Referenzarchitektur: Integration von Citrix Workspace mit nFactor und mehreren IDPs für CSPs

Einführung

Dieses Dokument dient als Leitfaden für Citrix Service Provider (CSPs) bei der Implementierung des Citrix Virtual Apps and Desktops Service (CVADS) mit Citrix Workspace und mehreren Identity Providern (IDPs). Die Unterstützung mehrerer IDPs mit Citrix Workspace wird über die Verwendung der Citrix ADC nFactor Authentication erreicht.

csp-Image-001

Dieses Dokument soll keine schrittweise Anleitung zur Bereitstellung des Citrix Virtual Apps and Desktops Service für CSPs geben. Es setzt das Verständnis der Referenzarchitektur für Virtual Apps and Desktops für CSPsvoraus, die eingehende Überlegungen zu Design und Bereitstellung für eine CVADS-Umgebung für CSPs enthält.

Auf der anderen Seite wird ein Verständnis von Citrix ADC, Single Sign-On (SSO) und dem Citrix Federated Authentication Service vorausgesetzt. Weitere Informationen zu diesen Technologien finden Sie auf docs.citrix.com.

In diesem Dokument werden zunächst die häufigsten Elemente beschrieben, die Sie verstehen müssen, um die Citrix ADC nFactor-Authentifizierung bequem bereitzustellen. Als Nächstes wird der Authentifizierungsablauf für die Komponenten überprüft, aus denen sich diese Lösung zusammensetzt.

Schließlich werden die Schritte behandelt, die für die Bereitstellung der Citrix ADC nFactor-Authentifizierung mit mehreren IDPs erforderlich sind, und wie sie in Citrix Workspace integriert werden kann.

Übersicht

Citrix Virtual Apps and Desktops Service

Der Citrix Virtual Apps and Desktops Service bietet sicheren Zugriff auf zentral verwaltete Desktops und Anwendungen von jedem Gerät oder Netzwerk aus. Mit der Integration zwischen Federated Authentication Service (FAS) und Citrix Cloud können CSPs SSO für virtuelle Apps und Desktop-Workloads bereitstellen und gleichzeitig externe SAML-IDPs unterstützen.

CVADS unterstützt Workloads, die an mehreren Ressourcenstandorten gehostet werden, darunter herkömmliche Hypervisoren und Public-Cloud-Plattformen wie Microsoft Azure, GCP und AWS. Die an diesen Ressourcenstandorten gehosteten Arbeitslasten können Windows- oder Linux-basiert sein und sowohl Mehrbenutzer- als auch Einzelbenutzerbereitstellungen unterstützen.

Benutzer können über Windows-, Mac- und Linux-basierte Clients, iOS- und Android-Telefone und mehr auf ihre virtuellen Ressourcen zugreifen. Der Citrix Gateway Service ist normalerweise für die Verarbeitung externer Verbindungen zuständig. Es bietet hohe Verfügbarkeit mit mehreren Präsenzpunkten auf der ganzen Welt. Interne Verbindungen können die neue Direct Workload Connection-Funktion verwenden.

CSPs können der Referenzarchitektur für Virtual Apps and Desktops für CSPs folgen, um eine von CVADS unterstützte gehostete DaaS-Lösung zu entwickeln.

Citrix ADC nFactor-Authentifizierung

Citrix ADC nFactor bietet die Aktionen und Richtlinien, um Endkunden ein skalierbares und flexibles Authentifizierungserlebnis zu bieten. Dieser Anwendungsfall ist für CSPs relevant, die Desktops und Anwendungen für mehrere Kunden bereitstellen, da sie ihren eigenen SAML-IDP mitbringen können.

Die nFactor-Authentifizierung verwendet eine robuste Richtlinien-Engine und ermöglicht es CSPs, komplexe Authentifizierungs-Workflows zu entwerfen. nFactor verwendet Richtlinienausdrücke als Mechanismus, um den Authentifizierungsfluss für Benutzer zu bestimmen. Diese Funktionalität basiert auf verschiedenen Details wie Benutzer- oder Verbindungsattributen.

