联邦身份验证服务体系结构概述

简介

联邦身份验证服务(FAS)是一个与您的Active Directory证书颁发机构(CA)集成的Citrix组件，允许在Citrix环境中无缝地对用户进行身份验证。本文档描述了可能适合于您的部署的各种身份验证体系结构。

启用FAS后，FAS将用户身份验证决策委托给受信任的StoreFront服务器。StoreFront拥有一套围绕现代web技术构建的内置身份验证选项，并且可以轻松使用StoreFront SDK或第三方IIS插件进行扩展。基本设计目标是，任何可以将用户身份验证到网站的身份验证技术现在都可以用于登录到Citrix XenApp或XenDesktop部署。

本文档介绍了一些示例顶级部署体系结构，其复杂性不断增加。

• 内部部署
• NetScaler网关部署
• ADFS SAML
• B2B账户映射
• Windows 10 Azure AD加入

提供了相关FAS文章的链接。对于所有体系结构，联邦身份验证服务本文是建立FAS的主要参考文献。

它是如何工作的

FAS被授权代表通过StoreFront认证的Active Directory用户自动颁发智能卡类别证书。它使用类似于允许管理员提供物理智能卡的工具的api。

当用户被代理到Citrix XenApp或XenDesktop虚拟交付代理(VDA)时，证书被附加到机器上，Windows域将登录视为标准智能卡身份验证。

内部部署

FAS允许用户使用各种身份验证选项(包括Kerberos单点登录)安全地对StoreFront进行身份验证，并连接到完全经过身份验证的Citrix HDX会话。

这使得Windows认证无需提示输入用户凭证或智能卡pin，也无需使用“保存密码管理”功能，如单点登录服务。这可以用来取代早期版本的XenApp中提供的Kerberos约束委托登录特性。

所有用户都可以在会话中访问公共密钥基础设施(PKI)证书，无论他们是否使用智能卡登录到端点设备。这允许平滑地迁移到双因素身份验证模型，即使是从没有智能卡读卡器的智能手机和平板电脑等设备。

此部署添加了一个运行FAS的新服务器，该服务器被授权代表用户颁发智能卡类别证书。然后使用这些证书登录到Citrix HDX环境中的用户会话，就像使用智能卡登录一样。

XenApp或XenDesktop环境必须按照与智能卡登录类似的方式配置，这在CTX206156．

在现有部署中，这通常只涉及确保域加入的Microsoft证书颁发机构(CA)可用，并且域控制器已被分配域控制器证书。(请参阅CTX206156中的“颁发域控制器证书”部分。)

相关信息:

• 密钥可以存储在硬件安全模块(HSM)或内置的可信平台模块(TPM)中。详细信息请参见联邦身份验证服务私钥保护篇文章。
• 的联邦身份验证服务本文介绍了如何安装和配置FAS。

NetScaler网关部署

NetScaler部署类似于内部部署，但添加了与StoreFront配对的Citrix NetScaler Gateway，将主要身份验证点移动到NetScaler本身。Citrix NetScaler包括复杂的身份验证和授权选项，可用于保护对公司网站的远程访问。

此部署可用于避免在首先对NetScaler进行身份验证，然后登录到用户会话时出现多个PIN提示。它还允许使用先进的NetScaler身份验证技术，而不需要额外的AD密码或智能卡。

XenApp或XenDesktop环境必须按照与智能卡登录类似的方式配置，这在CTX206156．

在现有部署中，这通常只涉及确保域加入的Microsoft证书颁发机构(CA)可用，并且域控制器已被分配域控制器证书。(请参阅CTX206156中的“颁发域控制器证书”部分)。

在配置NetScaler为主认证系统时，请确保NetScaler与StoreFront之间的所有连接都使用TLS进行安全保护。特别是，确保Callback Url正确地配置为指向NetScaler服务器，因为在此部署中可以使用此Url对NetScaler服务器进行身份验证。

相关信息:

• 配置NetScaler网关，请参见如何配置NetScaler Gateway 10.5与StoreFront 3.6和XenDesktop 7.6配套使用．
• 的联邦身份验证服务本文介绍了如何安装和配置FAS。

ADFS SAML部署

关键的NetScaler身份验证技术允许与Microsoft ADFS集成，后者可以充当SAML身份提供程序(IdP)。SAML断言是由可信IdP发出的加密签名XML块，它授权用户登录到计算机系统。这意味着FAS服务器现在允许将用户的身份验证委托给Microsoft ADFS服务器(或其他支持saml的IdP)。

ADFS通常用于通过Internet远程安全地验证用户对企业资源的身份;例如，它经常用于Office 365集成。

相关信息:

• 的联邦身份验证服务ADFS部署文章包含详细信息。
• 的联邦身份验证服务文章介绍了如何安装和配置FAS。
• 的NetScaler网关部署小节包含配置注意事项。

B2B账户映射

如果两家公司想要使用彼此的计算机系统，一个常见的选择是建立一个具有信任关系的活动目录联合服务(ADFS)服务器。这允许一家公司的用户无缝地验证到另一家公司的Active Directory (AD)环境。登录时，每个用户使用自己的公司登录凭证;ADFS自动将其映射到同行公司广告环境中的“影子帐户”。

相关信息:

• 的联邦身份验证服务文章介绍了如何安装和配置FAS。

Windows 10 Azure AD加入

Windows 10引入了“Azure AD加入”的概念，它在概念上类似于传统的Windows域加入，但针对的是“通过互联网”的场景。这适用于笔记本电脑和平板电脑。与传统的Windows域连接一样，Azure AD具有允许公司网站和资源单点登录模型的功能。这些都是“互联网感知”的，因此可以在任何连接互联网的位置工作，而不仅仅是办公室局域网。

此部署是一个示例，其中实际上没有“办公室中的最终用户”的概念。笔记本电脑完全通过Internet使用现代Azure AD功能进行注册和身份验证。

请注意，此部署中的基础设施可以在IP地址可用的任何地方运行:内部部署、托管提供商、Azure或其他云提供商。Azure AD连接同步器将自动连接到Azure AD。为了简单起见，示例图形使用Azure vm。

相关信息:

• 的联邦身份验证服务文章介绍了如何安装和配置FAS。
• 的联邦身份验证服务Azure AD集成文章包含详细信息。