Use an on-premises Citrix Gateway as the identity provider for Citrix Cloud
Citrix Cloud unterstützt die Verwendung eines on-premises Citrix Gateway als Identitätsanbieter für die Authentifizierung von Abonnenten, wenn diese sich bei ihrem Workspace anmelden.
Vorteile der Authentifizierung mit Citrix Gateway:
- Fortdauernde Authentifizierung von Benutzern über das vorhandene Citrix Gateway, damit sie über Citrix Workspace auf die Ressourcen in der On-Premises-Bereitstellung von Virtual Apps and Desktops zugreifen können.
- Verwenden Sie die Citrix Gateway-Authentifizierungs-, Autorisierungs- und Überwachungsfunktionen mit Citrix Workspace.
- Verwendung von Features wie Passthrough-Authentifizierung, Smartcards, Sicherheitstoken, Richtlinien für bedingten Zugriff, Verbund usw. für den Benutzerzugriff auf erforderliche Ressourcen über Citrix Workspace.
Die Authentifizierung mit Citrix Gateway wird für folgende Produktversionen unterstützt:
- Citrix Gateway 13.0 41.20 Advanced Edition oder höher
- Citrix Gateway 12.1 54.13 Advanced Edition oder höher
Voraussetzungen
-
Cloud Connectors - Sie benötigen mindestens zwei Server, auf denen Sie die Citrix Cloud Connector-Software installieren können.
-
Active Directory - Führen Sie die erforderlichen Prüfungen durch.
-
Anforderungen für Citrix Gateway
-
Verwenden Sie erweiterte Richtlinien auf dem on-premises Gateway aufgrund der Veraltung klassischer Richtlinien.
-
Bei der Konfiguration des Gateway für die Authentifizierung von Abonnenten von Citrix Workspace fungiert das Gateway als OpenID Connect-Anbieter. Nachrichten zwischen Citrix Cloud und Gateway entsprechen dem OIDC-Protokoll, was auch die digitale Signatur von Token umfasst. Daher müssen Sie ein Zertifikat zur Signatur dieser Token konfigurieren.
-
Taktsynchronisation - Das Gateway muss mit der NTP-Zeit synchronisiert sein.
-
Details finden Sie unter Voraussetzungen.
Erstellen einer OAuth IdP-Richtlinie auf dem lokalen Citrix Gateway
Wichtig:
Sie müssen die Client-ID, die geheime und die Umleitungs-URL auf der Registerkarte Citrix Cloud > Identitäts- und Zugriffsmanagement > Authentifizierung generiert haben. Weitere Informationen finden Sie unter Verbinden eines on-premises Citrix Gateway mit Citrix Cloud.
Das Erstellen einer OAuth IdP-Authentifizierungsrichtlinie umfasst die folgenden Aufgaben:
-
Erstellen Sie ein OAuth IdP-Profil.
-
Fügen Sie eine OAuth IdP-Richtlinie hinzu.
-
Binden Sie die OAuth IdP-Richtlinie an einen virtuellen Authentifizierungsserver.
-
Binden Sie das Zertifikat global.
Erstellen eines OAuth IdP-Profils mit der CLI
Geben Sie an der Eingabeaufforderung;
add authentication OAuthIDPProfile <name> [-clientID <string>][-clientSecret ][-redirectURL <URL>][-issuer <string>][-audience <string>][-skewTime <mins>] [-defaultAuthenticationGroup <string>]
add authentication OAuthIdPPolicy <name> -rule <expression> [-action <string> [-undefAction <string>] [-comment <string>][-logAction <string>]
add authentication ldapAction <name> -serverIP <IP> -ldapBase "dc=aaa,dc=local"
ldapBindDn <administrator@aaa.local> -ldapBindDnPassword <password> -ldapLoginName sAMAccountName
add authentication policy <name> -rule <expression> -action <string>
bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <integer> -gotoPriorityExpression NEXT
bind authentication vserver auth_vs -policy <OAuthIDPPolicyName> -priority <integer> -gotoPriorityExpression END
bind vpn global –certkey <>
<!--NeedCopy-->
Erstellen eines OAuth IdP-Profils mit der GUI
-
Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > OAuth IDP.