Für diese Architektur sind OAUTH IDP-Richtlinien so konfiguriert, dass Citrix ADC die Authentifizierung für Citrix Workspace verarbeiten kann. Außerdem sind SAML-Richtlinien (und möglicherweise LDAP) für die Verbindung mit mehreren IDPs konfiguriert.

Citrix Workspace Erfahrung

Workspace Experience ist die Cloud-basierte Weiterentwicklung von StoreFront. Durch Workspace Experience können CSPs virtuelle Apps und Desktops, SSO für SaaS- und On-Prem-Webanwendungen, Mikroapp-Integrationen und -Aktionen, Content Collaboration, Endpunktmanagementfunktionen und Analysen bereitstellen. Diese erweiterte Funktionalität ermöglicht es CSPs, von einer einzigen Glasscheibe aus ein integriertes Erlebnis zu bieten, das sich auf die Mitarbeitererfahrung und die Steigerung der Produktivität konzentriert.

Derzeit unterstützt Citrix Workspace die Integration mit mehreren IDPs nicht. Viele CSPs müssen jedoch mehrere IDP-Unterstützung bieten und gleichzeitig die erweiterten Funktionen von Citrix Workspace beibehalten.

OAUTH-Authentifizierung

Citrix ADC kann mithilfe des Open ID Connect (OIDC) -Protokolls als OAUTH Identity Provider (IDP) konfiguriert werden. OAUTH wird in der Regel nicht als Authentifizierungsprotokoll, sondern stattdessen als Autorisierungsframework bezeichnet. OIDC fügt dem typischen OAUTH 2.0-Flow einen Teil zur Benutzerauthentifizierung hinzu. In dieser Architektur fungiert Citrix Workspace als OAUTH Service Provider (SP), der Citrix ADC (OAUTH IDP) vertraut.

Für diese Konfiguration benötigt Citrix Workspace Active Directory-Schattenkonten, um eine Reihe von “Ansprüchen” zu übergeben, damit der Authentifizierungsprozess erfolgreich ist. Citrix Cloud benötigt diese Eigenschaften, um den Benutzerkontext bei der Anmeldung von Abonnenten zu erfassen. Wenn diese Eigenschaften nicht aufgefüllt sind, können sich Abonnenten nicht bei ihrem Workspace anmelden. Die Liste der Ansprüche wird in einem späteren Abschnitt dieses Dokuments überprüft.

SAML-Authentifizierung

Im Kontext dieser Architektur wird Citrix ADC zum Service Provider (SP), und die Authentifizierungslösung jedes Kunden fungiert als Identity Provider (IDP). Der SP oder der IDP kann den SAML-Authentifizierungsprozess einleiten. Diese Architektur verwendet SP-initiiertes SAML-SSO.

Der SAML-Kommunikationsfluss impliziert keine direkte Kommunikation zwischen dem SP und dem IDP. Der Webbrowser verarbeitet die gesamte Kommunikation und es müssen keine Firewall-Ports zwischen SP und IDP geöffnet werden. Nur der Webbrowser muss in der Lage sein, sowohl mit dem SP als auch mit dem IDP zu kommunizieren.

Konzepte und Terminologie

Citrix ADC nFactor verwendet eine Reihe von Entitäten, die die Konfiguration der verschiedenen Faktoren ermöglichen, die für eine bestimmte Bereitstellung erforderlich sind. Die folgenden Konzepte bilden die Grundlage für das Verständnis der von Citrix nFactor verwendeten Richtlinienflüsse.

