SAML als Identitätsanbieter mit Citrix Cloud verbinden

Citrix Cloud unterstützt die Verwendung von SAML (Security Assertion Markup Language) als Identitätsanbieter für die Authentifizierung von Citrix Cloud-Administratoren und Abonnenten, die sich bei ihrem Workspace anmelden. Sie können den SAML 2.0-Anbieter Ihrer Wahl mit Ihrem On-Premises-Active Directory (AD) verwenden.

Bei den meisten SAML-Anbietern können Sie die SAML-Authentifizierung gemäß den Informationen in diesem Artikel einrichten. Wenn Sie die SAML-Authentifizierung mit Ihrem Azure AD verwenden möchten, können Sie die Citrix Cloud-SAML-SSO-App aus der Azure AD-App-Galerie verwenden. Weitere Informationen zur Verwendung der Citrix Cloud-SAML-SSO-App zum Einrichten der SAML-Authentifizierung in Citrix Cloud finden Sie unter Tutorial: Integration des einmaligen Anmeldens (SSO) von Azure Active Directory mit Citrix Cloud SAML SSO auf der Website mit der Azure AD-Dokumentation.

Voraussetzungen

Für die Verwendung von SAML-Authentifizierung mit Citrix Cloud gelten die folgenden Anforderungen:

• SAML-Anbieter, der SAML 2.0 unterstützt
• On-Premises-AD-Domäne
• Zwei Cloud Connectors, an einem Ressourcenstandort bereitgestellt und mit Ihrer On-Premises-AD-Domäne verbunden. Die Cloud Connectors werden verwendet, um sicherzustellen, dass Citrix Cloud mit Ihrem Ressourcenstandort kommunizieren kann.
• AD-Integration mit Ihrem SAML-Anbieter.

Cloud Connectors

Sie benötigen mindestens zwei (2) Server zum Installieren der Citrix Cloud Connector-Software. Für hohe Cloud Connector-Verfügbarkeit empfiehlt Citrix mindestens zwei Server. Die Server müssen die folgenden Anforderungen erfüllen:

• Die unter Technische Daten zu Citrix Cloud Connector beschriebenen Systemanforderungen müssen erfüllt sein.
• Es dürfen keine anderen Komponenten von Citrix installiert sein. Die Server dürfen keine AD-Domänencontroller oder Maschinen sein, die für Ihre Ressourcenstandortinfrastruktur kritisch sind.
• Sie müssen mit der Domäne verbunden sein, in der sich Ihre Ressourcen befinden. Wenn sich die Ressourcen in mehreren Domänen befinden und Benutzer darauf zugreifen, müssen Sie in jeder Domäne mindestens zwei Cloud Connectors installieren.
• Es muss eine Verbindung zum Netzwerk bestehen, das die Ressourcen abrufen kann, auf die Abonnenten über Citrix Workspace zugreifen.
• Eine Verbindung mit dem Internet muss bestehen. Weitere Informationen finden Sie unter Anforderungen an System und Konnektivität.

Weitere Informationen zur Installation des Cloud Connectors finden Sie unter Cloud Connector-Installation.

Active Directory

Führen Sie vor dem Konfigurieren der SAML-Authentifizierung die folgenden Aufgaben aus:

• Stellen Sie sicher, dass Ihre Workspace-Abonnenten über Benutzerkonten in Active Directory (AD) verfügen. Abonnenten ohne AD-Konto können sich nicht erfolgreich bei ihrem Workspace anmelden, wenn die SAML-Authentifizierung konfiguriert ist.
• Stellen Sie sicher, dass die Benutzereigenschaften in den AD-Konten Ihrer Abonnenten ausgefüllt sind. Citrix Cloud benötigt diese Eigenschaften, um den Benutzerkontext bei der Anmeldung von Abonnenten bei Citrix Workspace zu erfassen. Wenn diese Eigenschaften nicht ausgefüllt werden, können Abonnenten sich nicht anmelden. Zu diesen Eigenschaften gehören:
  • E-Mail-Adresse
  • Anzeigename (optional)
  • Allgemeiner Name
  • SAM-Kontoname
  • Benutzerprinzipalname
  • Objekt-GUID
  • SID
• Verbinden Sie Ihr Active Directory (AD) mit Ihrem Citrix Cloud-Konto, indem Sie Cloud Connectors in Ihrem On-Premises-AD bereitstellen.
• Synchronisieren Sie Ihre AD-Benutzer mit dem SAML-Anbieter. Citrix Cloud benötigt die AD-Benutzerattribute Ihrer Workspace-Abonnenten, damit diese sich erfolgreich anmelden können.

