架构déploiement

简介

Le Service d ' authentication fédérée (FAS) est un composant Citrix qui s 'intègre avec votre autorité de certification Active Directory, qui permet aux utilisurs d ' être authentifiés dan un environment Citrix。Ce文档présente les différentes architectures d ' authentication susceptibility d ' être appropriées à votre déploiement。

Lorsqu 'il est activé， FAS délègue l ' authentication utilisateur aux serveurs StoreFront approuvés。店面est doté d 'un ensemble complete d 'options d ' authentication articulées autour de technologies Web modernes。En oute, il peut être étendu facility grâce au SDK StoreFront ou à des插件IIS层。L ' objective de base que toute technology d ' authentication quentifier un utiliseur sur un site Web peut maintenant être utilisée pour la connexion à un déploiement Citrix Virtual Apps ou Citrix Virtual desktop。

Ce文件décrit certain architectures de déploiement de haut niveau, par complexité croissante。

• Deploiement实习医师
• Déploiement Citrix Gateway
• ADFS SAML
• Mappage de compte B2B
• Jonction à un domain aine Azure AD (Azure AD Join) avec Windows 10

对物品行使留置权。Pour toutes les architectures, l’article安装和配置程序est le document de référence principal pour la configuration de FAS。

Aperçu de l 'architecture

FAS est autorisé à émettre des certificates de classe de carte à puce automatiquement à la place des utilisateurs Active Directory qui sont authentifiés par StoreFront。我们将使用API类似工具，辅助管理人员提供商品à puce物理。Lorsqu 'un utilisateur est connecté à un VDA Citrix Virtual Apps ou Citrix Virtual desktop, le certificate at est attaché à la machine, et le domain Windows interprète l 'ouverture de session en tant qu ' authentication par carte à puce standard。

Les servers StoreFront de confconfation contact FAS lorsque Les utilisateurs requirement accès à l ' environment思杰。FAS accorun ticket qui permet à une seule session Citrix Virtual Apps ou Citrix Virtual desktop de s ' authenticfier avec un certificat pour cette session。Lorsqu 'un VDA doit authenticfier un utilisateur, il se connecte à FAS utilise le ticket。Seul FAS a accès à la clé privée du certificat de l 'utilisateur;le VDA doit特使à FAS chque opération签名et de décryptage qu 'il doit effect avec le certificate。

Le diagramme suivant illustrant l 'intégration de FAS avec une autorité de certification Microsoft, ainsi que la fourniture de services de support à StoreFront et aux VDA思杰虚拟应用程序和桌面。

Deploiement实习医师

FAS permet aux utilisateurs de s ' authenticentifier en toute sécurité auprès de StoreFront à l 'aide de plusieurs options d ' authentication (y compis l ' authentication unique Kerberos) et de se connecter à une session Citrix HDX authentifiée。

Cela rend possible l ' authentication Windows without invite de saisie d ' information d 'identification ou code PIN de carte à puce et sans l 'utilisation de fonctionnalités de estion des mots de pass enregistrés»telles que le service单点登录。Cela peut être utilisé pour remplacer les fonctionnalités d 'ouverture de session de la délégation Kerberos contrainte disponibles dans les versions précédentes de Citrix Virtual Apps。

Tous les utilisateurs ont accès aux certificates PKI dans leur session, qu 'ils se soient connectés ou non - aux machines de point de terminaison avec une carte à puce。Ceci permet une migration fluides modèles d ' authentication à deux facteurs, et ce, même à partir de périphériques tel que des智能手机et tablet qui ne disposent pas d 'un lecteur de carte à puce。

Ce déploiement ajoute un nouveau server exécutant FAS, qui est autorisé à émettre des certificats de classe de carte à puce pour le compte d 'utilisateurs。Ces certificate sont alors utilisés pour se connecter à des sessions utilisateur dans un environment Citrix HDX comme si une ouverture de session par carte à puce était utilisée。

L ' environment Citrix Virtual Apps ou Citrix Virtual desktop doit être configuré de la même manière que L 'ouverture de session par carte à puce à， ce qui est décrit dans L 'articleCTX206156。

Dans un déploiement存在，隐式généralement des ' surequ 'une autorité de certification Microsoft appartenant au domain soit disponible, et que des certifats de contrôleur de domain ont été attribués aux contrôleurs de domain。(咨询章节«Émission de certificats de contrôleur de domain»dan l 'article CTX206156)。

信息连接:

• Les clés peuvent être stockées dans un module de sécurité matériel (HSM) ou un module de plateforme sécurisée (TPM)。倒加样品资料，查阅文章保护clé privée。
• L 'article安装和配置程序décrit评论安装和配置程序FAS。

Déploiement Citrix Gateway

Le déploiement Citrix Gateway est similaire au déploiement interne, mais ajoute Citrix Gateway couplé avec StoreFront, et déplace Le point principal d ' authentication sur Citrix Gateway。思杰网关综合des选项d '认证和自动化avancées qui peuvent être utilisées pour sécuriser l 'accès à距离aux sites Web d 'une企业。

