配置身份验证服务
管理身份验证方法
通过在Citrix StoreFront管理控制台的结果窗格中选择身份验证方法,并在Actions窗格中单击Manage authentication methods,您可以启用或禁用在创建身份验证服务时设置的用户身份验证方法。
- 在“Windows开始”界面或“应用程序”界面,找到并单击“Citrix”店面瓦片
- 选择商店节点,并在Citrix StoreFront管理控制台的左窗格中行动窗格中,单击管理身份验证方法.
- 指定要为用户启用的访问方法。
- 选择用户名和密码复选框以启用显式身份验证。用户在访问他们的商店时输入他们的凭证。
- 选择SAML认证复选框以启用与SAML标识提供程序的集成。用户向身份提供商进行身份验证,并在访问其存储时自动登录。从设置下拉菜单:
- 选择身份提供商配置对身份提供程序的信任。
- 选择服务提供商为服务提供程序配置信任。身份提供者需要此信息。
选择域直通启用从用户设备传递Active Directory域凭据。用户通过身份验证登录到他们加入域的Windows电脑,当他们访问商店时自动登录。
要通过Receiver对使用Chrome或类似浏览器的网站使用域传递身份验证,必须将Citrix Receiver for Windows或Citrix Workspace app for Windows与WebHelper组件一起安装。默认情况下,WebHelper是使用基于Windows的安装程序安装的,但命令行安装需要使用
ADDLOCAL参数。为确保用户不需要提供会话凭证,在用户设备上安装Citrix Receiver for Windows或Citrix Workspace app for Windows时,必须启用域直通认证。看到用于Windows文档的Citrix Workspace应用程序.- 选择智能卡启用智能卡身份验证。用户在访问商店时使用智能卡和PIN进行身份验证。
- 选择HTTP基本启用HTTP基本认证。用户使用StoreFront服务器的IIS web服务器进行身份验证。
- 选择通过Citrix网关启用Citrix网关的直通式身份验证。用户通过Citrix网关进行身份验证,并在访问其存储时自动登录。
要为通过Citrix网关访问商店的智能卡用户启用直通身份验证,请使用配置委派身份验证任务。
配置可信用户域
使用“受信任域”任务限制使用显式域凭据登录的用户对存储的访问,可以直接登录,也可以使用Citrix网关的直通身份验证。
在Windows开始屏幕或应用程序屏幕上,找到并单击Citrix店面互动程序。
在Citrix StoreFront管理控制台的左窗格中选择Stores节点,并在结果窗格中选择适当的身份验证方法。在操作窗格中,单击管理身份验证方法.
从用户名和密码>设置列表中,选择配置受信任域.
选择只信任域并点击添加输入受信任域的名称。拥有该域中帐户的用户将能够登录到使用身份验证服务的所有商店。若要修改域名,请在“受信任域”列表中选中该条目,单击编辑.若要停止某个域内的用户帐户对存储的访问,请在列表中选择该域,单击删除.
指定域名的方式决定了用户必须输入其凭据的格式。如果希望用户以域名格式输入凭据,请将NetBIOS名称添加到列表中。要要求用户以用户主体名称格式输入其凭据,请将完全限定的域名添加到列表中。如果要使用户能够以域用户名格式和用户主体名称格式输入其凭据,则必须将NetBIOS名称和完全限定的域名添加到列表中。
如果配置多个受信任域,请从默认域列表中选择用户登录时默认选择的域。
如果要在登录页面中列出可信域,请选中“在登录页面中显示域列表”复选框。
允许用户修改密码
使用管理密码选项为使用域凭据登录的网站用户启用Citrix Workspace应用程序和接收器以更改其密码的任务。创建身份验证服务时,默认配置会阻止Citrix Workspace app和Citrix Receiver for Web站点用户更改密码,即使密码已过期。如果决定启用此功能,请确保包含服务器的域的策略不会阻止用户更改其密码。允许用户更改密码会将敏感的安全功能暴露给任何可以访问使用身份验证服务的任何商店的人。如果您的组织有一个安全策略,该策略将用户密码更改功能保留为仅供内部使用,请确保没有任何商店可从公司网络外部访问。
Citrix Workspace app和Citrix Receiver for Web都支持在到期时更改密码,以及选择性的密码更改。
使用Citrix Workspace应用程序或Citrix Receiver for Web远程访问商店的用户(通过Citrix Gateway),可以在密码过期时更改密码。Citrix Gateway选项允许更改密码必须启用(见Citrix网关文档).
直接访问商店(通过StoreFront)的用户只能在密码过期时更改密码允许用户修改密码选项,如下所示:
在Windows开始屏幕或应用程序屏幕上,找到并单击Citrix店面互动程序。
在Citrix StoreFront管理控制台操作窗格的左窗格中,选择商店节点并单击管理身份验证方法.
在用户名和密码>设置选择管理密码选项.
