要在 VMware Identity Manager 中配置 Citrix XenApp 和 XenDesktop 服务器场,需在“虚拟应用程序配置”页中创建一个或多个虚拟应用程序集合,其中包含配置信息(例如从中同步资源和授权的 Citrix 服务器、用于同步和 SSO 的 Integration Broker 以及用于同步的 VMware Identity Manager Connector)和管理员设置(例如默认启动客户端)。

您可以根据需要在一个集合中添加所有 Citrix 服务器场,也可以创建多个集合。例如,您可以选择为每个场创建单独的集合以更轻松地进行管理,以及在不同的连接器之间分摊同步负载。或者,您可以选择在一个集合中包含所有服务器场以用于测试环境,并在生产环境中使用另一个完全相同的集合。

在 VMware Identity Manager 中配置 Citrix 发布的资源之前,请确保满足所有先决条件。

此外,还应遵循以下有关 Citrix 服务器场设置的准则。
  • 同步交付组

    交付组在 Citrix 中的“交付类型”设置决定了 VMware Identity Manager 同步交付组的方式。

    仅当交付组的“交付类型”设置为“桌面和应用程序”或“仅限桌面”时,VMware Identity Manager 才会同步交付组。如果交付组的“交付类型”设置为“仅限应用程序”,则会同步交付组的应用程序,但不同步交付组本身,并且交付组不会显示在 VMware Identity Manager 目录中。

    请相应配置您的交付组。

  • 在 XenDesktop 和 XenApp 7.9 中,如果您使用“有限可见性组”选项来限制用户,请确保有限可见性组中包含用户或组。如果有限可见性组中不包含任何用户或组,将无法同步到 VMware Identity Manager。
  • 确保站点中的所有 Citrix 发布的应用程序和桌面包含有效的用户。如果您删除某个用户或组,请确保也从 Citrix 发布的资源中移除该用户或组。
  • 确保已将用户和组分配到正确的交付组。

    如果您选择用于限制用户的设置,请确保这些设置包含用户和组。

  • 在 XenDesktop 和 XenApp 7.x 中,您可以在交付组级别使用“允许任何经过身份验证的用户使用该交付组”设置为所有经过身份验证的用户设置授权。VMware Identity Manager 不支持该设置。要确保用户在 VMware Identity Manager 中具有正确的授权,请为用户和组设置明确的授权。
  • VMware Identity Manager 不支持 Citrix 匿名用户组功能。
注:VMware Identity Manager 3.3 开始,不再支持 XenApp 5.x。您无法更新或保存包含 XenApp 5.x 服务器的现有配置,除非您从配置中移除该服务器。从配置中移除 5.x 服务器并保存配置后,下次同步过程中,与 5.x 服务器关联的所有资源都将从目录中移除。从目录中移除资源后,用户将无法再运行这些资源。

前提条件

  • 配置 VMware Identity Manager。请参阅《安装和配置 VMware Identity Manager》以及《VMware Identity Manager 管理》,以了解相关信息。
  • 确保已使用目录同步功能将企业目录中具有 Citrix 授权的用户和组同步到 VMware Identity Manager。

    创建目录时,请确保将 userPrincipalName 设置为必需属性。

    用户必须具有 distinguishedName 属性。如果没有为用户设置该属性,则用户可能无法运行桌面和应用程序。

  • 部署 Integration Broker,并确保您满足Citrix 集成的先决条件中所述的所有先决条件。
  • 如果在 Integration Broker 前面使用负载平衡器,请记下负载平衡器的主机名或 IP 地址以在执行该任务期间使用。

  • 如果要使用 StoreFront 选项(在 VMware Identity Manager 2.9.1 和更高版本中提供),请确保满足以下要求。
    • 安装 Integration Broker 2.9.1 或更高版本。
    • 确保使用的 XenApp 或 XenDesktop 版本支持 StoreFront。
    • 确保 Integration Broker 可以与 StoreFront 服务器通信。

