你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 上的 Citrix 的身份验证和访问控制注意事项
本文讨论为 Citrix 提供身份验证和访问控制服务的各种方法。
设计注意事项
- 与 Azure 订阅一样,Citrix Cloud 租户仅支持单个 Microsoft Entra 租户进行用户或管理员身份验证。 如果运营过程需要开发和生产 Microsoft Entra 租户隔离,则应为 Citrix Cloud 租户建立类似的隔离。
- Citrix 通过在工作区或 Citrix 网关和 Citrix 联合身份验证服务中使用 SAML 身份验证来支持 Azure B2B 或来宾帐户。 有关详细信息,请参阅如何为来宾帐户配置 Microsoft Entra ID 和 SAML。
- Citrix 包括基于内置角色的访问控制 (RBAC) 功能,用于核心管理和监视关联的 Citrix 虚拟应用和桌面。 有关详细信息,请参阅委派管理和监视器。
- 目前,大多数企业客户在 Azure 中使用完整的域服务。 它们通常部署在标识订阅中。 你仍然可以使用 Microsoft Entra ID 作为标识提供者,直接使用 Citrix 工作区进行用户身份验证,以使用 Azure 多重身份验证和条件访问等功能。
- 使用 Microsoft Entra ID 或其他基于 SAML 的标识提供者进行身份验证时,使用 Citrix 联合身份验证服务支持单一登录。
- 只有 Microsoft Entra ID 的环境可以支持 Microsoft Entra 加入域和未加入域的工作负荷。
- 下表总结了托管域服务的每个 Azure 策略的关键 Citrix 功能。 如果你目前正处于 Azure 部署的规划阶段,请与标识团队一起查看这些服务的比较,并了解他们的要求和时间表。 标识是 Azure 上部署的关键路径先决条件。
| 功能 | Microsoft Entra ID | Microsoft Entra 域服务 | Active Directory 域服务 | 无域服务 |
|---|---|---|---|---|
| Citrix Cloud 中的委派管理 | ✓ | ✓ | ✓ | ✓ |
| 计算机创建服务 (MCS) | ✓ | ✓ | ✓ | ✓ |
| LDAP/Kerberos | X | ✓ | ✓ | X |
| 组策略对象 | 使用 Intune 或 Citrix 工作区环境管理服务 | ✓ | ✓ | 使用 Citrix 工作区环境管理服务 |
| 对资源的身份验证 | ✓ | ✓ | ✓ | ✓ |
| 域加入 | X | ✓ | ✓ | X |
| Citrix 联合身份验证服务 | X | X | ✓ | X |
设计建议
Microsoft Azure 上 Citrix DaaS 的设计指南可在 Citrix TechZone - Microsoft Azure 上 Citrix DaaS 的设计指南中获得。 这篇文章重点介绍了 Citrix 技术的系统、工作负荷、用户和网络注意事项,这些注意事项与 云采用框架设计原则相一致。
后续步骤
查看特定于 Azure 上的 Citrix 部署的资源组织的关键设计注意事项和建议。