工作区身份

用户的主工作区身份授权访问所有工作空间资源源，包括微应用、移动应用程序、虚拟应用程序、虚拟桌面和内容。思杰工作空间。

(IdP)

身份提供商是用户身份的最终权威。身份提供商负责保护和保护用户身份的策略，其中包括密码策略、多因素身份验证策略和锁定策略。

Windows Active Directory (Windows活动目录)。但是现在，几乎每个需要唯一用户帐户的系统或服务都像身份提供商一样行事。Facebook、LinkedIn Twitter,工作日和谷歌都是身份提供商,因为每个人都是其服务中用户身份的最终权威。此外，常见的安全建议很少得到遵循，是为每个身份使用不同的密码来限制被盗密码的影响。

传统的身份识别方法提供了可以想象的最差的用户体验之一。用户不断面临身份验证的挑战。用户不得不记住每项服务的唯一、复杂的密码。由于忘记了凭据，用户花费了宝贵的时间来重置密码和解锁帐户。

思杰工作空间思杰工作空间

• Windows Active Directory
• Azure Active Directory
• Okta
• Citrix网关

思杰工作空间http://www.jinjinjinjinjinjinjinjinjinjinjinjinjinjinjinjinjinjinjinjinjinjinjinjinjinjin.com。

但是，由于这些服务使用不同的身份提供商，其中许多服务都具有或需要不同于用户主工作空间身份的身份。中文:微服务

• SAML
• Kerberos
• 表单
• 虚拟智能卡

Citrix工作空间的主身份和辅助身份方法创建了用户一次物理身份验证,然后自动满足所有后续身份验证挑战的体验。

身份代理

身份提供商和相关的身份数据库是用户身份的最终权威。但是，每个身份提供商都不同。每个身份提供商都包含不同的参数、策略和用户身份标准。

在Citrix工作区中,身份代理µ类型会将主身份验证请求重定向到配置的身份提供程序。将身份验证请求传输到身份提供程序后，身份提供程序内的身份验证策略决定了用户必须如何进行身份验证，其中通常包括多因素身份验证策略。

“服务”、“服务”、“服务”。此方法的好处是,组织可以在身份提供程序中更改身份验证策略,而不会影响Citrix工作区。

除了来自身份提供商的成功身份验证响应外,身份代理µ类型还接收来自身份提供商的唯一信息并将其转换为关于用户的标准声明集。

关于用户的声明只是识别用户的信息,可以是隐喻,SID, GUID,电子邮件或身份提供商数据库中包含的任何其他内容。Citrix工作空间例如,如果用户的主要身份是谷歌ID、Citrix工作区将使用谷歌ID来控制对未链接到谷歌ID的其他资源和服务的授权,例如工作日,SAP、窗户、松弛等。换句话说,借助Citrix工作区,用户可以使用单个谷歌ID登录到包括在窗户内的每个授权资源。

在Citrix工作区中,身份代理µ类型将继续扩展,以包括适用于主身份提供商的其他选的项。身份代理µ-service 包括身份提供商，这些提供商可以从本地位置获得，或者身份代理 µ-service 可以利用基于云的身份提供商。下图概述了 Citrix Workspace 身份平台和所有当前身份提供程序选项，稍后将对这些选项进行更详细的讨论。

每个身份提供商都是唯一的;但最终,每个身份提供商都告诉Citrix工作区一些关于用户的事情:

1. 用户名
2. 用户成功通过身份验证
3. 关于用户的声明

要更好地了解每个身份提供商的详细信息，请查看以下关于主要身份提供商的

• 活动目录
• 活动目录
• Azure Active Directory
• Citrix网关
• Okta
• 谷歌

活动目录

配置后,用户可以使用Active Directory凭据向Citrix工作区进行身份验证。

要将Citrix工作区与本地活动目录域集成,工作区必须能够与域控制器进行通信。通过在本地环境中部署一组高度可用的云连接器,云连接器可以使用组织的Citrix云订阅建立出站控制通道。出站控制通道允许Citrix工作区通过端口443安全地使用本地组件进行通信隧道,而无需修改入站防火墙端口。

云连接器Citrix工作空间、活动目录、活动目录。当用户通过Citrix工作区进行身份验证时,凭据将通过云连接器的广告提供程序服务发送到本地域控制器。

活动目录

对于许多组织来说，使用用户名和密码提供对应用程序和桌面服务的访问不足以提供足够的安全性。思杰工作空间基于时间的一次性密(你觉得)和“你知道的东西”(即密码)引入“你拥有的东西”来提供多重身份验证,Citrix工作区融合了云传输(你觉得)。

你觉得生成一个随机的6位数代码,该代码每30秒更改一次。此代码基于用户的移动应用程序和后端基础架构之间共享的密钥。密钥是多因素身份验证的 “你拥有的东西” 因素。为了生成随机代码，一种行业标准的安全哈希算法将应用于密钥和当前时间。为了进行身份验证，将移动应用程序中的代码与后端基础架构中的代码进行比较。

