Verbinden von Okta als Identitätsanbieter mit Citrix Cloud (Technical Preview)

Citrix Cloud unterstützt die Verwendung von Okta als Identitätsanbieter für die Authentifizierung von Abonnenten, die sich an ihrem Workspace anmelden. Wenn Sie Ihre Okta-Organisation mit Citrix Cloud verbinden, können Abonnenten über eine vertraute Anmeldeoberfläche auf Ressourcen in Citrix Workspace zugreifen.

Nach dem Aktivieren der Okta-Authentifizierung in der Workspacekonfiguration ändert sich das Anmeldefenster für Abonnenten. Bei Auswahl der Okta-Authentifizierung wird eine Verbundanmeldung und kein Single Sign-On ermöglicht. Wenn Abonnenten sich über eine Okta-Anmeldeseite am Workspace anmelden, müssen sie sich möglicherweise erneut authentifizieren, wenn sie eine App oder einen Desktop im Citrix Virtual Apps and Desktops Service öffnen. Um dies zu vermeiden und einen Single Sign-On zu aktivieren, müssen Sie den Citrix Verbundauthentifizierungsdienst (FAS) mit Citrix Cloud verwenden. Weitere Informationen finden Sie unter Verbinden des Citrix Verbundauthentifizierungsdiensts (FAS) mit Citrix Cloud.

Hinweis:

Die Authentifizierung mit Okta ist derzeit als Technical Preview verfügbar. Citrix empfiehlt, Features des Technical Preview nur in Testumgebungen zu verwenden.

Voraussetzungen

Cloud Connectors

Sie benötigen in Ihrer Active Directory-Domäne mindestens zwei (2) Server, auf denen Sie die Citrix Cloud Connector-Software installieren. Cloud Connectors sind für die Kommunikation zwischen Citrix Cloud und Ihrem Ressourcenstandort erforderlich. Für die hohe Cloud Connector-Verfügbarkeit empfiehlt Citrix zwei Server. Die Server müssen die folgenden Anforderungen erfüllen:

  • Die unter Technische Daten zu Citrix Cloud Connector beschriebenen Anforderungen.
  • Es dürfen keine anderen Komponenten von Citrix installiert sein. Die Server dürfen keine Active Directory-Domänencontroller oder Maschinen sein, die für Ihre Ressourcenstandortinfrastruktur kritisch sind.
  • Mitglied Ihrer Active Directory-Domäne. Wenn sich Ihre Workspace-Ressourcen und -Benutzer in mehreren Domänen befinden, müssen Sie in jeder Domäne mindestens zwei Cloud Connectors installieren. Weitere Informationen finden Sie unter Bereitstellungsszenarios für Cloud Connectors in Active Directory.
  • Es muss eine Verbindung zum Netzwerk bestehen, das die Ressourcen abrufen kann, auf die Benutzer über Citrix Workspace zugreifen.
  • Eine Verbindung mit dem Internet muss bestehen. Weitere Informationen finden Sie unter Anforderungen an die Internetkonnektivität.

Weitere Informationen zur Cloud Connector-Installation finden Sie unter Cloud Connector-Installation.

Okta-Domäne

Beim Verbinden von Okta mit Citrix Cloud müssen Sie die Okta-Domäne für Ihre Organisation angeben. Citrix unterstützt die folgenden Okta-Domänen:

  • okta.com
  • okta-eu.com
  • oktapreview.com

Sie können auch benutzerdefinierte Okta-Domänen mit Citrix Cloud verwenden. Lesen Sie hierfür die Hinweise zur Verwendung benutzerdefinierter Domänen unter Customize the Okta URL domain auf der Okta-Website.

Weitere Informationen zum Suchen der benutzerdefinierten Domäne für Ihre Organisation finden Sie unter Finding Your Okta Domain auf der Okta-Website.

Okta-OIDC-Webanwendung

Um Okta als Identitätsanbieter zu verwenden, müssen Sie zunächst eine Okta-OIDC-Webanwendung erstellen, deren Clientanmeldeinformationen Sie dann mit Citrix Cloud verwenden. Nachdem Sie die Anwendung erstellt und konfiguriert haben, notieren Sie sich die Client-ID und das Clientgeheimnis. Diese Werte geben Sie dann in Citrix Cloud beim Verbinden mit Ihrer Okta-Organisation ein.

Informationen zum Erstellen und Konfigurieren dieser Anwendung finden Sie in den folgenden Abschnitten dieses Artikels:

Workspace-URL

Beim Erstellen der Okta-Anwendung müssen Sie Ihre Workspace-URL aus Citrix Cloud angeben. Um die Workspace-URL zu erfassen, wählen Sie im Citrix Cloud-Menü die Option Workspacekonfiguration. Die Workspace-URL wird auf der Registerkarte Zugriff angezeigt.

