要在 VMware Identity Manager 中配置 Citrix XenApp 和 XenDesktop 服务器场,需在“虚拟应用程序配置”页中创建一个或多个虚拟应用程序集合,其中包含配置信息(例如从中同步资源和授权的 Citrix 服务器、用于同步和 SSO 的 Integration Broker 以及用于同步的 VMware Identity Manager Connector)和管理员设置(例如默认启动客户端)。

您可以根据需要在一个集合中添加所有 Citrix 服务器场,也可以创建多个集合。例如,您可以选择为每个场创建单独的集合以更轻松地进行管理,以及在不同的连接器之间分摊同步负载。或者,您可以选择在一个集合中包含所有服务器场以用于测试环境,并在生产环境中使用另一个完全相同的集合。

在 VMware Identity Manager 中配置 Citrix 发布的资源之前,请确保满足所有先决条件。

此外,还应遵循以下有关 Citrix 服务器场设置的准则。
  • 同步交付组

    交付组在 Citrix 中的“交付类型”设置决定了 VMware Identity Manager 同步交付组的方式。

    仅当交付组的“交付类型”设置为“桌面和应用程序”或“仅限桌面”时,VMware Identity Manager 才会同步交付组。如果交付组的“交付类型”设置为“仅限应用程序”,则会同步交付组的应用程序,但不同步交付组本身,并且交付组不会显示在 VMware Identity Manager 目录中。

    请相应配置您的交付组。

  • 在 XenDesktop 和 XenApp 7.9 中,如果您使用“有限可见性组”选项来限制用户,请确保有限可见性组中包含用户或组。如果有限可见性组中不包含任何用户或组,将无法同步到 VMware Identity Manager。
  • 确保站点中的所有 Citrix 发布的应用程序和桌面包含有效的用户。如果您删除某个用户或组,请确保也从 Citrix 发布的资源中移除该用户或组。
  • 确保已将用户和组分配到正确的交付组。

    如果您选择用于限制用户的设置,请确保这些设置包含用户和组。

  • 在 XenDesktop 和 XenApp 7.x 中,您可以在交付组级别使用“允许任何经过身份验证的用户使用该交付组”设置为所有经过身份验证的用户设置授权。VMware Identity Manager 不支持该设置。要确保用户在 VMware Identity Manager 中具有正确的授权,请为用户和组设置明确的授权。
注:VMware Identity Manager 3.3 开始,不再支持 XenApp 5.x。您无法更新或保存包含 XenApp 5.x 服务器的现有配置,除非您从配置中移除该服务器。从配置中移除 5.x 服务器并保存配置后,下次同步过程中,与 5.x 服务器关联的所有资源都将从目录中移除。从目录中移除资源后,用户将无法再运行这些资源。

前提条件

  • 配置 VMware Identity Manager。请参阅《安装和配置 VMware Identity Manager》以及《VMware Identity Manager 管理》,以了解相关信息。
  • 确保已使用目录同步功能将企业目录中具有 Citrix 授权的用户和组同步到 VMware Identity Manager。

    创建目录时,请确保将 userPrincipalName 设置为必需属性。

    用户必须具有 distinguishedName 属性。如果没有为用户设置该属性,则用户可能无法运行桌面和应用程序。

  • 部署 Integration Broker,并确保您满足Citrix 集成的先决条件中所述的所有先决条件。

  • 如果在 Integration Broker 前面使用负载平衡器,请记下负载平衡器的主机名或 IP 地址以在执行该任务期间使用。

  • 如果要使用“使用 StoreFront”选项(在 VMware Identity Manager 2.9.1 及更高版本中可用),请确保满足以下要求。
    • 安装 Integration Broker 2.9.1 或更高版本。
    • 确保使用的 XenApp 或 XenDesktop 版本支持 StoreFront。
    • 确保 Integration Broker 可以与 StoreFront 服务器通信。