SAML-Integration in Active Directory

Bevor Sie die SAML-Authentifizierung aktivieren, müssen Sie Ihr On-Premises-AD in Ihren SAML-Anbieter integrieren. Diese Integration ermöglicht es dem SAML-Anbieter, die folgenden erforderlichen AD-Benutzerattribute in der SAML-Assertion an Citrix Cloud zu übergeben:

• objectSID (SID)
• objectGUID (OID)
• userPrincipalName (UPN)
• Mail (E-Mail)

Obwohl die genauen Integrationsschritte von SAML-Anbieter zu SAML-Anbieter unterschiedlich sind, umfasst der Integrationsprozess in der Regel die folgenden Aufgaben:

1. Installieren Sie einen Synchronisierungs-Agenten in Ihrer AD-Domäne, um eine Verbindung zwischen Ihrer Domäne und Ihrem SAML-Anbieter herzustellen.
2. Wenn Sie noch keine benutzerdefinierten Attribute haben, die den oben beschriebenen AD-Benutzerattributen zugeordnet sind, erstellen Sie die benutzerdefinierten Attribute und ordnen Sie sie AD zu. Die allgemeinen Schritte bei dieser Aufgabe werden uner Erstellen und Zuordnen benutzerdefinierter SAML-Attribute in diesem Artikel beschrieben.
3. Synchronisieren Sie Ihre AD-Benutzer mit Ihrem SAML-Anbieter.

Hinweis:

Wenn Sie bereits benutzerdefinierte Attribute erstellt haben, die den oben in diesem Abschnitt aufgeführten erforderlichen AD-Benutzerattributen zugeordnet sind, müssen Sie keine weiteren benutzerdefinierten Attribute erstellen und zuordnen. Verwenden Sie stattdessen die vorhandenen benutzerdefinierten Attribute beim Konfigurieren der Metadaten von Ihrem SAML-Anbieter in Citrix Cloud.

Weitere Informationen zur Integration Ihres AD in Ihren SAML-Anbieter finden Sie in der Produktdokumentation Ihres SAML-Anbieters.

Administratorauthentifizierung mit SAML 2.0

Citrix Cloud unterstützt die Verwendung von SAML 2.0 zur Authentifizierung von Mitgliedern von Administratorgruppen in AD. Weitere Informationen zum Hinzufügen von Administratorgruppen zu Citrix Cloud finden Sie unter Administratorgruppen verwalten.

Vorhandene SAML-Verbindung für die Administratorauthentifizierung verwenden

Wenn Sie bereits eine SAML 2.0-Verbindung in Citrix Cloud haben und diese zur Authentifizierung von Administratoren verwenden möchten, müssen Sie zuerst SAML 2.0 in Identitäts- und Zugriffsverwaltung trennen und dann die Verbindung neu konfigurieren. Wenn Sie Ihre SAML-Verbindung zur Authentifizierung von Citrix Workspace-Abonnenten verwenden, müssen Sie auch die SAML-Authentifizierungsmethode in der Workspace-Konfiguration deaktivieren. Nachdem Sie die SAML-Verbindung neu konfiguriert haben, können Sie Administratorgruppen zu Citrix Cloud hinzufügen.

Wenn Sie versuchen, Administratorgruppen hinzuzufügen, ohne zuerst SAML 2.0 zu trennen und neu zu verbinden, wird die unter Administratorgruppe zu Citrix Cloud hinzufügen beschriebene Active Directory-Identitätsoption nicht angezeigt.

Weitere Informationen finden Sie in diesem Artikel unter Aufgabenüberblick.

