为使最终用户成功启动 Citrix 虚拟应用程序,Workspace ONE Access 连接到的 Citrix Gateway 服务器或 XenApp 服务器必须允许基于密码的身份验证。如果在 Citrix Gateway 服务器上配置了多因素身份验证,则必须为 Citrix Gateway 服务器设置条件访问策略,以使来自虚拟应用程序服务的流量进行基于密码的身份验证,而其他流量则进行多因素身份验证。
基于 Workspace ONE Access Connector 实例的 IP 地址配置身份验证策略。
过程
- 登录到 Citrix ADC 控制台。
- 在配置选项卡中,选择 。
- 单击要配置的服务器。
- 在基本身份验证、主身份验证下,添加两个身份验证策略:一个是 LDAP 策略,另一个是多因素身份验证策略。
- 使用以下表达式创建 LDAP 策略:
REQ.IP.SOURCEIP == WorkspaceONEAccessConnectorIPaddress
WorkspaceONEAccessConnectorIPaddress 是运行虚拟应用程序服务的 Workspace ONE Access Connector 的 IP 地址。要指定多个连接器实例,请使用 || 分隔各条目。例如:
REQ.IP.SOURCEIP == 198.51.100.0 || 198.51.100.1
- 使用以下表达式创建多因素身份验证策略:
REQ.IP.SOURCEIP != WorkspaceONEAccessConnectorIPaddress
WorkspaceONEAccessConnectorIPaddress 是运行虚拟应用程序服务的 Workspace ONE Access Connector 的 IP 地址。要指定多个实例,请使用 || 分隔各条目。例如:
REQ.IP.SOURCEIP != 198.51.100.0 || 198.51.100.1
- 确保 LDAP 策略具有较高优先级,从而优先得到评估。
- 使用以下表达式创建 LDAP 策略:
结果
设置这两个策略后,即使在 Citrix Gateway 服务器上配置了多因素身份验证,来自虚拟应用程序服务的启动流量也可以成功传输。