若要在 VMware Identity Manager 中設定 Citrix XenApp 和 XenDesktop 伺服器陣列,您必須在 [虛擬應用程式組態] 頁面中建立一或多個虛擬應用程式集合,其中包含組態資訊,例如同步資源和權利的來源 Citrix 伺服器、用於同步和 SSO 的 Integration Broker、用於同步的 VMware Identity Manager Connector,以及管理員設定 (如預設啟動用戶端)。

您可以根據需求在一個集合中新增所有的 Citrix 伺服器陣列,或是建立多個集合。例如,您可以選擇為每個伺服器陣列建立個別的集合以便進行管理,並將同步負載分散到不同的連接器。或者,您可以選擇將所有伺服器陣列包含在一個集合中以用於測試環境,並將另一個相同的集合用於生產環境。

在 VMware Identity Manager 中設定 Citrix 發佈的資源之前,請確定您符合所有必要條件。

此外也請遵循下列關於 Citrix 伺服器陣列設定的準則。
  • 同步傳遞群組

    傳遞群組在 Citrix 中的 [傳遞類型] 設定可決定 VMware Identity Manager 同步傳遞群組的方式。

    VMware Identity Manager 只有在傳遞群組的 [傳遞類型] 設定為 DesktopsAndApps 或 DesktopsOnly 時,才會同步傳遞群組。如果傳遞群組的 [傳遞類型] 設定為 AppsOnly,則其應用程式仍會同步,但傳遞群組本身將不會同步,且不會顯示在 VMware Identity Manager 目錄中。

    請視情況設定您的傳遞群組。

  • 在 XenDesktop 和 XenApp 7.9 中,如果您使用 [有限可見度群組] 選項來限制使用者,請確定 [有限可見度群組] 中包含使用者或群組。如果其中未包含任何使用者或群組,則同步至 VMware Identity Manager 的作業將無法正常運作。
  • 確定一個站台中所有 Citrix 發佈的應用程式和桌面平台皆包含有效的使用者。若您刪除使用者或群組,請確保也從 Citrix 發佈的資源中移除該使用者或群組。
  • 確定使用者和群組已指派給正確的傳遞群組。

    如果您選取了限制使用者的設定,請確保其中包含使用者和群組。

  • XenDesktop 和 XenApp 7.x 可讓您使用「允許任何已驗證的使用者使用此傳遞群組」設定,在傳遞群組層級上為所有已驗證的使用者設定權利。VMware Identity Manager 不支援此設定。為了確保使用者在 VMware Identity Manager 中擁有正確的權利,請為使用者和群組設定明確的權利。

必要條件

  • 設定VMware Identity Manager。如需相關資訊,請參閱《安裝和設定 VMware Identity Manager》以及《VMware Identity Manager 管理》
  • 確定具有 Citrix 權利的使用者和群組已使用目錄同步從您的企業目錄同步至 VMware Identity Manager。

    使用者必須擁有 distinguishedName 屬性。如果未針對使用者設定此屬性,則使用者可能無法執行桌面平台和應用程式。

  • 部署 Integration Broker,並確定您已符合 Citrix 整合的必要條件中所述的所有必要條件。

  • 如果您在 Integration Broker 前方使用負載平衡器,請記下負載平衡器的主機名稱或 IP 位址,以便在此工作期間使用。

  • 如果您想要使用 [使用 StoreFront] 選項 (VMware Identity manager 2.9.1 和更新版本中所提供),請確定您符合下列需求。
    • 安裝 Integration Broker 2.9.1 或更新版本。
    • 確定使用的 XenApp 或 XenDesktop 版本支援 StoreFront。
    • 確定 Integration Broker 可與 StoreFront 伺服器通訊。