“top”，“top”，“top”，“top”，“top”，“top”。

用户成功注册到你觉得微服务后,用户必须使用令牌及其Active Directory凭据才能成功向Citrix工作区进行身份验证。

由于你觉得作为一项功能集成在Citrix工作区中,因此在本地环境中设置和维护你觉得类型解决方案的复杂性已消除。http://www.citrix Workspace http://www.citrix Workspace http://www.citrix Workspace

【中文翻译】:

• 【中文译文】用户可以使用任意数量的移动应用程序生成令牌,包括:Citrix SSO,微软认证器和其他人。
• 令牌计数：每个用户帐户允许用户使用一个令牌（密钥）。
• 设备计数：尽管用户只能使用单个令牌（密钥），但用户可以在多个设备上安装令牌。但是，安装必须在注册阶段进行，因为用户在注册完成后无法透露二维码或密钥。
• 【中文译文】:http://www.chinac.cn/cn/】齐泽涛，齐泽涛，齐泽涛，齐泽涛。工作空间。
• 令牌重置：管理员可以手动重置用户的令牌。top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top top
• 部署:与所有身份和访问管理配置更改一样,在工作区订阅上启用你觉得会影响所有用户。笨笨，笨笨，笨笨，笨笨，笨笨，笨笨。

总而言之提供了有关用户和管理员体验的其他详细信息。

Azure Active Directory

Citrix Workspace Azure Active Directory身份验证可以像用户名和密码一样简单,也可以使用Azure Active Directory中可用的任何多因素身份验证策略。Citrix工作区和Azure Active Directory之间的集成导致Azure Active Directory在为用户返回身份令牌的同时处理身份验证过程。

要集成Citrix工作区和Azure Active Directory, Citrix工作区会自动在Azure中创建企业应用程序并设置正确的权限。这些权限包括以下(只读功能):

• 登录并阅读用户个人资料
• 阅读所有用户的基本档案
• 阅读所有用户的完整资料
• 读取目录数据
• 阅读所有群组

Azure Active Directory。成功对用户进行身份验证后,Azure将向Citrix工作区提供Azure身份令牌,其中包括关于用户的声明,以便在正确的目录中唯一标识他们。

Citrix工作空间Azure活动目录。

授权访问资源需要单一的 “真相来源”。真相的来源是授权决定的最终权威。使用Azure Active Directory作为主用户目录时,工作区资源的类型决定了真实来源。

• 内容合作服务:对于用户文件和内容,内容合作服务是事实来源。当Azure Active Directory是工作区的身份提供程序时,Azure Active Directory标识和内容协作帐户必须使用相同的电子邮件地址。内容协作(Content Collaboration)。组成员资格信息基于用户的电子邮件地址。
• 端点管理，端点管理，活动目录当Azure Active Directory是工作区的身份提供程序时,Azure Active Directory标识必须包含特定的Active Directory声明(SID,隐喻和不会更改的immutableID）。Azure Active Directory, Active Directory, Active Directory, Active Directory, Active Directory。如果端点管理服务使用组成员资格,Active Directory就是真实来源。
• 网关服务:对于SaaS和网络应用程序,网关服务使用Azure Active Directory作为事实来源。网关服务能够使用Azure Active Directory用户帐户或Azure Active Directory用户组成员资格来授权对资源的访问权限。
• 微应用服务:对于微应用程序,微应用服务使用Azure Active Directory作为事实来源。微应用服务能够使用Azure Active Directory用户帐户或Azure Active Directory用户组成员资格来授权对资源的访问权限。
• 虚拟应用程序和桌面、虚拟桌面、虚拟桌面、虚拟桌面、虚拟桌面、虚拟桌面、虚拟桌面。
  • Azure Active Directory用户身份必须包含特定的Active Directory声明(SID,隐喻和不会更改的immutableID）。Azure Active Directory, Active Directory, Active Directory, Active Directory, Active Directory。Azure Active Directory,Azure Active Directory,Azure Active Directory,Azure Active Directory。
  • 活动目录(Active Directory)。工作区随后通过云连接器向活动目录发送组成员资格请求。

Azure Active Directory ID Azure Active Directory ID。

Azure Active Directory“”“”“”“”“”“”“”“”“”“”“”

Citrix网关

用户可以使用本地Citrix网关向Citrix工作区进行身份验证。Citrix网关身份验证适用于使用单一来源进行用户身份验证的简单身份验证策略（例如 Active Directory）以及依赖多个身份验证提供程序和策略的更复杂的级联身份验证策略。

思杰办公空间、思杰网关Citrix网关验证用户的身份验证后，Workspace 将在生成授权服务和资源的列表之前验证 Active Directory 凭据。

要集成Citrix工作区和Citrix网关,必须在本地Citrix网关中创建OAuth IdP策略,该策略是基于OAuth 2.0规范的身份验证协议。Citrix工作区连接到组织的唯一Citrix门户URL以通过引用应用程序的客户端ID(受共享密钥保护)来访问OpenID。

在Citrix网关上配置的OpenID连接应用程序使用绑定到身份验证虚拟服务器的高级身份验证策略来验证用户身份。Citrix Gateway、Citrix Gateway、Citrix Active Directory、Citrix Workspace。

