概念验证南南：使用citrix adc的citrix虚拟应用程序和桌面的Microsoft Azure Active Directory综合身份身份

简介

使用云提供企业服务的情况继续增长。云服务继承了云基础架构中内置的优势，包括弹性、可扩展性和全球影响力。Azure Active Directory（AAD）是微软 蔚蓝色的托管目录服务，它为企业提供同样的云优势。AAD允许企业在云中托管员工身份，并安全地访问同样托管在云中或本地的服务。

Citrix虚拟应用程序和桌面实用本地或云中托管交付虚拟应应用程序和桌面.citrix adc提供对这些应应ad远访问，也可在本地或云中托管。与citrix结合身份一道，他们可以利用AAD对用词从任何地访问Citrix虚拟应用程序和桌面进行身份身份。

概述

本指南演示了如何使用 萨米尔对 Citrix ADC的 Citrix虚拟应用程序和台式机实施 微软AAD联合身份验证环境。AAD充当身份提供程序 （国内流离失所者）而 Citrix ADC则充当服务提供程序 （SP）

它对某些组件的安装或配置进行假设：

• Active Directory服务器安装在本地，您可以以域定理员登录。
• Azure租户可以使用P2许可证，你可以以以全局管员身份。
• Citrix ADC设备已安装并获得许可。户外，它它配置了Citrix Gateway虚拟虚拟器，以以对本地Citrix虚拟应用程序和桌面环境的访问。
• 已安装 送货员、店面和 VDA并配置为为域用户交付虚拟应用程序或桌面。使用 2006或更高版本。
• 虚拟机可用，或者其他服务器有足够的容量来安装 FAS.DDC、FAS和 店面都安装在此 POC的同一台服务器上。
• 远程客户端能够使用 工作空间应用程序或浏览器启动虚拟应用程序或桌面。使用 窗户版本 20.6.0.38 (2006) 或更高版本。

广告和aad配置

要配置 活动目录（AD）和 Azure Active Directory（AAD）请执行以下步骤：

公元

替代 UserPrincipalName（UPN）后缀

1. 登录您的 公元域控制器。
2. 打开服务器管理器 > 工具 > 活动目录域和信任
3. 右键单击，选择属性，然后输入与您的一个 AAD域对应的用户的 UPN后缀。

公元用户

1. 在 公元域控制器上，打开服务器管理器 > 工具 > 活动目录用户和计算机。
2. 右键单击并选择 “新建” > “用户”，或编辑现有的
3. 在属性 > 帐户下，将 UPN设置为新的后缀。

微软Azure Active Directory连接

Azure广告连接是将本地身份基础架构连接到 微软Azure广告的工具。它允许我们将 公元用户复制到 AAD并将 UserPrincipalName（UPN）映射到我们的 AAD域。

1. 登录到 公元域控制器或托管 Microsoft Azure Active Directory连接进程的其他虚拟服务器。
2. 从微软下载点微软Azure Active Directory连接下载可执行文件并启动它。
3. 欢迎页面上将提示您接受对虚拟机进行更改并接受许可协议。
4. 系统会提示您以全球全球管管和域服务定理员身份。
5. 要处在单击广告手机上安装，您可以按照设置进行行为。验证upn后缀后，它会完全同步有用用途，组和妇女。

有关详细信息，请参阅使用Azure Ad连接快速设置。

认证机械

对于此 POC我们假设您在 AD DC上安装了包括 网状物注册在内的证书颁发机构。如果未导航到服务器管理器 > 添加角色和功能，然后按照提示安装 活动目录证书服务。有关详细信息，请参阅微软证书颁发机构安装。

1. 下次启动 MMC
2. 选择添加/删除致理单位>证书>手机帐户>确定
3. 右键单击个人>没有任务>申请新书书
4. 单击下一步并选择 活动目录注册策略
5. 选择域控制器身份验证然后单击注册