      當您啟用 StoreFront REST API 時,Integration Broker 會與 StoreFront 伺服器通訊以產生 ICA 檔案。

    • 在 StoreFront 伺服器中,如果您為「使用者名稱和密碼」驗證方法設定信任的網域,請確保使用完整網域名稱格式將網域名稱新增至「信任的網域」清單。VMware Identity Manager 需要完整網域名稱。如需詳細資訊,請參閱 啟動 Citrix 發佈的應用程式和桌面平台
  • 檢閱您 Citrix XenApp 或 XenDesktop 版本的 Citrix 說明文件。
  • 在 VMware Identity Manager 3.2 中,您必須使用可在目錄服務中執行「管理桌面平台應用程式」動作的管理員角色。

程序

  1. 登入 VMware Identity Manager 管理主控台。
  2. 選取目錄 > 虛擬應用程式索引標籤,然後按一下虛擬應用程式組態
  3. 按一下新增虛擬應用程式,然後選取 Citrix 發佈的應用程式
  4. 輸入集合的唯一名稱。
  5. 同步連接器下拉式功能表中,選取要在此集合中同步資源的連接器。

    如果您已設定多個連接器以達到高可用性,請按一下新增連接器,然後選取連接器。連接器的列出順序將決定容錯移轉順序。

  6. 同步 Integration Broker 區段中,提供要用來同步資源之 Integration Broker 執行個體的相關資訊。
    1. 輸入「同步 Integration Broker」的完整網域名稱和連接埠號碼。

      如果您在專用於同步的多個 Integration Broker 執行個體前方設定了負載平衡器,請輸入負載平衡器的主機名稱或 IP 位址和連接埠號碼。

    2. 若要透過 SSL 連線至 Integration Broker,請選取使用 SSL 核取方塊,然後複製並貼上 Integration Broker 伺服器的 SSL 憑證。
      備註: 如果您使用自我簽署憑證,則也需要在 應用裝置設定 > 管理組態 > 安裝 SSL 憑證 > 受信任的 CA 頁面中上傳憑證。針對外部連接器的頁面位於 https:// connectorFQDN:8443/cfg/ssl。如果您選取了多個同步連接器,請將憑證新增至所有連接器的 安裝 SSL 憑證 > 受信任的 CA 頁面。
  7. SSO Integration Broker 區段中,提供要用來啟動資源的 Integration Broker 執行個體的相關資訊。您必須透過 SSL 連線至 SSL Integration Broker。
    1. 輸入 SSO Integration Broker 的完整網域名稱和連接埠號碼。

      如果您在專門用來提供 SSO 的多個 Integration Broker 執行個體前方設定了負載平衡器,請輸入負載平衡器的完整網域名稱和連接埠號碼。

      備註: 請勿使用 IP 位址。
    2. SSL 憑證欄位中,複製並貼上 Integration Broker 伺服器的 SSL 憑證。
      備註: 如果您使用自我簽署憑證,則也需要在 應用裝置設定 > 管理組態 > 安裝 SSL 憑證 > 受信任的 CA 頁面中上傳憑證。針對外部連接器的頁面位於 https:// connectorFQDN:8443/cfg/ssl。如果您選取了多個啟動連接器,請將憑證新增至所有連接器的 安裝 SSL 憑證 > 受信任的 CA 頁面。
  8. 伺服器陣列區段中,輸入 Citrix 伺服器陣列詳細資料。
    若要新增多個伺服器陣列,請按一下 +新增伺服器陣列
    選項 說明
    版本 選取 Citrix 伺服器陣列版本:5.0、6.0、6.5 或 7.x。
    使用 StoreFront 如果您要使用 Citrix StoreFront REST API 來啟動 XenApp 資源,請選取此選項。選取此選項時,Integration Broker 會使用 Citrix StoreFront REST API 與 StoreFront 伺服器通訊,並擷取 ICA 檔案。若未選取此選項,則 Integration Broker 會使用 Citrix Web Interface SDK 與 Citrix 元件通訊,並擷取 ICA 檔案。
    備註: 如果您在初始設定和同步化之後選取或取消選取此選項,請儲存您的設定,然後再次進行同步以使變更生效。
    StoreFront URL 以下列格式輸入 StoreFront 伺服器 URL:transportType://storefrontServerFQDN/Citrix/storenameWeb

