Documentation produit
Citrix Cloud™
Voir PDF

Configurer une application SAML avec un ID d’entité délimité dans Citrix Cloud™

April 2, 2026
Author:  Mark Dear

Cet article explique comment provisionner plusieurs applications SAML au sein du même fournisseur SAML.

Certains fournisseurs SAML, tels qu’Azure Active Directory (AD), Active Directory Federation Services (ADFS), PingFederate et PingSSO, interdisent la réutilisation du même ID d’entité de fournisseur de services (SP) au sein de plusieurs applications SAML. Par conséquent, les administrateurs qui créent au moins deux applications SAML différentes au sein du même fournisseur SAML ne peuvent pas les lier aux mêmes locataires Citrix Cloud, ou à des locataires différents. Tenter de créer une deuxième application SAML en utilisant le même ID d’entité SP, tel que https:\\saml.cloud.com, alors qu’une application SAML existante l’utilise déjà, déclenche une erreur chez le fournisseur SAML, indiquant que l’ID d’entité est déjà utilisé.

Les images suivantes illustrent cette erreur :

  • Dans Azure Active Directory :

    ID d'entité dans la console Azure AD avec le texte d'erreur mis en surbrillance

  • Dans PingFederate :

    ID d'entité dans la console PingFederate avec le texte d'erreur mis en surbrillance

La fonctionnalité d’ID d’entité délimité dans Citrix Cloud résout cette limitation, vous permettant de créer plusieurs applications SAML au sein du fournisseur SAML (tel qu’un locataire Azure AD) et de les lier à un seul locataire Citrix Cloud.

Qu’est-ce qu’un ID d’entité ?

Un ID d’entité SAML est un identifiant unique utilisé pour identifier une entité spécifique dans le protocole d’authentification et d’autorisation SAML. Généralement, l’ID d’entité est une URL ou un URI attribué à l’entité et utilisé dans les messages et les métadonnées SAML. Chaque application SAML que vous créez au sein de votre fournisseur SAML est considérée comme une entité unique.

Dans une connexion SAML entre Citrix Cloud et Azure AD, par exemple, Citrix Cloud est le fournisseur de services (SP) et Azure AD est le fournisseur SAML. Les deux possèdent un ID d’entité qui doit être configuré de l’autre côté de la connexion SAML. Cela signifie que l’ID d’entité de Citrix Cloud doit être configuré dans Azure AD, et l’ID d’entité d’Azure AD doit être configuré dans Citrix Cloud.

Les ID d’entité suivants sont des exemples d’ID d’entité générique et d’ID d’entité délimité dans Citrix Cloud :

  • Générique : https://saml.cloud.com
  • Délimité : https://saml.cloud.com/67338f11-4996-4980-8339-535f76d0c8fb

ID d’entité SP génériques et délimités par région

Les connexions SAML existantes dans Citrix Cloud (créées avant novembre 2023) utilisent le même ID d’entité générique pour chaque connexion SAML et locataire Citrix Cloud. Seules les nouvelles connexions SAML Citrix Cloud offrent la possibilité d’utiliser un ID d’entité délimité.

Si vous choisissez d’utiliser des ID d’entité délimités pour les nouvelles connexions, toutes les connexions SAML existantes continuent de fonctionner en utilisant leurs ID d’entité génériques d’origine.

  • Le tableau suivant répertorie les ID d’entité SP génériques et délimités pour chaque région Citrix Cloud :
Région Citrix Cloud ID d’entité SP générique ID d’entité délimité
États-Unis, Union européenne, Asie-Pacifique Sud https://saml.cloud.com https://saml.cloud.com/67338f11-4996-4980-8339-535f76d0c8fb
Japon https://saml.citrixcloud.jp https://saml.citrixcloud.jp/db642d4c-ad2c-4304-adcf-f96b6aa16c29
Gouvernement https://saml.cloud.us https://saml.cloud.us/20f1cf66-cfe9-4dd3-865c-9c59a6710820

Génération d’ID d’entité SP uniques pour les connexions SAML nouvelles et existantes

Lorsque vous créez une nouvelle connexion SAML, Citrix Cloud génère un ID unique (GUID). Pour générer un ID d’entité délimité, vous activez le paramètre Configurer l’ID d’entité SAML délimité lors de la création de la nouvelle connexion.