Aufgabenüberblick

Um eine neue SAML 2.0-Verbindung in Citrix Cloud einzurichten, führen Sie die folgenden Aufgaben aus:

1. Verbinden Sie unter Identitäts- und Zugriffsverwaltung Ihr On-Premises-AD mit Citrix Cloud wie unter Verbinden von Active Directory mit Citrix Cloud beschrieben.
2. Integrieren Sie Ihren SAML-Anbieter in Ihr On-Premises-AD wie unter SAML-Integration in Active Directory in diesem Artikel beschrieben.
3. Konfigurieren Sie die Anmelde-URL, mit der sich die Administratoren bei Citrix Cloud anmelden können.
4. Unter Identitäts- und Zugriffsverwaltung konfigurieren Sie die SAML-Authentifizierung in Citrix Cloud. Diese Aufgabe umfasst die Konfiguration des SAML-Anbieters mit den SAML-Metadaten aus Citrix Cloud und die anschließende Konfiguration von Citrix Cloud mit den Metadaten von Ihrem SAML-Anbieter, um die SAML-Verbindung zu erstellen.

Wenn Sie bereits eine SAML 2.0-Verbindung in Citrix Cloud haben und diese für die Administratorauthentifizierung verwenden möchten, führen Sie die folgenden Aufgaben aus:

1. Deaktivieren Sie gegebenenfalls die SAML 2.0-Workspaceauthentifizierung: Wählen Sie unter Workspacekonfiguration > Authentifizierung eine andere Authentifizierungsmethode aus und wählen Sie dann Bestätigen, wenn Sie dazu aufgefordert werden.
2. Trennen Sie Ihre bestehende SAML 2.0-Verbindung: Suchen Sie unter Identitäts- und Zugriffsverwaltung > Authentifizierung die SAML-Verbindung. Klicken Sie ganz rechts auf die Auslassungspunkte und wählen Sie die Option Trennen aus. Wählen Sie Ja, trennen, um die Aktion zu bestätigen.
3. Verbinden Sie SAML 2.0 neu und konfigurieren Sie die Verbindung: Klicken Sie auf die Auslassungspunkte neben SAML 2.0 und wählen Sie die Option Verbinden aus.
4. Wenn Sie dazu aufgefordert werden, geben Sie einen eindeutiger Bezeichner für die Anmelde-URL ein, mit der sich Administratoren anmelden.
5. Konfigurieren Sie die SAML-Verbindung wie unter SAML-Anbietermetadaten konfigurieren in diesem Artikel beschrieben.

Nachdem Sie Ihre SAML-Verbindung konfiguriert haben, können Sie Ihre AD-Administratorgruppen zu Citrix Cloud hinzufügen, wie unter Administratorgruppen verwalten beschrieben. Sie können SAML auch für Workspace-Abonnenten neu aktivieren, wie in diesem Artikel beschrieben.

Erstellen und Zuordnen benutzerdefinierter SAML-Attribute

Wenn bereits benutzerdefinierte Attribute für die SID-, UPN-, OID- und E-Mail-Attribute in Ihrem SAML-Anbieter konfiguriert sind, müssen Sie diese Aufgabe nicht ausführen. Fahren Sie mit dem Erstellen einer SAML-Connectoranwendung fort und verwenden Sie Ihre vorhandenen benutzerdefinierten SAML-Attribute in Schritt 8.

Hinweis:

In den Schritten in diesem Abschnitt werden Aktionen beschrieben, die Sie in der Verwaltungskonsole Ihres SAML-Anbieters ausführen. Die speziellen Befehle, die Sie zur Durchführung dieser Aktionen verwenden, können je nach ausgewähltem SAML-Anbieter von den in diesem Abschnitt beschriebenen Befehlen abweichen. Die Befehle des SAML-Anbieters in diesem Abschnitt werden nur als Beispiele angegeben. Weitere Informationen zu den entsprechenden Befehlen für Ihren SAML-Anbieter finden Sie in der Dokumentation Ihres SAML-Anbieters.