  • Authentifizierungsserver (Aktion): Der Authentifizierungsserver (Aktion) definiert die spezifische Konfiguration für einen bestimmten IDP, unabhängig davon, ob es sich um ein lokales Active Directory, Azure AD, Okta, ADFS usw. handelt. Es enthält die erforderlichen Details für die Citrix ADC Appliance, um mit dem IDP zu kommunizieren und die Benutzer zu authentifizieren.
  • Authentifizierungsrichtlinie: Die Authentifizierungsrichtlinien ermöglichen die Authentifizierung von Benutzern gegenüber der Appliance. Richtlinien verwenden Ausdrücke, unter denen sie angewendet werden. Ausdrücke werden verwendet, damit der ADC die Benutzer basierend auf ihrem UPN zum entsprechenden IDP umleiten kann. Eine Authentifizierungsrichtlinie muss mit einem Authentifizierungsserver verknüpft sein (Aktion).
    • Der in diesen Szenarien am häufigsten verwendete Ausdruck ist AAA.USER.NAME.SET_TEXT_MODE (IGNORECASE) .AFTER_STR (“@”) .EQ (“domain.com”). Dieser Ausdruck wertet das UPN-Suffix des Benutzers nach dem “@” -Zeichen aus und wendet, falls es mit einer Richtlinie übereinstimmt, den konfigurierten SAML-Server (Aktion) für die Authentifizierung an.
  • Anmeldeschema: Das Anmeldeschema ist eine logische Darstellung des in XML geschriebenen Anmeldeformulars, mit anderen Worten, sie repräsentieren die Benutzeroberfläche. Es ist eine Entität, die definiert, was der Benutzer sieht, und festlegt, wie die Daten vom Benutzer extrahiert werden. Für die verschiedenen Authentifizierungsfaktoren können unterschiedliche Schemas (oder kein Schema) verwendet werden. Citrix ADC bietet mehrere sofort einsatzbereite Schemavorlagen für allgemeine Anwendungsfälle, die für andere Anwendungsfälle angepasst werden können.
  • Richtlinienlabel: Richtlinienlabel geben die Authentifizierungsrichtlinien für einen bestimmten Faktor an. Jedes Richtlinienlabel entspricht einem einzelnen Authentifizierungsfaktor. Sie sind im Grunde eine Sammlung von Richtlinien, die als eine Einheit miteinander verknüpft werden können. Das Ergebnis von Richtlinien in einem Richtlinienlabel folgt logischen “ODER” -Bedingungen. Wenn die durch die erste Richtlinie angegebene Authentifizierung erfolgreich ist, werden andere darauf folgende Richtlinien übersprungen. Richtlinienbezeichnungen definieren ihre Sicht über ein Anmeldeschema.
  • “No-Auth” -Richtlinie: Dies ist eine spezielle Richtlinie, die immer “success” als Authentifizierungsergebnis zurückgibt. Ihr Hauptzweck besteht darin, Flexibilität bei logischen Entscheidungen über den Benutzerauthentifizierungsfluss zu ermöglichen.
  • Nächster Faktor: Er bestimmt, was nach einem bestimmten Schritt getan wird, wenn der Authentifizierungsablauf erfolgreich ist. Es kann sich um eine zusätzliche Richtlinie handeln oder festlegen, dass der Authentifizierungsfluss angehalten werden muss.
  • AAA vServer: Der virtuelle Authentifizierungsserver verarbeitet die zugehörigen Authentifizierungsrichtlinien und bietet Zugriff auf die Umgebung. Für diese Architektur ersetzt der AAA vServer den gängigeren Gateway vServer und ist ein vollständig adressierbarer vServer. Der Gateway vServer ist nur erforderlich, wenn Sie Citrix ADC für HDX-Datenverkehr verwenden. In diesem Fall ist der AAA-vServer als nicht adressierbar konfiguriert. Die Gateway vServer-Integration geht über den Rahmen dieses Dokuments hinaus.
  • Authentifizierungsprofil (optional): Das Authentifizierungsprofil ermöglicht es, den AAA vServer und damit alle seine Richtlinien mit einem Gateway-vServer zu verknüpfen. Dieses Profil ist nur erforderlich, wenn HDX-Verkehr über die Citrix ADC Appliance verarbeitet wird.

