安装和配置

安装和设置顺序

1. 安装联邦身份验证服务(FAS)
2. 在StoreFront商店中启用FAS插件
3. 配置交付控制器
4. 配置组策略
5. 使用FAS管理控制台：
   1. 部署证书模板
   2. 设立证书颁发机构
   3. 授权FAS使用您的证书授权
   4. 配置规则
   5. 将FAS连接到Citrix云（可选）

安装联邦身份验证服务

为了安全起见，Citrix建议在专用服务器上安装联邦身份验证服务（FAS），该服务器的安全方式与域控制器或证书颁发机构类似。FAS可从以下任一位置安装：

• Citrix虚拟应用程序和桌面安装程序（来自联合身份验证服务插入ISO时，自动运行启动屏幕上的按钮），或
• 独立的FAS安装文件(可作为MSI文件在Citrix下载）。

这些组件将安装以下组件：

• 联合身份验证服务
• PowerShell管理单元cmdlet用于高级FAS配置
• FAS管理控制台
• FAS组策略模板（CitrixFederatedAuthEnticationService.admx / Adml）
• 证书模板文件
• 性能计数器和事件日志

FAS升级

您可以使用就地升级将FAS升级到较新的版本。在升级之前，请考虑以下事项:

• 执行就地升级时保留所有FAS服务器设置。
• 在升级FAS之前，请确保已关闭FAS管理控制台。
• 确保在任何时间至少有一台FAS服务器可用。如果启用联合身份验证服务的StoreFront服务器无法访问服务器，则用户无法登录或启动应用程序。

要开始升级，请从Citrix虚拟应用程序和桌面安装程序或从独立FAS安装程序文件安装FAS。

在StoreFront商店中启用FAS插件

注意:

如果您只在Citrix Cloud上使用FAS，则不需要此步骤。

要在StoreFront Store上启用FAS集成，请以管理员帐户运行以下PowerShell cmdlets。如果商店有不同的名称，修改StoreVirtualPath美元．

Get-Module“Citrix.StoreFront *”。-ListAvailable|导入模块StoreVirtualPath美元=“Citrix /商店”$store=获取STFStoreService-virtualpath.StoreVirtualPath美元$ auth.=Get-STFAuthenticationService-Storeservice.$store设置STFClaimsFactoryNames-authenticationservice.$ auth.-ClaimsFactoryName“FASClaimsFactory”set-stfstorelaunchoptions.-Storeservice.$store-VdaLogonDataProvider“FASLogonDataProvider”<!——NeedCopy->

要停止使用FAS，请使用以下PowerShell脚本：

Get-Module“Citrix.StoreFront *”。-ListAvailable|导入模块StoreVirtualPath美元=“Citrix /商店”$store=获取STFStoreService-virtualpath.StoreVirtualPath美元$ auth.=Get-STFAuthenticationService-Storeservice.$store设置STFClaimsFactoryNames-authenticationservice.$ auth.-ClaimsFactoryName“standardClaimsFactory”set-stfstorelaunchoptions.-Storeservice.$store-VdaLogonDataProvider""<!——NeedCopy->

配置交付控制器

注意:

如果您只在Citrix Cloud上使用FAS，则不需要此步骤。

要使用FAS，配置Citrix虚拟应用程序或Citrix虚拟桌面交付控制器以信任可以连接到它的StoreFront服务器:运行set-brokersite -t​​rustrustssenttothexmlserviceport $ truePowerShell cmdlet。无论站点中有多少交付控制器，每个站点只需执行一次。

配置组策略

安装FAS后，必须使用安装过程中提供的“组策略”模板，在“组策略”中指定FAS服务器的FQDNs。

重要的是:

确保请求票证的店面服务器和虚拟传送代理（VDAS）兑换票证的FQDNS的相同配置，包括组策略对象应用的自动服务器编号。

为简单起见，以下示例在适用于所有计算机的域级别​​配置单个策略;但是，这不是必需的。FAS将功能只要店面服务器，VDAS和运行FAS管理控制台的机器，请参阅相同的FQDN列表。请参阅第6步。

第1步。在安装FAS的服务器上，找到C:\Program Files\Citrix\Federated AuthenticationService \PolicyDefinitions\CitrixFederatedAuthenticationService。admx CitrixBase。admx文件和en-US文件夹。

第2步。复制这些到您的域控制器，并将它们放在C:\Windows\策略定义和en-US子文件夹中。

步骤3。运行Microsoft管理控制台（从命令行运行mmc.exe）。从菜单栏中选择文件>添加/删除管理单元．添加组策略管理编辑器．

当提示输入组策略对象时，选择浏览然后选择默认域策略. 或者，您可以使用选择的工具为您的环境创建和选择适当的策略对象。该策略必须应用于运行受影响Citrix软件的所有计算机（VDA、店面服务器、管理工具）。

步骤4。导航到联合身份验证服务位于计算机配置/策略/管理模板/Citrix组件/身份验证中的策略。

注意:

