Produktdokumentation
Citrix Cloud
PDF anzeigen

Duo als SAML-Anbieter für die Workspace-Authentifizierung konfigurieren

July 9, 2025
Author:  Mark Dear

Dieser Artikel beschreibt die erforderlichen Schritte zum Konfigurieren einer Duo SAML-Anwendung und einer SAML-Verbindung zwischen Citrix Cloud und Ihrem SAML-Anbieter. Einige dieser Schritte beschreiben Aktionen, die Sie in der Administrationskonsole des Duo SAML-Anbieters ausführen.

Voraussetzungen

Bevor Sie die hier aufgeführten Aufgaben ausführen, stellen Sie sicher, dass folgende Voraussetzungen erfüllt sind:

  • Ein Duo-Cloud-Mandant.
  • Ein Duo-Authentifizierungsproxy in Ihrer AD-Gesamtstruktur.
  • Eine Active Directory-LDAPS-Verbindung, die Ihre AD-Benutzer mit Duo synchronisiert.

Active Directory-Synchronisierung mit Ihrem Duo-Mandanten konfigurieren

Befolgen Sie die Duo-Dokumentation unter Lokales AD mit Duo verbinden und Benutzer für SAML importieren.

Active Directory LDAPS-Verbindung erstellen

  1. Wählen Sie Anwendungen > SSO-Einstellungen > Quelle hinzufügen > Active Directory > Active Directory hinzufügen.

    SAML Duo Authentifizierungsquelle hinzufügen

  2. Geben Sie einen Anzeigenamen für die LDAPS-Verbindung zu Ihrem AD-Forest ein.

  3. Geben Sie den FQDN Ihres Domänencontrollers ein.

    SAML Duo DC FQDN hinzufügen

  4. Konfigurieren Sie den Basis-DN Ihrer AD-Domäne.

    Saml Duo Basis-DN

  5. Wählen Sie “Integriert” als Authentifizierungstyp aus.

    SAML-Duo-Authentifizierungstyp

  6. Wählen Sie LDAPS als Transporttyp.

    Saml Duo Transporttyp

  7. Aktivieren Sie “SSL-Hostnamen überprüfen”.

  8. Geben Sie sowohl das Domänencontrollerzertifikat als auch das CA-Zertifikat der privaten Unternehmenszertifizierungsstelle ein, das zum Signieren Ihres Domänenzertifikats verwendet wurde.

  9. Geben Sie die PEM-formatierten Zertifikate gemäß dem folgenden Beispiel ein

      -----BEGIN CERTIFICATE-----
  `<base64 Domain Controller Certificate>`
  -----END CERTIFICATE-----
  -----BEGIN CERTIFICATE-----
  `<base64 Certificate Authority Certificate used to sign the Domain Controller Certificate above>`
  -----END CERTIFICATE-----
<!--NeedCopy-->

  10. Testen Sie Ihre LDAPS-Verbindung.

    Saml Duo-Tests ausführen

Duo-Authentifizierungsproxy-Konfigurationsdatei für SAML konfigurieren

  1. Überprüfen Sie, ob Ihre Duo Auth Proxykonfiguration fehlerfrei ist und als Verbunden mit Duo angezeigt wird.

    SAML-Duo-Authentifizierungsproxy

  2. Melden Sie sich bei Ihrem Duo-Authentifizierungsproxy an und fügen Sie seiner Konfigurationsdatei mit der von der Duo-Administratorkonsole bereitgestellten Remote Identity (rikey) einen SAML-Abschnitt [sso] hinzu. Der Duo-Authentifizierungsproxy verwendet ein gemeinsames Geheimnis, um mit dem Duo-Clouddienst zu kommunizieren. Dieses Geheimnis wird während der Erstinstallation oder -konfiguration des Authentifizierungsproxys generiert.

    Konfiguration des Saml Duo-Authentifizierungsproxys

Duo SAML-Anwendung zur Verwendung mit Workspaces konfigurieren

  1. Wählen Sie Anwendungen > Anwendung schützen. Klicken Sie auf Anwendung hinzufügen.

  2. Suchen Sie den Eintrag für die Duo-App-Vorlage “Generic SAML Service Provider”. Citrix empfiehlt die Vorlage “Generic SAML Service Provider Duo”, da sie am flexibelsten ist und es Ihnen ermöglicht, je nach Bedarf verschiedene Kombinationen von SAML-Attributen und verschiedenen SAML-Flows zu konfigurieren.

