Produktdokumentation
Citrix Cloud™
PDF anzeigen

Duo als SAML-Anbieter für die Workspace-Authentifizierung konfigurieren

April 2, 2026
Author:  Mark Dear

Dieser Artikel beschreibt die erforderlichen Schritte zur Konfiguration einer Duo SAML-Anwendung und einer SAML-Verbindung zwischen Citrix Cloud™ und Ihrem SAML-Anbieter. Einige dieser Schritte beschreiben Aktionen, die Sie in der Administrationskonsole des Duo SAML-Anbieters ausführen.

  • Voraussetzungen

  • Bevor Sie die Aufgaben in diesem Artikel ausführen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllt haben:

  • Einen Duo Cloud-Mandanten.
  • Einen Duo Authentifizierungs-Proxy innerhalb Ihrer AD-Gesamtstruktur.
  • Eine Active Directory LDAPS-Verbindung, die Ihre AD-Benutzer mit Duo synchronisiert.

Active Directory-Synchronisierung mit Ihrem Duo-Mandanten konfigurieren

Befolgen Sie die Duo-Dokumentation zum Verbinden Ihres lokalen AD mit Duo und Importieren von Benutzern für SAML.

Eine Active Directory LDAPS-Verbindung erstellen

  1. Wählen Sie Applications > SSO Settings > Add Source > Active Directory > Add Active Directory aus.

    SAML Duo Authentifizierungsquelle hinzufügen

  2. Geben Sie einen Anzeigenamen für die LDAPS-Verbindung zu Ihrer AD-Gesamtstruktur ein.

  3. Geben Sie den FQDN Ihres Domänencontrollers ein.

    SAML Duo DC FQDN hinzufügen

  4. Konfigurieren Sie den Basis-DN Ihrer AD-Domäne.

    SAML Duo Basis-DN

  5. Wählen Sie „Integrated“ als Authentifizierungstyp aus.

    SAML Duo Authentifizierungstyp

  6. Wählen Sie „LDAPS“ als Transporttyp aus.

    SAML Duo Transporttyp

  7. Aktivieren Sie „SSL Verify Hostname“.

  8. Geben Sie sowohl das Domänencontroller-Zertifikat als auch das CA-Zertifikat der privaten Unternehmenszertifizierungsstelle ein, das zum Signieren Ihres Domänenzertifikats verwendet wurde.

  9. Geben Sie die PEM-formatierten Zertifikate gemäß dem folgenden Beispiel ein:

    -----BEGIN CERTIFICATE-----
`<base64 Domain Controller Certificate>`
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
`<base64 Certificate Authority Certificate used to sign the Domain Controller Certificate above>`
-----END CERTIFICATE-----
<!--NeedCopy-->

  10. Testen Sie Ihre LDAPS-Verbindung.

    SAML Duo Tests ausführen

Konfigurationsdatei Ihres Duo Authentifizierungs-Proxys für SAML konfigurieren

  1. Überprüfen Sie, ob Ihre Duo Auth Proxy-Konfiguration fehlerfrei ist und als Mit Duo verbunden angezeigt wird.

    SAML Duo Authentifizierungs-Proxy

  2. Melden Sie sich bei Ihrem Duo Authentifizierungs-Proxy an und fügen Sie einen SAML-[sso]-Abschnitt zu seiner Konfigurationsdatei hinzu, indem Sie die Remote-Identität (rikey) verwenden, die in der Duo-Administrationskonsole bereitgestellt wird. Der Duo Authentifizierungs-Proxy verwendet ein gemeinsames Geheimnis, um mit dem Duo Cloud-Dienst zu kommunizieren. Dieses Geheimnis wird während der Erstinstallation oder Konfiguration des Authentifizierungs-Proxys generiert.

    SAML Duo Authentifizierungs-Proxy-Konfiguration

Eine Duo SAML-Anwendung zur Verwendung mit Workspaces konfigurieren

  1. Wählen Sie Applications > Protect an Application. Klicken Sie auf Add Application.

  2. Suchen Sie den Eintrag für die generische SAML-Dienstanbieter-Duo-App-Vorlage. Citrix® empfiehlt die generische SAML-Dienstanbieter-Duo-Vorlage, da sie am flexibelsten ist und es Ihnen ermöglicht, verschiedene Kombinationen von SAML-Attributen und verschiedene SAML-Flüsse entsprechend Ihren Anforderungen zu konfigurieren.

