Konfigurieren von O365

Voraussetzungen

Um O365-Apps in der Citrix Workspace-App zu konfigurieren, führen Sie Folgendes unbedingt aus:

  • Wenn Sie eine primäre Domäne in Azure AD zur Verfügung haben, die nicht mit anderen Diensten verbunden ist, können Sie diese Domäne verwenden, um sich mit Citrix Secure Workspace Access zu verbünden. Stellen Sie sicher, dass diese Domäne, entweder die übergeordnete oder die untergeordnete Domäne, nicht bereits verbunden ist und die übergeordnete Domäne nicht bereits im Azure Active Directory (AAD) hinzugefügt wurde.

    Wenn sich Ihr Benutzer beispielsweise über user1@demo.citrix.com anmeldet, ist demo.citrix.com die primäre Domäne, citrix.com ist eine übergeordnete Domäne und wird.demo.citrix.com ist eine untergeordnete Domäne.

  • Wenn Sie die primäre Domäne nicht föderierenkönnen, fügen Sie eine neue Nettodomäne zu Azure AD hinzu und föderieren Sie sie zu Citrix Secure Workspace Access. Erstellen Sie die Domain und schließen Sie die Verifizierung ab. Einzelheiten finden Sie unter https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/add-custom-domain.

    Einzelheiten dazu, warum Sie eine Verbunddomäne benötigen, finden Sie unter Wie funktioniert der Domain-Fe.

  • Vergewissern Sie sich, dass sich die neue Domain, die Sie hinzugefügt haben, im Azure AD im Status “Verifiziert” befindet.

  • Richten Sie eine Vertrauensstellung zwischen Ihrem SAML-Identitätsanbieter und Azure ADein. Um eine Vertrauensstellung einzurichten, müssen Sie eine Domain haben, die in AAD verifiziert ist. Wenn ein Verbund in AAD mit einer Domäne konfiguriert wird, vertraut AAD dem SAML-Anbieter auf die Benutzerauthentifizierung bei AAD, selbst wenn der Benutzer aus einer anderen Domäne als der Verbunddomäne stammt. In dem von SP initiierten Flow, wenn AAD identifizieren muss, welcher IdP für die Authentifizierung verwendet werden soll (Benutzer an föderierten IdP beschleunigen), wird er mithilfe der identifiziert whr query param oder domain_hint an die URL weitergegeben https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/configure-authentication-for-federated-users-portal.

    Das Hinzufügen eines Verbandes für eine neue Domain hat keine Auswirkungen auf einen vorhandenen Verband, den Sie in Ihrem Setup haben. Wenn Sie ADFS bereits zu einer Domain föderiert haben, ist dies nicht betroffen, da Sie eine andere Domain föderieren, die weder Subdomain noch Parent Domain einer bereits föderierten Domain ist.

    SSO kann die folgenden zwei Flüsse haben:

    IdP-initiierter Flow: Wird normalerweise verwendet, wenn Sie sich beim Azure AD-Portal anmelden möchten. Der Citrix Secure Workspace Access-Dienst veröffentlicht die SAML-Assertion an Azure AD (AAD). AAD validiert es basierend auf der Federation-Einstellung, die wir zuvor durchgeführt haben. Wenn die Validierung erfolgreich ist, wird das nameid Attribut von SAML extrahiert. Das nameid Attribut muss mit dem Benutzer übereinstimmen immutableId, der im AAD vorhanden ist.

    SP initiierter Flow: Wird normalerweise verwendet, wenn Sie direkt anstelle des AAD-Portals in der App landen möchten. In diesem Flow lädt der Citrix Secure Workspace Access-Dienst die URL, die in den App-Einstellungen konfiguriert ist. Die URL geht an AAD und da die URL einen Hinweis auf die föderierte Domäne hat, wird der Benutzer mit einer SAML-Anforderung und einem Relay-Status an den Citrix Gateway Service weitergeleitet. Der Citrix Secure Workspace Access-Dienst veröffentlicht die SAML-Assertion an AAD mit demselben Relay-Status, der in der Anfrage enthalten war. Sobald SAML validiert ist, leitet AAD einen Benutzer in den Kontext im Relay-Status um und somit landet der Benutzer direkt auf der App.