Architektur

CSPs wachsen ständig und erweitern ihre CVADS-basierten DaaS-Angebote um neue Kunden. Dieses Wachstum führt zu der Anforderung, dass Endkunden ihre eigenen Identitätslösungen mitbringen und sie in Citrix Workspace integrieren können, um CVADS-basierte Workloads verwenden zu können.

Citrix Workspace bietet außerdem erweiterte Funktionen, mit denen CSPs mehr Dienste wie SSO in SaaS- und On-Prem-Webanwendungen, Mikroapp-Integrationen und -Aktionen sowie Content Collaboration integrieren können. Es bietet auch die Integration mit mehreren IDPs wie Azure AD, Okta und SAML 2.0. Derzeit werden jedoch mehrere IDPs aus einem einzigen Citrix Workspace nicht unterstützt.

Citrix Gateway Service übernimmt die HDX-Proxyfunktion beim Starten virtueller Apps und Desktopressourcen aus Citrix Workspace. Diese Funktionalität scheint möglicherweise unnötig zu sein, da Citrix ADC benötigt wird, um mehrere IDP-Unterstützung bereitzustellen. Das Auslagern des HDX-Proxys vereinfacht jedoch die Anforderungen an Netzwerkbandbreite und Verfügbarkeit auf der CSP-Seite erheblich.

Diese Referenzarchitektur konzentriert sich auf die Entwurfsentscheidungen und Überlegungen zur Integration mehrerer IDPs, insbesondere SAML-basiert, mit Citrix Workspace und CVADS. Diese Integration wird erreicht, indem Citrix Workspace so konfiguriert wird, dass die Benutzerauthentifizierung an Citrix ADC delegiert wird, der wiederum Benutzer an ihre jeweiligen IDPs weiterleitet.

Überlegungen und Anforderungen

Zum Zeitpunkt der Erstellung dieses Artikels müssen die folgenden Details berücksichtigt werden, bevor Sie sich entscheiden, mehrere IDPs in eine CSP-verwaltete CVADS-Bereitstellung zu integrieren.

  1. Für die AAA nFactor-Funktionalität ist eine Citrix ADC Advanced- oder Premium-Lizenz erforderlich.
  2. Citrix ADC 12.1 Version 54.13 oder höher oder 13.0 Version 41.20 oder höher sind erforderlich.
  3. Die CVADS-Multi-Tenancy-Funktion ist mit dieser Bereitstellung aufgrund von Einschränkungen bei FAS und Reverse Federation nicht kompatibel.
  4. Verschiedene SAML-IDPs haben unterschiedliche Konfigurationsschritte. Diese Schritte werden in diesem Dokument nicht behandelt.
  5. Active Directory muss mit den alternativen UPN-Suffixen und Schattenkonten für jeden spezifischen Kunden konfiguriert werden.
  6. Die folgenden AD-Eigenschaften müssen für die AD-Schattenkonten konfiguriert werden, um als Ansprüche verwendet zu werden:
    • E-Mail-Adresse
    • Anzeigename
    • Allgemeiner Name
    • SAM-Kontoname
    • UPN
    • OID
    • SID
  7. Die Active Directory-Zertifikatsdienste müssen konfiguriert und verfügbar sein, bevor Sie FAS konfigurieren.
  8. Obwohl Citrix FAS in Citrix Workspace integriert ist, handelt es sich nicht um einen Cloud-Dienst. FAS wird am Ressourcenstandort bereitgestellt.
  9. Erste ADC-Konfigurationsschritte, einschließlich IPs, Zertifikaten und Netzwerkdetails, werden in diesem Dokument nicht behandelt.
  10. Doppelte Benutzernamen über verschiedene UPN-Suffixe hinweg können nicht verwendet werden. Obwohl das UPN-Suffix unterschiedlich ist, ist der Anmeldename vor Windows 2000 für alle Suffixe derselbe.