    SAML Duo generischer SAML-Dienstanbieter

    Wichtig:

    Die Verwendung der Duo Citrix Workspace™ SAML-Vorlage wird nicht empfohlen, da sie unflexibel ist und SAML nur mit AD-Identitäten unterstützt. Die Duo Citrix Workspace SAML-Vorlage ermöglicht auch nicht das Hinzufügen optionaler Attribute wie cip_domain und cip_forest, die für einige erweiterte SAML-Konfigurationen bei Fusionen und Übernahmen erforderlich sind. Sie ermöglicht auch nicht die Konfiguration des Citrix Cloud-Abmeldeendpunkts.

  3. Geben Sie einen Anzeigenamen für Ihre SAML-Anwendung an, wie z. B. Citrix Cloud Prod.

  4. Geben Sie den Benutzerzugriff an, wie z. B. Für alle Benutzer aktivieren.

  5. Wählen Sie unter Metadaten-Erkennung die Option Keine (manuelle Eingabe) und geben Sie die folgenden Citrix Cloud SAML-Endpunkte ein.

  6. Geben Sie die EntityID entsprechend der Citrix Cloud-Region ein, in der sich Ihr CC-Mandant befindet.

    URL Region
    https://saml.cloud.com Kommerziell EU, USA und APS
    https://saml.citrixcloud.jp JP
    https://saml.cloud.us GOV

  7. Konfigurieren Sie die Single Sign-On-URL (ACS-URL) entsprechend der Citrix Cloud-Region, in der sich Ihr CC-Mandant befindet.

    URL Region
    https://saml.cloud.com/saml/acs Kommerziell EU, USA und APS
    https://saml.citrixcloud.jp/saml/acs JP
    https://saml.cloud.us/saml/acs GOV

  8. Konfigurieren Sie die Single Logout-URL entsprechend der Citrix Cloud-Region, in der sich Ihr CC-Mandant befindet.

    URL Region
    https://saml.cloud.com/saml/logout/callback Kommerziell EU, USA und APS
    https://saml.citrixcloud.jp/samllogout/callback JP
    https://saml.cloud.us/saml/samllogout/callback GOV

  9. Die Service Provider Login-URL ist nicht erforderlich und kann leer gelassen werden.

  10. Der Standard-Relay-Status ist nicht erforderlich und kann leer gelassen werden.

    SAML Duo Service Provider

  11. Konfigurieren Sie das Name ID-Format als Nicht spezifiziert.

  12. Konfigurieren Sie das Name ID-Attribut als userPrincipalName (Groß-/Kleinschreibung beachten).

  13. Konfigurieren Sie den Signaturalgorithmus als SHA256.

  14. Konfigurieren Sie die Signieroptionen als Antwort signieren.

  15. Konfigurieren Sie die Assertion-Verschlüsselung als deaktiviert.

    SAML Duo SAML-Antwort

  16. Konfigurieren Sie die Attributzuordnung mit Duo-Bridging-Attributen auf der linken Seite und Citrix Cloud SAML-Anspruchsnamen auf der rechten Seite.

    SAML Duo Attributzuordnungen

    Wichtig:

    Duo-Bridge-Attribute (links) und SAML-Attributanspruchsnamen (rechts) sind groß-/kleinschreibungsempfindlich. Die Anspruchsnamen auf der rechten Seite müssen mit der Konfiguration in der Citrix Cloud SAML-Verbindung übereinstimmen.

Konfigurieren der Citrix Cloud SAML-Verbindung

  1. Alle Citrix-Anmeldeabläufe müssen vom Service Provider initiiert werden, entweder über eine Workspace-URL oder eine Citrix Cloud GO-URL.

  2. Verwenden Sie die standardmäßig empfohlenen Werte für die SAML-Verbindung unter Identitäts- und Zugriffsverwaltung > Authentifizierung > Identitätsanbieter hinzufügen > SAML.

  3. Rufen Sie die SAML-Endpunkte der Duo SAML-Anwendung ab, die in die Citrix Cloud SAML-Verbindung eingegeben werden sollen, indem Sie Ihr Duo-Portal besuchen und die Duo Active Directory Sync-Dokumentation aufrufen.

