客观的
内容
- 谁应该使用这个文档
- 简介
- 步骤1:为Citrix Cloud手动创建Azure应用程序注册
- 步骤2:手动为Citrix Cloud的Azure应用程序注册分配资源权限
- 步骤3:将云连接器部署到Azure订阅
- 步骤4:使用现有的Azure应用程序注册添加一个Azure资源位置
谁应该使用这个文档
这是一份高级指南,适用于拥有联邦配置、Azure B2C或对Azure租户有多因素身份验证需求的客户。Citrix Cloud / Studio目前不支持为这些情况创建服务帐户。
Citrix Cloud / Studio支持创建应用程序服务帐户。如果Studio用户拥有一个具有足够权限的Azure Active Directory帐户,并且不属于上述情况,Studio将提示提供凭据,以便在Azure Tenant Azure Active Directory中生成服务帐户。结果将采用本文档后面描述的“Citrix managed”模型。
简介
为了在Azure中提供机器,Citrix Cloud必须通过应用程序服务帐户(Azure Active Directory“应用程序注册”)访问您的Azure订阅,该应用程序服务帐户已经在您的Azure Tenant帐户中分配了相关Azure资源的权限。
这种方法更适合在Azure Active Directory用户凭据下运行应用程序,因为:
您可以向应用程序标识分配与您自己的权限不同的权限。通常,这些权限被严格限制为应用程序需要做的事情。
- 如果您的职责发生变化,则不必更改应用程序的凭证。
本文将指导您在Azure门户中手动创建应用程序注册,为其分配必要的权限,然后在Citrix Cloud中创建主机连接。
指令
注意:Citrix云工作室是否可以在使用创建新的…选项,同时添加新的主机连接。Azure中的帐户权限级别必须为Owner(而不是Contributor),才能执行步骤1和步骤4中列出的操作。如果您的Azure帐户角色是Contributor,您可能会看到错误“无效的Azure凭证”在Citrix Cloud Studio中选择使用现有的…选项或没有错误,但在使用时再次提示凭据的窗口创建新的选择。确认了Azure帐户的当前角色级别后,才执行以下步骤。
步骤1:为Citrix Cloud手动创建Azure应用程序注册
定义应用程序注册
登录到您的Azure租户
选择Azure Active Directory刀片
选择应用程序注册
选择“+新申请注册”
还要选择Account类型:
在重定向URI下,为要创建的应用程序类型选择Web。输入访问令牌发送到的URI。
应用类型:“网页应用”
“登录URL:“https://citrix.cloud.com”
选择步骤4中的App Registration打开它的Settings
授予Azure API的访问权限在“API权限”下选择所需权限:
创建应用程序秘密访问密钥从App注册的Manage选项卡;选择“证书与秘密”
复制Key的值(这是秘密,类似于您只会看到一次的密码)
选择属性
复制应用注册的Application ID(这类似于用户名)
密钥、应用程序ID和目录ID是从Citrix Cloud创建到Azure的主机连接所需的信息。
步骤2:手动为Citrix Cloud的Azure应用程序注册分配资源权限
现在已经创建了应用注册帐户,并授予了对Azure API的访问权限,还需要为Azure帐户中的资源授予权限。
Citrix建议创建特定于Citrix Cloud的订阅。这降低了工人供应或生命周期操作干扰或影响其他生产系统的风险。
下面的说明利用了内置的Azure RBAC角色。指令为特定资源选择最严格的内置Role,这允许Citrix Cloud为工作机配置和生命周期操作做它需要做的事情。
选择Citrix Worker管理模型
此时,需要决定客户将授予Citrix Cloud App注册多少控制权以进行机器配置。
Citrix管理—在此模型中,Citrix Cloud在机器分配过程中完全控制资源组。由于资源组是必需的,Citrix Cloud将根据需要添加更多的资源组,以支持所提供的额外目录。这通过处理这些细节简化了管理经验。这也使得Citrix管理员成为可以部署多少虚拟机的唯一仲裁者。
客户管理-在这个模型中,Azure管理员或联合管理员预先创建资源组,工人机器将被分配到这些资源组中。Citrix Cloud不能根据需要创建额外的资源组,这需要由Azure订阅管理员或联合管理员执行。随着Azure中Citrix工作人员数量的增加,这将需要Citrix管理员和Azure管理员之间的良好沟通。