 -
Wählen Sie auf der OAuth IDP-Seite die Registerkarte Profile aus und klicken Sie auf Hinzufügen.
-
Konfigurieren Sie das OAuth IdP-Profil.
Hinweis:
-
Kopieren Sie die Werte für Client-ID, Secret und Redirect URL aus der Registerkarte Citrix Cloud > Identitäts- und Zugriffsmanagement > Authentifizierung und fügen Sie sie ein, um die Verbindung zu Citrix Cloud herzustellen.
-
Geben Sie die Gateway-URL im Beispiel für den Ausstellernamen korrekt ein: https://GatewayFQDN.com
-
Kopieren Sie auch die Client-ID und fügen Sie sie auch in das Feld Zielgruppe ein.
-
Kennwort senden: Aktivieren Sie diese Option für Single-Sign-On-Unterstützung. Standardmäßig ist diese Option deaktiviert.
-
-
Legen Sie im Bildschirm Authentifizierung erstellen OAuth IDP-Profil Werte für die folgenden Parameter fest und klicken Sie auf Erstellen.
-
Name — Name des Authentifizierungsprofils. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und darf nur Buchstaben, Zahlen und den Bindestrich (-), Punkt (.) Pfund (#), Leerzeichen (), Leerzeichen (), bei (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem das Profil erstellt wurde.
- Client-ID — Eindeutige Zeichenfolge, die SP identifiziert. Der Autorisierungsserver führt die Clientkonfiguration mit dieser ID ab. Maximale Länge: 127
- Client Secret — Geheime Zeichenfolge, die vom Benutzer und Autorisierungsserver festgelegt wurde. Maximale Länge: 239
- URL umleiten — Endpunkt für SP, an dem Code/Token gepostet werden muss.
- Name des Ausstellers — Identität des Servers, dessen Token akzeptiert werden sollen. Maximale Länge: 127 Beispiel:https://GatewayFQDN.com
- Zielgruppe — Zielempfänger für das Token, das vom IdP gesendet wird. Dies könnte vom Empfänger überprüft werden.
- Skew Time — Diese Option gibt die zulässige Taktverzerrung in Minuten an, die Citrix ADC für ein eingehendes Token zulässt. Wenn SkewTime beispielsweise 10 ist, wäre das Token von (aktuelle Zeit - 10) min bis (aktuelle Zeit + 10) min gültig, das sind insgesamt 20 Minuten. Standardwert: 5.
- Standard-Authentifizierungsgruppe — Eine Gruppe, die der internen Gruppenliste der Sitzung hinzugefügt wurde, wenn dieses Profil von IdP ausgewählt wird, das im nFactor Flow verwendet werden kann. Es kann im Ausdruck (AAA.USER.IS_MEMBER_OF (“xxx”)) für Authentifizierungsrichtlinien verwendet werden, um den zugehörigen nFactor-Flow zu identifizieren. Maximale Länge: 63
Der Sitzung für dieses Profil wird eine Gruppe hinzugefügt, um die Richtlinienbewertung zu vereinfachen und beim Anpassen von Richtlinien zu helfen. Dies ist die Standardgruppe, die ausgewählt wird, wenn die Authentifizierung zusätzlich zu den extrahierten Gruppen erfolgreich ist. Maximale Länge: 63.
 -
-
Klicken Sie auf Richtlinien, und klicken Sie auf Hinzufügen.
-
Legen Sie im Fenster Richtlinie für OAuth IDP-Authentifizierung erstellen Werte für die folgenden Parameter fest und klicken Sie auf Erstellen.
- Name — Der Name der Authentifizierungsrichtlinie.
- Aktion — Name des zuvor erstellten Profils.