Benutzererfahrung

Das folgende Diagramm zeigt den Ablauf der Authentifizierung aus Sicht der Benutzererfahrung. Für den Endbenutzer ist die Erfahrung einer herkömmlichen Implementierung ohne mehrere IDPs ziemlich ähnlich. Es ist jedoch wichtig, die Endbenutzer darüber zu informieren, dass sie ihre UPN bei der Anmeldung verwenden müssen, im Gegensatz zum gebräuchlicheren SAM-Kontonamen.

csp-Image-002

  1. Endbenutzer verschiedener Kunden navigieren von jedem Gerät/jedem Netzwerk zu Citrix Workspace.
  2. Citrix Workspace leitet die Benutzer automatisch zum Citrix ADC AAA vServer um.
  3. Citrix ADC AAA vServer zeigt dem Benutzer eine Aufforderung zum Benutzernamen an. Benutzer müssen ihre UPN eingeben.
  4. Die Anforderung der Benutzerauthentifizierung wird basierend auf dem UPN-Suffix des Benutzers an den entsprechenden SAML-IDP weitergeleitet.
  5. Nachdem sich die Benutzer über ihren IDP authentifiziert haben, werden sie zurück zu Citrix Workspace weitergeleitet.
  6. Wenn ein Benutzer versucht, eine virtuelle App oder einen virtuellen Desktop zu starten, übernimmt der CVAD-Dienst den Vermittlungsprozess.
  7. Der Citrix Gateway Service richtet den HDX-Proxy für die virtuellen Ressourcen ein.
  8. Active Directory-Schattenkonten werden verwendet, um ein Smartcard-Zertifikat anzufordern, um SSO für den Benutzer bereitzustellen.
  9. Die FAS-Regel wird angewendet und die Benutzeranmeldeanforderung wird über SSO erfüllt.

Ablauf der Authentifizierung

Das folgende Diagramm zeigt den Authentifizierungsablauf für die verschiedenen Protokolle in dieser Architektur. Citrix Workspace fungiert als OAUTH-SP, Citrix ADC fungiert sowohl als OAUTH-IDP als auch als SAML-SP, und der Kunden-IDP ist der SAML-IDP.

csp-Image-003

  1. Der Endbenutzer greift über einen Webbrowser oder die Citrix Workspace App auf Citrix Workspace (SP) zu.
  2. Beim Erreichen von Citrix Workspace (OAUTH SP) wird der Benutzer zu Citrix ADC AAA vServer (OAUTH IDP) umgeleitet.
  3. Der Benutzer gibt den UPN an der AAA vServer (SAML SP) -Anmeldeaufforderung ein und wird zum Authentifizierungsdienst (SAML IDP) umgeleitet.
  4. SAML IDP authentifiziert den Benutzer und generiert eine SAML-Assertion (XHTML-Formular).
  5. Die SAML-Assertion wird an die Citrix Workspace App zurückgesendet.
  6. Die Citrix Workspace App leitet die SAML-Assertion an den Citrix ADC AAA vServer um.
  7. Citrix ADC AAA vServer sendet den Sicherheitskontext zurück an den Benutzeragenten.
  8. Die Citrix Workspace App fordert die Ressourcen vom Citrix ADC AAA vServer an.
  9. Citrix ADC AAA vServer authentifiziert den Benutzer und Ansprüche werden an Citrix Workspace gesendet.
  10. Auf Ressourcen kann über die Citrix Workspace App zugegriffen werden.
HINWEIS:
Im SAML-Flow wird der Webbrowser oder die Workspace App als “User Agent” bezeichnet, der Teil des HTTP-Anforderungsheaders ist.