注意:目前Citrix Cloud以及XenApp和XenDesktop 7.16或更高版本通过Studio GUI支持Customer Managed选项。
两者之间的主要区别是应用程序服务主体对Azure Subscription和资源的控制级别。下面详细介绍这两个模型。
分配资源的权限
下面概述了使用内置Azure RBAC角色保护的资源所需的权限设置,该角色为模型提供了必需的最低设置。
两个模型的大多数设置都是相同的,除了Subscription上的设置(其中将提供Citrix工作者和其中的资源组)之外。
有关分配权限的详细信息,请参见:https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-control-configure
有关内置Azure RBAC角色的更多信息,请参见:https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-built-in-roles
订阅
Citrix工作人员(XenApp和/或XenDesktop将被提供)将驻留的订阅。
| 管理模式 | Citrix管理 | 客户管理 |
| Azure RBAC角色 | 贡献者 | 没有一个 Azure管理员/联合管理员必须手动创建资源组 |
为订阅授予应用程序注册贡献者权限:
- 选择计费刀片
- 选择所需的订阅
- 选择“访问控制(IAM)”
- 选择“+加”
- 从角色下拉菜单中选择贡献者
- 单击“选择”搜索框,输入应用程序注册的全名
- 选择App注册
- 选择保存
资源组(s)
订阅中提供Citrix工作人员的资源组。
| 管理模式 | Citrix管理 | 客户管理 |
| Azure RBAC角色 | 贡献者 继承了订阅 |
虚拟机的贡献者 存储账户贡献者 |
向资源组授予应用程序注册贡献者权限
Citrix Managed -什么都不做,权限将被继承。
客户管理-完成以下工作:
- 选择资源组刀片
- 创建资源组
- 选择“+加”
- 输入:
- 资源组名
- 订阅
- 地区
- 选择Create
- 刷新资源组列表
- 选择已创建的资源组
- 选择“访问控制(IAM)”
- 选择“+加”
- 从角色下拉菜单中选择贡献者
- 单击“选择”搜索框,输入应用程序注册的全名
- 选择App注册
- 选择保存
- 对每个资源组重复操作
虚拟网络
Citrix员工机器将加入的Azure虚拟网络。
| 管理模式 | Citrix管理 | 客户管理 |
| Azure RBAC角色 | 贡献者 继承了订阅 |
虚拟机的贡献者 |
完成这两个场景。
镜像存储主帐户
订阅中的资源组,其中维护Citrix工作程序主映像。Citrix和/或Desktop管理员应该拥有完全的访问权限,但应用程序注册不需要修改映像。
| 管理模式 | Citrix管理 | 客户管理 |
| Azure RBAC角色 | 贡献者 继承了订阅 |
虚拟机的贡献者 |
完成这两个场景。
步骤3:将云连接器部署到Azure订阅
Citrix文档-Citrix云连接器
步骤4:使用现有的Azure应用程序注册添加一个Azure资源位置
如果您已经完成了在Azure中手动创建应用程序注册并正确分配权限的过程,那么现在需要将这个新的应用程序注册作为容量的资源位置添加到Citrix Cloud中。
在Citrix云管理门户/ Citrix Studio内;
选择托管
选择“添加连接和资源”
选择“创建一个新的连接”
选择Azure托管环境
选择Next
选择“使用现有的”
复制粘贴;
Azure订阅ID (Citrix员工将由Citrix Cloud提供)
活动目录ID(定义应用注册的Azure活动目录的目录ID)
应用ID (App注册的)
应用程序秘密(密钥)
输入“连接名称”
选择Next
选择将提供Citrix员工的Azure Region
选择Next
为这个Azure订阅和区域输入Citrix云名称
选择Citrix Worker机器将加入的Azure虚拟网络
选择Citrix Worker机器将从中检索IP地址的Azure虚拟网络子网
选择Next
选择Finish
选择浏览器顶部中心的半圆连接菜单
选择剪贴板
复制您的Azure订阅ID到剪贴板
要么;右击并粘贴或使用CTRL + v粘贴剪贴板内容到远程剪贴板
选择X关闭会话剪贴板
选择要粘贴数据的字段
要么;右击并粘贴或使用CTRL + v粘贴剪贴板内容到字段
