ADC

Verwenden Sie ein lokales NetScaler Gateway als Identitätsanbieter für Citrix Cloud

Citrix Cloud unterstützt die Verwendung eines on-premises NetScaler Gateway als Identitätsanbieter für die Authentifizierung von Abonnenten, wenn diese sich bei ihrem Workspace anmelden.

Mithilfe der NetScaler Gateway-Authentifizierung können Sie:

  • Fortdauernde Authentifizierung von Benutzern über das vorhandene NetScaler Gateway, damit sie über Citrix Workspace auf die Ressourcen in der On-Premises-Bereitstellung von Virtual Apps and Desktops zugreifen können.
  • Verwenden Sie die NetScaler Gateway-Authentifizierungs-, Autorisierungs- und Überwachungsfunktionen mit Citrix Workspace.
  • Bieten Sie Ihren Benutzern Zugriff auf die Ressourcen, die sie über Citrix Workspace benötigen, indem Sie Funktionen wie Pass-Through-Authentifizierung, Smartcards, sichere Token, Richtlinien für bedingten Zugriff und Verbund verwenden.

Die Authentifizierung mit NetScaler Gateway wird für folgende Produktversionen unterstützt:

  • NetScaler Gateway 13.0 41.20 Advanced Edition oder höher
  • NetScaler Gateway 12.1 54.13 Advanced Edition oder höher

Voraussetzungen

  • Cloud Connectors - Sie benötigen mindestens zwei Server, auf denen Sie die Citrix Cloud Connector-Software installieren können.

  • Active Directory - Führen Sie die erforderlichen Prüfungen durch.

  • Anforderungen für NetScaler Gateway

    • Verwenden Sie erweiterte Richtlinien auf dem on-premises Gateway aufgrund der Veraltung klassischer Richtlinien.

    • Bei der Konfiguration des Gateway für die Authentifizierung von Abonnenten von Citrix Workspace fungiert das Gateway als OpenID Connect-Anbieter. Nachrichten zwischen Citrix Cloud und Gateway entsprechen dem OIDC-Protokoll, was auch die digitale Signatur von Token umfasst. Daher müssen Sie ein Zertifikat zur Signatur dieser Token konfigurieren.

    • Taktsynchronisation - Das Gateway muss mit der NTP-Zeit synchronisiert sein.

Details finden Sie unter Voraussetzungen.

Erstellen einer OAuth IdP-Richtlinie auf dem lokalen NetScaler Gateway

Wichtig:

Sie müssen die Client-ID, die geheime und die Umleitungs-URL auf der Registerkarte Citrix Cloud > Identitäts- und Zugriffsmanagement > Authentifizierung generiert haben. Weitere Informationen finden Sie unter Verbinden eines on-premises NetScaler Gateway mit Citrix Cloud.

Das Erstellen einer OAuth IdP-Authentifizierungsrichtlinie umfasst die folgenden Aufgaben:

  1. Erstellen eines OAuth-IdP-Profils

  2. Fügen Sie eine OAuth IdP-Richtlinie hinzu.

  3. Binden Sie die OAuth IdP-Richtlinie an einen virtuellen Authentifizierungsserver.

  4. Binden Sie das Zertifikat global.

Erstellen eines OAuth IdP-Profils mit der CLI

Geben Sie an der Eingabeaufforderung;

add authentication OAuthIDPProfile <name> [-clientID <string>][-clientSecret ][-redirectURL <URL>][-issuer <string>][-audience <string>][-skewTime <mins>] [-defaultAuthenticationGroup <string>]

add authentication OAuthIdPPolicy <name> -rule <expression> [-action <string>] [-undefAction <string>] [-comment <string>][-logAction <string>]

add authentication ldapAction <name> -serverIP <IP> -ldapBase "dc=aaa,dc=local"

ldapBindDn <administrator@aaa.local> -ldapBindDnPassword <password> -ldapLoginName sAMAccountName

add authentication policy <name> -rule <expression> -action <string>

bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <integer> -gotoPriorityExpression NEXT

bind authentication vserver auth_vs -policy <OAuthIDPPolicyName> -priority <integer> -gotoPriorityExpression END

bind vpn global -certkeyName <>
<!--NeedCopy-->

Erstellen eines OAuth IdP-Profils mit der GUI

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > OAuth IDP.

  2. Wählen Sie auf der OAuth IDP-Seite die Registerkarte Profile aus und klicken Sie auf Hinzufügen.

  3. Konfigurieren Sie das OAuth IdP-Profil.

    Hinweis:

    • Kopieren Sie die Werte für Client-ID, Secret und Redirect URL aus der Registerkarte Citrix Cloud > Identitäts- und Zugriffsmanagement > Authentifizierung und fügen Sie sie ein, um die Verbindung zu Citrix Cloud herzustellen.

    • Geben Sie die Gateway-URL im Beispiel für den Ausstellernamen korrekt ein: https://GatewayFQDN.com

    • Kopieren Sie auch die Client-ID und fügen Sie sie auch in das Feld Zielgruppe ein.