Si vous souhaitez mettre à jour une connexion SAML existante pour utiliser des ID d’entité délimités, vous devez déconnecter puis reconnecter votre fournisseur SAML depuis la page Gestion des identités et des accès > Authentification dans Citrix Cloud. Citrix Cloud ne vous permet pas de modifier directement les connexions SAML existantes. Cependant, vous pouvez cloner la configuration et modifier le clone.

Important :

La fermeture du processus de connexion SAML avant son achèvement annule l’ID d’entité que Citrix Cloud génère automatiquement. Lorsque vous redémarrez le processus de connexion SAML, Citrix Cloud génère un nouveau GUID d’ID d’entité délimité. Utilisez ce nouvel ID d’entité délimité lorsque vous configurez le fournisseur SAML. Si vous mettez à jour une connexion SAML existante pour utiliser des ID d’entité délimités, vous devez mettre à jour l’application SAML pour cette connexion avec l’ID d’entité délimité que Citrix Cloud génère.

Questions fréquemment posées sur les ID d’entité délimités

Puis-je créer plusieurs applications SAML Azure AD au sein du même locataire Azure AD et les lier à un ou plusieurs locataires Citrix Cloud ?

La fonctionnalité d’ID d’entité délimité de Citrix Cloud résout la limitation empêchant les ID d’entité en double imposée par certains fournisseurs SAML. Grâce à cette fonctionnalité, vous pouvez provisionner plusieurs applications SAML au sein de votre locataire Azure AD et configurer chacune d’elles avec un ID d’entité délimité à partir d’un seul locataire Citrix Cloud.

Puis-je toujours lier la même application SAML Azure AD à plusieurs locataires Citrix Cloud ?

Ce scénario est courant parmi les clients Citrix Cloud et Citrix continue de le prendre en charge. Pour implémenter ce scénario, vous devez satisfaire aux exigences suivantes :

  • Utilisez un ID d’entité générique, tel que https://saml.cloud.com.
  • N’activez pas les ID d’entité délimités pour votre connexion SAML.

Comment décider d’utiliser ou non un ID d’entité délimité au sein de mon fournisseur SAML ?

Les ID d’entité délimités (Scoped Entity IDs) dans Citrix Cloud offrent la flexibilité d’utiliser un ID d’entité générique ou délimité, selon vos exigences. Tenez compte du nombre d’applications SAML dont vous avez besoin et du nombre de locataires Citrix Cloud que vous possédez. Déterminez également si chaque locataire pourrait partager une application SAML existante ou nécessiter sa propre application SAML délimitée.

Important :

Si votre fournisseur SAML vous permet déjà de créer plusieurs applications SAML avec le même ID d’entité (tel que https://saml.cloud.com), vous n’avez pas besoin d’activer les ID d’entité délimités ni d’apporter des modifications à votre configuration SAML existante. Vous n’avez pas non plus besoin de mettre à jour les paramètres dans Citrix Cloud ou dans votre application SAML.

Fournisseurs SAML concernés

Le tableau suivant répertorie les fournisseurs SAML qui autorisent ou limitent l’utilisation d’ID d’entité en double.

Fournisseur SAML Prend en charge les ID d’entité en double
Azure AD (cloud) Non
ADFS (sur site) Non
PingFederate (sur site) Non
PingOneSSO (cloud) Non
Okta (cloud) Oui
Duo (cloud) Oui
OneLogin (cloud) Oui

  • Cas d’utilisation concernés

Le tableau suivant indique si un ID d’entité générique ou délimité est pris en charge en fonction des applications SAML requises par votre cas d’utilisation et si votre fournisseur SAML prend en charge les ID d’entité en double.