    SAML Duo Duo-Endpunkte

    In diesem Feld in Citrix Cloud Geben Sie diesen Wert ein
    Entity ID https://sso-<id>.sso.duosecurity.com/saml2/sp/<samlappID>/metadata
    Authentifizierungsanforderung signieren Ja
    SSO-Dienst-URL https://sso-<id>.sso.duosecurity.com/saml2/sp/<samlappID>/sso
    SSO-Bindungsmechanismus HTTP Post
    SAML-Antwort Antwort oder Assertion signieren
    Authentifizierungskontext Nicht spezifiziert, Exakt
    Logout-URL https://sso-<id>.sso.duosecurity.com/saml2/sp/<samlappID>/slo
    Logout-Anforderung signieren Ja
    SLO-Bindungsmechanismus HTTP Post

Duo SAML-Abmeldeverhalten

Duo SAML unterstützt zum Zeitpunkt der Erstellung dieses Artikels SAML SLO derzeit nicht, es ist jedoch möglich, Duo so zu konfigurieren, dass die IDP-Sitzung beendet wird, wenn sich ein Benutzer explizit von Workspace und/oder Citrix Cloud abmeldet. Es wird empfohlen, den Abschnitt „SAML-Abmeldeüberlegungen“ im Hauptartikel zu SAML zu lesen, bevor Sie die Abmeldeeinstellungen Ihrer Duo SAML-Anwendung konfigurieren.

Wichtig:

Entnommen aus der Duo-Dokumentation Duo SSO-Abmeldeverhalten und Sitzungsverwaltung – Details.

Benutzer, die sich abmelden und die SLO-URL für Duo SSO aufrufen, werden von Duo SSO abgemeldet und ihre MFA-Sitzung für gespeicherte Geräte wird gelöscht, bevor sie zur Abmeldeseite weitergeleitet werden.

Um die explizite Abmeldung der Duo IDP-Sitzung zu konfigurieren, wenn sich der Endbenutzer von Workspace und/oder Citrix Cloud abmeldet, befolgen Sie die unten empfohlenen Schritte.

  1. Konfigurieren Sie den Citrix Cloud SAML-Abmeldeendpunkt in Ihrer Duo SAML-App.

    SAML Duo CC-Abmeldung

  2. Konfigurieren Sie den Duo SLO-Endpunkt in der Citrix Cloud SAML-Verbindung.

    Wichtig:

    Wenn Sie die Duo-App-Vorlage Generischer SAML-Anbieter nicht verwendet haben, können Sie diesen Schritt nicht ausführen, da die Option zur Eingabe des Citrix Cloud-Abmeldeendpunkts nicht verfügbar ist.

    SAML Duo CC-Verbindungsabmeldung

  3. Wenn Sie sich von Workspace abmelden, wobei beide Seiten der SAML-Verbindung gemäß den Schritten 1 und 2 für die Abmeldung konfiguriert sind, wird die folgende Benutzeroberfläche von Duo angezeigt, die angibt, dass die IDP-Sitzung beendet wurde.

    SAML Duo Abmelde-UI

  4. Optional: Um die Abmeldeerfahrung Ihrer Workspace-Endbenutzer zu verbessern, ist es möglich, die Duo LDAPS-Verbindung mit einer einzigen Logout-Weiterleitungs-URL zu konfigurieren, die Ihre Endbenutzer zurück zur Citrix Workspace-Anmeldeseite leitet. Dies geschieht innerhalb Ihrer AD-Forest-LDAPS-Verbindung.

    SAML Duo Abmelde-Weiterleitungs-URL

    Wichtig:

    Das oben gezeigte Feld für die Abmelde-Weiterleitungs-URL erlaubt nur die Konfiguration einer einzigen Workspace-URL. Die Verwendung mehrerer verschiedener Workspace-URLs innerhalb des Citrix Cloud-Mandanten kann nicht innerhalb einer einzigen Active Directory-Forest-Verbindung in Duo konfiguriert werden.

Duo als SAML-Anbieter für die Workspace-Authentifizierung konfigurieren
April 2, 2026
Author:  Mark Dear
April 2, 2026
Author:  Mark Dear

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.