    Generischer SAML-Dienstanbieter für SAML Duo

    Wichtig:

    Die Verwendung der Duo Citrix Workspace SAML-Vorlage wird nicht empfohlen, da sie unflexibel ist und SAML nur mit AD-Identitäten unterstützt. Die Duo Citrix Workspace SAML-Vorlage erlaubt auch nicht das Hinzufügen optionaler Attribute wie cip_domain und cip_forest, die für einige erweiterte SAML-Konfigurationen für Fusionen und Übernahmen benötigt werden. Außerdem ist die Konfiguration des Citrix Cloud-Abmeldeendpunkts nicht möglich.

  3. Geben Sie einen Anzeigenamen für Ihre SAML-Anwendung an, z. B. Citrix Cloud Prod.

  4. Geben Sie den Benutzerzugriff ** an, z. B. **Für alle Benutzer aktivieren.

  5. Wählen Sie Keine (manuelle Eingabe) unter Metadatenerkennung und geben Sie die folgenden Citrix Cloud SAML-Endpunkte ein.

  6. Geben Sie die EntityID ** entsprechend der Citrix Cloud-Region ein, in der sich Ihr CC-Mandant befindet.

    URL Region
    https://saml.cloud.com Kommerziell EU, USA und APS
    https://saml.citrixcloud.jp JP
    https://saml.cloud.us REGIERUNG

  7. Konfigurieren Sie die Single Sign-On-URL (ACS-URL) entsprechend der Citrix Cloud-Region, in der sich Ihr CC-Mandant befindet.

    URL Region
    https://saml.cloud.com/saml/acs Kommerziell EU, USA und APS
    https://saml.citrixcloud.jp/saml/acs JP
    https://saml.cloud.us/saml/acs REGIERUNG

  8. Konfigurieren Sie die Single-Logout-URL entsprechend der Citrix Cloud-Region, in der sich Ihr CC-Mandant befindet.

    URL Region
    https://saml.cloud.com/saml/logout/callback Kommerziell EU, USA und APS
    https://saml.citrixcloud.jp/samllogout/callback JP
    https://saml.cloud.us/saml/samllogout/callback REGIERUNG

  9. Anmelde-URL des Dienstanbieters ist nicht erforderlich und kann leer gelassen werden.

  10. Standard-Relaisstatus ist nicht erforderlich und kann leer gelassen werden.

    SAML-Duo-Dienstanbieter

  11. Konfigurieren Sie das Namens-ID-Format als Nicht angegeben.

  12. Konfigurieren Sie das Name-ID-Attribut als userPrincipalName (Groß-/Kleinschreibung beachten).

  13. Konfigurieren Sie Signaturalgorithmus als SHA256.

  14. Konfigurieren Sie Signaturoptionen als Signaturantwort.

  15. Konfigurieren Sie Assertion-Verschlüsselung als deaktiviert.

    SAML Duo SAML-Antwort

  16. Konfigurieren Sie Map-Attribute mit Duo-Bridging-Attributen auf der linken Seite und Citrix Cloud SAML-Anspruchsnamen auf der rechten Seite.

    SAML-Duo-Attributzuordnungen

    Wichtig:

    Bei Duo-Bridge-Attributen (links) und SAML-Attributanspruchsnamen (rechts) muss die Groß- und Kleinschreibung beachtet werden. Es sind die Anspruchsnamen auf der rechten Seite, die mit der Konfiguration innerhalb der Citrix Cloud SAML-Verbindung übereinstimmen müssen.

Citrix Cloud SAML-Verbindung konfigurieren

  1. Alle Citrix-Anmeldeabläufe müssen vom Service Provider entweder über eine Workspace-URL oder eine Citrix Cloud GO-URL initiiert werden.

  2. Verwenden Sie die empfohlenen Standardwerte für die SAML-Verbindung in Identitäts- und Zugriffsverwaltung > Authentifizierung > Identitätsanbieter hinzufügen > SAML.