Exigence du cas d’utilisation Le fournisseur SAML prend-il en charge les ID d’entité en double ? Configuration prise en charge
Une seule application SAML Oui ID d’entité générique ou délimité
Une seule application SAML Non ID d’entité générique ou délimité
Deux applications SAML ou plus Oui ID d’entité générique ou délimité
Deux applications SAML ou plus Non ID d’entité délimité
Paires d’URL personnalisées Workspace et d’applications SAML Oui ID d’entité générique ou délimité
Paires d’URL personnalisées Workspace et d’applications SAML Non ID d’entité délimité
Lier la même application SAML à plusieurs locataires Citrix Cloud Oui ID d’entité générique
Lier la même application SAML à plusieurs locataires Citrix Cloud Non ID d’entité générique

Configurer la connexion SAML principale avec un ID d’entité délimité

Dans cette tâche, vous créez une connexion SAML dans Citrix Cloud à l’aide d’un ID d’entité délimité pour l’application SAML principale (Application SAML 1).

  1. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès.
  2. Sous l’onglet Authentification, recherchez SAML 2.0 et sélectionnez Connecter dans le menu des points de suspension.
  3. Lorsque vous êtes invité à créer votre URL de connexion unique, entrez un identifiant court et convivial pour votre entreprise (par exemple, https://citrix.cloud.com/go/mycompany) et sélectionnez Enregistrer et continuer. Cet identifiant doit être unique dans Citrix Cloud.
  4. Sous Configurer le fournisseur d’identité SAML, sélectionnez Configurer l’ID d’entité SAML délimité. Citrix Cloud génère automatiquement des ID d’entité délimités et remplit les champs ID d’entité, Service consommateur d’assertion et URL de déconnexion.
  5. Sous Configurer une connexion SAML à Citrix Cloud, entrez les détails de connexion de votre fournisseur SAML.
  6. Acceptez les mappages d’attributs SAML par défaut.
  7. Sélectionnez Tester et terminer.

Configurer la connexion SAML principale avec un ID d’entité générique

Dans cette tâche, vous créez une connexion SAML dans Citrix Cloud à l’aide de l’ID d’entité générique par défaut pour l’application SAML principale (Application SAML 1).

  1. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès.
  2. Sous l’onglet Authentification, recherchez SAML 2.0 et sélectionnez Connecter dans le menu des points de suspension.
  3. Lorsque vous êtes invité à créer votre URL de connexion unique, entrez un identifiant court et convivial pour votre entreprise (par exemple, https://citrix.cloud.com/go/mycompany) et sélectionnez Enregistrer et continuer. Cet identifiant doit être unique dans Citrix Cloud.
  4. Sous Configurer le fournisseur d’identité SAML, vérifiez que l’option Configurer l’ID d’entité SAML délimité est désactivée.
  5. Sous Configurer une connexion SAML à Citrix Cloud, entrez les détails de connexion de votre fournisseur SAML.
  6. Dans Métadonnées SAML du fournisseur de services, cliquez sur Télécharger pour obtenir une copie des métadonnées SAML génériques, si nécessaire.
  7. Acceptez les mappages d’attributs SAML par défaut.
  8. Sélectionnez Tester et terminer.

Configurer une connexion SAML à l’aide de domaines personnalisés Citrix Workspace™

Cette section explique comment configurer une connexion SAML à l’aide d’une URL Workspace personnalisée avec un ID d’entité délimité ou générique.

Les tâches de cette section s’appliquent uniquement si vous disposez d’une URL Workspace personnalisée existante que vous utilisez avec SAML. Si vous n’utilisez pas d’URL Workspace personnalisée avec l’authentification SAML, vous pouvez ignorer les tâches de cette section.