      在启用 StoreFront REST API 时,Integration Broker 会与 StoreFront 服务器通信,以生成 ICA 文件。

    • 在 StoreFront 服务器中,如果您为“用户名和密码”身份验证方法配置受信任的域,请确保在“受信任的域”列表中以完全限定域名格式添加域名。VMware Identity Manager 需要使用完全限定域名。有关详细信息,请参阅启动 Citrix 发布的应用程序和桌面
  • 查看适用于您的 Citrix XenApp 或 XenDesktop 版本的 Citrix 文档。
  • 您必须使用能够在“目录”服务中执行“管理桌面应用程序”操作的管理员角色。

过程

  1. 登录到 VMware Identity Manager 控制台。
  2. 选择目录 > 虚拟应用程序选项卡,然后单击虚拟应用程序配置
  3. 单击添加虚拟应用程序,然后选择 Citrix 发布的应用程序
  4. 为集合输入唯一的名称。
  5. 同步连接器下拉菜单中,选择要用于同步该集合中的资源的连接器。

    如果设置了多个连接器以实现高可用性,请单击添加连接器,然后选择连接器。连接器的列出顺序决定了故障切换顺序。

  6. 同步 Integration Broker 部分中,提供有关要用于同步资源的 Integration Broker 实例的信息。
    1. 输入同步 Integration Broker 的完全限定域名和端口号。

      如果在专用于同步的多个 Integration Broker 实例前面配置了负载平衡器,请输入负载平衡器的主机名或 IP 地址和端口号。

    2. 要通过 SSL 连接到 Integration Broker,请选中使用 SSL 复选框,然后复制并粘贴 Integration Broker 服务器的 SSL 证书。

      在将此虚拟应用程序集合中的资源同步到 VMware Identity Manager 时,将使用该证书。

  7. SSO Integration Broker 部分中,提供有关要用于启动资源的 Integration Broker 实例的信息。您必须通过 SSL 连接到 SSL Integration Broker。
    1. 输入 SSO Integration Broker 的完全限定域名和端口号。

      如果在专用于提供 SSO 的多个 Integration Broker 实例前面配置了负载平衡器,请输入负载平衡器的完全限定域名和端口号。

      注: 不要使用 IP 地址。
    2. SSL 证书字段中,复制并粘贴 Integration Broker 服务器的 SSL 证书。

      在从此虚拟应用程序集合启动资源的过程中,将使用该证书。

  8. 服务器场部分中,输入 Citrix 服务器场详细信息。
    要添加多个场,请单击 +添加服务器场
    选项 描述
    版本 选择 Citrix 服务器场版本:6.0、6.5 或 7.x。
    服务器名称
    1. 输入 Citrix 服务器(XML 代理)名称。例如:

      citrixserver.example.com

    2. 单击添加到列表
    3. 要指定多个服务器,请输入每个服务器的名称,然后单击添加到列表

    这些服务器会显示在服务器 (故障切换顺序) 列表中。

    注: XML 代理必须启用了 PowerShell Remoting。
    服务器(故障切换顺序) 通过使用向上和向下箭头来按故障切换顺序组织 Citrix XML 代理。VMware Identity Manager 在 SSO 期间和出现故障切换时将遵循此顺序。

    要从列表中移除某个服务器,请选择该服务器,然后单击移除
    使用 StoreFront 如果要使用 Citrix StoreFront REST API 启动 XenApp 资源,请选择该选项。如果选择该选项,则 Integration Broker 会使用 Citrix StoreFront REST API 与 StoreFront 服务器通信并检索 ICA 文件。
    • StoreFront 服务器

