Citrix Cloud

Okta als SAML-Anbieter für die Workspace-Authentifizierung konfigurieren

In diesem Artikel werden die Schritte zur Konfiguration einer Okta SAML-Anwendung und der Verbindung zwischen Citrix Cloud und Ihrem SAML-Anbieter beschrieben. In einigen Schritten werden Aktionen beschrieben, die Sie in der Verwaltungskonsole Ihres SAML-Anbieters ausführen.

Voraussetzungen

Bevor Sie die hier aufgeführten Aufgaben ausführen, stellen Sie sicher, dass folgende Voraussetzungen erfüllt sind:

  • Der Citrix Support hat die Features EnableSamlLogoutSigningAndPost und SendNameIDPolicyInSAMLRequest in Citrix Cloud aktiviert. Diese Features werden auf Anfrage aktiviert. Weitere Informationen zu den Features finden Sie unter Für SAML mit Okta erforderliche Cloud-Features.
  • Sie haben eine Okta-Organisation, die eine der folgenden Okta-Domänen verwendet:
    • okta.com
    • okta-eu.com
    • oktapreview.com
  • Sie haben Ihr Active Directory (AD) mit Ihrer Okta-Organisation synchronisiert.
  • Authentifizierungsanforderung signieren ist in Ihrer Okta-Organisation aktiviert.
  • Single Logout (SLO) ist sowohl in Citrix Cloud als auch in der Okta SAML-Anwendung konfiguriert. Wenn SLO konfiguriert ist und sich ein Endbenutzer von Citrix Workspace abmeldet, meldet er sich auch bei Okta und allen anderen Dienstanbietern ab, die die Okta-SAML-Anwendung gemeinsam nutzen.

Für SAML mit Okta erforderliche Cloud-Features

Bevor Sie die hier aufgeführten Aufgaben ausführen, müssen Sie den Citrix Support bitten, die folgenden Citrix Cloud-Features zu aktivieren:

  • EnableSamlLogoutSigningAndPost: Dieses Feature ändert das standardmäßige SAML-Abmeldeverhalten in Citrix Cloud von der unsignierten SLO-Umleitungsanforderung zur signierten POST SLO-Anforderung.
  • SendNameIDPolicyInSAMLRequest: Mit diesem Feature kann Citrix Cloud die Richtlinie NameID in der SAML-Anforderung an Ihren SAML-Anbieter als Keine Angabe übergeben. Das Feature ist nur für die Verwendung mit Okta aktiviert.

Sie können diese Features anfordern, indem Sie sich bei Ihrem Citrix Konto anmelden und ein Ticket über die Citrix Support-Website öffnen.

Anforderungen

Dieser Artikel umfasst eine Aufgabe zur Erstellung einer SAML-Anwendung in der Okta-Verwaltungskonsole. Diese Anwendung erfordert ein SAML-Signaturzertifikat für Ihre Citrix Cloud-Region.

Wichtig:

Das Signaturzertifikat muss im PEM-Format codiert sein. Citrix Cloud akzeptiert keine Signaturzertifikate in anderen Codierungsformaten.

Sie können das Zertifikat aus den Citrix Cloud SAML-Metadaten für Ihre Region mithilfe eines Extraktionstools extrahieren (z. B. https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract). Citrix empfiehlt die Beschaffung des Citrix Cloud-SAML-Zertifikats im Voraus, damit es bei Bedarf zur Verfügung steht.

In den Schritten in diesem Abschnitt wird beschrieben, wie Sie das Signaturzertifikat mithilfe des Extraktionstools auf https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract erhalten.