只有在将Citrix base.admx/Citrix base.adml模板文件添加到PolicyDefinitions文件夹时，联合身份验证服务策略设置才在域GPO上可用。步骤3之后，联合身份验证服务策略设置将列在管理模板>Citrix组件>身份验证文件夹中。

第5步。打开联合身份验证服务策略并选择启用．这允许您选择显示按钮，在这里配置您的FAS服务器的FQDNs。

步骤6。输入FAS服务器的FQDNS。

重要的是:

如果输入多个FQDN，列表的顺序必须与VDA、店面服务器（如果存在）和FAS服务器的顺序一致。请参阅组策略设置．

步骤7。点击好的退出组策略向导并应用组策略更改。您可能需要重新启动计算机（或运行警察公共关系科从命令行)，以使更改生效。

在会话行为

此策略激活用户VDA会话中的代理进程，该进程支持会话内证书、同意和锁定时断开连接。只有启用此策略，会话内证书才可用和如果使用用于创建证书的FAS规则允许在会话中使用，请参阅配置规则．

启用启用此策略并允许FAS代理进程在用户的VDA会话中运行。

使残废禁用策略并停止FAS代理进程运行。

提示范围

如果启用此策略，提示范围控制如何提示用户同意允许应用程序使用会话内证书。有三种选择:

• 不需要同意-该选项禁用安全提示，并静默使用私钥。
• 每道工序同意书-每个正在运行的程序都会单独提示是否同意。
• 每会话同意-一旦用户点击好的，这适用于会话中的所有程序。

同意超时

如果启用此策略，同意超时控制同意持续的时间(以秒计)。例如，在300秒的情况下，用户每5分钟就会看到一个提示。值为0会提示用户进行每个私钥操作。

断开锁上

如果启用了此策略，用户锁定屏幕时会话将自动断开。此功能提供了与“智能卡移除断开连接”策略类似的行为，对于用户没有Active Directory登录凭据的情况非常有用。

注意:

断开锁定策略适用于VDA上的所有会话。

使用联合身份验证服务管理控制台

注意:

虽然FAS管理控制台适合大多数部署，但PowerShell界面提供了更高级的选项。有关FAS PowerShell cmdlets的信息，请参阅PowerShell cmdlets．

FAS管理控制台作为FAS的一部分安装。开始菜单中放置了一个图标(Citrix联邦身份验证服务)。

首次使用管理控制台时，它将引导您完成一个过程，该过程将部署证书模板、设置证书颁发机构并授权FAS使用证书颁发机构。也可以使用操作系统配置工具手动完成某些步骤。

默认情况下，FAS管理控制台连接到本地FAS服务。如果需要，您可以使用连接到远程服务连接到另一个服务器在控制台的右上方。

部署证书模板

为了避免与其他软件的互操作性问题，FAS提供了三个Citrix证书模板供自己使用。

• Citrix_RegistrationAuthority_ManualAuthorization
• Citrix_注册机构
• Citrix_智能卡登录

这些模板必须注册到Active Directory。单击部署按钮，然后单击好的．

模板的配置可以在扩展名为.certificatetemplate的XML文件中找到，这些文件安装了FAS:

C：\ Program Files \ Citrix \联合身份验证服务\ CertificateTemplates

如果您没有安装这些模板文件的权限，请将其交给Active Directory管理员。

要手动安装模板，可以从包含模板的文件夹中运行以下PowerShell命令：

美元的模板=[先。文件]::ReadAllBytes("$Pwd\ citrix_smartcardlogon.cerfificateTemplate“)$CertEnrol=新对象-Comobject.X509Enrollment。CX509EnrollmentPolicyWebService$CertEnrol．InitializeImport.(美元的模板)美元思忖=$CertEnrol．获得模板()．ItemByIndex(0)writabletemplate美元=新对象-Comobject.X509Enrollment。CX509CertificateTemplateADWritablewritabletemplate美元．初始化(美元思忖)writabletemplate美元．提交(1.,$ null.)<!——NeedCopy->

设置Active Directory证书服务

安装Citrix证书模板后，必须在一个或多个Microsoft Enterprise认证机构服务器上发布。有关如何部署Active Directory证书服务的信息，请参阅Microsoft文档。

如果模板未在至少一台服务器上发布，请使用设置证书颁发机构发布它们。您必须作为具有管理证书颁发机构权限的用户执行此操作。

(证书模板也可以使用Microsoft证书颁发机构控制台发布。)

授权联合身份验证服务

此步骤启动FAS的授权。管理控制台使用Citrix_RegistrationAuthority_ManualAuthorization模板生成证书请求，然后将其发送给发布该模板的证书颁发机构之一。

