为使最终用户成功启动 Citrix 虚拟应用程序,Workspace ONE Access 连接到的 Citrix Gateway 服务器或 XenApp 服务器必须允许基于密码的身份验证。如果在 Citrix Gateway 服务器上配置了多因素身份验证,则必须为 Citrix Gateway 服务器设置条件访问策略,以使来自虚拟应用程序服务的流量进行基于密码的身份验证,而其他流量则进行多因素身份验证。

基于 Workspace ONE Access Connector 实例的 IP 地址配置身份验证策略。

过程

  1. 登录到 Citrix ADC 控制台。
  2. 配置选项卡中,选择 Citrix Gateway > 虚拟服务器
  3. 单击要配置的服务器。
  4. 基本身份验证主身份验证下,添加两个身份验证策略:一个是 LDAP 策略,另一个是多因素身份验证策略。
    1. 使用以下表达式创建 LDAP 策略:
      REQ.IP.SOURCEIP == WorkspaceONEAccessConnectorIPaddress

      WorkspaceONEAccessConnectorIPaddress 是运行虚拟应用程序服务的 Workspace ONE Access Connector 的 IP 地址。要指定多个连接器实例,请使用 || 分隔各条目。例如:

      REQ.IP.SOURCEIP == 198.51.100.0 || 198.51.100.1

    2. 使用以下表达式创建多因素身份验证策略:
      REQ.IP.SOURCEIP != WorkspaceONEAccessConnectorIPaddress

      WorkspaceONEAccessConnectorIPaddress 是运行虚拟应用程序服务的 Workspace ONE Access Connector 的 IP 地址。要指定多个实例,请使用 || 分隔各条目。例如:

      REQ.IP.SOURCEIP != 198.51.100.0 || 198.51.100.1

    3. 确保 LDAP 策略具有较高优先级,从而优先得到评估。

结果

设置这两个策略后,即使在 Citrix Gateway 服务器上配置了多因素身份验证,来自虚拟应用程序服务的启动流量也可以成功传输。