      在启用 StoreFront REST API 时,Integration Broker 会与 StoreFront 服务器通信,以生成 ICA 文件。

    • 在 StoreFront 服务器中,如果您为“用户名和密码”身份验证方法配置受信任的域,请确保在“受信任的域”列表中以完全限定域名格式添加域名。VMware Identity Manager 需要使用完全限定域名。有关详细信息,请参阅启动 Citrix 发布的应用程序和桌面
  • 如果您的 Citrix 部署包含 Citrix NetScaler 网关服务器,并且要使用 Web Interface SDK 连接到 Citrix 服务器场,请获取与 NetScaler 网关服务器关联的 Citrix 安全票证颁发机构 (Secure Ticket Authority, STA) 服务器的 URL。请参阅获取 NetScaler 网关的 STA 服务器 URL
  • 查看适用于您的 Citrix XenApp 或 XenDesktop 版本的 Citrix 文档。
  • 要在 VMware Identity Manager 中执行该过程,请使用在“目录”服务中包含“管理桌面应用程序”操作的管理员角色。
  • 在该过程结束时,将重定向到“网络范围”页面以配置客户端访问 FQDN。要编辑并保存“网络范围”页面,您需要具有超级管理员角色。您可以选择单独执行该步骤。

过程

  1. 登录到 VMware Identity Manager 控制台。
  2. 选择目录 > 虚拟应用程序集合选项卡。
  3. 单击新建
  4. 选择 Citrix 发布的应用程序以作为源类型。
  5. 在“新建 Citrix XenApp”向导中,在“连接器和代理”页面中输入以下信息。
    选项 描述
    名称 为 Citrix 虚拟应用程序集合输入唯一的名称。
    连接器 选择要用于同步该集合的连接器。要选择连接器,请选择与其关联的目录。如果设置了一组连接器,将在主机列表中显示所有连接器实例,您可以按故障切换顺序排列该集合的连接器。要重新排列该列表,请单击相应的行并将其拖到所需的位置。
    重要事项: 在创建集合后,您无法选择不同的目录。
    同步 Integration Broker 输入要用于同步该集合中的资源的 Integration Broker 实例的连接信息。
    • 主机:输入 Integration Broker 实例的完全限定域名。例如,ibserver.exaample.com。

      如果在专用于同步的多个 Integration Broker 实例前面配置了负载平衡器,请输入负载平衡器的主机名或 IP 地址。

    • 端口:输入 Integration Broker 实例或负载平衡器的端口号。
    • 使用 SSL:要通过 SSL 连接到 Integration Broker,请启用使用 SSL,然后复制 Integration Broker 服务器的 SSL 证书并将其粘贴到 SSL 证书框中。输入所有行,包括 ---BEGIN CERTIFICATE---- 和 -----END CERTIFICATE----。

      在将此虚拟应用程序集合中的资源同步到 VMware Identity Manager 时,将使用该证书。

    启动 Integration Broker 输入要用于处理该集合的启动请求的 Integration Broker 实例的连接信息。您必须通过 SSL 连接到 SSL Integration Broker。SSL Integration Broker 可以与 SSO Integration Broker 相同。
    • 主机:输入 Integration Broker 实例的完全限定域名。例如,ibserver.example.com。

      如果在专用于启动的多个 Integration Broker 实例前面配置了负载平衡器,请输入负载平衡器的完全限定域名。

      注: 不要使用 IP 地址。
    • 端口:输入 Integration Broker 实例或负载平衡器的端口号。
    • SSL 证书:复制 Integration Broker 服务器的 SSL 证书,并将其粘贴到 SSL 证书框中。输入所有行,包括 ---BEGIN CERTIFICATE---- 和 -----END CERTIFICATE----。

      在从此虚拟应用程序集合启动资源的过程中,将使用该证书。

  6. 单击下一步
  7. 在“服务器场”页面中,单击添加服务器场,然后输入您的 Citrix 服务器场信息。
    选项 描述
    版本 选择您的 Citrix XenApp 或 XenDesktop 部署的版本:6.0、6.5 或 7.x。
    服务器 单击添加服务器,然后添加您的 Citrix XML 服务器(XML 代理)的完全限定域名。例如,xenappserver.example.com。您必须添加至少一个 Citrix XML 服务器。

    要添加多个服务器,请单击添加服务器,然后添加服务器。

    按故障切换顺序排列这些服务器。VMware Identity Manager 按照该顺序进行 SSO 和故障切换。要重新排列该列表,请单击相应的行并将其拖到所需的位置。要从列表中删除某个服务器,请单击该行右侧的 x 图标。

    注: XML 代理必须启用了 PowerShell Remoting。
    启动首选项 选择您希望 VMware Identity Manager 如何处理 Citrix 资源的启动请求。如果部署了 Citrix StoreFront,请选择 StoreFront,否则,请选择 Web Interface SDK。您只需选择其中的一个选项并输入信息。
    StoreFront 如果您希望使用 Citrix StoreFront REST API 启动 Citrix 资源,请选择该选项。如果选择该选项,则 Integration Broker 会使用 Citrix StoreFront REST API 与 StoreFront 服务器通信并检索 ICA 文件。
    • StoreFront 服务器 URL