若要允许用户修改密码,请选择允许用户修改密码.如果不选择此选项,则必须自行安排支持因密码已过期而无法访问桌面和应用程序的用户。
指定使用域凭证登录的网站用户的Citrix Receiver何时可以更改密码。
只有当它们到期时允许用户仅在密码已过期时更改密码。由于密码已过期而无法登录的用户将被重定向到修改密码对话框。
在任何时候允许用户随时更改密码。本地用户登录时,提示密码即将过期。密码过期警告只显示给从内部网络连接的用户。默认情况下,适用的Windows策略设置决定了用户的通知周期。有关设置自定义通知周期的详细信息,请参见配置密码到期通知期限.Citrix Receiver仅支持Web。
注意:
确保StoreFront服务器上有足够的磁盘空间来存储所有用户的配置文件。要检查用户的密码是否即将过期,StoreFront在服务器上为该用户创建一个本地配置文件。StoreFront必须能够与域控制器联系以更改用户的密码。
Citrix工作区应用程序 如果在StoreFront上启用,用户可以更改过期的密码 通知用户密码将过期 如果在StoreFront上启用,用户可以在密码过期之前更改密码 窗户 对 Mac 对 安卓 iOS Linux 对 网络 对 对 对
自助服务密码重置安全问题
自助密码重置使终端用户能够更好地控制自己的用户帐户。一旦您配置了自助密码重置,如果终端用户登录到他们的系统有问题,他们可以解锁他们的帐户或重置他们的密码,通过正确回答几个安全问题。
设置自助密码重置时,您可以指定哪些用户可以使用管理控制台执行密码重置和解锁其帐户。如果为店面启用这些功能,用户仍可能被拒绝根据自助服务密码重置配置控制台中配置的设置执行这些任务的权限。
“自助服务密码重置”仅对通过HTTPS连接访问StoreFront的用户有效。他们无法使用HTTP连接访问StoreFront,并且自助服务密码重置可用。“自助服务密码重置”仅在使用用户名和密码直接向StoreFront进行身份验证时可用。
自助服务密码重置不支持UPN登录,例如username@domain.com.
在为存储配置自助服务密码重置之前,必须确保:
- 存储配置为使用用户名和密码身份验证。
- 该商店被配置为只使用一个自助密码重置。如果StoreFront配置为在相同或受信任的域内使用多个场,则必须配置Self-Service Password Reset以接受来自所有这些域的凭据。
- 如果要启用密码重置功能,则存储配置为允许用户随时更改其密码。
- 您必须将店面商店与网站的接收者相关联。
在能够使用自助密码重置之前,您必须安装并配置它。它可在Citrix虚拟应用程序和桌面媒体上使用。有关信息,请参阅自助密码重置文档
- 在StoreFront中启用自助服务密码重置支持商店节点,并在Citrix StoreFront管理控制台的左窗格中行动窗格中,单击管理身份验证方法>用户名和密码,并选择管理密码选项从下拉菜单中。
- 选择您希望用户更改密码的时间并单击好啊.
- 从用户名和密码下拉菜单,选择配置帐户自助服务中,选择Citrix SSPR从下拉菜单中单击好啊.
- 指定用户是否可以通过自助服务密码重置重置重置密码和解锁帐户,添加密码重置服务帐户URL,单击好啊,然后单击好啊.
此选项仅在StoreFront基础URL为HTTPS(而不是HTTP)和启用密码重置选项只有在您使用后才可用管理密码选项允许用户随时更改密码。
下次用户登录Citrix Workspace应用程序或Citrix Receiver for Web时,安全注册就可用了。在点击开始,将显示用户必须指定答案的问题。
在StoreFront中配置后,用户将看到账户自助服务用于Web登录屏幕的Citrix Receiver上的链接(它在其他Citrix工作区应用程序中显示为一个按钮)。
单击此链接会引导用户浏览一系列表单,以便首先在其中进行选择解锁帐户和重置密码(如果两者都有)。
选择单选按钮并单击后下一个,下一个屏幕提示输入域和用户名(域\用户),如果该信息没有在登录表格中输入。注意,帐户自助服务不支持UPN登录,例如username@domain.com.
他们被要求回答安全问题。如果所有答案都与用户提供的答案匹配,则执行请求的操作(解锁或重置),并通知用户操作成功。
共享身份验证服务设置
使用共享身份验证服务设置任务指定将共享身份验证服务并在它们之间启用单点登录的存储区。
- 在窗户上开始屏幕或应用程序在屏幕上,找到并单击Citrix店面瓦片
- 选择商店节点,并在结果窗格中选择一个商店。在行动窗格中,单击管理身份验证方法.
- 从先进的下拉菜单,选择共享身份验证服务设置.
- 点击使用共享身份验证服务复选框,然后从列表中选择一个商店商店名称下拉菜单。
注意:
共享身份验证服务和专用身份验证服务之间没有功能上的区别。由两个以上的存储共享的身份验证服务被视为共享身份验证服务,任何配置更改都会影响使用共享身份验证服务的所有存储的访问。
将凭据验证委托给Citrix网关
使用“配置委派身份验证”任务为通过Citrix网关访问商店的智能卡用户启用直通身份验证。只有在结果窗格中启用并选择“从Citrix网关传递”时,此任务才可用。
当凭证验证委托给Citrix Gateway时,用户使用智能卡向Citrix Gateway进行身份验证,并在访问其商店时自动登录。当您从Citrix Gateway启用直通身份验证时,默认情况下会禁用此设置,因此只有当用户使用密码登录到Citrix Gateway时,才会发生直通身份验证。