
订阅者可以通过带有工作区URL的浏览器或通过安装在设备上的Citrix Workspace应用程序访问Citrix Workspace。
工作区URL是可定制的,默认情况下是启用的。有关编辑工作区URL的说明,请参见工作空间的URL在这篇文章中。
Citrix Workspace应用程序取代了Citrix Receiver作为本地安装的应用程序,提供对Workspace用户界面(UI)的访问。有关Citrix Workspace应用程序和从Citrix Receiver过渡的信息,请参见Citrix工作空间应用(原名Citrix Receiver)在这篇文章中。
如果您配置了与Citrix Gateway或Citrix Gateway服务的外部连接,远程订阅者可以获得对其工作空间的外部访问。有关启用对工作区的远程访问的信息,请参见外部连接在这篇文章中。
另外,对于内部连接,您可以单独使用Citrix Workspace,也可以在内部托管StoreFront。对于内部连接,端点必须直接连接到虚拟交付代理(VDA)的IP地址。
Citrix Workspace支持一个不断增长的身份提供程序列表,您可以将其连接到Citrix Cloud,然后在其中启用它们工作空间配置对其工作空间的订阅者进行身份验证。有关为Workspace订阅者配置身份验证的信息,请参见验证工作空间在这篇文章中。
Citrix Workspace还支持以下身份验证选项:
- 令牌作为使用Active Directory登录到工作空间的第二个身份验证因素。有关为工作空间设置多因素身份验证的更多信息,请参见双因素身份验证.
- Citrix联邦认证服务(FAS),为Citrix Workspace中的虚拟应用程序和桌面提供单点登录服务。有关使用FAS设置SSO的更多信息,请参见使用Citrix联邦身份验证服务为工作区启用单点登录.
工作空间的URL
工作区URL已经可以使用了,可以在Citrix Cloud >工作区配置>访问,在那里您可以启用、编辑和禁用您的工作区URL。
自定义工作区URL
Workspace URL的第一部分是可定制的。例如,您可以更改URL从https://example.cloud.com来https://newexample.cloud.com.
只有在启用工作区URL时,您才能更改它。如果URL被禁用,则必须先重新启用它。
要启用工作区URL,请导航到工作区配置>访问并选择切换以启用它。重新启用Workspace URL最多需要10分钟才能生效。
Workspace URL的第一部分表示使用Citrix Cloud帐户的组织,并且必须遵守思杰最终用户服务协议.滥用第三方知识产权,包括商标,可能导致撤销和重新分配URL或暂停思杰云帐户。
要自定义URL,请转到工作区配置>访问并选择编辑.URL的可定制部分:
- 长度必须在6到63个字符之间。如果您希望将URL的可定制部分更改为少于6个字符,请在Citrix Cloud中打开一张票据。
- 只能由字母和数字组成。
- 不能包含Unicode字符。
重命名URL时,旧的URL立即被删除,不再可用。
如果您更改了Workspace URL,您的订阅者将无法访问他们的工作空间,直到新URL激活,这将花费大约10分钟。告诉订阅者新URL是什么,并手动更新所有本地Citrix Workspace应用程序以使用新URL。
禁用工作区URL
您可以禁用Workspace URL,以阻止用户通过Citrix Workspace进行身份验证。例如,您可能希望订阅者使用内部StoreFront URL访问资源,或者您可能希望在维护期间阻止访问。
禁用工作区URL可能需要10分钟才能生效。
禁用工作区URL会产生以下效果:
- 所有服务集成都被禁用。订阅者不能从Citrix Workspace中的服务访问数据和应用程序。
- 您不能自定义工作区URL。必须重新启用URL才能更改它。
- 任何访问该URL的人都会在浏览器中收到404消息。
Citrix工作空间应用(原名Citrix Receiver)
重要的是:
Citrix接收器已达到生命终止(EoL),不再受支持。如果继续使用Citrix Receiver,则技术支持仅限于中描述的选项生命周期里程碑和定义.有关Citrix Receiver按平台的EoL里程碑的信息,请参阅Citrix Workspace应用和Citrix Receiver的生命周期里程碑.
Citrix Workspace app是一个本地安装的应用程序,它取代了Citrix Receiver来访问工作空间。
支持Citrix Workspace应用的认证方法
下表显示了Citrix Workspace app支持的认证方法。该表包括与特定版本的Citrix Receiver相关的认证方法,Citrix Workspace app将替换这些版本。
| Citrix工作区应用 | 活动目录的认证 | 活动目录加上令牌认证 | Azure Active Directory认证 |
|---|---|---|---|
| Citrix Windows工作区 | 是的 | 是的 | 是的(工作区应用;接收器4.9 LTSR CU2及以后仅;接收器4.11 CR及以上版本) |
| Citrix Linux工作空间 | 是的 | 是的 | 是的(工作区应用;仅限接收器13.8及以上版本) |
| Citrix Mac工作区 | 是的 | 是的 | 是的 |
| Citrix的iOS工作区 | 是的 | 是的 | 是的 |
| Citrix Android工作空间 | 是的 | 是的 | 是的(工作区应用;接收器3.13及以上版本) |
有关Citrix Workspace应用程序中按平台支持的特性的更多信息,请参阅Citrix Workspace应用程序特征矩阵.
有关Citrix接收机对TLS和SHA2支持的概述,请参阅CTX23226支持文章。
从Citrix接收器过渡到Citrix工作区应用程序
Citrix Workspace应用程序取代并扩展了Citrix Receiver的功能。
Citrix Workspace应用程序通过单点登录(SSO)为订阅者提供对SaaS、Web和虚拟应用程序的访问。有关工作空间订阅者的单点登录信息,请参见使用Citrix联邦身份验证服务为工作空间启用单点登录.