发送请求后，它会出现在挂起的请求Microsoft认证机构列表作为FAS机器帐户的待处理请求。在FAS的配置继续之前，证书颁发机构管理员必须发出或拒绝请求。

FAS管理控制台显示忙碌的“微调器”，直到管理员选择问题或者否认．

在Microsoft认证机构控制台中，右键单击所有任务然后选择问题或者否认对于证书请求。如果你愿意问题，FAS管理控制台显示授权证书。如果您选择否认时，控制台显示一条错误消息。

FAS管理控制台自动检测此过程何时完成。这可能需要几分钟。

配置规则

FAS使用规则来授权发出VDA登录和in-Session使用的证书，如店面边界。每个规则指定可信赖请求证书的店面服务器，这些用户可以请求它们的用户集，以及允许使用它们的一组VDA机器。

FAS需要至少创建和配置一个规则。我们建议您创建一个名为“默认”的规则，因为默认情况下，店面请求在联系FAS时命名为“默认”的规则。

您可以创建额外的自定义规则来引用不同的证书模板和证书颁发机构，并将它们配置为具有不同的属性和权限。可以对这些规则进行配置，以供不同的StoreFront服务器或工作区使用。使用组策略配置选项配置StoreFront服务器以按名称请求自定义规则。

点击创建（或创建规则在“规则”标签）上启动规则创建向导，该向导会收集信息以创建规则。“规则”选项卡显示了每个规则的摘要。

向导收集了以下信息:

模板:用于颁发用户证书的证书模板。这应该是Citrix_SmartcardLogon模板，或它的修改副本(参见证书模板）。

证书颁发机构：颁发用户证书的证书颁发机构。模板必须由证书颁发机构发布。FAS支持为故障转移和负载平衡添加多个证书颁发机构。确保所选证书颁发机构的状态显示“模板可用”。请参阅证书颁发机构管理．

会话中使用字体允许在会话中使用选项控制是否可以在登录到VDA之后使用证书。

• 允许在会话中使用未选中（默认，推荐)-该证书仅用于登录或重新连接，用户在验证后无权访问该证书。

• 允许在会话中使用选中的用户通过认证后可以访问证书。大多数客户不应该选择这个选项。可以使用Kerberos单点登录访问VDA会话内访问的资源，如内部网站点或文件共享，因此不需要会话内证书。

  如果您选择允许在会话中使用这个在会话行为组策略也必须启用并应用到VDA。然后，在登录之后，将证书放置在用户的个人证书存储中，以供应用程序使用。例如，如果在VDA会话中需要对web服务器进行TLS认证，则ie浏览器可以使用该证书。

访问控制：可信StoreFront服务器计算机列表，授权请求登录或重新连接用户的证书。对于所有这些权限，您可以添加单个广告对象或组。

重要的是:

这个访问控制设置是安全性的，必须仔细管理。

注意:

如果您使用FAS服务器只与Citrix云，您不需要配置访问控制。当规则被Citrix Cloud使用时，StoreFront访问权限将被忽略。您可以对Citrix Cloud和本地StoreFront部署使用相同的规则。当规则由内部部署的StoreFront使用时，仍然应用StoreFront访问权限。

默认权限(允许“断言身份”)拒绝一切。因此，必须显式地允许您的Storefront服务器。

限制：VDA机器列表可以使用FAS和可以通过FAS发出证书的用户登录用户。

• VDA权限管理让您指定哪些VDAs可以使用FAS登录用户。VDAs列表默认为域计算机。

• 管理用户权限用于指定哪些用户可以使用FAS登录VDA。用户列表默认为域用户。

注意:

如果FAS服务器与vda和用户不在同一个域，需要修改默认的限制。

云规则:表示从Citrix Workspace接收到身份断言时是否应用该规则。当您连接到Citrix Cloud时，您可以选择对Citrix Cloud使用哪个规则。的链接连接到Citrix Cloud后，也可以更改规则连接到Citrix Cloud部分。

连接到Citrix Cloud

您可以使用Citrix Workspace将FAS服务器连接到Citrix云。请参见Citrix工作区文章．

1. 在初始设置选项卡中，在连接到Citrix Cloud点击连接．

2. 可以选择连接到哪个云。你可以连接“Citrix Cloud”(默认)、“Citrix Cloud Japan”或“Citrix Cloud usa Government”。

3. 点击登录然后使用连接到的云客户的管理凭据登录到Citrix Cloud。

4. 选择客户帐户(如果适用)，并选择您想要连接FAS服务器的资源位置。点击继续然后关闭确认窗口。

5. 在FAS管理控制台中，选择从Citrix Workspace收到身份断言时要应用的规则，或选择创建规则此向导完成后。（在“规则”选项卡中，对于您选择或创建的规则，云规则值为“是”。）
6. 在“摘要”选项卡中，单击结束完成Citrix Cloud连接。

Citrix Cloud注册FAS服务器，并将其显示在Citrix Cloud帐户的资源位置页面上。

断开与Citrix云的连接

从Citrix云资源位置移除FAS服务器后，如本节所述Citrix工作区文章， 在连接到Citrix Cloud选择使残废．