      输入以下格式的 StoreFront 服务器 URL:

      transportType://storefrontServerFQDN/Citrix/storenameWeb

      例如,http://xen76.example.com/Citrix/mystoreWeb

      注: 这是 StoreFront 服务器的网站 URL。
      重要事项: 在为 XenApp 配置内部网络范围时,也要在 客户端访问 URL 主机字段中输入该 URL。
    注: 初次设置和同步后,如果您选择或取消选择 使用 StoreFront 选项,请确保更新网络范围的客户端访问 URL。
    使用 Web Interface SDK 如果要使用 Citrix Web Interface SDK 启动 XenApp 资源,请选择该选项。如果选择该选项,则 Integration Broker 会使用 Citrix Web Interface SDK 与 Citrix 组件通信并检索 ICA 文件。
    • 传输类型
      选择您的 Citrix 服务器配置中使用的传输类型:“HTTP”、“HTTPS”或“SSL RELAY”。
      注: 传输类型和端口必须与您的 Citrix 服务器配置相匹配。
    • 端口
      输入您的 Citrix 服务器配置中使用的端口。
      注: 传输类型和端口必须与您的 Citrix 服务器配置相匹配。
    • SSL 中继端口

      输入您的 Citrix 服务器配置中使用的 SSL 中继端口。仅当您选择“SSL RELAY”作为传输类型时,才会显示此选项。

    • STA 服务器

      如果使用 NetScaler,您必须为场指定 STA 服务器。

      1. 为 Citrix 场指定 STA 服务器。

        输入以下格式的 STA 服务器 URL:

        transporttype://server:port

        例如:http://staserver.example.com:80

        只允许在 URL 中使用字母数字字符、句点 (.) 和连字符 (-)。

      2. 单击添加到列表

        该服务器会显示在 XenApp STA 服务器 (故障切换顺序) 列表中。

      3. 如有必要,请输入额外的 STA 服务器。例如,您可能希望指定第二个 STA 服务器以进行故障切换。
    • XenApp STA 服务器 (故障切换顺序)

      通过使用向上和向下箭头来按故障切换顺序组织 STA 服务器。

      要从列表中移除某个服务器,请选择该服务器,然后单击移除
  9. 要添加其他场,请单击添加场,然后输入该场的配置信息。
  10. 如果要将类别从 Citrix 场同步到 VMware Identity Manager,请选择从服务器场同步类别
  11. 选择不同步重复的应用程序以防止同步多个服务器中的重复应用程序。如果在多个数据中心部署了 VMware Identity Manager,将在多个数据中心设置相同的资源。通过选中此选项,可以防止 VMware Identity Manager 目录中包含重复的桌面或应用程序。
  12. 同步频率下拉菜单中,选择该集合中的资源的所需同步频率。
    您可以设置定期同步计划或选择手动同步。如果选择 手动,在设置集合后以及每次 Citrix 发布的资源或授权发生变化时,您必须在“虚拟应用程序配置”页上单击 同步
  13. 激活策略下拉列表中,选择如何向 Workspace ONE 中的用户提供 Citrix 发布的资源。
    可以通过 用户激活自动选项将资源添加到“目录”页中。用户可以使用“目录”页中的资源,或者将其移到“书签”页中。不过,要为任何应用程序设置审批流程,您必须为该应用程序选择“用户激活”。

    在该页上选择的激活策略适用于集合中的所有资源的所有用户授权。从应用程序或桌面的“授权”页中,您可以修改每个资源的各个用户或组的激活策略。

    如果要设置审批流程,建议将集合的激活策略设置为用户激活

  14. 单击保存
    该集合将会创建并显示在“虚拟应用程序”页中。尚未同步集合中的资源。
  15. 要将集合中的资源同步到 VMware Identity Manager,请在“虚拟应用程序配置”页中单击同步
    每次 Citrix 中的资源或授权发生变化时,需要进行同步以将更改传播到 VMware Identity Manager
    注: Citrix 产品中的匿名用户组功能不受 VMware Identity Manager 支持。

结果

系统会将 Citrix 发布的资源和对应的授权与 VMware Identity Manager 进行同步。

下一步做什么

为资源启动配置网络范围。