Wichtig:

Wenn Sie später die Workspace-URL ändern, müssen Sie die neue URL in der Konfiguration der Okta-Anwendung eingeben. Andernfalls können Probleme auftreten, wenn Abonnenten sich von ihrem Workspace abmelden.

Okta-API-Token

Bei Verwendung von Okta als Identitätsanbieter mit Citrix Cloud benötigen Sie einen API-Token für Ihre Okta-Organisation. Erstellen Sie diesen Token mit einem Administratorkonto mit Lesezugriff in Ihrer Okta-Organisation. Der Token muss Benutzer und Gruppen in Ihrer Okta-Organisation lesen können.

Informationen zum Erstellen des API-Token finden Sie unter Erstellen eines Okta-API-Token in diesem Artikel. Weitere Informationen zu API-Token finden Sie unter Create an API Token auf der Okta-Website.

Wichtig:

Notieren Sie sich beim Erstellen des API-Token den Tokenwert (zum Beispiel, indem Sie ihn in eine temporäre Textdatei kopieren). Okta zeigt diesen Wert nur einmal an. Erstellen Sie den Token daher vielleicht direkt vor der Ausführung der Schritte in Verbinden von Citrix Cloud mit Ihrer Okta-Organisation.

Synchronisieren von Konten mit dem Okta-AD-Agent

Um Okta als Identitätsanbieter zu verwenden, müssen Sie zunächst Ihr On-Premises-Active Directory mit Okta integrieren. Installieren Sie dafür den Okta-AD-Agent in Ihrer Domäne und fügen Ihr AD zu Ihrer Okta-Organisation hinzu. Hinweise zum Bereitstellen des Okta-AD-Agent finden Sie unter Okta Active Directory agent Deployment auf der Okta-Website. Anschließend importieren Sie Ihre AD-Benutzer und -Gruppen in Okta. Übertragen Sie beim Importieren auch die Werte für Sicherheits-ID, UPN und Objekt-ID, die Ihren AD-Konten zugewiesen sind.

Hinweis:

Wenn Sie den Citrix Gateway Service mit Workspace verwenden, müssen Sie Ihre AD-Konten nicht mit Ihrer Okta-Organisation synchronisieren.

Synchronisieren der AD-Benutzer und -Gruppen mit Ihrer Okta-Organisation:

  1. Installieren und konfigurieren Sie den Okta-AD-Agent. Eine vollständige Anleitung finden Sie unter Install and configure the Okta Active Directory agent auf der Okta-Website.
  2. Fügen Sie Ihre AD-Benutzer und -Gruppen durch manuellen oder automatisierten Import zu Okta hinzu. Weitere Hinweise zu Importverfahren finden Sie unter Import Active Directory Users auf der Okta-Website.

Erstellen einer Okta-OIDC-Webanwendung

  1. Wählen Sie in der Okta-Verwaltungskonsole unter Applications die Option Applications.
  2. Klicken Sie auf Add Application und dann auf Create New App.
  3. Wählen Sie unter Sign in method die Option OpenID Connect und klicken Sie auf Create. Der Standardwert für Platform ist Web. Er bleibt unverändert.
  4. Geben Sie einen Anwendungsname ein.
  5. Geben Sie unter Login redirect URIs https://accounts.cloud.com/core/login-okta ein.
  6. Geben Sie unter Logout redirect URIs Ihre Workspace-URL aus Citrix Cloud ein.
  7. Klicken Sie auf Speichern.

Konfigurieren der Okta-OIDC-Webanwendung

In diesem Schritt konfigurieren Sie Ihre Okta-OIDC-Webanwendung mit den erforderlichen Einstellungen für Citrix Cloud. Citrix Cloud benötigt diese Einstellungen, um Ihre Abonnenten über Okta zu authentifizieren, wenn sie sich bei ihrem Workspace anmelden.