  • Konfigurieren Sie die O365-App im Citrix Gateway Service. Einzelheiten finden Sie unter Unterstützung für SaaS-Apps.

Wie funktioniert der Domain-Fe

Die folgende Abbildung zeigt einen typischen Flow, der nach Abschluss eines Domainverbunds erforderlich ist.

Wie funktioniert der Domain-Fe

Bedenken Sie, dass Sie die Office365-App in den Citrix Workspace hinzufügen und Wasserzeichen aktivieren und Downloads einschränken möchten. Der typische Ablauf ist wie folgt:

  1. Sie starten die Office365-App im Citrix Workspace.
  2. Die Anfrage geht an den Citrix Secure Workspace Access-Dienst.
  3. Der Citrix Secure Workspace Access-Dienst erstellt die SAML-Assertion und leitet sie an Azure AD weiter.
  4. Da die Anfrage von einem vertrauenswürdigen SAML-IdP stammt, identifiziert Azure AD sie über den erstellten Domain-Verband und übergibt die SAML-Assertion an die Office365-App.

    Die Office365-App wird gestartet.

Für Office365 unterstützte Authentifizierungsmethoden

Standardmäßig verwendet Citrix Cloud den Citrix Identitätsanbieter zur Verwaltung der Identitätsinformationen für alle Benutzer in einem Citrix Cloud-Konto.

Der Citrix Workspace unterstützt die folgenden Authentifizierungsmethoden für Office365. Okta und Google IdP werden derzeit nicht unterstützt.

  • On-Premises Active Directory
  • Active Directory plus Token
  • Azure Active Directory Directory-Hinweis: Wenn AAD zur Authentifizierung beim Workspace verwendet wird, können Sie die primäre Domäne (Login-Domain des Benutzers) nicht föderieren, da dies eine Schleife erstellt. In solchen Fällen müssen Sie eine neue Domain föderieren
  • Citrix Gateway
  • Active Directory plus RADIUS

Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung.

Konfigurieren Sie die O365-App im Citrix Gateway Service

Im Folgenden werden die allgemeinen Schritte zur Konfiguration der O365-App im Citrix Gateway Service beschrieben. Weitere Informationen finden Sie unter Unterstützung für Software as a Service App.

  1. Gehen Sie zum Citrix Gateway Service in Citrix Cloud.
  2. Fügen Sie eine SaaS/Web-App hinzu.
  3. Suchen Sie nach Office 365 und wählen Sie Template.
  4. Fügen Sie die folgenden verwandten Domains in den App-Details ein. Im Folgenden finden Sie die Liste der O365-Domänen. Neue Domains werden hinzugefügt, wenn verfügbar.

    • *.office.com
    • *.office365.com
    • *.sharepoint.com
    • *.live.com
    • *.onenote.com
    • *.microsoft.com
    • *.powerbi.com
    • *.dynamics.com
    • *.microsoftstream.de
    • *.powerapps.com
    • *.yammer.com
    • *.windowsazure.com
    • *.msauth.net
    • *.msauthimages.net
    • *.msocdn.com
    • *.microsoftonline.com
    • *.windows.net
    • *.microsoftonline-p.com
    • *.akamaihd.net
    • *.sharepointonline.com
    • *.officescriptsservice.com
    • *.live.net
    • *.office.net
    • *.msftauth.net
  5. Aktivieren Sie bei Bedarf erweiterte Sicherheitskontrollen.
  6. Konfigurieren Sie SSO.

    Hinweis: Die einzige Änderung, die Sie vornehmen müssen, besteht darin, sicherzustellen, dass “Namens-ID” die Active Directory-GUID ist.

