要在 VMware Identity Manager 中配置 Citrix XenApp 和 XenDesktop 服务器场,请在目录 > 虚拟应用程序收集页中创建一个或多个虚拟应用程序收集,其中包含配置信息(例如,从中同步资源和授权的 Citrix 服务器、用于同步和 SSO 的 Integration Broker、用于同步的 VMware Identity Manager 连接器)以及管理员设置(如默认启动客户端)。

您可以根据需要在一个收集中添加所有 Citrix 服务器场,也可以创建多个收集。例如,您可以选择为每个场创建单独的收集以更轻松地进行管理,以及在不同的连接器之间分摊同步负载。或者,您可以选择在一个收集中包含所有服务器场以用于测试环境,并在生产环境中使用另一个完全相同的收集。

在 VMware Identity Manager 中配置 Citrix 发布的资源之前,请确保满足所有先决条件。

此外,还应遵循以下有关 Citrix 服务器场设置的准则。
  • 同步交付组

    交付组在 Citrix 中的“交付类型”设置决定了 VMware Identity Manager 同步交付组的方式。

    仅当交付组的“交付类型”设置为 DesktopsAndApps 或 DesktopsOnly 时,VMware Identity Manager 才会同步交付组。如果交付组的“交付类型”设置为 AppsOnly,则会同步交付组的应用程序,但不同步交付组本身,并且交付组不会显示在 VMware Identity Manager 目录中。

    请相应配置您的交付组。

  • 在 XenDesktop 和 XenApp 7.9 中,如果您使用“有限可见性组”选项来限制用户,请确保有限可见性组中包含用户或组。如果有限可见性组中不包含任何用户或组,将无法同步到 VMware Identity Manager。
  • 确保站点中的所有 Citrix 发布的应用程序和桌面包含有效的用户。如果您删除某个用户或组,请确保也从 Citrix 发布的资源中移除该用户或组。
  • 确保已将用户和组分配到正确的交付组。

    如果您选择用于限制用户的设置,请确保这些设置包含用户和组。

  • 在 XenDesktop 和 XenApp 7.x 中,您可以在交付组级别使用“允许任何经过身份验证的用户使用该交付组”设置为所有经过身份验证的用户设置授权。VMware Identity Manager 不支持该设置。要确保用户在 VMware Identity Manager 中具有正确的授权,请为用户和组设置明确的授权。

前提条件

  • 配置 VMware Identity Manager。请参阅《安装和配置 VMware Identity Manager》以及《VMware Identity Manager 管理》,以了解相关信息。
  • 确保已使用目录同步功能将企业目录中具有 Citrix 授权的用户和组同步到 VMware Identity Manager。

    用户必须具有 distinguishedName 属性。如果没有为用户设置该属性,则用户可能无法运行桌面和应用程序。

  • 部署 Integration Broker,并确保您满足Citrix 集成的先决条件中所述的所有先决条件。

  • 如果在 Integration Broker 前面使用负载平衡器,请记下负载平衡器的主机名或 IP 地址以在执行该任务期间使用。

  • 如果要使用“使用 StoreFront”选项(在 VMware Identity Manager 2.9.1 及更高版本中可用),请确保满足以下要求。
    • 安装 Integration Broker 2.9.1 或更高版本。
    • 确保使用的 XenApp 或 XenDesktop 版本支持 StoreFront。
    • 确保 Integration Broker 可以与 StoreFront 服务器通信。

      在启用 StoreFront REST API 时,Integration Broker 会与 StoreFront 服务器通信,以生成 ICA 文件。

    • 在 Citrix StoreFront 存储中启用 HTTP 基本身份验证以作为一种身份验证方法。此要求仅适用于内部访问。
      小心: 如果未启用 HTTP 基本身份验证,身份验证将失败。
  • 查看适用于您的 Citrix XenApp 或 XenDesktop 版本的 Citrix 文档。

过程

  1. 登录到 VMware Identity Manager 管理控制台。
  2. 选择目录 > 虚拟应用程序收集选项卡。
  3. 单击添加虚拟应用程序,然后选择 Citrix 发布的应用程序
  4. 为收集输入唯一的名称。
  5. 同步连接器下拉菜单中,选择要用于同步该收集中的资源的连接器。

    如果设置了多个连接器以实现高可用性,请单击添加连接器,然后选择连接器。连接器的列出顺序决定了故障切换顺序。

  6. 同步 Integration Broker 部分中,提供有关要用于同步资源的 Integration Broker 实例的信息。
    1. 输入同步 Integration Broker 的完全限定域名和端口号。

      如果在专用于同步的多个 Integration Broker 实例前面配置了负载平衡器,请输入负载平衡器的主机名或 IP 地址和端口号。

    2. 要通过 SSL 连接到 Integration Broker,请选中使用 SSL 复选框,然后复制并粘贴 Integration Broker 服务器的 SSL 证书。
      注: 如果使用自签名证书,还要在 设备设置 > 管理配置 > 安装 SSL 证书 > 受信任的 CA 页中上载该证书。对于外部连接器,该页位于 https:// connectorFQDN:8443/cfg/ssl。如果选择多个同步连接器,请将该证书添加到所有连接器的 安装 SSL 证书 > 受信任的 CA 页中。
  7. SSO Integration Broker 部分中,提供有关要用于启动资源的 Integration Broker 实例的信息。您必须通过 SSL 连接到 SSL Integration Broker。
    1. 输入 SSO Integration Broker 的完全限定域名和端口号。

