使用Citrix联邦身份验证服务为工作区启用单点登录
Citrix联邦认证服务(FAS)支持单点登录到Citrix工作区中的DaaS。如果您正在为Citrix Workspace身份验证使用以下身份提供程序之一,则通常采用FAS:
- Azure Active Directory
- Okta
- SAML 2.0
- Citrix网关
使用FAS,订阅者只需输入一次凭证即可访问其DaaS应用程序和桌面。
如果您使用活动目录(AD)、AD +令牌或Citrix网关的特定配置,则不需要FAS进行单点登录到DaaS。有关配置Citrix Gateway的更多信息,请访问在本地Citrix Gateway上创建OAuth IdP策略。
FAS服务器
在每个资源位置内,您可以将多个FAS服务器连接到Citrix Cloud,以实现负载平衡和故障转移。
Citrix Cloud支持在以下场景下使用FAS服务器。
在这两种情况下,通过联合身份提供程序登录到其工作区的订阅者只需输入一次凭据即可访问应用程序和桌面。
连接到单个资源位置的FAS服务器
如果您的资源位置包含不同的基础设施(例如,不同的资源位置包含不同的AD森林),请将FAS服务器部署到vda所在的资源位置。SSO仅在连接了一个或多个FAS服务器的资源位置上激活。
连接多个资源位置的FAS服务器
如果资源位置之间有网络连接,并且它们包含类似的基础设施,则可以将FAS服务器与多个资源位置连接起来。SSO对于连接到这些资源位置中的应用程序和桌面的工作空间订阅者是活动的。在此场景中,不需要将单独的FAS服务器连接到每个资源位置。
当用户启动虚拟应用程序或桌面时,Citrix Cloud将选择与正在启动的应用程序或桌面位于相同资源位置的FAS服务器。Citrix Cloud与所选的FAS服务器联系,以获得一张票据,该票据授予对FAS服务器上存储的用户证书的访问权限。为了验证用户,VDA连接到FAS服务器并提供票证。
通过适当的规则配置,您可以为本地和Citrix Cloud使用相同的FAS服务器。
多个资源位置的故障转移优先级
当使用具有多个资源位置的FAS服务器时,位于一个资源位置的FAS服务器可以向位于其他资源位置的FAS服务器提供故障转移。将FAS服务器添加到其他资源位置时,可以将每个服务器指定为主服务器或辅助服务器。当用户启动虚拟应用程序或桌面时,思杰云以以下方式使用此指定来选择FAS服务器:
- 首先考虑在给定资源位置中被指定为主的FAS服务器。
- 如果没有可用的主服务器,则考虑指定为辅助的FAS服务器。
- 如果没有备用服务器可用,则继续启动,但不会发生单点登录。
视频概述
有关Citrix工作区的联邦身份验证服务的概述,请查看此技术洞察视频:
需求
连接要求
使用FAS管理控制台将FAS服务器连接到Citrix Cloud。您可以使用此控制台配置本地或远程FAS服务器。要为带有FAS的工作区启用SSO, FAS管理控制台和FAS服务分别使用控制台用户的帐户和Network service帐户访问以下地址。
- FAS管理控制台,使用控制台用户的帐户:
* .cloud.com* .citrixworkspacesapi.net- 如果在您的环境中使用了第三方身份提供者所需的地址
- FAS服务,使用网络服务账号:
* .citrixworkspacesapi.nethttps:// * .citrixnetworkapi.net/
如果您的环境包括代理服务器,请使用FAS管理控制台的地址配置用户代理。此外,请确保将网络服务帐户的地址配置为适合您的环境。
FAS系统要求
本节的要求适用于您计划连接到Citrix Cloud的所有FAS服务器。
FAS服务器的完整系统要求请参见系统需求部分的FAS产品文档。
本地Citrix虚拟应用程序和桌面环境中的FAS服务器必须安装联邦身份验证服务2003(版本10.1)或更高版本。
如果您现有的FAS服务器的版本早于Version 10,您可以从Citrix下载最新的FAS软件,并在创建此连接之前就地升级服务器。在创建连接时,为FAS服务器选择资源位置。SSO仅在存在FAS服务器的资源位置上对订阅者是活动的。
有关升级现有FAS服务器的详细信息,请参见安装和配置请参阅FAS产品文档。同一个FAS服务器可以用于工作区和内部部署。
Citrix工作区
您必须在工作区中配置并启用Citrix DaaS。默认情况下,在您订阅服务之后,在Workspace Configuration中启用DaaS。但是,该服务要求您部署Citrix Cloud Connectors,以允许Citrix Cloud与您的本地环境通信。
