Produktdokumentation
Citrix Cloud
PDF anzeigen

SAML unter Verwendung von Azure AD- und AD-Identitäten für die Workspace-Authentifizierung

April 5, 2024
Author:  Mark Dear

In diesem Artikel wird beschrieben, wie Sie SAML für die Workspace-Authentifizierung mit AD-Identitäten konfigurieren können. Das Standardverhalten bei der Citrix Cloud- und SAML-Authentifizierung bei Citrix Workspace oder Citrix Cloud besteht unabhängig vom verwendeten SAML-Anbieter in der Bestätigung einer AD-Benutzeridentität. Für die in diesem Artikel beschriebene Konfiguration ist die Verwendung von Azure AD Connect zum Importieren der AD-Identitäten in Azure AD erforderlich.

Wichtig:

Es ist wichtig, den geeigneten SAML-Flow für Ihre Workspace-Endbenutzer zu ermitteln, da er sich direkt auf ihren Anmeldevorgang und die Sichtbarkeit der Ressourcen auswirkt. Die gewählte Identität beeinflusst die Arten von Ressourcen, auf die ein Workspace-Endbenutzer zugreifen kann. Es gibt einen diesbezüglichen Artikel, der Anweisungen zur Verwendung von Azure AD-Identitäten als SAML-Anbieter für die Authentifizierung bei Workspace mit AAD-Identitäten enthält. Eine detaillierte Anleitung finden Sie unter SAML unter Verwendung von Azure AD- und AAD-Identitäten für die Workspace-Authentifizierung. In der Regel müssen Workspace-Endbenutzer Apps und Desktops öffnen, die von in die AD-Domäne eingebundenen VDAs bereitgestellt werden. Es ist wichtig, die in beiden Artikeln beschriebenen Anwendungsfälle sorgfältig zu prüfen, bevor Sie sich für den für Ihr Unternehmen am besten geeigneten SAML-Flow entscheiden. Wenn Sie sich nicht sicher sind, empfiehlt Citrix, den AD SAML-Flow zu verwenden und die Anweisungen in diesem Artikel zu befolgen, da dies dem gängigsten DaaS-Szenario entspricht.

Featureumfang

Dieser Artikel bezieht sich auf Benutzer, die die folgende Kombination aus Citrix Cloud- und Azure-Features verwenden:

  • SAML für Workspace-Authentifizierung mit AD-Identitäten
  • SAML für Citrix Cloud-Administratoranmeldung mit AD-Identitäten
  • Citrix DaaS- und HDX-Anzeige von Ressourcen, die mit in AD-Domänen eingebundenen VDAs veröffentlicht wurden
  • Ressourcenenumerierung von in AD-Domänen eingebundenen VDAs

Sind AD-Identitäten oder Azure AD-Identitäten vorzuziehen?

Zur Entscheidung darüber, ob Workspace-Benutzer sich mit SAML AD- oder SAML Azure AD-Identitäten authentifizieren sollen, gehen Sie folgendermaßen vor:

  1. Überlegen Sie, welche Kombination von Ressourcen Sie den Benutzern in Citrix Workspace zur Verfügung stellen möchten.

  2. Ermitteln Sie anhand der folgenden Tabelle, welcher Benutzeridentitätstyp für die jeweiligen Ressourcentypen geeignet ist.

    Ressourcentyp (VDA) Benutzeridentität bei der Anmeldung bei Citrix Workspace SAML-Identität mit Azure AD erforderlich? FAS bietet Single Sign-On für VDA?
    AD-Einbindung AD, Azure AD aus AD importiert (enthält SID) Nein. Verwenden Sie Standard-SAML. Ja

Benutzerdefinierte Azure AD Enterprise SAML-Anwendung konfigurieren

Standardmäßig erfolgt die SAML-Anmeldung bei Workspaces anhand der Bestätigung einer AD-Benutzeridentität.

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie im Portalmenü Azure Active Directory.
  3. Wählen Sie im linken Bereich unter Verwalten die Option Unternehmensanwendungen.

  4. Geben Sie Citrix Cloud SAML SSO in das Suchfeld ein, um die Citrix SAML-Anwendungsvorlage zu suchen.

    SAML-Anwendungsvorlagen

  5. Geben Sie einen geeigneten Namen für die SAML-Anwendung ein, z. B. Citrix Cloud SAML SSO Production

    Name der SAML-Anwendung

  6. Wählen Sie im linken Navigationsbereich Single Sign-On aus und klicken Sie im Arbeitsbereich auf SAML.
  7. Klicken Sie im Abschnitt Grundlegende SAML-Konfiguration auf die Option Bearbeiten und konfigurieren Sie die folgenden Einstellungen:
    1. Wählen Sie im Abschnitt Bezeichner (Entitäts-ID) die Option Bezeichner hinzufügen und geben Sie dann den Wert für die Region ein, in der sich der Citrix Cloud-Mandant befindet:
      • Geben Sie für die Regionen Europäische Union, USA und Asien-Pazifik Süd https://saml.cloud.com ein.
      • Geben Sie für die Region Japan https://saml.citrixcloud.jp ein.
      • Geben Sie für die Region Citrix Cloud Government https://saml.cloud.us ein.
    2. Wählen Sie im Abschnitt Antwort-URL (Assertionsverbraucherdienst-URL) die Option Antwort-URL hinzufügen und geben Sie dann den Wert für die Region ein, in der sich der Citrix Cloud-Mandant befindet:
      • Geben Sie für die Regionen Europäische Union, USA und Asien-Pazifik Süd https://saml.cloud.com/saml/acs ein.
      • Geben Sie für die Region Japan https://saml.citrixcloud.jp/saml/acs ein.
      • Geben Sie für die Region Citrix Cloud Government https://saml.cloud.us/saml/acs ein.
    3. Geben Sie im Abschnitt Anmelde-URL Ihre Workspace-URL ein.
    4. Geben Sie im Abschnitt Abmelde-URL (optional) den Wert für die Region ein, in der sich der Citrix Cloud-Mandant befindet:
      • Geben Sie für die Regionen Europäische Union, USA und Asien-Pazifik Süd https://saml.cloud.com/saml/logout/callback ein.
      • Geben Sie für die Region Japan https://saml.citrixcloud.jp/saml/logout/callback ein.
      • Geben Sie für die Region Citrix Cloud Government https://saml.cloud.us/saml/logout/callback ein.
    5. Klicken Sie in der Befehlsleiste auf Speichern. Der Abschnitt Grundlegende SAML-Konfiguration sieht wie folgt aus:

    Grundlegende SAML-Konfiguration

  8. Wählen Sie im Abschnitt Attribute und Ansprüche die Option Bearbeiten, um die folgenden Ansprüche zu konfigurieren. Diese Ansprüche erscheinen in der SAML-Assertion der SAML-Antwort. Konfigurieren Sie nach der Erstellung der SAML-App die folgenden Attribute.

    Attribute und Ansprüche

    1. Übernehmen Sie für den Anspruch Eindeutiger Benutzerbezeichner (Namens-ID) den Standardwert user.userprincipalname.
    2. Lassen Sie für den Anspruch cip_upn den Standardwert user.userprincipalname.
    3. Lassen Sie für den Anspruch cip_email den Standardwert user.mail.
    4. Lassen Sie für den Anspruch cip_sid den Standardwert user.onpremisesecurityidentitier.
    5. Für den Anspruch cip_oid bearbeiten Sie den vorhandenen Anspruch und wählen Sie Quellattribut aus. Suchen Sie nach der Zeichenfolge object und wählen Sie user.onpremisesimmutableid aus.

    Anspruch verwalten

    1. Lassen Sie für displayName den Standardwert user.displayname.
    2. Klicken Sie im Abschnitt Zusätzliche Ansprüche für alle verbleibenden Ansprüche mit dem Namespace http://schemas.xmlsoap.org/ws/2005/05/identity/claims auf das Menü (…) und dann auf Löschen. Diese Ansprüche müssen nicht aufgenommen werden, da es sich um Duplikate der oben genannten Benutzerattribute handelt.

    Hervorgehobene Option "Löschen"

    Wenn Sie fertig sind, wird der Abschnitt Attribute und Ansprüche wie unten dargestellt angezeigt:

    Azure AD – Attribute und Ansprüche

    1. Besorgen Sie sich mit diesem Online-Tool eines Drittanbieters eine Kopie des Citrix Cloud SAML-Signaturzertifikats.
    2. Geben Sie https://saml.cloud.com/saml/metadata in das URL-Feld ein und klicken Sie auf Laden.

    Hervorgehobene Option "Löschen"

  9. Scrollen Sie zum Ende der Seite und klicken Sie auf Download.

    Metadatenzertifikat herunterladen

    Zertifikat herunterladen

  10. Konfigurieren Sie die Signatureinstellungen der Azure Active Directory-SAML-Anwendung.
  11. Laden Sie das in Schritt 10 erhaltene SAML-Signaturzertifikat für die Produktion in die SAML-Anwendung von Azure Active Directory hoch
    1. Aktivieren Sie die Option Verifizierungszertifikate erforderlich.

    Verifizierungszertifikat

    Verifizierungszertifikat

Problembehandlung

  1. Stellen Sie mithilfe eines SAML-Netzwerktools wie der Browsererweiterung SAML-tracer sicher, dass die SAML-Assertions die richtigen Benutzerattribute enthalten.

SAML-Tracer-Browsererweiterung

  1. Suchen Sie die gelb dargestellte SAML-Antwort und vergleichen Sie sie mit diesem Beispiel:

    Beispiel einer SAML-Antwort vom Netzwerktool

  2. Klicken Sie im unteren Bereich auf die Registerkarte SAML, um die SAML-Antwort zu decodieren und als XML anzuzeigen.

  3. Scrollen Sie zum Ende der Antwort und überprüfen Sie, ob die SAML-Assertion die richtigen SAML-Attribute und Benutzerwerte enthält.

    XML-Datei mit hervorgehobenem SAML-Assertion-Wert

Können sich die Abonnenten weiterhin nicht bei ihrem Workspace anmelden oder ihre Citrix HDX Plus für Windows 365-Desktops anzeigen, wenden Sie sich mit folgenden Informationen an den Citrix Support:

  • SAML-tracer-Aufzeichnung
  • Datum und Uhrzeit der fehlgeschlagenen Anmeldung bei Citrix Workspace
  • Betroffener Benutzername
  • Aufrufer-IP-Adresse des Clientcomputers, der für die Anmeldung bei Citrix Workspace verwendet wurde. Sie die IP-Adresse mithilfe eines Tools wie https://whatismyip.com ermitteln.
SAML unter Verwendung von Azure AD- und AD-Identitäten für die Workspace-Authentifizierung
April 5, 2024
Author:  Mark Dear
April 5, 2024
Author:  Mark Dear

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.