Azure Active Directory

1. 以全局管理员身份登录蔚蓝色的门户
2. 导航到Azure Active Directory>企业应用程序
3. 选择新应用程序
4. 选择非图库应用程序
5. 输入又一名，然后然后添加
6. 选择单点登录 > 萨米尔，然后选择铅笔图标以编辑基本 萨米尔配置
7. 在标识标识段中输入citrix adc网址虚拟仪器的fqdn。
8. 输入 FQDN并在回复 统一资源定位地址字段中添加 URI/cgi/samlauth
9. 单击“保存”
10. 捕获要在 Citrix ADC SAML配置中输入的以下内容：
    • 在 萨米尔签名证书下-下载证书 （base64）
    • 在设置citrix fas-ang和注销url
11. 选择用药和组>加载用途，然后选择可以使用AAD UPN访问Citrix虚拟应用程序和桌面的无助用作或组

Citrix ADC配置

要配置 Citrix ADC请执行以下步骤：

1. 登录 Citrix ADC用户界面
2. 导航到流量管理 > SSL>证书 > 所有证书以验证您是否安装了域证书。在此 POC示例中，我们使用了与 活动目录域对应的通配符证书。有关详细信息，请参阅Citrix ADC SSL证书。
3. 导航到AAA-INSING程序，然后选择添加
4. 输入以下字段，然后单击 “确定”：
   • 名称-一个唯一的值
   • IP地址类型——不可寻址
5. 选择选择服务器证书，选择选择域书，单位选择，绑定和继续
6. 选择无身份验证策略，然后选择添加
7. 输入名称，将将作用类型为saml，然后然后加载制作
8. 输入以下字段，然后单击 “确定”：
   • 名称-一个唯一的值
   • 取消选择导入元数据
   • 重定向 网址-粘贴从 AAD配置复制的登录 统一资源定位地址
   • 单一注url-粘贴从aad配置复制的注销网址
   • 注销绑定 - 重定向
   • 国内流离失所者证书名称-选择添加，输入名称，选择证书文件名称 > 本地，然后选择从 AAD下载的 萨米尔签名证书 （base64）
   • 签名证书名称 - 选择adc用来于对签证证证诗。
   • 问题名称-输入 Citrix ADC网关的 FQDN
9. 选择选择创建以创建作品
10. 为表达式真的
11. 再次选择创建以创建策略
12. 选择选择绑定以将将策略绑定到虚拟
13. 单位继续完成身份验证服务服务服务
14. 接Citrix Gateway>虚拟虚拟器，然后编辑相关虚拟服务器
15. 如果您在基本身份验证下绑定了现有基本策略，请选中该策略，然后选择取消绑定、确认和关闭。
16. 从右侧的菜单中选择身份验证配置文件，然后选择添加。输入名称，然后单击身份验证虚拟服务器下的向右箭头。选中策略身份验证虚拟服务器，然后单击创建。
17. 单击 “确定” 以完成将 Citrix ADC AAA虚拟服务器绑定到网关虚拟服务器。
18. 导航到Citrix Gateway>策略>会议，然后使用 “Citrix接收器”表达式选择 工作空间应用程序策略，然后进行以下更改：
    • 在 “已发布的应用程序” 下，清除 “单点登录域” 字段，然后清除
    • 在凭据索引下拉列表的客户端体验下，选择辅助
19. 使用“Citrix Receiver”为Web工作室策略重复这些步骤）.no表达式

有关详细信息，请参阅Citrix ADC。

Citrix虚拟应用程序和桌面配置

要将 Citrix虚拟应用程序和台式机组件与 船边交货集成，请执行以下步骤：

店面

在 店面上启用 船边交货

• 以管理员身份打开 PowerShell然后运行：
  • get-module“citrix.storefront。*” - 最低可利用|导入模块
  • $StoreVirtualPath=“/Citrix/Store”
  • $StoreVirtualPath $auth = Get-STFAuthenticationService -StoreService $store
  • Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
  • Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"