      如果在专用于提供 SSO 的多个 Integration Broker 实例前面配置了负载平衡器,请输入负载平衡器的完全限定域名和端口号。

      注: 不要使用 IP 地址。
    2. SSL 证书字段中,复制并粘贴 Integration Broker 服务器的 SSL 证书。
      注: 如果使用自签名证书,还要在 设备设置 > 管理配置 > 安装 SSL 证书 > 受信任的 CA 页中上载该证书。对于外部连接器,该页位于 https:// connectorFQDN:8443/cfg/ssl。如果选择多个启动连接器,请将该证书添加到所有连接器的 安装 SSL 证书 > 受信任的 CA 页中。
  8. 服务器场部分中,输入 Citrix 服务器场详细信息。
    要添加多个场,请单击 +添加服务器场
    选项 描述
    版本 选择 Citrix 服务器场版本:5.0、6.0、6.5 或 7.x。
    使用 StoreFront 如果要使用 Citrix StoreFront REST API 启动 XenApp 资源,请选择该选项。如果选择该选项,则 Integration Broker 使用 Citrix StoreFront REST API 与 StoreFront 服务器通信并检索 ICA 文件。如果未选择该选项,则 Integration Broker 使用 Citrix Web Interface SDK 与 Citrix 组件通信并检索 ICA 文件。
    注: 如果在初始设置和同步后选择或取消选择该选项,请保存您的设置,然后再次同步以使更改生效。
    StoreFront URL 输入以下格式的 StoreFront 服务器 URL:transportType://storefrontServerFQDN/Citrix/storenameWeb

    例如:http://xen76.example.com/Citrix/mystoreWeb

    注: 这是 Store Web Receiver 网站 URL。
    重要事项: 还要在“网络范围”设置的 XenApp 部分的 客户端访问 URL 主机字段中输入该 URL。
    服务器名称 分配到您环境中的服务器名称。
    服务器(故障切换顺序) 以故障切换顺序组织 Citrix XML 代理(服务器)。VMware Identity Manager 在 SSO 期间和出现故障切换时将遵循此顺序。
    注: XML 代理必须启用了 PowerShell Remoting。
    传输类型 您的 Citrix 服务器配置中使用的传输类型:HTTP、HTTPS 或 SSL RELAY。
    注: 传输类型和端口必须与您的 Citrix 服务器配置相匹配。
    端口 您的 Citrix 服务器配置中使用的端口设置
    注: 传输类型和端口必须与您的 Citrix 服务器配置相匹配。
    STA 服务器 如果使用 NetScaler,您必须为场指定 STA 服务器。
    1. 为 Citrix 场指定 STA 服务器。

      输入以下格式的 STA 服务器 URL:

      transporttype://server:port

      例如:http://staserver.example.com:80

      只允许在 URL 中使用字母数字字符、句点 (.) 和连字符 (-)。

    2. 单击添加到列表

      将在 XenApp STA 服务器列表中显示该服务器。

    3. 如有必要,请输入额外的 STA 服务器。例如,您可能希望指定第二个 STA 服务器以进行故障切换。
    如果使用 NetScaler,请为 Citrix 场指定 STA 服务器。
    XenApp STA 服务器(故障切换顺序) 为添加的 STA 服务器指定故障切换顺序。
  9. 要添加其他场,请单击添加场,然后输入该场的配置信息。
  10. 如果要将类别从 Citrix 场同步到 VMware Identity Manager,请选择从服务器场同步类别
  11. 选择不同步重复的应用程序以防止同步多个服务器中的重复应用程序。如果在多个数据中心部署了 VMware Identity Manager,将在多个数据中心设置相同的资源。通过选中此选项,可以防止 VMware Identity Manager 目录中包含重复的桌面或应用程序。
  12. 同步频率下拉菜单中,选择该收集中的资源的所需同步频率。
    您可以设置定期同步计划或选择手动同步。如果选择 手动,在设置收集后以及每次 Citrix 发布的资源或授权发生变化时,您必须在 目录 > 虚拟应用程序收集页上单击 同步
  13. 激活类型下拉列表中,选择如何为 Workspace ONE 中的用户提供 Citrix 发布的资源。
    可以通过 用户激活自动选项将资源添加到“目录”页中。用户可以使用“目录”页中的资源,或者将其移到“书签”页中。不过,要为任何应用程序设置审批流程,您必须为该应用程序选择“用户激活”。

    在该页上选择的激活策略适用于收集中的所有资源的所有用户授权。从应用程序或桌面的“授权”页中,您可以修改每个资源的各个用户或组的激活策略。

    如果要设置审批流程,建议将收集的激活策略设置为用户激活

  14. 单击保存
    将创建收集并显示在“虚拟应用程序收集”页中。尚未同步收集中的资源。
  15. 要将收集中的资源同步到 VMware Identity Manager,请在“虚拟应用程序收集”页中单击同步
    每次 Citrix 中的资源或授权发生变化时,需要进行同步以将更改传播到 VMware Identity Manager
    注: Citrix 产品中的匿名用户组功能不受 VMware Identity Manager 支持。

结果

系统会将 Citrix 发布的资源和对应的授权与 VMware Identity Manager 进行同步。

后续步骤

如果选择了“使用 StoreFront”选项,请编辑网络范围设置,并在 XenApp 部分的客户端访问 URL 主机字段中输入在 StoreFront URL 字段中输入的相同 URL。