  1. Klicken Sie auf der Konfigurationsseite der Okta-Anwendung unter General Settings auf Edit.
  2. Wählen Sie unter Allowed grant types die folgenden Optionen aus:
    • Authorization Code
    • Refresh Token
    • Implicit (Hybrid)
    • Allow ID Token with implicit grant type
    • Allow Access Token with implicit grant type
  3. Klicken Sie auf Speichern.
  4. Zulassen von Benutzer- oder Gruppenzugriff auf die Anwendung:
    1. Wählen Sie auf der Registerkarte Assignments die Option Assign und dann Assign to People oder Assign to Groups.
    2. Wählen Sie die Benutzer oder Gruppen, die Zugriff auf Workspaces erhalten sollen. Um allen Benutzern Zugriff zu gewähren, wählen Sie Assign to Groups und dann Everyone.
  5. Klicken Sie auf Fertig.
  6. Fügen Sie Anwendungsattribute hinzu. Bei diesen Attributen muss Groß- und Kleinschreibung beachtet werden.
    1. Wählen Sie im Okta-Konsolenmenü Directory > Profile Editor.
    2. Suchen Sie das Okta-Profil user und wählen Sie Profile. Wählen Sie unter Attributes die Option Add attribute.
    3. Geben Sie die folgenden Informationen ein:
      • Anzeigename: cip_sid
      • Variablenname: cip_sid
      • Beschreibung: AD-Benutzer-Sicherheits-ID
      • Attributlänge: größer als 1
      • Erforderliches Attribut: Ja
    4. Klicken Sie auf Save and Add Another.
    5. Geben Sie die folgenden Informationen ein:
      • Anzeigename: cip_upn
      • Variablenname: cip_upn
      • Beschreibung: AD-Benutzerprinzipalname
      • Attributlänge: größer als 1
      • Erforderliches Attribut: Ja
    6. Klicken Sie auf Save and Add Another.
    7. Geben Sie die folgenden Informationen ein:
      • Anzeigename: cip_oid
      • Variablenname: cip_oid
      • Beschreibung: AD-Benutzer-GUID
      • Attributlänge: größer als 1
      • Erforderliches Attribut: Ja
    8. Klicken Sie auf Speichern.
  7. Bearbeiten von Attributzuordnungen für die Anwendung:
    1. Wählen Sie in der Okta-Konsole Directory > Directory Integrations.
    2. Wählen Sie das zuvor integrierte AD aus. Weitere Informationen finden Sie unter Synchronisieren von Konten mit dem Okta-AD-Agent.
    3. Wählen Sie auf der Registerkarte Settings die Option Edit Mappings.
    4. Ordnen Sie die folgenden Attribute zu:
      • Wählen Sie appuser.objectSid aus und ordnen Sie es dem Attribut cip_sid zu.
      • Wählen Sie appuser.userName aus und ordnen Sie es dem Attribut cip_upn zu.
      • Wählen Sie appuser.externalId aus und ordnen Sie es dem Attribut cip_oid zu.
    5. Klicken Sie auf Save Mappings.
    6. Klicken Sie auf Apply updates now.

Erstellen eines Okta-API-Token

  1. Melden Sie sich mit einem Administratorkonto mit Lesezugriff bei der Okta-Konsole an.
  2. Wählen Sie im Menü der Okta-Konsole Security > API.
  3. Wählen Sie die Registerkarte Token und dann Create Token.
  4. Geben Sie einen Namen für den Token ein.
  5. Klicken Sie auf Create Token.
  6. Kopieren Sie den Tokenwert. Diesen Wert geben Sie dann beim Verbinden Ihrer Okta-Organisation mit Citrix Cloud ein.

Verbinden von Citrix Cloud mit Ihrer Okta-Organisation

  1. Melden Sie sich bei Citrix Cloud auf https://citrix.cloud.com an.
  2. Klicken Sie im Menü “Citrix Cloud” auf Identitäts- und Zugriffsverwaltung.
  3. Suchen Sie Okta, klicken Sie auf die Auslassungspunkte (…) und wählen Sie Verbinden.
  4. Geben Sie unter Okta-URL Ihre Okta-Domäne ein.
  5. Geben Sie unter Okta-API-Token den API-Token für Ihre Okta-Organisation ein.
  6. Geben Sie unter Client-ID und Clientgeheimnis die Anmeldeinformationen für Ihre Okta-Anwendung ein. Um diese Werte aus der Okta-Konsole zu kopieren, wählen Sie Anwendungen und suchen die Okta-Anwendung. Klicken Sie unter Client-Anmeldeinformationen auf die Schaltfläche In Zwischenablage kopieren für jeden Wert.
  7. Klicken Sie auf Testen und schließen. Citrix Cloud überprüft Ihre Okta-Details und testet die Verbindung.

Aktivieren der Okta-Authentifizierung für Workspaces

  1. Wählen Sie im Citrix Cloud-Menü Workspacekonfiguration > Authentifizierung.
  2. Wählen Sie Okta. Wählen Sie Ich verstehe die Auswirkungen auf Abonnenten, wenn Sie dazu aufgefordert werden.
  3. Klicken Sie auf Akzeptieren, um die Berechtigungsanforderung zu akzeptieren.