Use an on-premises Citrix Gateway as the identity provider for Citrix Cloud
Citrix Cloud unterstützt die Verwendung eines on-premises Citrix Gateway als Identitätsanbieter für die Authentifizierung von Abonnenten, wenn diese sich bei ihrem Workspace anmelden.
Vorteile der Authentifizierung mit Citrix Gateway:
- Fortdauernde Authentifizierung von Benutzern über das vorhandene Citrix Gateway, damit sie über Citrix Workspace auf die Ressourcen in der On-Premises-Bereitstellung von Virtual Apps and Desktops zugreifen können.
- Verwenden Sie die Funktionen Citrix Gateway Authentifizierung, Autorisierung und Auditing (Citrix ADC AAA) mit Citrix Workspace.
- Verwendung von Features wie Passthrough-Authentifizierung, Smartcards, Sicherheitstoken, Richtlinien für bedingten Zugriff, Verbund usw. für den Benutzerzugriff auf erforderliche Ressourcen über Citrix Workspace.
Die Citrix Gateway -Authentifizierung wird für die Verwendung mit den folgenden Produktversionen unterstützt:
- Citrix Gateway 13.0 41.20 Advanced Edition oder höher
- Citrix Gateway 12.1 54.13 Advanced Edition oder höher
Voraussetzungen
-
Cloud Connectors - Sie benötigen mindestens zwei Server, auf denen die Citrix Cloud Connector -Software installiert werden kann.
-
Active Directory - Führen Sie die erforderlichen Prüfungen durch.
-
Anforderungen für Citrix Gateway
-
Verwenden Sie erweiterte Richtlinien auf dem lokalen Gateway aufgrund der Verminderung klassischer Richtlinien.
-
Bei der Konfiguration des Gateway für die Authentifizierung von Abonnenten von Citrix Workspace fungiert das Gateway als OpenID Connect-Anbieter. Nachrichten zwischen Citrix Cloud und Gateway entsprechen dem OIDC-Protokoll, was auch die digitale Signatur von Token umfasst. Daher müssen Sie ein Zertifikat zur Signatur dieser Token konfigurieren.
-
Taktsynchronisation - Das Gateway muss mit der NTP-Zeit synchronisiert sein.
-
Einzelheiten finden Sie unter Voraussetzungen.
Erstellen einer OAuth IdP-Richtlinie auf dem lokalen Citrix Gateway
Wichtig:
Sie müssen die Client-ID, die geheime und die Umleitungs-URL auf der Registerkarte Citrix Cloud > Identity and Access Management > Authentifizierung generiert haben. Einzelheiten finden Sie unter Verbinden eines lokalen Citrix Gateway mit Citrix Cloud.
Das Erstellen einer OAuth IdP-Authentifizierungsrichtlinie umfasst die folgenden Aufgaben:
-
Erstellen Sie ein OAuth IdP-Profil.
-
Fügen Sie eine OAuth-IdP-Richtlinie hinzu.
-
Binden Sie die OAuth IdP-Richtlinie an einen virtuellen Authentifizierungsserver.
-
Binden Sie das Zertifikat global.
Erstellen eines OAuth IdP-Profils mit der CLI
Geben Sie an der Eingabeaufforderung;
add authentication OAuthIDPProfile <name> [-clientID <string>] [-clientSecret ] [-redirectURL <URL>] [-issuer <string>] [-sendPassword ( ON | OFF )]
add authentication OAuthIdPPolicy <name> -rule <expression> -action <string>
bind authentication vserver <name> [-policy <string> [-priority <positive_integer>] [-gotoPriorityExpression <expression>]] [-portaltheme <string>]
Beispiel:
add authentication OAuthIDPProfile oauthidp_staging -clientID <client> -clientSecret <Secret from client> -redirectURL "<url from client>" -issuer <https://GatewayFQDN.com> -sendPassword ON
add authentication OAuthIdPPolicy oauthidp_staging -rule true -action oauthidp_staging
bind authentication vserver auth -policy oauthidp_staging -priority 10 -gotoPriorityExpression next
bind vpn global -certkeyName MyCertKeyName
Erstellen eines OAuth IdP-Profils mit der GUI
-
Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > OAuth-IDP .
-
Wählen Sie auf der Seite OAuth IDP die Registerkarte Profile aus und klicken Sie auf Hinzufügen.
-
Konfigurieren Sie das OAuth IdP-Profil.
Hinweis:
-
Kopieren Sie die Client-ID-, geheime und Umleitungs-URL-Werte aus Citrix Cloud > Identitäts- und Zugriffsverwaltung > Registerkarte Authentifizierung, und fügen Sie sie ein, um die Verbindung mit Citrix Cloud herzustellen.
-
Geben Sie die Gateway-URL im Beispiel für den Ausstellernamen korrekt ein: https://GatewayFQDN.com
-
Kopieren Sie auch die Client-ID und fügen Sie sie in das Feld Zielgruppe ein.
-
Kennwort senden: Aktivieren Sie diese Option für Single Sign-On-Unterstützung. Diese Option ist standardmäßig deaktiviert.
-
-
Klicken Sie auf Erstellen.
-
Wählen Sie auf der Seite OAuth IDP die Option Policies aus und klicken Sie auf Hinzufügen.
-
Konfigurieren Sie die OAuth IdP-Richtlinie.
-
Binden Sie die OAuth IdP-Richtlinie an den virtuellen Server für Authentifizierung, Autorisierung und Auditing-Authentifizierung.
- Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Server.
- Wählen Sie den virtuellen Server aus, an den Sie die Richtlinie binden möchten, und klicken Sie dann auf Bearbeiten.
- Klicken Sie unter Erweiterte Authentifizierungsrichtlinien neben Keine OAuth-IDP-Richtlinie auf >.
- Klicken Sie auf der Seite Authentication OAuth IDP Policy auf Add Binding.
- Wählen Sie unter Richtlinieauswählen die OAuth IdP-Richtlinie aus.
- Klicken Sie auf Bind.
Hinweis
Wenn SendPassword auf ON (standardmäßig OFF) eingestellt ist, werden Benutzeranmeldeinformationen verschlüsselt und über einen sicheren Kanal an Citrix Cloud weitergeleitet. Durch die Übergabe von Benutzeranmeldeinformationen über einen sicheren Kanal können Sie SSO zu Citrix Virtual Apps and Desktops beim Start aktivieren.
Unterstützung für aktiv-aktive GSLB-Bereitstellungen auf Citrix Gateway
Citrix Gateway, das als Identity Provider (IdP) mit dem OIDC-Protokoll konfiguriert ist, kann aktiv-aktive GSLB-Bereitstellungen unterstützen. Die aktiv-aktive GSLB-Bereitstellung auf dem Citrix Gateway IdP bietet die Möglichkeit, einen Lastenausgleich einer eingehenden Benutzeranmeldeanforderung über mehrere geografische Standorte hinweg zu verteilen.
Wichtig
Citrix empfiehlt, Zertifizierungsstellenzertifikate an den SSL-Dienst zu binden und die Zertifikatvalidierung für den SSL-Dienst zu aktivieren, um die Sicherheit zu erhöhen.
Weitere Informationen zum Konfigurieren des GSLB-Setups finden Sie unter Beispiel für eine GSLB Einrichtung und Konfiguration.