  3. Besorgen Sie sich die SAML-Endpunkte der Duo SAML-Anwendung, um von Ihrem Duo-Portal aus in die Citrix Cloud SAML-Verbindung einzusteigen, indem Sie sich in der Duo Active Directory Sync-Dokumentation informieren.

    SAML-Duo-Duo-Endpunkte

    Feld in Citrix Cloud Wert
    Entitäts-ID https://sso-<id>.sso.duosecurity.com/saml2/sp/<samlappID>/metadata
    Authentifizierungsanforderung signieren Ja
    SSO-Dienst-URL https://sso-<id>.sso.duosecurity.com/saml2/sp/<samlappID>/sso
    SSO-Bindungsmechanismus HTTP-Post
    SAML-Antwort Antwort oder Assertion signieren
    Authentifizierungskontext Keine Angabe, exakt
    Abmelde-URL https://sso-<id>.sso.duosecurity.com/saml2/sp/<samlappID>/slo
    Abmeldeanforderung unterzeichnen Ja
    SLO-Bindungsmechanismus HTTP-Post

Duo SAML-Abmeldeverhalten

Duo SAML unterstützt zum Zeitpunkt der Erstellung dieses Artikels derzeit kein SAML SLO, aber es ist möglich, Duo so zu konfigurieren, dass die IDP-Sitzung beendet wird, wenn sich ein Benutzer explizit von Workspace und/oder Citrix Cloud abmeldet. Es wird empfohlen, den Abschnitt Überlegungen zur SAML-Abmeldung im SAML-Hauptartikel zu lesen, bevor Sie die Abmeldeeinstellungen Ihrer Duo SAML-Anwendung konfigurieren.

Wichtig:

Entnommen aus der Duo-Dokumentation Duo SSO-Abmeldeverhalten und Sitzungsverwaltungsdetails.

Benutzer, die sich abmelden und die SLO-URL für Duo SSO aufrufen, werden von Duo SSO abgemeldet und ihre gespeicherte MFA-Gerätesitzung wird gelöscht, bevor sie auf die Abmeldeseite weitergeleitet werden.

Um die explizite Abmeldung der Duo IDP-Sitzung zu konfigurieren, wenn sich der Endbenutzer von Workspace und/oder Citrix Cloud abmeldet, befolgen Sie die unten empfohlenen Schritte.

  1. Konfigurieren Sie den Citrix Cloud SAML-Abmeldeendpunkt in Ihrer Duo SAML-App.

    Saml Duo CC-Abmeldung

  2. Konfigurieren Sie den Duo SLO-Endpunkt innerhalb der Citrix Cloud SAML-Verbindung.

    Wichtig:

    Wenn Sie die Duo-App-Vorlage Generic SAML Provider nicht verwendet haben, können Sie diesen Schritt nicht abschließen, da die Option zum Aufrufen des Citrix Cloud-Abmeldeendpunkts nicht verfügbar ist.

    SAML Duo CCConnection-Abmeldung

  3. Wenn Sie sich von Workspace abmelden und beide Seiten der SAML-Verbindung gemäß den Schritten 1 und 2 für die Abmeldung konfiguriert sind, zeigt Duo die folgende Benutzeroberfläche an, die angibt, dass die IDP-Sitzung beendet wurde.

    SAML Duo-Abmelde-UI

  4. Optional: Um das Abmeldeerlebnis Ihres Workspace-Endbenutzers zu verbessern, können Sie die Duo LDAPS-Verbindung mit einer einzelnen Abmelde-Umleitungs-URL konfigurieren, die Ihre Endbenutzer zurück zur Citrix Workspace-Anmeldeseite umleitet. Dies erfolgt innerhalb der LDAPS-Verbindung Ihres AD-Forests.

    SAML Duo-Abmelde-Umleitungs-URL

    Wichtig:

    Das oben angezeigte Feld “Abmelde-Umleitungs-URL” ermöglicht nur die Konfiguration einer einzigen Workspace-URL. Die Verwendung mehrerer verschiedener Workspace-URLs innerhalb des Citrix Cloud-Mandanten kann nicht innerhalb einer einzelnen Active Directory-Gesamtstrukturverbindung in Duo konfiguriert werden.

Duo als SAML-Anbieter für die Workspace-Authentifizierung konfigurieren
July 9, 2025
Author:  Mark Dear
July 9, 2025
Author:  Mark Dear

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.