使用联合登录提供程序(如Azure AD、AD- fs等)时，用户凭据不可用;相反，Citrix组件只能使用用户标识令牌。这有两个影响:

1. 无法验证从“工作空间体验”发送到内部部署交付控制器的应用程序枚举和启动命令。
2. 当用户从Workspace Experience启动应用程序或桌面时，会提示用户输入本地AD凭据。

通过工作区体验启用枚举和启动

在继续之前，请仔细注意以下更改的安全影响。我们将关闭枚举的身份验证，并向XenApp和XenDesktop交付控制器发起请求。

在进行此更改之前，请确保只有受信任的组件可以通过私有内部网络与XML服务通信。不遵循这些说明可能使您的系统遭受攻击。

使用防火墙、VLAN、IPSEC隧道、云安全组或其他网络隔离结构来确保只有Citrix cloud Connectors和受信任的本地StoreFront服务器可以通过XML服务端口与您的本地XenApp和XenDesktop交付控制器通信。默认情况下，这是端口80。看到https://support.citrix.com/article/CTX127945查看如何修改XML服务端口。

一旦你确定XML服务端口是安全的，在你的站点上启用TrustRequestsSentToTheXmlPort设置:

1. 在任何交付控制器上进入PowerShell命令行界面。

2. 输入Add-PSSnapIn Citrix *以验证Citrix cmdlet是否可用。

3. 输入Get-BrokerSite检查是否TrustRequestsSentToTheXmlPortsetting为False。如果已设置为True，则任务结束。

4. 输入Set-BrokerSite -TrustRequestsSentToTheXmlPort $true

5. 输入Get-BrokerSite再次验证TrustRequestsSentToTheXmlPort设置为True。

完成此更改后，Workspace Experience用户将能够使用联合身份验证结合Site Aggregation特性枚举和启动应用程序和桌面。

从工作区体验到桌面和应用程序的单点登录

在Workspace Experience中使用联邦身份验证时，用户需要输入用户名和密码才能启动会话。要确保用户名和密码与联邦身份系统用于访问Workspace Experience本身的用户名和密码相同，请确保它们在您的身份提供程序和Active Directory域之间同步。

对于Azure AD，这需要设置Azure AD Connect来同步设置。启用密码哈希同步和密码回写功能，以获得最佳的最终用户体验。有关Azure AD Connect的更多信息可以在这里找到:https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect