Citrix虚拟应用程序和桌面サービス用のオンプレミス店面認証参照アーキテクチャ

Citrix工作区プラットフォームを使用せず,顧客データセンター内でCitrix店面をホストする理由はさまざまです。一部の環境は複雑であるため,店面がサービスのプライマリユーザーフロントエンドである場合は,Citrix云コンポーネントが店面およびActive Directoryとどのように通信するかを理解しておく必要があります。

Citrix工作区はCitrix虚拟应用程序和桌面のほとんどのユースケースの要件を満たすことができますが,店面を顧客のデータセンターやリソースの場所にホストする必要があるユースケースと要件がいくつかあります。

オンプレミスStoreFrontを保守する理由

• 云连接器でのロ，カルホストキャッシュ機能のサポ，ト
• スマートカードやSAMLなどの認証方法は,Citrix工作区ではサポートされていません。
• 非デフォルトのストア構成(web.configの変更)
• 内部ユ，ザ，および外部ユ，ザ，用の複数のストア構成のホスティング

この記事では,高レベルのアーキテクチャについて,および,Active Directoryの仕様でサポートされているさまざまな認証シナリオとコンポーネントがどのように通信するかについて,説明します。Cloud Connectorはドメインの1つに参加し、Virtual Apps and Desktopsサービスが、Active Directoryユーザーと、ドメインまたは信頼済みドメインのグループを割り当てられるようにします。Cloud Connectorは、StoreFrontおよびCitrix Gatewayコンポーネント用のDelivery ControllerおよびSTAサーバーとしても機能します。

この記事では,店面と网关のコンポーネントが,各データセンターで一緒にホストされていることを前提としています。

リソスドメンとしての親子関係のドメン

このシナリオでは,子ドメインは虚拟桌面代理(VDA)と店面インスタンスのリソースドメインとして機能しています。親ドメンは，子ドメンのリソスにアクセスする予定のユザを保持します。

1. 云连接器は，子ドメ电子连接器ンにのみ参加します。子ドメインと親ドメインの間の双方向の推移的な信頼関係により,云连接器は親ドメインのグローバルカタログと通信できます。
2. StoreFrontは子ドメescンに参加しています。ストア認証は,Citrix网关からユーザー名/パスワードおよびパススルー用に設定されます。ユザ名/パスワド認証は，任意のドメンを信頼するように設定されています。
3. Citrix网关認証プロファイルは,UPNをプライマリログオン方法として使用するように,親ドメイン用に設定されています。子ドメインから認証する必要があるユーザーがいる場合は,子ドメインのLDAP認証プロファイルとポリシーも网关vServerにバインドする必要があります。
4. Citrix网关会话OSとWebのプロファイルを編集し,公開アプリケーション/单点登录域設定を空白に設定します(設定を上書きする必要がある場合があります)。

接続ワクフロ

1. User@corp.comが，Citrix Gatewayにログオンします。网关は認証プロファイルを介してユーザーを検索し、ポリシーアクションを照合します。
2. 資格情報がStoreFrontに渡されます。店面は資格情報を受け入れて云连接器に渡します(交付控制器として機能します)。
3. 云连接器は,Citrix云に必要なユーザーオブジェクトの詳細を調べます。
4. 云连接器はID情報をCitrix云に渡し,IDトークンはユーザーを認証して,ユーザーに割り当てられているリソースを列挙します。
5. 云连接器はユーザーの列挙のために,割り当てられたリソースを店面に返します。
6. ユーザーがアプリケーションまたはデスクトップを起動すると,Citrix网关は設定済みの云连接器を使用して,STAチケット要求を生成します。
7. Citrix云ブローカーは,リソースドメインの云连接器とそのリソースの場所に登録されているVDAとの間のセッションを管理します。
8. セッションは，クラ▪▪アント，Citrix Gateway，解決済みのVDAの間で確立されます。

外部の信頼済みドメ▪▪ンからリソ▪▪スドメ▪▪ンへ

このシナリオでは,ビジネスパートナーはコーポレートユーザーに公開されているリソースにアクセスする必要があります。企業ドメンはcorp.comで，パトナドメンはpartner.comです。

1. 企業ドメ▪▪ンは，パ▪▪トナ▪ドメ▪▪ンに対して送信できる外部の信頼を持っています。パトナドメンのユザは，企業ドメンに参加しているリソスに対して認証できます。
2. Citrix云の顧客にはcorp.comの云连接器用とpartner.comの云连接器用の2つのリソースの場所が必要です.partner.comの云连接器はドメインへの認証およびID呼び出しにのみ必要です。vdaやセッションの仲介には使用されません。
3. 店面はcorp.comのドメインに参加しています.corp.comドメインの云连接器はストア構成の交付控制器として使用されます。ストア認証は,Citrix网关からユーザー名/パスワードおよびパススルー用に設定されます。ユザ名/パスワド認証は，任意のドメンを信頼するように設定されています。
4. Citrix网关認証プロファイルは,UPNをプライマリログオン方法として使用するように,corp.comドメイン用に設定されています.UPNを使用し,それをcorp.comドメインと同じ网关vServerにバインドするよう,partner.comドメインの2番目のプロファイルとポリシーを設定します。
5. Citrix网关会话OSとWebのプロファイルを編集し,公開アプリケーション/单点登录域設定を空白に設定します(設定を上書きする必要がある場合があります)。

注：

外部の信頼済みドメインの場所によっては,外部ドメインのユーザーはリソースまたは親ドメインのユーザーよりも起動時間が長くなる可能性があります。

接続ワクフロ

1. User@partner.comが，Citrix Gatewayにログオンします。网关は、UPN参照を照合する認証プロファイルを介してユーザーを検索し、ポリシーアクションを照合します。
2. 資格情報がStoreFrontに渡されます。店面は資格情報を受け入れて云连接器に渡します(交付控制器として機能します)。
3. 云连接器は,Citrix云に必要なユーザーオブジェクトの詳細の参照を実行します。
4. 云连接器はID情報をCitrix云に渡し,IDトークンはユーザーを認証して,ユーザーに割り当てられているリソースを列挙します。
5. 云连接器はユーザーの列挙のために,割り当てられたリソースを店面に返します。
6. ユーザーがアプリケーションまたはデスクトップを起動すると,Citrix网关は設定済みの云连接器を使用して,STAチケット要求を生成します(この場合はchild1.corp.comから)。
7. Citrix云ブローカーは,リソースドメインの云连接器とそのリソースの場所に登録されているVDAとの間のセッションを管理します。
8. このセッションはクライアント,Citrix网关,および解決されたVDAの間で確立されます。

リソスドメンへのフォレストの信頼/ショトカットの信頼

フォレストの信頼およびショートカットの信頼のドメインは,リソースドメインに対する外部ドメインの信頼関係として扱われる場合にのみサポートされます。フォレストの信頼にいては，”外部の信頼済みドメ▪▪ンからリソ▪▪スドメ▪▪ンへセクションで説明されているのと同じ手順に従うことができます。このセクションの内容は,ユーザーとリソース間のネイティブのフォレストの信頼のサポート状況によって,将来変更される可能性があります。