Pour plus d’informations, consultez les articles suivants :

Configurer une connexion SAML avec une URL personnalisée Workspace et un ID d’entité générique

Dans cette tâche, le paramètre Configurer l’ID d’entité délimité est désactivé.

  1. Dans le menu Citrix Cloud, sélectionnez Authentification Workspace.
    1. Dans URL Workspace personnalisée, sélectionnez Modifier dans le menu des points de suspension.
    1. Sélectionnez Utiliser à la fois l’URL [customerName].cloud.com et l’URL de domaine personnalisé.
  1. Entrez l’ID d’entité générique, l’URL SSO et l’URL SLO facultative pour l’application SAML 2 et chargez le certificat de signature que vous avez téléchargé précédemment auprès de votre fournisseur SAML.
  2. Si nécessaire, dans Métadonnées SAML du fournisseur de services pour le domaine personnalisé, cliquez sur Télécharger pour obtenir une copie des métadonnées SAML génériques pour l’application SAML de l’URL personnalisée Workspace.
  3. Cliquez sur Enregistrer.

Configurer une connexion SAML avec une URL personnalisée Workspace et un ID d’entité délimité

Dans cette tâche, le paramètre Configurer l’ID d’entité délimité est activé.

  1. Dans le menu Citrix Cloud, sélectionnez Authentification Workspace.
  2. Dans URL Workspace personnalisée, sélectionnez Modifier dans le menu des points de suspension.
  3. Sélectionnez Utiliser à la fois l’URL [customerName].cloud.com et l’URL de domaine personnalisé.
  4. Entrez l’ID d’entité délimité, l’URL SSO et l’URL SLO facultative pour l’application SAML 2 et chargez le certificat de signature SAML que vous avez téléchargé précédemment auprès de votre fournisseur SAML.
  5. Cliquez sur Enregistrer.

Après avoir enregistré la configuration, Citrix Cloud génère les métadonnées SAML délimitées contenant le GUID correct. Si nécessaire, vous pouvez obtenir une copie des métadonnées délimitées pour l’application SAML de l’URL personnalisée Workspace.

  1. Sur la page Gestion des identités et des accès, localisez la connexion SAML et sélectionnez Afficher dans le menu des points de suspension.
  2. Dans Métadonnées SAML du fournisseur de services pour le domaine personnalisé, cliquez sur Télécharger.

Afficher la configuration SAML des applications SAML principales et des URL personnalisées Workspace

Lorsque vous consultez les détails de configuration de votre connexion SAML délimitée, Citrix Cloud affiche les paramètres d’ID d’entité délimités pour l’application SAML principale et l’application SAML du domaine personnalisé Workspace.

Par exemple, lorsque les ID d’entité délimités sont activés, les champs ID d’entité du fournisseur de services et ID d’entité du fournisseur de services pour le domaine personnalisé contiennent les ID d’entité délimités générés par Citrix Cloud.

Configuration SAML avec ID d'entité délimité activé

Lorsque les ID d’entité délimités sont désactivés, les champs ID d’entité du fournisseur de services et ID d’entité du fournisseur de services pour domaine personnalisé contiennent les ID d’entité génériques.

Configuration SAML avec des ID d'entité génériques

Vous pouvez mettre à jour les applications SAML existantes au sein de votre fournisseur SAML en ajoutant l’ID d’entité délimité à la valeur d’ID d’entité existante.

Configuration du fournisseur SAML avec des ID d’entité délimités

Après avoir configuré la connexion SAML dans Citrix Cloud avec des ID d’entité délimités, vous pouvez ajouter l’ID d’entité délimité à votre fournisseur SAML.

Cette section inclut des exemples de configuration d’Azure AD et de PingFederate.

Configuration SAML Azure AD avec ID d’entité délimité

Dans cet exemple, l’ID d’entité délimité de Citrix Cloud est saisi dans le champ Identificateur d’Azure AD.