      输入以下格式的 StoreFront 服务器 URL:

      transportType://storefrontServerFQDN/Citrix/storenameWeb

      例如,http://xen76.example.com/Citrix/mystoreWeb

      注: 这是 StoreFront 服务器的网站 URL。
      重要事项: 以后,在创建虚拟应用程序集合后,在为 XenApp 配置内部网络范围时,请确保在 客户端访问 URL 主机字段中输入相同的 URL。
    注: 在创建并同步虚拟应用程序集合后,如果您选择不使用 StoreFront 选项,请确保还要更新网络范围的客户端访问 URL。
    Web Interface SDK 如果您希望使用 Citrix Web Interface SDK 启动 Citrix 资源,请选择该选项。如果选择该选项,则 Integration Broker 会使用 Citrix Web Interface SDK 与 Citrix 组件通信并检索 ICA 文件。
    • 传输类型

      选择您的 Citrix 服务器配置中使用的传输类型:“HTTP”、“HTTPS”或“SSL RELAY”。它必须与您的 Citrix 服务器配置相匹配。

    • 端口

      输入您的 Citrix 服务器配置中使用的端口。它必须与您的 Citrix 服务器配置相匹配。

    • SSL 中继端口

      输入您的 Citrix 服务器配置中使用的 SSL 中继端口。仅当您选择“SSL RELAY”作为传输类型时,才会显示此选项。

    • STA 服务器

      如果您的 Citrix 部署包含 NetScaler 网关服务器,请指定与其关联的安全票证颁发机构 (STA) 服务器。STA 服务器用于控制 NetScaler 网关服务器访问。

      1. 单击添加 STA 服务器,然后使用以下格式输入 STA 服务器 URL:transporttype://server:port

        例如:http://staserver.example.com:80

        只允许在 URL 中使用字母数字字符、句点 (.) 和连字符 (-)。

      2. 要添加多个 STA 服务器,请单击添加 STA 服务器,然后添加服务器。
      3. 按故障切换顺序排列 STA 服务器。要移动某一行,请单击该行左侧的句柄,然后将其拖到所需的位置。要从列表中删除某个服务器,请单击该行右侧的 x 图标。
  8. 单击下一步
  9. 在“配置”页中,输入以下信息。
    选项 描述
    同步频率 选择您希望每隔多长时间将集合中的资源从 Citrix 服务器场同步到 VMware Identity Manager

    您可以设置自动同步计划或选择手动同步。要设置计划,请选择时间间隔(如每天或每周),然后选择运行同步的时间。如果选择手动,在创建集合后以及每次 Citrix 资源或授权发生变化时,您必须在“虚拟应用程序集合”页面上单击同步

    同步重复的应用程序 如果您希望禁止从多个服务器中同步重复的应用程序,请设置为

    如果在多个数据中心部署了 VMware Identity Manager,将在多个数据中心设置相同的资源。如果将该选项设置为,则禁止在 VMware Identity Manager 目录中包含重复的应用程序和桌面。

    从服务器场同步类别 如果要将类别从 Citrix 服务器同步到 VMware Identity Manager,请启用该选项。
    激活策略 选择您希望如何在 Workspace ONE 门户和应用程序中为用户提供该集合中的资源。如果要设置审批流程,请选择用户激活,否则,请选择自动

    使用用户激活自动选项,都可将资源添加到“目录”页面中。用户可以使用“目录”页中的资源,或者将其移到“书签”页中。不过,要为任何应用程序设置审批流程,您必须为该应用程序选择“用户激活”。

    激活策略适用于集合中的所有资源的所有用户授权。您可以从用户和组选项卡上的用户或组页面中修改每个资源的各个用户或组的激活策略。

  10. 单击下一步
  11. 在“摘要”页面中,检查所选的内容,然后单击保存并配置网络范围
    将创建集合,但尚未同步集合中的资源。将显示“网络范围”页面。

后续步骤

  • 为资源启动配置网络范围。请参阅在 VMware Identity Manager 中配置 Citrix 资源启动
  • 要将集合中的资源和授权从 Citrix 服务器同步到 VMware Identity Manager,请在“虚拟应用程序集合”页面中选择集合,然后单击同步
    注: VMware Identity Manager 不支持 Citrix 匿名用户组功能。