Ablauf der Richtlinien

Das folgende Diagramm stellt den nFactor-Richtlinienfluss für diese Architektur dar. Das Verständnis des nFactor-Richtlinienflusses ist entscheidend für den Erfolg der entworfenen Authentifizierungsarchitektur. In diesem Diagramm wird eine LDAP-Richtlinie verwendet. Die Verwendung einer LDAP-Richtlinie ist zwar optional, es ist jedoch üblich, Administratoren Zugriff zu gewähren.

csp-Image-004

  1. Der Benutzer greift über einen Webbrowser oder die Citrix Workspace App auf Citrix Workspace zu. Die Authentifizierungsanforderung wird an den Citrix AAA vServer weitergeleitet. Bei Citrix ADC ist eine OAUTH-IDP-Richtlinie mit dem Ausdruck “TRUE” konfiguriert. Dies bedeutet, dass diese Richtlinie auf ALLE Anforderungen angewendet wird.
  2. Die Authentifizierungsanforderung trifft auf eine “NO_AUTHN” -Richtlinie und wird mit dem Anmeldeschema “Nur Benutzername” angezeigt. Die NO_AUTHN-Richtlinie fungiert als Platzhalter. NO_AUTHN-Richtlinien geben immer “Erfolg” als Authentifizierungsergebnis zurück.
  3. Wenn der Benutzer seinen Benutzernamen im UPN-Format eingibt, bestimmt das UPN-Suffix, welche Authentifizierungsrichtlinie ausgewertet wird. In dieser Architektur wird domain1.com an einen LDAP-Server weitergeleitet, domain2.com wird zu einem Azure AD-Mandanten umgeleitet und domain3.com wird zu einem anderen Azure AD-Mandanten umgeleitet. All diese Funktionen basieren auf den Ausdrücken, die von den einzelnen Richtlinien verwendet werden. Beachten Sie auch, dass diese Authentifizierungsrichtlinien an ein Anmeldeschema ohne Schema gebunden sind. Dieses Detail bedeutet, dass im Webbrowser des Benutzers nichts angezeigt wird.
  4. Wenn der Benutzer unter domain1.com einen Benutzernamen eingibt, wird er zu einer LDAP-Richtlinie (einer traditionellen LDAP-Richtlinie) umgeleitet. Diese Richtlinie wird mit “TRUE” bewertet, was bedeutet, dass sie alle Benutzer betrifft, die sie bewertet. Das Anmeldeschema ist in diesem Fall “Nur Kennwort”, was bedeutet, dass Benutzer in diesem Schritt nur ihr AD-Kennwort eingeben. Ihr Benutzername wurde im vorherigen Faktor erfasst.
  5. Wenn der Benutzer andererseits einen Benutzernamen unter domain2.com oder domain3.com eingibt, wird er zur Anmeldung an seinen jeweiligen Azure AD-Mandanten weitergeleitet. In diesem Fall verarbeitet Azure die gesamte Authentifizierung, die sich außerhalb des Bereichs der Citrix ADC nFactor-Engine befindet. Wenn der Benutzer authentifiziert ist, wird er zurück zum Citrix ADC AAA vServer umgeleitet.
  6. Sobald die Authentifizierungsanforderung zurück an Citrix Gateway umgeleitet wurde, durchläuft sie einen anderen Authentifizierungsfaktor, der an eine LDAP-Richtlinie gebunden ist. Diese Richtlinie führt jedoch keine Authentifizierung durch. Der Zweck dieser Richtlinie besteht darin, die Ansprüche zu extrahieren, die für die Authentifizierung des Benutzers bei Citrix Workspace erforderlich sind. Alle SAML-Richtlinien werden auf diese einzelne LDAP-Richtlinie umgeleitet. Benutzern wird kein Anmeldeschema angezeigt und sie müssen zu diesem Zeitpunkt keine Informationen eingeben. Dieser Vorgang erfolgt automatisch.
  7. Benutzeransprüche werden im Citrix ADC gespeichert und an Citrix Workspace zurückgegeben. Diese Ansprüche sind erforderlich, damit Citrix Workspace die Authentifizierung von Citrix ADC akzeptiert.
  8. Der Benutzer wird zurück zu Citrix Workspace umgeleitet und kann jetzt auf seine Ressourcen zugreifen.
HINWEIS:
Die LDAP-Richtlinie “keine Authentifizierung” wird nur verwendet, nachdem ein Benutzer durch einen anderen Faktor authentifiziert wurde. Es wird immer mit “Erfolg” als Authentifizierungsergebnis ausgewertet.