  7. Stellen Sie sicher, dass erweiterte Attribute auch IDPEmailgesendet
    • Attributname:IDPEmail
    • Attributformat: Nicht spezifiziert
    • Attributwert: E-Mail
  8. Klicken Sie auf SAML-Metadaten, um eine neue Registerkarte zu öffnen.
    • Kopiere “EntityID”
    • “Login-URL” kopieren
    • Laden Sie das Zertifikat im CRT-Format herunter

Konfigurieren des Domänenverbunds von Azure AD zu Citrix Workspace

Voraussetzungen:

  • Aktivieren Sie PowerShell in Azure AD
  • Installieren Sie das Microsoft MSOnline-Modul

Im Folgenden finden Sie die PowerShell-Befehle zur Installation der erforderlichen Module.

`PS> Install-Module AzureAD -Force`

`PS> Import-Module AzureAD -Force`

`PS> Install-Module MSOnline -Force`

`PS> Import-module MSOnline -Force`
<!--NeedCopy-->

Wenn die Module bereits installiert sind, führen Sie den folgenden Befehl aus.

PS> connect-msolservice
<!--NeedCopy-->

Hinweis: Für die Verbindung mit ist ein Microsoft Cloud-Konto erforderlich msolservice. Zum Beispiel : admin.user@onmicrosoft.com

Schritte zum Konfigurieren des Domänenverbunds von Azure AD nach Citrix Workspace

  1. Führen Sie die folgenden Befehle in PowerShell aus, um den Verbund zu konfigurieren:

    • PS> $dom = "ad-domain.com"

    Hinweis: ad-domain.com ist die neue Domäne, die zu Azure AD hinzugefügt wurde

    • PS> $IssuerUri = "https://citrix.com/[customerID]"

    Hinweis: Die CustomerID kann an folgenden Orten gefunden werden:

    • Citrix Cloud > Identitäts- und Zugriffsmanagement > API-Zugriff
    • Citrix Cloud > Citrix Gateway Service > Ein Web/SaaSapp hinzufügen> Single Sign On > SAML-Metadaten-Datei > EntityID

    • PS> $fedBrandName = “CitrixWorkspace”
    • PS> $logoffuri = "https://app.netscalergateway.net/cgi/logout"
    • PS> $uri = "https://app.netscalergateway.net/ngs/[customerID]/saml/login?APPID=[AppID]”

    Hinweis: $uri kann aus Citrix Gateway Service > Web/SaasApp hinzufügen> Single Sign On > Login URL oder aus SAML Metadata > Location kopiert werden.

    • PS> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(“<location of certificate downloaded from Citrix Gateway service/filename.crt>”)

      Beispiel: PS> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("c:\cert\saml_idp.crt")

    PS> $certData = [system.convert]::tobase64string($cert.rawdata)

  2. Führen Sie den PS-String aus, um die Federation to Citrix Gateway abzuschließen:

    PS> Set-MsolDomainAuthentication -DomainName $dom –federationBrandName $fedBrandName -Authentication Federated -PassiveLogOnUri $uri -LogOffUri $logoffuri -SigningCertificate $certData -IssuerUri $IssuerUri -PreferredAuthenticationProtocol SAMLP

  3. Überprüfen Sie die Einstellungen für den Domänenverbund, indem Sie den folgenden Befehl ausführen

    Get-MsolDomainFederationSettings -DomainName <domain name>

Validierung der Federation-Einstellung

Automatisierter Domänenverband von Azure AD nach Citrix Workspace

Im manuellen Domänenverband von Azure AD zu Citrix Workspace, wie im Abschnitt erläutert Konfigurieren des Domänenverbunds von Azure AD zu Citrix Workspace, müssen Benutzer zwischen Cloud-Portal und PowerShell wechseln, um Daten zu kopieren und die Skripts auszuführen. Zum Beispiel;

  • Kopieren Sie Daten wie Kunden-ID und App-ID aus dem Cloud-Portal.
  • Laden Sie das Zertifikat vom Cloud-Portal herunter.
  • Führen Sie die PowerShell-Skripts

Diese manuelle Kopieren-Einfügen-Aktion kann zu Fehlern führen, aufgrund derer der Verband möglicherweise nicht erfolgreich ist.

