Citrix Cloud

Verbinden von Google als Identitätsanbieter mit Citrix Cloud

Citrix Cloud unterstützt die Verwendung von Google als Identitätsanbieter für die Authentifizierung von Abonnenten, die sich an ihrem Workspace anmelden. Indem Sie das Google-Konto Ihrer Organisation mit Citrix Cloud verbinden, können Sie eine einheitliche Anmeldung für Citrix Workspace- und Google-Ressourcen bereitstellen.

Hinweis:

Die Google-Authentifizierung ist als Preview verfügbar. Citrix empfiehlt, Preview-Features nur in Nicht-Produktionsumgebungen zu verwenden.

Anforderungen für die Konfiguration mit und ohne Domäneneinbindung

Sie können Google als Identitätsanbieter in Citrix Cloud unter Verwendung einer Maschine mit oder ohne Domäneneinbindung konfigurieren.

  • Mit Domäneneinbindung bedeutet, dass die Maschinen zu einer Domäne in Ihrem On-Premises-Active Directory (AD) gehören und bei der Authentifizierung die dort gespeicherten Benutzerprofile verwendet werden.
  • Ohne Domäneneinbindung bedeutet, dass die Maschinen keiner AD-Domäne angehören und bei der Authentifizierung die im Google Workspace-Verzeichnis gespeicherten Benutzerprofile verwendet werden (= Google-native Benutzer).

In der folgenden Tabelle sind die Anforderungen für beide Konfigurationen aufgeführt.

Voraussetzung Mit Domänenbindung Ohne Domänenbindung Weitere Informationen
On-Premises-AD Ja Nein Siehe Vorbereiten von Active Directory und Citrix Cloud Connectors in diesem Artikel.
Am Ressourcenstandort bereitgestellte Citrix Cloud Connectors Ja Nein, Cloud Connectors werden nicht benötigt, um auf Maschinen ohne Domänenbindung zuzugreifen. Siehe Vorbereiten von Active Directory und Citrix Cloud Connectors in diesem Artikel.
AD-Synchronisierung mit Google Cloud Nur optional, wenn Gateway Service oder Mikroapps und keine anderen Services verwendet werden. Andernfalls erforderlich. Nein Siehe Synchronisieren von Active Directory mit Google Cloud in diesem Artikel
Entwicklerkonto mit Zugriff auf die Google Cloud Platform-Konsole. Erforderlich, um ein Dienstkonto und einen Schlüssel zu erstellen und die Admin SDK-API zu verwenden. Ja Ja Siehe Erstellen eines Dienstkontos, Erstellen eines Dienstkontoschlüssels und Konfigurieren der domänenweiten Delegierung in diesem Artikel.
Administratorkonto mit Zugriff auf die Google Workspace-Administratorkonsole. Für die Konfiguration der domänenweiten Delegierung und eines API-Benutzerkontos mit Schreibzugriff erforderlich. Ja Ja Siehe Konfigurieren der domänenweiten Delegierung und Hinzufügen eines API-Benutzerkontos mit Schreibzugriff in diesem Artikel.

Google-Authentifizierung mit mehreren Citrix Cloud-Konten

In diesem Artikel wird beschrieben, wie Sie Google als Identitätsanbieter mit einem Citrix Cloud-Konto verbinden. Wenn Sie mehrere Citrix Cloud-Konten haben, können Sie alle mit demselben Google Cloud-Konto verbinden, indem Sie dasselbe Dienstkonto und dasselbe schreibgeschützte API-Benutzerkonto verwenden. Melden Sie sich einfach bei Citrix Cloud an und wählen Sie die entsprechende Kunden-ID aus der Kundenauswahl aus.

Vorbereiten von Active Directory und Citrix Cloud Connectors

Wenn Sie eine Maschine mit Domänenbindung zum Konfigurieren der Google-Authentifizierung verwenden, bereiten Sie das On-Premises-AD wie in diesem Abschnitt erläutert vor. Wenn Sie Maschine ohne Domänenbindung verwenden, überspringen Sie diese Aufgabe und fahren Sie mit Erstellen eines Dienstkontos in diesem Artikel fort.