有关详细信息，请参阅在店面使用商店中使用FAS插件。

为 Citrix网关配置 店面

1. 登录店面卸载机（该该机也托管fas，以及poc中的DDC），然后迁移店面栅
2. 从右侧的菜单中门选择致理性方法
3. 从 Citrix网关中选择直通
4. 选择齿轮旁边的向箭头，然后选择配置委派身份验证
5. 选中将凭据验证完全委托给 Citrix网关然后单击确定两次
6. 从右侧的菜单中门选择致理性方法
7. 编辑相关的Citrix网关条条
8. 在身份身份设置下，如果尚未配置url，则必须配置回调网址

传送控制器

接下来，将桌面 传送控制器配置为信任可以连接到它的 店面服务器。

• 以致理性员身份打打开主哈尔，然后然后行
  • 在Citrix中添加PSSnapin*（前提是您没有加载所有 Citrix管理单元）有关详细信息，请参阅安装和设置 船边交货
  • set-brokersite -t​​rustrustssentsenttothexmlserviceport $ true

有关详细信息，请参阅配置 传送控制器。

Citrix联合身份验证服务配

要配置 FAS请执行以下步骤：

1. 在 船边交货虚拟机上加载 Citrix虚拟应用程序和台式机ISO映像
2. 选择FAS开始安装
3. 阅读 Citrix许可协议，然后单击下一步
4. 选择安装目录，然后单击下一步
5. 更新主机防火墙以允许端口 80并单击 “下一步”
6. 点击点击成
7. 查看您所做的设置，然后单击安装
8. 安装成功后再次单击 “完成”。]
9. 在“c：\ program files \ citrix \联合身份验证服务”下，共享policolicdefinons目录目录和“en-Us”子目录
10. 在“C:\Program Files\Citrix\Federated Authentication Service”下，将其分别粘贴到 C:\Windows\PolicyDefinitions和 ..\恩美下的 域控制器文件包括：
    • PolicyDefinitions\CitrixBase.admx
    • PolicyDefinitions \ CitrixFederatedAuthenticationService.admx
    • PolicyDefinitions \ en-US \ CitrixBase.Adml
    • policyDefinitions \ CitrixFederatedAuthEnticationservice.adml.
11. 打开服务器管理器 > 工具 > 组策略管理
    • A.右键单击可创建新的，或者编辑应用于所有相关 VDA和交付控制器的现有组策略对象。（我们对 POC使用默认域控制器策略。对于生产，您通常需要创建新策略，或者编辑另一个相关策略。）*b。导航到手机配置>策略>c管> Citrix组件>身份身份* C。右键单击结合身份验证* d。选择选择* e。选择选择dns * f。输入Fas服务仪的FQDN，单位确定两次，然后关键词策略策略编辑*g导航到每个 传送控制器和 VDA）以管理员身份打开 MS-DOS提示符，然后运行gpupdate / force.*h要验证它是否已应用，请打开 regedit.exe然后导航到：/计算机\HKLM\SOFTWARE\Policys\Citrix\Authentication\UserCredentialService\Address1条目设置为通过 GPO应用的 FQDN如果没有显示，则可能需要重新启动相应的虚拟机。* 一世。接下来返回fas手机开放安装服务性。）* j。运行Citrix综合身份验证程序。按顺序选择五步骤步骤中的每个步骤，然后按照说明操作品：* i。部署书书模板* II。设置设置书批发机械* III。授权此服务 - 对于此步骤，返回ca以发作待待原理的请求。在此poc示例中，ca托管在域域器上。* iv。创建规则 - 此处指定ca和已配置证书。

有关详细信息，请参阅船边交货文档。

Citrix Workspace客户客户

要验证poc，请执行以下步骤：

使用Web的Web的工作区

1. 打开仪器，然后导航到citrix adc域fqdn。请请，citrix网关将将向到aad。
2. 使用配置为fas一键的用词的upn登录
3. 验证用品虚拟应用程序和桌面已已枚，然后通讯AAD用药

摘要

数目年来，Citrix虚拟应用程序和桌面一道是一件事。云峰为之企业务提供更可以的服务。商来实现这一目标。要了解有关citrix定价和打包的更多信息，请访问citrix网站Citrix.com.，并了解有关Citrix技术功能的更多信息，请请Citrix技术区。