思杰网关提供了有关管理员配置和用户体验的其他详细信息。

通过使用nFactor, Citrix网关允许组织可以创建更动态的身份验证流程,同时考虑到用户组成员资格,设备所有权和用户位置等特征。

在一个示例中,使用最基本的配置,组织可以将Citrix网关与Citrix工作区集成,以向活动目录提供身份验证。

此类配置需要使用Citrix工作区配置的OAuth IdP策略和为本地活动目录域配置的LDAP策略。“Citrix Gateway”、“Citrix Gateway”、“Citrix Gateway”、“Citrix Gateway”、“Citrix Gateway”。

在许多组织中,用户必须先对半径部署(如DUO)进行身份验证才能对Active Directory进行身份验证,以帮助保护Active Directory凭据。

镭射镭射，镭射镭射。齐泽格，齐泽格，齐泽格，齐泽格，齐泽格，齐泽格，齐泽格。

使用Citrix网关,组织可以实施上下文身份验证,其中用户的身份验证流程取决于当前用户上下文。例如，组织可以对企业拥有的设备和用户拥有的设备实施不同的身份验证策略。

思杰工作空间思杰网关。思杰网关(Citrix Gateway)。如果证书可用且有效,用户只需提供Active Directory密码即可。但是,如果证书无效或不存在(对于用户拥有的设备来说是这种情况),Citrix网关会挑战用户提供你觉得代码,然后提供Active Directory凭据。

活动目录、活动目录、活动目录、活动目录、活动目录、活动目录

与财务数据,个人数据或知识产权数据进行交互的用户应遇到更严格的身份验证策略,如图中Group2上所示。

将本地Citrix网关作为身份提供商使用本地Citrix网关时,用户可以在Citrix工作区中使用基于推送的身份验证,详见推送认证技术洞察视频。

无论配置的身份验证策略类型如何,一旦用户成功验证其身份,Citrix网关都必须使用用户的Active Directory凭据响应初始Citrix工作区请求。为了使Citrix工作区完成身份验证过程并生成授权资源的列的表,每个Active Directory用户帐户必须定义以下参数:

• 电子邮件地址
• 显示名称
• 常见的名字
• sAMAccountName
• 用户主体名称
• 【翻译】
• (侧)

Okta

思杰(Citrix)工作区“”“”“”“”“”“”“”“”“”Citrix工作区和Okta之间的集成导致Okta处理身份验证过程,同时返回用户的身份和访问令牌。

Citrix Workspace (Citrix Workspace)、Okta (Okta)、Okta (Okta)。Citrix工作区连接到组织的唯一Okta URL以通过引用应用程序的客户端ID(受共享密钥保护)来访问OpenID。

OpenID Connect一旦用户成功通过Okta身份验证,Okta会为Citrix工作区提供两个安全令牌:

• 访问令牌:证明用户有权访问Okta资源(OpenID连接应用程序)的令牌,无需持续重新进行身份验证。
• 身份令牌：证明用户身份的令牌。身份令牌包含有关经过身份验证的用户的声明（信息）。该令牌被编码以证明它没有被篡改。

这些令牌允许Citrix工作区访问OpenID连接应用程序,并根据用户的Okta身份生成授权资源列的表。

授权访问资源需要单一的 “真相来源”。真相的来源是授权决定的最终权威。Okta (Okta)工作空间

• 内容合作服务:对于用户文件和内容,内容合作服务是事实来源。当Okta是工作空间的主要身份提供商时,Okta身份和内容协作帐户必须使用相同的电子邮件地址。内容协作(Content Collaboration)。组成员资格信息基于用户的电子邮件地址。工作空间。
• 端点管理，端点管理，活动目录当Okta是工作空间的主要身份提供商时,Okta身份必须包含特定的Active Directory声明(SID,隐喻和GUID)。活动目录(Active Directory)。如果端点管理服务使用组成员资格,Active Directory就是真实来源。
• 软件、SaaS、Web、Okta、Okta、Okta、Okta奥克塔、奥克塔、奥克塔、奥克塔、奥克塔、奥克塔、奥克塔、奥克塔、奥克塔、奥克塔、奥克塔、奥克塔、奥克塔、奥克塔、奥克塔
• “”“”“”“”“”。ok, ok, ok, ok, ok, ok, ok, ok, ok, ok, ok
• 虚拟应用程序和桌面服务:由于基于Windows的资源(VDI)需要基于Active Directory的用户身份,所以真实来源取决于底层的Active Directory和Okta集成。
  • Okta用户身份必须包含特定的Active Directory声明(SID,隐喻和GUID)。活动目录(Active Directory)。【中文翻译】
  • 如果授权决策基于组成员身份,则真实来源将基于Active Directory和Okta之间的同步参数。如果任何活动目录组与Okta同步并包含Active Directory声明(SID),那么Okta将成为使用objectSID属性的组的真实来源。“好吧!Okta电热活动目录;活动目录(Active Directory)工作区随后通过云连接器向活动目录发送组成员资格请求。

http://www.okta Active Directory http://www.okta Active DirectoryActive Directory活动目录

好啦，好啦，好啦好吧。