- Log Action — Name der Nachrichtenprotokollaktion, die verwendet werden soll, wenn eine Anforderung mit dieser Richtlinie übereinstimmt. Keine obligatorische Einreichung.
- Aktion mitundefiniertem Ergebnis — Aktion, die ausgeführt werden soll, wenn das Ergebnis der Richtlinienbewertung nicht bestraft wird (UNDEF). Kein Pflichtfeld.
- Ausdruck — Standardsyntaxausdruck, den die Richtlinie verwendet, um auf eine bestimmte Anforderung zu antworten. Zum Beispiel ist es wahr.
- Kommentare - Irgendwelche Kommentare zu den Richtlinien.
Hinweis:
Wenn sendPassword auf ON (standardmäßig OFF) eingestellt ist, werden Benutzeranmeldeinformationen verschlüsselt und über einen sicheren Kanal an Citrix Cloud weitergeleitet. Wenn Sie Benutzeranmeldeinformationen über einen sicheren Kanal übergeben, können Sie SSO an Citrix Virtual Apps and Desktops nach dem Start aktivieren.
Binden der OAuthIDP-Richtlinie und der LDAP-Richtlinie an den virtuellen Authentifizierungsserver
-
Navigieren Sie zu Konfiguration > Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > LDAP.
-
Klicken Sie im Bildschirm LDAP-Aktionen auf Hinzufügen.
-
Legen Sie im Bildschirm Authentifizierungs-LDAP-Server erstellen die Werte für die folgenden Parameter fest und klicken Sie auf Erstellen.
- Name — Der Name der LDAP-Aktion
- Servername/ServerIP — Bereitstellung von FQDN oder IP des LDAP-Servers
- Wählen Sie geeignete Werte für Sicherheitstyp, Port, Servertyp, Timeout
- Stellen Sie sicher, dass Authentifizierung aktiviert ist
-
Basis-DN — Basis, von der aus die LDAP-Suche gestartet werden soll. Beispiel:
dc=aaa,dc=local. - Administrator Bind DN: Benutzername der Bindung an den LDAP-Server. Zum Beispiel admin@aaa.local.
- Administratorkennwort/Kennwort bestätigen: Kennwort zum Binden von LDAP
- Klicken Sie auf Verbindung testen, um Ihre Einstellungen zu testen.
- Attribut für Server-Anmeldename: Wählen Sie “samAccountName”
- Andere Felder sind nicht Pflichtfelder und können daher nach Bedarf konfiguriert werden.
-
Navigieren Sie zu Konfiguration > Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie.
-
Klicken Sie im Bildschirm Authentifizierungsrichtlinien auf Hinzufügen.
-
Legen Sie auf der Seite Authentifizierungsrichtlinie erstellen die Werte für die folgenden Parameter fest und klicken Sie auf Erstellen.
- Name — Name der LDAP-Authentifizierungsrichtlinie.
- Aktionstyp — Wählen Sie LDAP aus.
- Aktion — Wählen Sie die LDAP-Aktion aus.
- Ausdruck — Standardsyntaxausdruck, den die Richtlinie verwendet, um auf eine bestimmte Anforderung zu antworten. Zum Beispiel stimmt**.
Unterstützung für aktiv-aktive GSLB-Bereitstellungen auf Citrix Gateway
Citrix Gateway, das mit dem OIDC-Protokoll als Identity Provider (IdP) konfiguriert ist, kann aktiv-aktive GSLB-Bereitstellungen unterstützen. Die aktiv-aktive GSLB-Bereitstellung auf dem Citrix Gateway IdP ermöglicht den Lastausgleich einer eingehenden Benutzeranmeldeanforderung an mehreren geografischen Standorten.
Wichtig
Citrix empfiehlt, Zertifizierungsstellenzertifikate an den SSL-Dienst zu binden und die Zertifikatvalidierung für den SSL-Dienst zu aktivieren, um die Sicherheit zu erhöhen.
Weitere Informationen zum Konfigurieren des GSLB-Setups finden Sie unter Beispiel für eine GSLB-Setup und -Konfiguration.