Überlegungen zur Skalierung

Die Fähigkeit, diese Lösung agil zu skalieren, wenn neue Kunden eingebunden werden, ist für CSPs wichtig. Diese Architektur ermöglicht unterbrechungsfreie Schritte beim Onboarding neuer Kunden. Die wichtigsten Schritte, um einen neuen Kunden für diese Lösung zu gewinnen, sind wie folgt.

  1. Konfiguration des IDP des Endkunden: Dies kann in die Verantwortung des CSP fallen oder auch nicht. Die meisten SAML-IDPs bieten eine umfangreiche Dokumentation zur Konfiguration dieser Art von Lösungen.
  2. Kunden-UPN-Suffix hinzufügen: Dies erfolgt über die MMC-Konsole Active Directory Domains and Trusts. UPN-Suffixe müssen eindeutig sein. Auch wenn die UPNs für jeden Kunden in der gemeinsam genutzten AD-Umgebung unterschiedlich sind, haben alle Shadow-Accounts denselben NetBIOS-Suffixnamen.
  3. Hinzufügen von Shadow-Accounts: Das manuelle Erstellen von Shadow-Accounts kann zu einer umfangreichen Aufgabe werden, und es wird empfohlen, diesen Prozess zu automatisieren, Endbenutzer müssen das Kennwort für diese Konten nicht kennen.
  4. SAML-Aktion und -Richtlinie konfigurieren: Für jeden neuen Kunden, der in diese Lösung integriert ist, muss eine neue SAML-Aktion und -Richtlinie konfiguriert werden. Die Aktion enthält alle SAML-IDP-Details, und die Richtlinie enthält den Ausdruck, der zum Auswerten der Richtlinie verwendet wird.
  5. Binden Sie die SAML-Richtlinie: Die neue SAML-Authentifizierungsrichtlinie muss dem SAML-Richtlinienlabel hinzugefügt werden, das alle Authentifizierungsrichtlinien für die verschiedenen Kunden gruppiert. Da sich alle diese Richtlinien gegenseitig ausschließen, führt das Hinzufügen neuer Richtlinien zum Richtlinienlabel nicht zu Störungen bei Ihren derzeitigen Kunden.
HINWEIS:
Doppelte Benutzernamen über verschiedene UPN-Suffixe hinweg können nicht verwendet werden. Obwohl das UPN-Suffix unterschiedlich ist, wäre der Anmeldename vor Windows 2000 für doppelte Benutzer derselbe.

Implementierung

Dieses Dokument behandelt die Schritte, die zur Integration von Citrix Workspace mit einem Citrix ADC AAA vServer und mehreren SAML-IDPs erforderlich sind. Die Konfiguration von Cloud Connector, die Erstellung von Maschinenkatalog/Bereitstellungsgruppen und die FAS-Implementierung würden den Rahmen dieses Dokuments sprengen.

Eine erfolgreiche Konfiguration der zuvor genannten Komponenten kann durch Befolgung der Standardinstallationspraktiken erreicht werden. Es sind keine benutzerdefinierten Konfigurationsschritte erforderlich, um sie in diese Architektur zu integrieren. Im Abschnitt Zusätzliche Konfigurationsressourcen in diesem Dokument finden Sie Konfigurationsschritte.

Authentifizierungsrichtlinien

LDAP-Authentifizierungsaktion (optional)

1- Melden Sie sich bei der Citrix ADC Appliance an und navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > LDAP und klicken Sie auf Hinzufügen.

2- Geben Sie auf der Seite Create Authentication LDAP Server die folgenden Informationen ein.