Sie benötigen in Ihrer Active Directory-Domäne mindestens zwei (2) Server, auf denen Sie die Citrix Cloud Connector-Software installieren. Cloud Connectors sind für die Kommunikation zwischen Citrix Cloud und Ihrem Ressourcenstandort erforderlich. Mindestens zwei Cloud Connectors sind erforderlich, um eine hochverfügbare Verbindung mit Citrix Cloud sicherzustellen. Die Server müssen die folgenden Anforderungen erfüllen:

  • Die unter Technische Daten zu Citrix Cloud Connector beschriebenen Anforderungen müssen erfüllt sein.
  • Es dürfen keine anderen Komponenten von Citrix installiert sein. Die Server dürfen keine Active Directory-Domänencontroller oder Maschinen sein, die für Ihre Ressourcenstandortinfrastruktur kritisch sind.
  • Gehört zu Ihrer Active Directory-Domäne. Wenn sich Ihre Workspace-Ressourcen und -Benutzer in mehreren Domänen befinden, müssen Sie in jeder Domäne mindestens zwei Cloud Connectors installieren. Weitere Informationen finden Sie unter Bereitstellungsszenarios für Cloud Connectors in Active Directory.
  • Es muss eine Verbindung zum Netzwerk bestehen, das die Ressourcen abrufen kann, auf die Benutzer über Citrix Workspace zugreifen.
  • Eine Verbindung mit dem Internet muss bestehen. Weitere Informationen finden Sie unter Anforderungen an System und Konnektivität.

Weitere Informationen zur Installation von Cloud Connectors finden Sie unter Cloud Connector-Installation.

Synchronisieren von Active Directory mit Google Cloud

Wenn Sie eine Maschine mit Domänenbindung zum Konfigurieren der Google-Authentifizierung verwenden, bereiten Sie das On-Premises-AD wie in diesem Abschnitt erläutert vor. Wenn Sie Maschine ohne Domänenbindung verwenden, überspringen Sie diese Aufgabe und fahren Sie mit Erstellen eines Dienstkontos in diesem Artikel fort.

Das Synchronisieren Ihres AD mit Google ist optional, wenn Sie nur den Citrix Gateway-Dienst oder Mikroapps verwenden, ohne dass andere Dienste aktiviert sind. Nur für diese Dienste können Sie Google-native Benutzer verwenden, ohne eine Synchronisierung mit Ihrem AD durchführen zu müssen.

Wenn Sie andere Citrix Cloud-Dienste verwenden, ist die Synchronisierung Ihres AD mit Google erforderlich. Google Cloud muss die folgenden AD-Benutzerattribute an Citrix Cloud übergeben:

  • SecurityIDentifier (SID)
  • objectGUID
  • userPrincipalName (UPN)