Configuration de l'application SAML dans Azure AD avec l'ID d'entité mis en surbrillance

Configuration SAML PingFederate avec ID d’entité délimité

Dans cet exemple, l’ID d’entité délimité et l’ID d’entité générique de Citrix Cloud sont renseignés respectivement dans le champ ID d’entité du partenaire et le champ URL de base.

Configuration de l'application SAML dans PingFederate avec l'ID d'entité mis en surbrillance

Dépannage

Citrix recommande d’utiliser l’extension de navigateur SAML-tracer pour résoudre tout problème lié à votre configuration SAML. Cette extension décode les requêtes et les réponses encodées en Base64 en XML SAML, rendant les informations lisibles par l’homme. Vous pouvez utiliser l’extension SAML-tracer pour examiner les requêtes SAML SSO et SLO que Citrix Cloud (le fournisseur de services) génère et envoie à votre fournisseur SAML (le fournisseur d’identité). L’extension peut indiquer si l’étendue de l’ID d’entité (GUID) est incluse dans les deux requêtes.

  1. Depuis le panneau Extensions de votre navigateur web, installez et activez l’extension SAML-tracer.
  2. Effectuez une opération de connexion et de déconnexion SAML et capturez l’intégralité du flux avec l’extension SAML-tracer.

  3. Localisez la ligne suivante dans la requête SAML SSO ou la requête SLO.

    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">https://saml.cloud.com/cfee4a86-97a8-49cf-9bb6-fd15ab075b92</saml:Issuer>
<!--NeedCopy-->
  4. Vérifiez que l’ID d’entité correspond à l’ID d’entité configuré dans votre application de fournisseur SAML.
  5. Vérifiez que l’ID d’entité délimité est présent dans le champ Émetteur et vérifiez qu’il est correctement configuré dans votre fournisseur SAML.
  6. Exportez et enregistrez la sortie JSON de SAML-tracer. Si vous travaillez avec le support Citrix pour résoudre un problème, téléchargez la sortie dans votre dossier de support Citrix.

Dépannage Azure AD

Problème : La déconnexion d’Azure AD échoue lorsque le SLO est configuré. Azure AD affiche l’erreur suivante à l’utilisateur :

Erreur de déconnexion Azure AD

Si les ID d’entité délimités sont activés pour la connexion SAML dans Citrix Cloud, l’ID d’entité délimité doit être envoyé dans les requêtes SSO et SLO.

Cause : L’entité délimitée est configurée, mais l’ID d’entité est manquant dans la requête SLO. Vérifiez que l’ID d’entité délimité est présent dans la requête SLO dans la sortie de SAML-tracer.

Dépannage de PingFederate sur site

Problème : La connexion ou la déconnexion de PingFederate échoue après l’activation du paramètre d’ID d’entité délimité.

Cause : L’administrateur PingFederate a ajouté l’ID d’entité délimité à l’URL de base de la connexion SP.

Pour corriger ce problème, ajoutez l’ID d’entité délimité uniquement au champ ID d’entité du partenaire. L’ajout de l’ID d’entité délimité à l’URL de base entraîne un point de terminaison SAML mal formé. Si l’URL de base de Citrix Cloud est mise à jour de manière incorrecte, toutes les autres URL relatives aux points de terminaison SAML qui sont dérivées de l’URL de base entraînent des échecs de connexion.

Les points de terminaison suivants sont des exemples de points de terminaison SAML Citrix Cloud mal formés qui peuvent apparaître dans la sortie de SAML-tracer :

  • https://saml.cloud.com/<GUID>/saml/acs
  • https://saml.cloud.com/<GUID>/saml/logout/callback

L’image suivante montre une application SAML PingFederate mal configurée. Le champ correctement configuré est affiché en vert. Le champ configuré de manière incorrecte est affiché en rouge.

Console PingFederate avec les champs mal configurés mis en surbrillance

Configurer une application SAML avec un ID d’entité délimité dans Citrix Cloud™
April 2, 2026
Author:  Mark Dear
April 2, 2026
Author:  Mark Dear

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.