1. Melden Sie sich bei der Verwaltungskonsole Ihres SAML-Anbieters an und wählen Sie die Option zum Erstellen benutzerdefinierter Benutzerattribute aus. Je nach der Konsole Ihres SAML-Anbieters können Sie beispielsweise Users > Custom User Fields > New User Field auswählen.
2. Fügen Sie die folgenden Attribute hinzu:
   • cip_sid
   • cip_upn
   • cip_oid
   • cip_email
3. Wählen Sie das AD aus, das Sie mit Citrix Cloud verbunden haben. Je nach der Konsole Ihres SAML-Anbieters können Sie beispielsweise Users > Directories auswählen.
4. Wählen Sie die Option zum Hinzufügen von Verzeichnisattributen aus. Je nach der Konsole Ihres SAML-Anbieters können Sie beispielsweise Directory Attributes auswählen.
5. Wählen Sie die Option zum Hinzufügen von Attributen aus und ordnen Sie die folgenden AD-Attribute den in Schritt 2 erstellten benutzerdefinierten Benutzerattributen zu:
   • Wählen Sie objectSid aus und ordnen Sie es dem Attribut cip_sid zu.
   • Wählen Sie userPrincipalName aus und ordnen Sie es dem Attribut cip_upn zu.
   • Wählen Sie ObjectGUID aus und ordnen Sie es dem Attribut cip_oid zu.
   • Wählen Sie mail aus und ordnen Sie es dem Attribut cip_email zu.

Konfigurieren der Anmelde-URL für Administratoren

1. Melden Sie sich bei Citrix Cloud unter https://citrix.cloud.com an.
2. Klicken Sie im Menü “Citrix Cloud” auf Identitäts- und Zugriffsverwaltung.
3. Suchen Sie SAML 2.0, klicken Sie auf die Auslassungspunkte (…) und wählen Sie Verbinden aus.
4. Geben Sie bei der entsprechenden Aufforderung einen kurzen, URL-freundlichen Bezeichner für Ihr Unternehmen ein und wählen Sie Speichern und Fortfahren. Die Seite SAML konfigurieren wird angezeigt.
5. Fahren Sie mit dem nächsten Abschnitt fort, um die SAML-Verbindung zu Citrix Cloud zu konfigurieren.

Konfigurieren der SAML-Anbieter-Metadaten

In dieser Aufgabe erstellen Sie eine Connectoranwendung mit SAML-Metadaten aus Citrix Cloud. Nach Konfiguration der SAML-Anwendung verwenden Sie die SAML-Metadaten Ihrer Connectoranwendung, um die SAML-Verbindung zu Citrix Cloud zu konfigurieren.

Hinweis:

In einigen Schritten in diesem Abschnitt werden Aktionen beschrieben, die Sie in der Verwaltungskonsole Ihres SAML-Anbieters ausführen. Die speziellen Befehle, die Sie zur Durchführung dieser Aktionen verwenden, können je nach ausgewähltem SAML-Anbieter von den in diesem Abschnitt beschriebenen Befehlen abweichen. Die Befehle des SAML-Anbieters in diesem Abschnitt werden nur als Beispiele angegeben. Weitere Informationen zu den entsprechenden Befehlen für Ihren SAML-Anbieter finden Sie in der Dokumentation Ihres SAML-Anbieters.

SAML-Connectoranwendung erstellen

1. Fügen Sie in der Verwaltungskonsole Ihres SAML-Anbieters eine Anwendung für einen Identitätsanbieter mit Attributen und Signierantwort hinzu. Beispielsweise können Sie je nach Konsole Ihres Anbieters Applications > Applications > Add App auswählen und dann SAML Test Connector (IdP w/attr w/sign response) auswählen.
2. Falls zutreffend, geben Sie einen Anzeigenamen ein und speichern Sie die App.
3. Wählen Sie im Bildschirm SAML konfigurieren in Citrix Cloud in SAML-Metadatendie Option Herunterladen aus. Die Metadaten-XML-Datei wird in einer anderen Browserregisterkarte angezeigt

   Hinweis:

   Bei Bedarf können Sie diese Datei auch von https://saml.cloud.com/saml/metadata.xml herunterladen. Dieser Endpunkt ist möglicherweise für einige Identitätsanbieter benutzerfreundlicher, wenn die SAML-Anbietermetadaten importiert und überwacht werden.

4. Geben Sie die folgenden Details für die Connectoranwendung ein:
   • Geben Sie im Feld Zielgruppe https://saml.cloud.com ein.
   • Geben Sie im Feld Empfänger https://saml.cloud.com/saml/acs ein.
   • Geben Sie im Feld für ACS-URL-Validator https://saml.cloud.com/saml/acs ein.
   • Geben Sie im Feld für ACS-URL https://saml.cloud.com/saml/acs ein.