    • Kennwort senden: Aktivieren Sie diese Option für Single-Sign-On-Unterstützung. Standardmäßig ist diese Option deaktiviert.

  4. Legen Sie im Bildschirm Authentifizierung erstellen OAuth IDP-Profil Werte für die folgenden Parameter fest und klicken Sie auf Erstellen.

    • Name: Name des Authentifizierungsprofils. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen. Der Name darf nur Buchstaben, Zahlen und den Bindestrich (-), den Punkt (.) Pfund (#), das Leerzeichen (), das At (@), das Gleich (=), den Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem das Profil erstellt wurde.
    • Client-ID: Eindeutige Zeichenfolge, die SP identifiziert. Der Autorisierungsserver leitet die Clientkonfiguration von dieser ID ab. Maximale Länge: 127.
    • Client Secret: Geheime Zeichenfolge, die vom Benutzer und dem Autorisierungsserver eingerichtet wurde. Maximale Länge: 239.
    • Umleitungs-URL: Endpunkt auf dem SP, an den Code/Token gesendet werden muss.
    • Name des Ausstellers: Identität des Servers, dessen Token akzeptiert werden sollen. Maximale Länge: 127. Beispiel:https://GatewayFQDN.com
    • Zielgruppe: Zielempfänger für das vom IdP gesendete Token. Dieses Token wird vom Empfänger geprüft.
    • Skew Time: Diese Option gibt den zulässigen Zeitversatz (in Minuten) an, den NetScaler für ein eingehendes Token zulässt. Wenn skewTime beispielsweise 10 ist, dann wäre das Token von (aktuelle Zeit — 10) Minuten bis (aktuelle Zeit + 10) Minuten gültig, also insgesamt 20 Minuten. Standardwert: 5.
    • Standardauthentifizierungsgruppe: Eine Gruppe, die zur internen Gruppenliste der Sitzung hinzugefügt wird, wenn dieses Profil von IdP ausgewählt wird und im nFactor-Flow verwendet werden kann. Es kann im Ausdruck (AAA.USER.IS_MEMBER_OF (“xxx”)) für Authentifizierungsrichtlinien verwendet werden, um den zugehörigen nFactor-Flow zu identifizieren. Maximale Länge: 63

    Der Sitzung für dieses Profil wird eine Gruppe hinzugefügt, um die Richtlinienbewertung und das Anpassen von Richtlinien zu vereinfachen. Die Gruppe ist die Standardgruppe, die zusätzlich zu extrahierten Gruppen ausgewählt wird, wenn die Authentifizierung erfolgreich ausgeführt wird.

    • Metadaten-URL der vertrauenden Partei: Endpunkt, an dem der NetScaler-IdP Details über die zu konfigurierende vertrauende Partei abrufen kann. Die Metadatenantwort muss Endpunkte für die öffentlichen RP-Schlüssel jwks_uri enthalten. Die maximale Länge beträgt 255.
    • Aktualisierungsintervall: Das Intervall, in dem die Metadaten der vertrauenden Partei aktualisiert werden. Das Standardintervall ist 50.
    • Token verschlüsseln: Wenn Sie diese Option auswählen, wird das von NetScaler gesendete Token verschlüsselt.
    • Signature Service: Name des Cloud-Dienstes, der zum Signieren der Daten verwendet wird. Dies gilt nur, wenn die Signatur in die Cloud ausgelagert wird.
    • Attribute: Name-Wert-Paare der Attribute, die in das ID-Token eingefügt werden sollen. Die maximale Länge beträgt 1047 Zeichen.
    • Kennwort senden: Wählen Sie diese Option, um das verschlüsselte Kennwort im ID-Token zu senden.
  5. Klicken Sie auf Richtlinien, und klicken Sie auf Hinzufügen.

  6. Legen Sie im Fenster Richtlinie für OAuth IDP-Authentifizierung erstellen Werte für die folgenden Parameter fest und klicken Sie auf Erstellen.

    • Name: Name der Authentifizierungsrichtlinie.
    • Action: Name des zuvor erstellten Profils.
    • Log Action: Name der Nachrichtenprotokollaktion, die verwendet werden soll, wenn eine Anforderung mit dieser Richtlinie übereinstimmt. Keine obligatorische Einreichung.
    • Aktion mitundefiniertem Ergebnis — Aktion, die ausgeführt werden soll, wenn das Ergebnis der Richtlinienbewertung nicht bestraft wird (UNDEF). Kein Pflichtfeld.
    • Expression: Standardsyntaxausdruck, den die Richtlinie verwendet, um auf eine bestimmte Anfrage zu antworten. Beispiel: true.
    • Comments: Kommentare zu der Richtlinie.

Hinweis:

Wenn sendPassword auf ON (standardmäßig OFF) eingestellt ist, werden Benutzeranmeldeinformationen verschlüsselt und über einen sicheren Kanal an Citrix Cloud weitergeleitet. Wenn Sie Benutzeranmeldeinformationen über einen sicheren Kanal übergeben, können Sie SSO an Citrix Virtual Apps and Desktops nach dem Start aktivieren.