Synchronisieren von AD mit Google Cloud

  1. Laden Sie das Hilfsprogramm Google Cloud Directory Sync von der Google-Website herunter und installieren Sie es. Weitere Informationen zu diesem Hilfsprogramm finden Sie in der Dokumentation zu Google Cloud Directory Sync auf der Google-Website.
  2. Starten Sie nach der Installation des Hilfsprogramms den Configuration Manager (Start > Configuration Manager).
  3. Geben Sie die Google-Domäneneinstellungen und LDAP-Einstellungen an (siehe Set up your sync with Configuration Manager in der Dokumentation zum Hilfsprogramm).
  4. Wählen Sie unter General Settings die Option Custom Schemas. Behalten Sie die Standardauswahl bei.
  5. Konfigurieren Sie ein benutzerdefiniertes Schema, das auf alle Benutzerkonten angewendet wird. Geben Sie die erforderlichen Informationen unter Verwendung der in diesem Abschnitt angegebenen Schreibweise (groß/klein) ein.
    1. Wählen Sie die Registerkarte Custom Schemas und dann Add Schema.
    2. Wählen Sie Use rules defined in “User Accounts”.
    3. Geben Sie im Feld Schema Name die Zeichenfolge citrix-schema ein.
    4. Wählen Sie Add Field und geben Sie dann die folgenden Informationen ein:
      • Wählen Sie unter Schema field template in Schema Field die Option userPrincipalName.
      • Geben Sie unter Google field details in Field Name die Zeichenfolge UPN ein.
    5. Wiederholen Sie Schritt 4, um die folgenden Felder zu erstellen:
      • objectGUID: Wählen Sie unter Schema field template die Option objectGUID. Geben Sie unter Google field details die Zeichenfolge objectGUID ein.
      • SID: Wählen Sie unter Schema field template die Option Custom. Geben Sie unter Google field details die Zeichenfolge SID ein.
      • objectSID: Wählen Sie unter Schema field template die Option Custom. Geben Sie unter Google field details die Zeichenfolge objectSID ein.
    6. Wählen Sie OK, um Ihre Einträge zu speichern.
  6. Konfigurieren Sie die verbleibenden Einstellungen für Ihre Organisation und überprüfen Sie die Synchronisierungseinstellungen (siehe Set up your sync with Configuration Manager in der Dokumentation zum Hilfsprogramm).
  7. Wählen Sie Sync & apply changes, um Ihr Active Directory mit Ihrem Google-Konto zu synchronisieren.

Nach Abschluss der Synchronisierung werden im Abschnitt “User Information” in Google Cloud die Active Directory-Informationen der Benutzer angezeigt.

Erstellen eines Dienstkontos

Um diese Aufgabe auszuführen, benötigen Sie ein Google Cloud Platform-Entwicklerkonto.

  1. Melden Sie sich bei https://console.cloud.google.com an.
  2. Wählen Sie in der Seitenleiste die Option IAM & Admin und dann Service Accounts.
  3. Wählen Sie Create service account.
  4. Geben Sie unter Service account details den Dienstkontonamen und die Dienstkonto-ID ein.
  5. Wählen Sie Done.

Erstellen eines Dienstkontoschlüssels

  1. Wählen Sie auf der Seite Service accounts das soeben erstellte Dienstkonto.
  2. Wählen Sie die Registerkarte Keys und dann Add key > Create new key.
  3. Lassen Sie die Standardtypoption JSON ausgewählt.
  4. Wählen Sie Erstellen. Speichern Sie den Schlüssel an einem sicheren Ort, auf den Sie später zugreifen können. Sie geben den privaten Schlüssel in der Citrix Cloud-Konsole ein, wenn Sie Google als Identitätsanbieter verbinden.

Konfigurieren der domänenweiten Delegierung

  1. Aktivieren Sie die Admin SDK-API:
    1. Wählen Sie im Google Cloud Platform-Menü die Option APIs & Services > Enabled APIs & services.
    2. Wählen Sie oben in der Konsole Enable APIs and services. Die Homepage der API-Bibliothek wird angezeigt.
    3. Suchen Sie Admin SDK API und wählen Sie den Eintrag in der Ergebnisliste aus.
    4. Wählen Sie Aktivieren.
  2. Erstellen Sie einen API-Client für das Dienstkonto:
    1. Wählen Sie im Google Cloud Platform-Menü die Option IAM & Admin > Service Accounts und dann das zuvor erstellte Dienstkonto.
    2. Erweitern Sie auf der Registerkarte Details des Dienstkontos Advanced settings.
    3. Kopieren Sie unter Domain-wide Delegation die Client-ID und wählen Sie dann View Google Workspace Admin Console.
    4. Wählen Sie gegebenenfalls das Google Workspace-Administratorkonto aus, das Sie verwenden möchten. Die Google Admin-Konsole wird angezeigt.
    5. Wählen Sie in der Google Admin-Seitenleiste Security > Access and data control > API controls.
    6. Klicken Sie unter Domain wide delegation auf Manage Domain Wide Delegation.
    7. Wählen Sie Add new.
    8. Fügen Sie unter Client ID die Client-ID des Dienstkontos ein, das Sie in Schritt C kopiert haben.
    9. Geben Sie in OAuth scopes die folgenden Bereiche durch Kommas getrennt auf einer Zeile ein:

      https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.domain.readonly
      <!--NeedCopy-->
      