5. Fügen Sie Ihre benutzerdefinierten SAML-Attribute als Parameterwerte in der Anwendung hinzu:

   Dieses Feld erstellen	Dieses benutzerdefinierte Attribut zuweisen
   cip_sid	cip_sid oder Ihr vorhandenes SID-Attribut
   cip_upn	cip_upn oder Ihr vorhandenes UPN-Attribut
   cip_oid	cip_oid oder Ihr vorhandenes OID-Attribut
   cip_email	cip_email oder Ihr vorhandenes E-Mail-Attribut

6. Fügen Sie Ihre Workspace-Abonnenten als Benutzer hinzu, damit sie auf die Anwendung zugreifen können.

SAML-Anbietermetadaten zu Citrix Cloud hinzufügen

1. Rufen Sie die SAML-Metadaten von Ihrem SAML-Anbieter ab. Die folgende Abbildung ist ein Beispiel dafür, wie diese Datei aussehen könnte:
2. Geben Sie im Bildschirm SAML konfigurieren in Citrix Cloud die folgenden Werte aus der Metadatendatei Ihres SAML-Anbieters ein:

   • Geben Sie unter Entitäts-ID den entityID-Wert aus dem EntityDescriptor-Element in den Metadaten ein.

   • Wählen Sie unter Authentifizierungsanforderung signieren die Option Ja aus, damit Citrix Cloud Authentifizierungsanforderungen signieren und so bestätigen kann, dass sie von Citrix Cloud stammen und nicht von einem schädlichen Akteur. Wählen Sie Nein aus, wenn Sie die Citrix ACS-URL lieber einer Positivliste hinzufügen möchten, die Ihr SAML-Anbieter verwendet, um SAML-Antworten sicher zu veröffentlichen.

   • Geben Sie unter SSO-Dienst-URL die URL für den Bindungsmechanismus ein, den Sie verwenden möchten. Sie können entweder HTTP-POST- oder HTTP-Redirect-Bindung verwenden. Suchen Sie in der Metadatendatei die SingleSignOnService-Elemente mit den Bindungswerten von HTTP-POST oder HTTP-Redirect.

   • Wählen Sie unter Bindungsmechanismus den Mechanismus aus, der der Bindung für die SSO-Dienst-URL entspricht, die Sie aus der Metadatendatei ausgewählt haben.
   • Wählen Sie unter SAML-Antwort die Signiermethode aus, die Ihr SAML-Anbieter für die SAML-Antwort und SAML-Assertion verwendet. Standardmäßig lehnt Citrix Cloud alle Antworten ab, die nicht wie in diesem Feld angegeben signiert sind.
3. Führen Sie in der Verwaltungskonsole Ihres SAML-Anbieters die folgenden Aktionen aus:
   • Wählen Sie SHA-256 für den SAML-Signaturalgorithmus aus.
   • Laden Sie das X.509-Zertifikat als PEM-Datei herunter.
4. Wählen Sie im Bildschirm SAML konfigurieren in Citrix Cloud die Option Datei hochladen und wählen Sie die im vorherigen Schritt heruntergeladene PEM-Datei aus.
5. Wählen Sie Weiter aus, um den Upload abzuschließen.
6. Wählen Sie unter Authentifizierungskontext den Kontext aus, den Sie verwenden möchten, und wählen Sie aus, wie streng Citrix Cloud diesen Kontext durchsetzen soll. Wählen Sie Minimum aus, um die Authentifizierung im ausgewählten Kontext anzufordern, ohne die Authentifizierung in diesem Kontext durchzusetzen. Wählen Sie Genau aus, um die Authentifizierung im ausgewählten Kontext anzufordern und nur in diesem durchzusetzen. Wenn Ihr SAML-Anbieter keine Authentifizierungskontexte unterstützt oder Sie diese nicht verwenden, wählen Sie Keine Angabe und Minimum aus.
7. Suchen Sie unter Abmelde-URL das SingleSignOnService-Element mit der HTTP-Redirect-Bindung in der Metadatendatei Ihres SAML-Anbieters und geben Sie die URL ein. Wenn Sie die Abmelde-URL weglassen, sendet Citrix Cloud keine Abmeldeanforderung an den Identitätsanbieter. Stattdessen leitet Citrix Cloud zur Workspace-URL um. Citrix Cloud unterstützt kein Single Log Out (SLO) oder das Senden signierter Abmeldeanforderungen.
8. Stellen Sie sicher, dass die folgenden Standardnamen-Attributwerte in Citrix Cloud mit den entsprechenden Attributwerten in der Verwaltungskonsole Ihres SAML-Anbieters übereinstimmen. Wenn die Werte Ihres SAML-Anbieters abweichen, können Sie diese Werte in Citrix Cloud ändern, um sicherzustellen, dass sie mit Ihrem SAML-Anbieter übereinstimmen.
   • Attributname für Benutzeranzeigename: displayName
   • Attributname für Vorname: givenName
   • Attributname für Nachname: familyName
9. Geben Sie in Citrix Cloud die benutzerdefinierten SAML-Attribute Ihres SAML-Anbieters ein:
   • Geben Sie unter Attributname für Sicherheits-ID (SID) Ihren benutzerdefinierten SID-Attributnamen ein. Der Standardwert ist cip_sid.
   • Geben Sie unter Attributname für Benutzerprinzipalname (UPN) Ihren benutzerdefinierten UPN-Attributnamen ein. Der Standardwert ist cip_upn.
   • Geben Sie unter Attributname für E-Mail den Namen Ihres benutzerdefinierten E-Mail-Attributs ein. Der Standardwert ist cip_email.
   • Geben Sie unter Attributname für AD-Objektbezeichner (OID) Ihren benutzerdefinierten OID-Attributnamen ein. Der Standardwert ist cip_oid.
10. Wählen Sie Testen und schließen aus, um zu überprüfen, ob Sie die Verbindung erfolgreich konfiguriert haben.