    例如:http://xen76.example.com/Citrix/mystoreWeb

    備註: 這是 Store Web Receiver 網站 URL。
    重要: 當您設定 XenApp 的內部網路範圍時,也需要在 用戶端存取 URL 主機欄位中輸入此 URL。
    伺服器名稱 您環境中指派的伺服器名稱。
    伺服器 (容錯移轉順序) 依容錯移轉順序組織 Citrix XML 代理 (伺服器)。VMware Identity Manager在 SSO 和發生容錯移轉狀況時會遵守此順序。
    備註: XML 代理必須已啟用 PowerShell 遠端功能。
    傳輸類型 Citrix 伺服器組態中使用的傳輸類型:HTTP、HTTPS 或 SSL RELAY。
    備註: 傳輸類型和連接埠必須符合 Citrix 伺服器組態。
    連接埠 Citrix 伺服器組態中使用的連接埠設定
    備註: 傳輸類型和連接埠必須符合 Citrix 伺服器組態。
    STA 伺服器 如果您使用的是 NetScaler,則必須指定伺服器陣列的 STA 伺服器。
    1. 指定 Citrix 伺服器陣列的 STA 伺服器。

      以下列格式輸入 STA 伺服器 URL:

      transporttype://server:port

      例如:http://staserver.example.com:80

      URL 只允許英數字元、句號 (.) 及連字號 (-)。

    2. 按一下新增至清單

      伺服器隨即會出現在 XenApp STA 伺服器清單中。

    3. 如有必要,請輸入其他 STA 伺服器。例如,為了進行容錯移轉,您可以指定第二部 STA 伺服器。
    如果您使用的是 NetScaler,請指定 Citrix 伺服器陣列的 STA 伺服器。
    XenApp STA 伺服器 (容錯移轉順序) 指定已新增之 STA 伺服器的容錯移轉順序。
  9. 若要新增其他伺服器陣列,請按一下新增伺服器陣列,然後輸入伺服器陣列的組態資訊。
  10. 如果要將類別從 Citrix 伺服器陣列同步至 VMware Identity Manager,請選取從伺服器陣列同步類別
  11. 選取不要同步重複的應用程式可防止從多個伺服器同步重複的應用程式。在多個資料中心部署 VMware Identity Manager 時,系統會在多個資料中心中設定相同的資源。選取此選項可防止 VMware Identity Manager目錄中出現重複的桌面平台或應用程式。
  12. 同步頻率下拉式功能表中,選取您要在此集合中同步資源的頻率。
    您可以設定一般的同步排程,或選擇手動同步。如果您選取 手動,則必須在設定集合後以及 Citrix 發佈的資源或權利有任何變更時,按一下 [虛擬應用程式組態] 頁面上的 同步
  13. 啟動類型下拉式清單中,選取讓使用者能夠在 Workspace ONE 中使用 Citrix 發佈的資源的方法。
    同時使用 使用者啟動自動選項時,資源會新增至 [目錄] 頁面。使用者可以從 [目錄] 頁面使用資源,或將資源移至 [書籤] 頁面。不過,若要設定任何應用程式的核准流程,您必須為該應用程式選取 [使用者啟動]。

    在此頁面上選取的啟動原則,皆會套用至集合中所有資源的所有使用者權利。您可以在應用程式或桌面平台的 [權利] 頁面上,針對不同的資源修改個別使用者或群組的啟動原則。

    如果您想要設定核准流程,建議您將集合的啟動原則設為使用者啟動

  14. 按一下儲存
    集合隨即建立,並出現在 [虛擬應用程式] 頁面中。此時系統尚未同步集合中的資源。
  15. 若要將集合中的資源同步至 VMware Identity Manager,請按一下 [虛擬應用程式組態] 頁面中的同步
    每當 Citrix 中的資源或權利有所變更時皆須進行同步才能將變更散佈到 VMware Identity Manager
    備註: VMware Identity Manager不支援 Citrix 產品中的匿名使用者群組功能。

結果

Citrix 發佈的資源和對應的權利就會與 VMware Identity Manager同步。

後續步驟

設定資源啟動的網路範圍。