    10. Wählen Sie Autorisieren.

Hinzufügen eines API-Benutzerkontos mit Schreibzugriff

Bei dieser Aufgabe erstellen Sie ein Google Workspace-Benutzerkonto mit Schreibzugriff auf die API für Citrix Cloud. Das Konto wird nicht für andere Zwecke verwendet und hat keine weiteren Berechtigungen.

  1. Wählen Sie im Google Admin-Menü Directory > Users.
  2. Wählen Sie Add new user und geben Sie die Benutzerinformationen ein.
  3. Wählen Sie Add new user, um die Kontoinformationen zu speichern.
  4. Erstellen Sie eine benutzerdefinierte Rolle für das Benutzerkonto mit Schreibzugriff:
    1. Wählen Sie im Google Admin-Menü Account > Admin roles.
    2. Wählen Sie Create new role.
    3. Geben Sie einen Namen für die neue Rolle ein. Beispiel: API-ReadOnly
    4. Wählen Sie Weiter.
    5. Wählen Sie unter Admin API privileges die folgenden Berechtigungen aus:
      • Users > Read
      • Groups > Read
      • Domain Management
    6. Wählen Sie Continue und dann Create role.
  5. Weisen Sie die benutzerdefinierte Rolle dem Benutzerkonto mit Schreibzugriff zu, das Sie zuvor erstellt haben:
    1. Wählen Sie auf der Seite mit den Details der benutzerdefinierten Rolle im Bereich Admins die Option Assign users.
    2. Beginnen Sie mit der Eingabe des Namens des Benutzerkontos mit Schreibzugriff und wählen Sie es aus der Benutzerliste aus.
    3. Wählen Sie Assign role.
    4. Um die Rollenzuweisung zu überprüfen, kehren Sie zur Benutzerseite zurück (Directory > Users) und wählen Sie das Benutzerkonto mit Schreibzugriff aus. Die benutzerdefinierte Rollenzuweisung wird unter Admin roles and privileges angezeigt.

Verbinden von Google mit Citrix Cloud

  1. Melden Sie sich bei Citrix Cloud unter https://citrix.cloud.com an.
  2. Klicken Sie im Menü “Citrix Cloud” auf Identitäts- und Zugriffsverwaltung.
  3. Suchen Sie Google, klicken Sie auf die Auslassungspunkte (…) und wählen Sie im Menü Verbinden aus.
  4. Wählen Sie Datei importieren und wählen Sie dann die JSON-Datei aus, die Sie beim Erstellen des Schlüssels für das Dienstkonto gespeichert haben. Durch diese Aktion werden der private Schlüssel und die E-Mail-Adresse für das von Ihnen erstellte Google Cloud-Dienstkonto importiert.
  5. Geben Sie im Feld Imitierter Benutzer den Namen des API-Benutzerkontos mit Schreibzugriff ein.
  6. Wählen Sie Weiter. Citrix Cloud überprüft Ihre Google-Kontodetails und testet die Verbindung.
  7. Überprüfen Sie die Liste der verknüpften Domänen. Ist sie korrekt, wählen Sie Bestätigen, um Ihre Konfiguration zu speichern.

Aktivieren von Google für die Workspace-Authentifizierung

  1. Wählen Sie im Citrix Cloud-Menü Workspacekonfiguration > Authentifizierung.
  2. Wählen Sie Google. Wählen Sie Ich verstehe die Auswirkungen auf Abonnenten, wenn Sie dazu aufgefordert werden und klicken Sie auf Speichern.