Administratoren aus AD zu Citrix Cloud hinzufügen

Anweisungen zum Hinzufügen und Verwalten von AD-Gruppen in Citrix Cloud finden Sie unter Administratorgruppen verwalten.

SAML-Authentifizierung für Workspaces aktivieren

1. Wählen Sie im Citrix Cloud-Menü Workspacekonfiguration.
2. Wählen Sie die Registerkarte Authentifizierung aus.
3. Wählen Sie SAML 2.0 aus.

Problembehandlung

Attributfehler

Attributfehler können auftreten, wenn die erforderlichen Attribute in Ihrer SAML-Konfiguration nicht korrekt codiert sind. Wenn ein Attributfehler auftritt, zeigt Citrix Cloud eine Fehlermeldung an, die das fehlerhafte Attribut enthält.

Um diese Art von Fehler zu beheben, stellen Sie sicher, dass die Attribute gemäß der folgenden Tabelle codiert sind.

Unerwartete Fehler

In Citrix Cloud tritt möglicherweise ein unerwarteter Fehler auf, wenn:

• Ein Benutzer eine SAML-Anforderung mithilfe eines IDP-initiierten Flows macht. Beispiel: Die Anforderung wird gestellt, indem eine Kachel über das App-Portal des Identitätsanbieters ausgewählt wird, anstatt direkt zur Workspace-URL (customer.cloud.com) zu wechseln.
• Das SAML-Zertifikat ungültig oder abgelaufen ist.
• Der Authentifizierungskontext ungültig ist.
• SAML-Assertion und Antwortsignatur nicht übereinstimmen.

Wenn dieser Fehler auftritt, zeigt Citrix Cloud eine generische Fehlermeldung an.

Wenn der Fehler auf den Wechsel zu Citrix Cloud über das App-Portal eines Identitätsanbieters zurückzuführen ist, können Sie folgenden Workaround verwenden:

1. Erstellen Sie im App-Portal des Identitätsanbieters eine Lesezeichen-App, die auf Ihre Workspace-URL verweist (z. B. https://customer.cloud.com).
2. Weisen Sie Benutzer sowohl der SAML-App als auch der Lesezeichen-App zu.
3. Ändern Sie die Sichtbarkeit der SAML-App und der Lesezeichen-App so, dass die Lesezeichen-App sichtbar und die SAML-App im App-Portal verborgen ist.
4. Deaktivieren Sie den Parameter “Prompt=Login”, um zusätzliche Kennwortanforderungen zu entfernen.

Weitere Informationen

• Microsoft-Dokumentation: Tutorial: Integration des einmaligen Anmeldens (SSO) von Azure Active Directory mit Citrix Cloud SAML SSO
• Citrix Tech Zone: Tech Insight: Authentication - SAML