Die Schritte zum Zusammenführen einer Domäne sind jetzt in die Benutzeroberfläche des Citrix Gateway Services integriert, wodurch der Verbundprozess automatisiert wird. Die PowerShell-Skripte werden im Backend ausgeführt, wenn Benutzer auf die entsprechenden Links in der Benutzeroberfläche klicken. Benutzer müssen nicht zwischen Cloud-Portal und PowerShell wechseln.

Schritte, um eine Domain automatisch zu föderieren

  1. Konfigurieren Sie die O365-App. Einzelheiten dazu finden Sie unter Konfigurieren Sie die O365-App im Citrix Gateway Service.
  2. Wählen Sie unter Single sign on die Option SAMLaus.

    Domänenverband in der Benutzeroberfläche

  3. Melden Sie sich mit Ihren Anmeldeinformationen bei Azure AD an. Wenn Sie auf Bei Azure AD anmelden klicken, werden Sie zur Authentifizierung an das Azure AD-Anmeldeportal weitergeleitet.
    • Das OAuth-Protokoll wird für die Authentifizierung verwendet. Nachdem die Authentifizierung erfolgreich ist, müssen Sie die Zustimmung zum Domänenverbund erteilen.
    • Die Option für die Auswahl der MFA-Endbenutzer ist standardmäßig aktiviert.
  4. Klicken Sie hier, um Azure AD Domains abzurufen und die Liste aller Domains anzuzeigen.
  5. Wählen Sie die Domain aus, die Sie föderieren möchten, und klicken Sie auf Federate-Domain.

    Hinweis:

    • Wenn Sie auf Federate-Domain klicken, werden die PowerShell-Skripte im Backend ausgeführt und die Domäne wird föderiert.
    • Sie können die PowerShell-Skripte bei Bedarf auch von der Benutzeroberfläche herunterladen. Klicken Sie imPowerShell-Skript für Domänenverbundauf

Unterdrücken der Multifaktor-Authentifizierung (MFA)

Zu den erweiterten Attributen von O365-Apps wird eine Option hinzugefügt, die MFA unterdrückt, wenn der Benutzer während der Benutzerauthentifizierung bei Citrix Workspace bereits in den MFA eingetreten ist.

  • Attributname:http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod”,
  • Attributwert:http://schemas.microsoft.com/claims/multipleauthn

Damit der AAD diesen Anspruch annimmt, verwenden Sie den folgenden PowerShell-Befehl:

Set-MsolDomainAuthentication -DomainName $dom –federationBrandName $fedBrandName -Authentication Federated -PassiveLogOnUri $uri -LogOffUri $logoffuri -SigningCertificate $certData -IssuerUri $IssuerUri -PreferredAuthenticationProtocol SAMLP -SupportsMfa $true

Hinweis:

IdP initiierter Flow ehrt den Relay-Status nicht. Verwenden Sie einen von SP initiierten Flow, um direkt auf der App zu landen.

Konfigurieren einzelner Office-Suite-Anwendungen in Citrix Workspace

Führen Sie Folgendes aus, um einzelne Office-Suite-Anwendungen zu konfigurieren:

  1. Schließen Sie den Domain-Verband wie in den vorherigen Abschnitten beschrieben ab
  2. Wählen Sie das O365-Template.
  3. Ändern Sie den Namen der App beispielsweise in MS Word.
  4. Ändern Sie die App-URL entsprechend.

Wort: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2FWord%3Fauth%3D2&whr=<federated domain>

Powerpoint: <https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2Fpowerpoint%3Fauth%3D2&whr=<federated domain>

Excel: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2FExcel%3Fauth%3D2&whr=<federated domain>

CRM /Dynamik Online: https://<tenant>.crm.dynamics.com/?whr=<federated domain>

OneDrive for Business: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>-my.sharepoint.com%2F&whr=<federated domain>

Outlook-Kalender https://outlook.office.com/owa/?realm=<federated domain>&path=/calendar/view/Month

Outlook-Webzugriff auf Exchange Online: https://outlook.com/owa/<federated domain>

SharePoint Online: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>.sharepoint.com%2F&whr=<federated domain>