云连接器
Citrix Cloud Connectors支持您的资源位置(vda所在的位置)和Citrix Cloud之间的通信。部署至少两个云连接器以确保高可用性。安装Cloud Connector软件的服务器必须满足以下要求:
- 描述的系统需求云连接器技术细节
- 没有安装其他Citrix组件,服务器不是Active Directory域控制器,也不是对资源位置基础结构至关重要的机器。
- 加入到vda所在的域。
有关部署云连接器的更多信息,请参阅以下文章:
设置概述
- 如果您正在部署新的FAS服务器,请查看需求并按照说明安装和配置FAS在本文中。
- 按照本文将FAS服务器连接到Citrix Cloud中的描述将FAS服务器连接到Citrix Cloud。完成此任务将FAS服务器连接到单个资源位置。
- 如果计划将FAS服务器连接到多个资源位置,请按照中的说明进行操作将FAS服务器添加到多个资源位置在本文中。
安装和配置FAS
遵循FAS安装和配置过程FAS产品文档。不需要StoreFront和Delivery Controller的配置步骤。
提示:
您还可以从Citrix Cloud控制台下载联邦身份验证服务安装程序:
- 从Citrix Cloud菜单中选择资源位置。
- 选择FAS服务器平铺,然后点击下载。
将FAS服务器接入Citrix Cloud
使用FAS管理控制台将FAS服务器连接到Citrix Cloud,如安装和配置请参阅FAS产品文档。
在您完成接入思杰云在配置步骤中,Citrix Cloud注册FAS服务器并将其显示在您的Citrix Cloud帐户的“资源位置”页面上。
如果浏览器中已经加载了Resource Locations页面,请刷新页面以显示已注册的FAS服务器。
将FAS服务器添加到多个资源位置
- 从Citrix Cloud菜单中选择资源位置然后选择FAS服务器选项卡。
- 找到要管理的FAS服务器,单击条目右侧的省略号(…),然后选择管理服务器。
- 选择添加到资源位置然后选择您想要的资源位置。
- 选择主要的或二次查询FAS服务器在每个选定资源位置中的故障转移优先级。
- 选择保存更改。
选中,查看已添加的FAS服务器资源位置从Citrix云菜单,然后选择FAS服务器选项卡。显示所有连接的资源位置的所有FAS服务器的列表。如果需要显示指定资源位置的FAS服务器,请在下拉列表中选择资源位置。
更改FAS服务器的故障转移优先级
- 从资源位置页,选择FAS服务器要管理的资源位置的平铺。
- 选择FAS服务器选项卡。
- 找到要管理的FAS服务器,单击条目右侧的省略号,然后选择管理服务器。
- 找到要更改优先级的资源位置,并从下拉列表中选择新的优先级。
- 选择保存更改。
为工作区启用联合身份验证
- 从Citrix Cloud菜单中选择工作空间配置然后选择身份验证。
- 点击使FAS。此更改最多可能需要五分钟才能应用到订阅者会话。
之后,联邦身份验证服务对于从Citrix工作区启动的所有虚拟应用程序和桌面都是活跃的。
当订阅者登录到他们的工作区并在与FAS服务器相同的资源位置启动虚拟应用程序或桌面时,应用程序或桌面启动时不会提示输入凭据。
注意:
如果资源位置中的所有FAS服务器都关闭或处于维护模式,则应用程序启动成功,但单点登录未激活。系统会提示订阅者输入其AD凭据以访问每个应用程序或桌面。
移除FAS服务器
从单个资源位置移除FAS服务器。
- 从资源位置页,选择FAS服务器要管理的资源位置的平铺。
- 选择FAS服务器选项卡。
- 找到要管理的FAS服务器,单击条目右侧的省略号,然后选择管理服务器。
- 找到要删除的资源位置,然后单击X图标。
从所有连接的资源位置删除FAS服务器。
- 从Citrix Cloud菜单中选择资源位置。
- 找到要管理的资源位置,然后选择FAS服务器瓷砖。
- 找到要删除的FAS服务器,单击条目右侧的省略号,然后选择移除FAS服务器。
- 在FAS管理控制台上(在本地FAS服务器上),在接入思杰云中,选择断开连接。或者,您可以卸载FAS。
故障排除
如果FAS服务器不可用,则会在“FAS服务器”页面上显示警告消息。
要诊断问题,请打开本地FAS服务器上的FAS管理控制台并检查状态。例如,FAS服务器不存在于FAS服务器GPO中:
如果FAS管理控制台显示服务器运行正常,但仍然存在VDA登录问题,请参考FAS故障处理指南。