Zum Abrufen der Citrix Cloud-Metadaten für Ihre Region gehen Sie folgendermaßen vor:

  1. Geben Sie in dem verwendeten Extraktionstool die Metadaten-URL Ihrer Citrix Cloud-Region ein:

    • Geben Sie für die Regionen Europäische Union, USA und Asien-Pazifik Süd https://saml.cloud.com/saml/metadata ein.
    • Geben Sie für die Region Japan https://saml.citrixcloud.jp/saml/metadata ein.
    • Geben Sie für die Region Citrix Cloud Government https://saml.cloud.us/saml/metadata ein.
  2. Klicken Sie auf Load. Das extrahierte Zertifikat wird unter der eingegebenen URL angezeigt.
  3. Klicken Sie auf Download, um das Zertifikat im PEM-Format herunterzuladen.

Synchronisieren von Konten mit dem Okta-AD-Agent

Um Okta als SAML-Anbieter zu verwenden, müssen Sie zunächst Ihr On-Premises-Active Directory mit Okta integrieren. Installieren Sie dafür den Okta-AD-Agent in Ihrer Domäne und fügen Ihr AD zu Ihrer Okta-Organisation hinzu. Hinweise zum Bereitstellen des Okta-AD-Agent finden Sie unter Get started with Active Directory integration auf der Okta-Website.

Anschließend importieren Sie Ihre AD-Benutzer und -Gruppen in Okta. Schließen Sie beim Importieren die folgenden Werte ein, die Ihren AD-Konten zugeordnet sind:

  • E-Mail
  • SID
  • UPN
  • OID

Synchronisieren der AD-Benutzer und -Gruppen mit Ihrer Okta-Organisation:

  1. Installieren und konfigurieren Sie den Okta-AD-Agent. Ausführliche Anweisungen finden Sie in den folgenden Artikeln auf der Okta Website:
  2. Fügen Sie Ihre AD-Benutzer und -Gruppen durch manuellen oder automatisierten Import zu Okta hinzu. Weitere Hinweise zu Importverfahren finden Sie unter Manage Active Directory users and groups auf der Okta-Website.

Okta-SAML-Anwendung für die Workspace-Authentifizierung konfigurieren

  1. Melden Sie sich mit einem Administratorkonto mit Berechtigungen zum Hinzufügen und Konfigurieren von SAML-Anwendungen bei Ihrer Okta-Organisation an.
  2. Wählen Sie in der Verwaltungskonsole Applications > Applications > Create App Integration und dann SAML 2.0. Wählen Sie Weiter.

    Okta-Konsole mit SAML als Anmeldemethode

  3. Geben Sie unter App Name einen Anzeigenamen für die Anwendung ein. Wählen Sie Weiter.

    Seite zur Erstellung einer SAML-Integration mit hervorgehobenem Feld für den App-Namen

  4. Konfigurieren Sie im Abschnitt SAML Settings die Citrix Cloud-Dienstanbieterverbindung:
    1. Geben Sie unter Single sign-on URL die URL ein, die der Citrix Cloud-Region für Ihren Citrix Cloud-Kunden entspricht:
      • Geben Sie für Kundennummern in der Region Europäische Union, USA oder Asien-Pazifik Süd https://saml.cloud.com/saml/acs ein.
      • Geben Sie für Kundennummern in Japan https://saml.citrixcloud.jp/saml/acs ein.
      • Geben Sie für Kundennummern in der Region Citrix Cloud Government https://saml.cloud.us/saml/acs ein.
    2. Wählen Sie Use this for Recipient and Destination URL.
    3. Geben Sie unter Audience URI (SP Entity ID) die URL ein, die der Citrix Cloud-Region für Ihren Citrix Cloud-Kunden entspricht:
      • Geben Sie für Kundennummern in der Region Europäische Union, USA oder Asien-Pazifik Süd https://saml.cloud.com ein.
      • Geben Sie für Kundennummern in Japan https://saml.citrixcloud.jp ein.
      • Geben Sie für Kundennummern in der Region Citrix Cloud Government https://saml.cloud.us ein.
    4. Wählen Sie unter Name ID Format die Option Unspecified. Die NameID-Richtlinie, die Citrix Cloud innerhalb der SAML-Anfrage sendet, muss dem in der Okta-SAML-Anwendung angegebenen NameID-Format entsprechen. Wenn diese Elemente nicht übereinstimmen, führt die Aktivierung von Authentifizierungsanforderung signieren zu einem Fehler von Okta.
    5. Wählen Sie unter Application username die Option Okta username.