Ce déploiement peut être utilisé pour éviter l 'affichage de plusieurs invite de saisie de code PIN qui se produisent lors de l ' authentication auprès de Citrix Gateway, puis de la connexion à une session utilisateur。Il permet également d 'utiliser les technologies d ' authentication Citrix Gateway avancées sans nécessiter de mots de passe Active Directory ou de cartes à puce。

L ' environment Citrix Virtual Apps ou Citrix Virtual desktop doit être configuré de la même manière que L 'ouverture de session par carte à puce à， ce qui est décrit dans L 'articleCTX206156。

Dans un déploiement存在，隐式généralement des ' surequ 'une autorité de certification Microsoft appartenant au domain soit disponible, et que des certifats de contrôleur de domain ont été attribués aux contrôleurs de domain。(咨询章节«Émission de certificats de contrôleur de domain»dan l 'article CTX206156)。

Lors de la configuration de Citrix Gateway en tant que système d ' authentication principal, assurez-vous que toutes les connexions entre Citrix Gateway et StoreFront sont sécurisées à l 'aide du protocol TLS。En particulier, assured -vous que l 'URL de rappel est correcment configurée pour pointer vers le server Citrix Gateway, car cela peut être utilisé pour authenticfier le server Citrix Gateway dans ce déploiement。

信息连接:

• 倒配置Citrix网关，咨询la部分评论配置NetScaler网关10.5 pour l 'utiliser avec StoreFront 3.6 et Citrix虚拟桌面7.6。
• L 'article安装和配置程序décrit评论安装和配置程序FAS。

Déploiement SAML ADFS

Une technology d ' authentication Citrix Gateway clé permet l 'intégration avec Microsoft ADFS, qui peut agir en tant que fournisseur d 'identité SAML (IdP)。Une断言SAML est un bloc XML signé de manière cryptographique émis par un fournisseur d 'identité approuvé qui autorise un utilisateur à ouvrir Une session sur un ordinateur。Cela signifie que le server FAS permet de déléguer l ' authentication d 'un utilisateur au server Microsoft ADFS (ou d 'autres fournisseurs d 'identité SAML)。

ADFS est généralement utilisé pour authenticfier de manière sécurisée les utilisateurs auprès des resource d 'entreprise à通过Internet的距离;例如，il est souvent utilisé pour l 'intégration à Office 365。

信息连接:

• L 'articleDeploiement ADFS大陆détails supplémentaires。
• L 'article安装和配置程序décrit评论安装和配置程序FAS。
• 拉节Déploiement Citrix Gateway丹斯cet文章大陆des建议en matière de配置。

Mappage de compte B2B

Si deux enterprises souhaitent utiliser réciproquement leurs systèmes informatiques, une option courante consiste à configurer un server Active Directory Federation Service (ADFS) avec une relation d ' apmissive。企业透明化认证系统auprès环境活动目录(AD)企业透明化认证系统。经营介绍所，经营介绍所，经营介绍所，经营介绍所，经营介绍所;ADFS映射自动化ces dernières à un«compte fantôme»dans l '环境活动目录企业同系物。

信息连接:

• L 'article安装和配置程序décrit评论安装和配置程序FAS。

Jonction à un domain aine Azure AD (Azure AD Join) avec Windows 10

Windows 10 a介绍le概念de«Azure AD加入»(Jonction à un domain Azure AD)， qui est d 'un point de conceptuel similaire à la jointure de domain Windows traditionnelle mais ciblé pour les scénarios«via Internet»。Ce概念方便tout particulièrement aux ordinateurs便携式平板电脑。Comme avec la joint de domain Windows traditionnelle, Azure AD est équipé de fonctionnalités渗透d 'utiliser des modèles d ' authentication unique pour la connexion aux sites Web et aux resource de l ' enterprise。Ces derniers sont tous«兼容Internet»，ils功能donc à partir de n ' import quel emplacement connecté à Internet, et pas seulement sur le réseau local du bureau。

Ce déploiement est un exemplple dans lequel il n ' exist pas de concept«utilisateurs au bureau。»Les ordinateurs portable sont inscripits et s ' authentient via Internet à l 'aide des fonctionnalités modernes d 'Azure AD。

Veuillez noter que l 'infrastructure dans ce déploiement peut s 'exécuter partout où une address IP est disponible: en interne, fournisseur hébergé， Azure ou un autre fournisseur de cloud。Le synchronisateur Azure AD Connect se connectera automatiquement à Azure AD。Le graphique利用des VM Azure à des fins de simplicité。

信息连接:

• L 'article安装和配置程序décrit评论安装和配置程序FAS。
• L 'articleIntégration d 'Azure AD大陆détails supplémentaires。