Citrix Receiver不支持此访问控制特性。因此,在启用相同的服务和访问控制的情况下,Citrix Receiver用户仍然可以看到紫色的UI,但没有Web和SaaS应用程序。此外,文件在Citrix Receiver中不支持,订阅者不能通过这种方式访问它们。
Azure活动目录(AAD)也不兼容Citrix Receiver。如果在启用AAD作为身份验证方法时,订阅者试图使用Citrix Receiver访问Workspace,他们会看到一条消息,说明设备不受支持。一旦他们升级到Citrix Workspace应用,他们就可以访问自己的工作空间了。
升级到Citrix Workspace应用程序(或使用Web浏览器)的客户可以看到新的UI。有关此UI的订阅者体验的更多信息,请访问管理您的工作空间体验.
除了新的UI外,Citrix Workspace应用程序还允许订阅者使用您启用的所有新功能。用户可以访问文件,参见虚拟应用程序和桌面,通过Citrix Gateway服务访问Web和SaaS应用程序。
如果您有一个StoreFront (on-premises)部署,从Citrix Receiver升级到Citrix Workspace应用程序只会更改打开Citrix Workspace应用程序的图标。
注意:
Citrix云政府当用户使用Citrix Workspace应用程序或从Web浏览器访问Workspace时,仍然可以看到他们的紫色UI。
外部连接
通过向资源位置添加Citrix网关或Citrix Gateway服务,为远程订阅者提供安全访问。
Citrix支持以下外部连接选项:
- Citrix托管Citrix Gateway和Citrix ADC
- 您在本地托管Citrix网关和Citrix ADC
可以从添加Citrix网关工作空间配置>访问>外部连接或从Citrix Cloud >资源位置.
注意:
的外部连接部分工作区配置>访问页面在Citrix Virtual Apps Essentials中不可用。Citrix Virtual Apps Essentials服务使用Citrix Gateway服务,它不需要额外的配置。
验证工作空间
为订阅者配置工作空间身份验证分为两个步骤:
- 中定义一个或多个标识提供程序身份及访问管理.请示,请访问身份和访问管理.
- 选择一个配置的标识提供程序作为订阅者登录到其工作空间时使用的身份验证方法工作空间配置.请示,请访问选择或更改身份验证方法.
中配置更多标识提供程序身份及访问管理让你有更多的选择工作空间配置订阅者如何登录到他们的工作空间。
支持用于身份验证订阅者的身份提供程序
订阅者可以使用以下方法之一对其工作空间进行身份验证:
有关对工作空间进行订阅者身份验证所支持的方法的更多信息,请访问安全工作区.
活动目录(AD)要求您在本地AD域中至少安装了两个Citrix云连接器。有关Citrix云连接器的信息,请访问Citrix云连接器.
AD + Token是默认的标识提供程序,用于对工作空间的订阅者进行身份验证。的任何应用程序,订阅者生成令牌作为身份验证的第二个因素基于时间的一次性密码(TOTP)标准,例如Citrix SSO。有关设置基于令牌的双因素身份验证的信息,请参见双因素身份验证.
改变身份提供者
中选择标识提供程序作为Citrix Workspace的主要身份验证方法工作空间配置.必须首先在中配置所选择的标识提供程序身份及访问管理.中更改标识提供程序工作空间配置不会影响已配置的标识提供程序身份及访问管理.
中的配置标识提供程序身份及访问管理不会改变登录到Citrix Workspace的主要身份验证方法。来改变登录到Citrix Workspace的主要身份验证方法必须:
- 中的配置新的标识提供程序身份及访问管理.
- 中的更改标识提供程序工作空间配置.
您可以在不破坏生产环境的情况下为Citrix Workspace配置和更改主要身份验证方法。如果希望测试新的身份提供程序,可以创建测试Citrix Cloud组织,或者计划更改其中的身份验证方法工作空间配置当订阅者没有使用他们的工作区时。
SaaS和Web应用程序的单点登录(SSO)
当订阅者登录到他们的工作空间后,Citrix Workspace提供了对辅助资源的单点登录(SSO),从而提供了无缝体验。与Citrix Gateway服务一起,Citrix Secure Private Access作为Citrix Workspace的集成部分,为SaaS和Web应用程序提供单点登录。
除了SSO功能,Citrix Secure Private Access还允许您设置增强的安全策略、配置上下文访问和收集分析。有关Citrix安全私有访问的更多信息,请访问Citrix安全私有访问.
单点登录虚拟应用程序和桌面
除了SaaS和Web应用,活动目录(AD)和AD + Token已经为用户登录到他们的工作空间后的虚拟应用桌面提供了单点登录。
如果为订阅者对Citrix Workspace的初始身份验证选择了不同的身份提供程序,那么还可以安装和配置Citrix联邦身份验证服务(FAS)。使用FAS时,订阅者只需输入一次凭证就可以访问他们的虚拟应用程序和桌面,就像使用SaaS和Web应用程序一样。
如果您使用以下身份提供程序之一进行工作区身份验证,则通常采用FAS:
- Azure的广告
- Okta
- SAML 2.0
- Citrix网关
注意:
根据配置Citrix Gateway的方式,您可能不需要FAS来单点登录虚拟应用程序和桌面。有关配置Citrix Gateway的更多信息,请访问在公司内部的Citrix Gateway上创建OAuth IdP策略.
有关FAS的更多信息,请参见使用Citrix联邦身份验证服务为工作空间启用单点登录.