Binden der OAuthIDP-Richtlinie und der LDAP-Richtlinie an den virtuellen Authentifizierungsserver

  1. Navigieren Sie zu Konfiguration > Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > LDAP.

  2. Klicken Sie im Bildschirm LDAP-Aktionen auf Hinzufügen.

  3. Legen Sie im Bildschirm Authentifizierungs-LDAP-Server erstellen die Werte für die folgenden Parameter fest und klicken Sie auf Erstellen.

    • Name — Der Name der LDAP-Aktion
    • ServerName/ServerIP — Bereitstellung von FQDN oder IP des LDAP-Servers
    • Wählen Sie geeignete Werte für Sicherheitstyp, Port, Servertyp, Timeout
    • Stellen Sie sicher, dass Authentifizierung aktiviert ist
    • Basis-DN — Basis, von der aus die LDAP-Suche gestartet werden soll. Beispiel: dc=aaa,dc=local.
    • Administrator Bind DN: Benutzername der Bindung an den LDAP-Server. Beispiel: admin@aaa.local.
    • Administratorkennwort/Kennwort bestätigen: Kennwort zum Binden von LDAP
    • Klicken Sie auf Verbindung testen, um Ihre Einstellungen zu testen.
    • Attribut für Server-Anmeldename: Wählen Sie “sAMAccountName”
    • Andere Felder sind nicht Pflichtfelder und können daher nach Bedarf konfiguriert werden.
  4. Navigieren Sie zu Konfiguration > Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie.

  5. Klicken Sie im Bildschirm Authentifizierungsrichtlinien auf Hinzufügen.

  6. Legen Sie auf der Seite Authentifizierungsrichtlinie erstellen die Werte für die folgenden Parameter fest und klicken Sie auf Erstellen.

    • Name — Name der LDAP-Authentifizierungsrichtlinie.
    • Aktionstyp — Wählen Sie LDAP aus.
    • Aktion — Wählen Sie die LDAP-Aktion aus.
    • Ausdruck — Standard-Syntaxausdruck, den die Richtlinie verwendet, um auf bestimmte Anforderungen zu antworten. Beispiel: true**.

Referenzwerte für Authentifizierungskontextklassen speichern

NetScaler, der als on-premises IdP konfiguriert ist, kann ACR-Werte (Authentication Context Class Reference) speichern, die von Citrix Workspace zur Unterstützung der Multidomain-Anmeldefunktion der Citrix Workspace Platform (WSP) bereitgestellt werden.

Wenn Citrix Workspace die ACR-Werte an den OAuth-Autorisierungsendpunkt des NetScaler-IdP sendet, speichert NetScaler die ACR-Werte. Sie können diese ACR-Werte verwenden, um den nächsten Faktor im nFactor-Flow zu bestimmen.

Die Anmeldung /oauth/idp/ am OAuth-IdP-Autorisierungsendpunkt erhält eine Abfrage mit dem ACR-Wertparameter im folgenden Format. NetScaler speichert den ACR-Wert im Benutzersitzungsattribut.

GET /oauth/idp/login?response_type=code&scope=openid%20profile%20ctxs_cc&acr_values=device_id:69eec3333333333+wsp:wspmultiurlmain.cloud.com&client_id=test&redirect_uri=https%3A%2F%2Fav6.aaa.local%2Foauth%2Flogin&state=Y3R4PXlFYkpFdEJOeDFLN0hUY2VCc1pBOGc2RjU3d21PcjJ2aXprZkhFSkdBTzVVTzM4eEZBUW1qTEFwR25DSE&code_challenge_method=S256&code_challenge=IJgD-qaJZdhuGt3m262BjjMXrFTOwioV6uSBA-uIY18

Im obigen Beispiel lautet acr_values=device_id:69eec3333333333+wsp:wspmultiurlmain.cloud.comder ACR-Wertparameter.

Im Folgenden finden Sie Ausdrucksbeispiele dafür, wie Sie ACR-Werte in einem nFactor-Flow verwenden können.

  • Verwenden Sie den Ausdruck aaa.user.wsp.eq("URL") in Ihrer Richtlinienkonfiguration, um die WSP-URL abzurufen.

    Beispiel:

    add authentication policy wsp_check -rule aaa.user.wsp.eq("wspmultiurlmain.cloud.com ") -action ldap-act

  • Verwenden Sie den Ausdruck aaa.user.acr_values.value("device_id").eq(value) in Ihrer Richtlinienkonfiguration, um die Geräte-ID aus dem ACR-Wertparameter abzurufen.

    Beispiel:

    add authentication policy acr_value_check -rule aaa.user.acr_values.value("device_id").eq("69eec3333333333") -action ldap-act

  • Verwenden Sie den Ausdruck aaa.user.acr_values.value("wsp").eq("URL") in Ihrer Richtlinienkonfiguration, um den WSP-Wert aus dem ACR-Wertparameter abzurufen.

    Beispiel:

    add authentication policy acr_value_check -rule aaa.user.acr_values.value("wsp").eq("wspmultiurlmain.cloud.com") -action ldap-act

Verwenden Sie ein lokales NetScaler Gateway als Identitätsanbieter für Citrix Cloud