      Das folgende Beispiel zeigt die korrekte Konfiguration für die Regionen USA, EU und Asien-Pazifik Süd:

      Konfigurierte SAML-Einstellungen in der Okta-Konsole

      Wichtig:

      Die Einstellung Namens-ID muss als Keine Angabe konfiguriert werden. Wenn Sie für diese Einstellung einen anderen Wert verwenden, schlägt die SAML-Anmeldung fehl.

    6. Klicken Sie auf Show Advanced Settings und konfigurieren Sie die folgenden Einstellungen:
      • Wählen Sie unter Response die Option Signed.
      • Wählen Sie unter Assertion Signature die Option Signed.
      • Wählen Sie unter Signature Algorithm die Option RSA-SHA256.
      • Wählen Sie unter Assertion Encryption die Option Unencrypted.
    7. Laden Sie unter Signature Certificate das SAML-Signaturzertifikat für Ihre Citrix Cloud-Region im PEM-Format hoch. Anweisungen zur Beschaffung des SAML-Signaturzertifikats finden Sie unter Anforderungen in diesem Artikel.
    8. Wählen Sie unter Enable Single Logout die Option Allow application to initiate Single Logout.
    9. Geben Sie unter Single Logout URL die URL ein, die Ihrer Citrix Cloud-Region entspricht:
      • Geben Sie für die Regionen Europäische Union, USA und Asien-Pazifik Süd https://saml.cloud.com/saml/logout/callback ein.
      • Geben Sie für die Region Japan https://saml.citrixcloud.jp/saml/saml/logout/callback ein.
      • Geben Sie für die Region Citrix Cloud Government https://saml.cloud.us/saml/logout/callback ein.
    10. Geben Sie für SP Issuer den Wert ein, den Sie zuvor in Audience URI (SP Entity ID) eingegeben haben (Schritt 4c dieser Aufgabe).
    11. Wählen Sie unter Signed Requests die Option Validate SAML requests with signature certificates.

      Die folgende Abbildung zeigt die korrekte Konfiguration für die Regionen USA, EU und Asien-Pazifik Süd:

      Seite der erweiterten SAML-Einstellungen in der Okta-Konsole mit konfigurierten Einstellungen

    12. Übernehmen Sie für alle anderen erweiterten Einstellungen die Standardwerte.

      Seite der erweiterten Einstellungen in der Okta-Konsole mit Standardwerten

  5. Geben Sie unter Attribute Statements (optional)die folgenden Werte für Name, Name format und Value ein:

    Name Name format Value
    cip_email Keine Angabe user.email
    cip_upn Keine Angabe user.cip_upn
    cip_oid Keine Angabe user.cip_oid
    cip_sid Keine Angabe user.cip_sid
    displayName Keine Angabe user.displayName
    firstName Keine Angabe user.firstName
    lastName Keine Angabe user.lastName

    Okta-Konsole mit konfigurierten Attributen

  6. Wählen Sie Weiter. Die Okta-Konfigurationserklärung wird angezeigt.

    Okta-Konfigurationserklärung

  7. Wählen Sie für Are you a customer or partner? die Option I’m an Okta customer adding an internal app.
  8. Wählen Sie unter App type die Option This is an internal app that we have created.
  9. Wählen Sie Finish, um Ihre Konfiguration zu speichern. Die Profilseite für Ihre SAML-Anwendung mit dem Inhalt der Registerkarte Sign On wird angezeigt.

Wählen Sie nach der Konfiguration die Registerkarte Assignments und weisen Sie der SAML-Anwendung Benutzer und Gruppen zu.

Okta als SAML-Anbieter für die Workspace-Authentifizierung konfigurieren