Mannschaften: https://login.microsoftonline.com/common/oauth2/authorize?client_id=cc15fd57-2c6c-4117-a88c-83b1d56b4bbe&response_mode=form_post&response_type=code+id_token&scope=openid+profile&redirect_uri=https%3a%2f%2fteams.microsoft.com%2f&domain_hint=<federated domain>

Apps von Drittanbietern, die in Azure AD integriert sind

Wenn Sie Anwendungen von Drittanbietern wie Box, Salesforce, ServiceNow, Workday integriert haben, können Sie die Smart Links für diese Apps über das Azure AD beziehen.

Führen Sie die folgenden Schritte durch.

  1. Melden Sie sich bei Ihrem Azure AD Portal an https://portal.azure.com.

  2. Wählen Sie Alle Dienste > Azure Active Directoryaus und wählen Sie Ihr Verzeichnis aus.

    Wählen Sie alle Dienste

  3. Wählen Sie Unternehmensanwendungen und dann die Anwendung aus, zu der Sie einen Smart Link generieren möchten.

    Unternehmensanwendungen wählen

  4. Wählen Sie Eigenschaften und kopieren Sie die Zugriffs-URL des Benutzers.

    Wählen Sie Eigenschaften

  5. Nachdem Sie whr an die URL angehängt haben, werden die whr Parameter wie in der Beispiel-URL angezeigt.

    Beispiel URL: https://myapps.microsoft.com/signin/Workday/1234567891234567891234567896d64b?whr=ctxnsqa.net

    Hinweis: Hängen Sie whr an die URL an, damit AAD weiß, welchen IdP verwendet werden soll, um einen Benutzer basierend auf der Federation-Einstellung und der automatischen Weiterleitung an diesen IdP zu authentifizieren.

  6. Legen Sie erweiterte Sicherheitskontrollen fest
  7. Konfigurieren Sie SSO.
    • Namens-ID = AD-GUID
    • Kontrollkästchen “SP initiiert” aktivieren

      Wenn Sie einen IdP-initiierten Flow durchführen, landet er immer Benutzer auf der Azure AD-Portalseite. Wenn Sie direkt auf der App-Seite landen möchten, wird ein SP-initiierter Flow benötigt, da er den korrekten Relay-Status in der SAML-Assertion sendet.

Hinweis:

  • Wenn sich Benutzer mit AAD bei Citrix Workspace anmelden, darf die primäre Domäne der Benutzer, die für die Anmeldung verwendet werden, nicht mit dem Citrix Gateway Service verbunden sein. Dies führt zu einer Schleife. Verwenden Sie in solchen Fällen eine andere Domäne, die sich von den Domänen der Benutzer bei AAD anmeldet, um sich beim Citrix Gateway Service anzumelden.

  • Wenn die primäre Domäne mit dem Citrix Gateway Service verbunden ist, werden alle Benutzeranmeldungen in dieser Domäne in AAD an den Citrix Gateway Service umgeleitet. Bei POC können Sie bei Bedarf eine Testdomäne föderieren, bevor Sie die primäre Domain föderieren.
  • Wenn bei AAD Standortrichtlinien aktiviert sind, müssen Benutzer nur aus der Liste der zulässigen IP-Adressen eines Unternehmensnetzwerks stammen. In solchen Fällen können Sie die O365-App als Web-App veröffentlichen und ihren Datenverkehr über den on-premises Gateway-Connector weiterleiten.
  • Wenn Sie sich beim AAD anmelden, wenn Sie vermeiden möchten Angemeldet bleiben? können Sie diese Einstellung mit dem AAD ändern. Notieren Sie sich die wichtige Meldung, die angezeigt wird, wenn Sie die Einstellung ändern und bei Bedarf zurücksetzen.

Wählen Sie Angemeldet bleiben

Meldung beim Zurücksetzen der Einstellung

Azure PowerShell-Modulreferenz

Azure PowerShell-Befehlsreferenz

Bereitstellen der Office 365-Verzeichnissynchronisierung in Microsoft Azure