Single Sign-On mit Azure Active Directory

Endpoint Management unterstützt den Single Sign-On mit den Anmeldeinformationen von Azure Active Directory für folgende Szenarios:

  • Benutzerregistrierung über Citrix Secure Hub (Android oder iOS)
  • Für die RBAC-Benutzerrolle: Authentifizierung beim Endpoint Management-Selbsthilfeportal
  • Administratorauthentifizierung für die Endpoint Management-Konsole
  • Für Endpoint Management: Administratorauthentifizierung für öffentlichen Endpoint Management-API für REST-Dienste mit einem Token, der über die Citrix Cloud-API abgerufenen wird.
  • Weitere Informationen finden Sie in Abschnitt 3.3.2 “Login (Cloud Credentials)” des PDF-Dokuments Public API for REST Services.

Endpoint Management verwendet die Citrix-Identitätsplattform, einen Service von Citrix Cloud, für den Verbindungsaufbau mit Azure Active Directory. Die Citrix-Identitätsplattform ist ein Identitätsanbieter (IdP).

Um diesen Dienst einzurichten, konfigurieren Sie Azure Active Directory in Citrix Cloud als Identitätsanbieter. Anschließend konfigurieren Sie die Citrix-Identitätsplattform als IdP-Typ für Endpoint Management. Benutzer können sich dann mit den Azure Active Directory-Anmeldeinformationen an Secure Hub anmelden. Secure Hub verwendet die Clientzertifikat-Authentifizierung für MAM-Geräte.

Citrix empfiehlt, dass Sie die Citrix-Identitätsplattform und keine direkte Verbindung mit Azure Active Directory verwenden.

Voraussetzungen für den Single Sign-On mit Azure Active Directory

  • Citrix Gateway, konfiguriert für die zertifikatbasierte Authentifizierung
  • Secure Hub 10.7.20 (Mindestversion)
  • Azure Active Directory-Benutzeranmeldeinformationen

Konfigurieren von Azure Active Directory als Identitätsanbieter in Citrix Cloud

Konfigurieren von Azure Active Directory in Citrix Cloud

  1. Melden Sie sich unter https://citrix.cloud.com an Ihrem Citrix Cloud-Konto an.

  2. Stellen Sie im Citrix Cloud-Menü auf der Seite Identitäts- und Zugriffsverwaltung eine Verbindung mit Azure Active Directory her.

    Bild vom Citrix Cloud-Bildschirm

  3. Geben Sie Ihre Administrator-Anmelde-URL ein und klicken Sie auf Verbinden.

    Bild vom Citrix Cloud-Bildschirm

  4. Nach der Anmeldung wird Ihr Azure Active Directory-Konto mit Citrix Cloud verbunden. Auf der Seite Identitäts- und Zugriffsverwaltung > Authentifizierung sehen Sie, mit welchen Konten Sie sich bei den Citrix Cloud- und Azure Active Directory-Konten anmelden.

    Bild vom Citrix Cloud-Bildschirm

Konfigurieren der Citrix-Identitätsplattform als IdP-Typ für Endpoint Management

Nach dem Konfigurieren von Azure Active Directory in Citrix Cloud konfigurieren Sie Endpoint Management wie nachfolgend beschrieben.

  1. Navigieren Sie in der Endpoint Management-Konsole zu Einstellungen > Identitätsanbieter (IdP) und klicken Sie auf Hinzufügen.

  2. Konfigurieren Sie auf der Seite Identitätsanbieter (IdP) folgende Einstellungen:

    Bild des IDP-Konfigurationsbildschirms

    • IdP-Name: Geben Sie einen eindeutigen Namen für die IdP-Verbindung ein, die Sie erstellen.
    • IdP-Typ: Wählen Sie Citrix-Identitätsplattform.
    • Auth-Domäne: Wählen Sie die Citrix Cloud-Domäne. Angaben zu Ihrer Domäne finden Sie bei Bedarf in Citrix Cloud auf der Seite Identitäts- und Zugriffsverwaltung > Authentifizierung.
  3. Klicken Sie auf Weiter. Konfigurieren Sie folgende Einstellungen auf der Seite IdP-Anspruchsverwendung:

    Bild des IDP-Konfigurationsbildschirms

    • Benutzer-ID-Typ: Dieses Feld ist auf userPrincipalName festgelegt.
    • Benutzer-ID-Zeichenfolge: Dieses Feld wird automatisch ausgefüllt.
  4. Klicken Sie auf Weiter, lesen Sie die Zusammenfassung und klicken Sie auf Speichern.

    Benutzer von Secure Hub, der Endpoint Management-Konsole und des Selbsthilfeportals können sich jetzt mit ihren Azure Active Directory-Anmeldeinformationen anmelden.

Verfahren zur Administrator- und Benutzerauthentifizierung in Endpoint Management

Der Anmeldebildschirm für die Endpoint Management-Konsole und das Endpoint Management-Selbsthilfeportal enthält den Link Mit Firmenanmeldeinformationen anmelden.

Abbildung der Endpoint Management-Anmeldung

Klicken Sie auf diesen Link und geben Sie Ihre Azure Active Directory-Anmeldeinformationen ein. Nach der erfolgreichen Authentifizierung ist zukünftig keine Anmeldung in Endpoint Management erforderlich.

Wenn Sie sich bei der Endpoint Management-Konsole oder beim Selbsthilfeportal über ein in die Domäne eingebundenes Gerät anmelden und auf den Link Mit Firmenanmeldeinformationen anmelden klicken, können Sie sich per Single Sign-On anmelden. Es wird keine Authentifizierungsaufforderung angezeigt.

Verfahren zur Authentifizierung in Secure Hub

Bei Verwendung der Citrix-Identitätsplattform als Identitätsanbieter (IdP) in Endpoint Management werden Geräte, die über Secure Hub registriert sind, folgendermaßen bei Secure Hub authentifiziert:

  1. Ein Benutzer startet Secure Hub.
  2. Die Authentifizierungsanforderung wird von Secure Hub an die Citrix-Identitätsplattform und von dort an Azure Active Directory geleitet.
  3. Der Benutzer gibt den Benutzernamen und das Kennwort ein.
  4. Azure Active Directory überprüft den Benutzer und sendet einen Code an die Citrix-Identitätsplattform.
  5. Von dort wird der Code zunächst an Secure Hub und dann an den Endpoint Management-Server weitergeleitet.
  6. Endpoint Management fordert mit dem Code und dem geheimen Schlüssel einen ID-Token an und überprüft die Benutzerinformationen im ID-Token. Endpoint Management gibt eine Sitzungs-ID zurück.

Benutzer von in Domänen eingebundenen Geräten können sich mit ihren Azure Active Directory-Anmeldeinformationen per Single Sign-On anmelden. Für lokale Endpoint Management-Konten steht eine Anmeldung per Single Sign-On nicht zur Verfügung.