  • Name: Entitätsname des LDAP-Authentifizierungsservers
  • Servername/Server-IP: Servername wird empfohlen
  • Sicherheitstyp: PLAINTEXT oder SSL basierend auf Sicherheitsanforderungen. (SSL empfohlen)
  • Port: 389 oder 636 basierend auf dem Sicherheitstyp.
  • Servertyp: AD
  • Authentifizierung: Geprüft
  • Basis-DN: AD-basierter DN für Benutzersuchen
  • Administrator-Bind-DN: UPN des AD-Dienstkontos
  • Administratorkennwort: Kennwort für das AD-Dienstkonto
  • Administratorkennwort bestätigen: Kennwort für das AD-Dienstkonto
  • Attribut für Serveranmeldename: userPrincipalName
  • Gruppenattribut: memberOf
  • Name des Unterattributs: cn
  • SSO-Namensattribut: cn
  • E-Mail: mail

csp-Image-005

3- Klicken Sie auf OK.

HINWEIS:
Dieser Schritt ist optional, wird aber für Supportzwecke dringend empfohlen. Erstellen Sie diese Aktion, damit sich Umgebungsadministratoren mit AD-Anmeldeinformationen bei der Umgebung anmelden können.

Aktion “LDAP-Benutzerattribute”

1- Klicken Sie auf der Seite LDAP-Aktionen auf Hinzufügen, um eine zweite LDAP-Aktion zu erstellen. Verwenden Sie dieselben Informationen wie die vorherige, aber dieses Mal, DEAKTIVIEREN Sie das Kontrollkästchen Authentifizierung .

csp-Image-006

2- Klicken Sie auf OK.

HINWEIS:
Dieser Schritt ist NICHT optional. Diese Aktion wird verwendet, um die Ansprüche des Benutzers aus seinen Schattenkonten in AD zu extrahieren, nachdem er über seinen SAML-IDP authentifiziert wurde. Diese Ansprüche sind notwendig, damit die Umleitung zurück zu Citrix Workspace erfolgreich ist.

SAML-Aktionen

1- Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > SAML, und klicken Sie auf Hinzufügen.

2- Geben Sie auf der Seite Create Authentication SAML Server die folgenden Informationen ein.

  • Name: Entitätsname des SAML-Authentifizierungsservers
  • Weiterleitungs-URL: Vom IDP bereitgestellte Umleitungs-URL
  • Einzelne Abmelde-URL: Vom IDP bereitgestellte Abmelde-URL
  • SAML-Bindung: POST/REDIRECT/ARTIFACT
  • Logout-Bindung: POST/REDIRECT
  • Name des IDP-Zertifikats: Klicken Sie auf Hinzufügen und importieren Sie das von Ihrem SAML-IDP heruntergeladene Zertifikat
  • Name des Signaturzertifikats: Citrix ADC AAA vServer SSL-Zertifikat
  • Problemname: Identisch mit AAA-vServer-URL
  • Unsignierte Assertion zurückweisen: EIN
  • Signatur-Algorithmus: RSA-SHA256
  • Digest-Methode: SHA256

csp-Image-007

3- Klicken Sie auf OK.

HINWEIS:
Wiederholen Sie diese Schritte, um eine separate SAML-Aktion für jeden zu verwendenden SAML-IDP zu erstellen.
Die auf dieser Seite auszufüllenden Felder variieren je nach SAML-IDP. Weitere Informationen finden Sie in der spezifischen SAML IDP-Dokumentation.

Anmelden Schemas

Anmeldeschemaprofile

1- Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Anmeldeschema > Profile und klicken Sie auf Hinzufügen.

2- Geben Sie auf der Seite Create Authentication Login Schema die folgenden Informationen ein.

  • Name: Entität des Anmeldeschemaprofils
  • Authentifizierungsschema: noschema

CSP-Image-008

3- Klicken Sie auf Erstellen.

HINWEIS:
Wiederholen Sie diese Schritte, um die 2 verbleibenden Schemaprofile mit den Dateien OnlyUsername.xml und OnlyPassword.xml zu erstellen.

Login-Schema-Richtlinien

1- Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Anmeldeschema > Richtlinien, und klicken Sie auf Hinzufügen.

2- Geben Sie auf der Seite Create Authentication Login Schema Policy die folgenden Informationen ein.

  • Name: Entität für Anmeldeschema-Richtlinie
  • Profil: Zuvor erstelltes NoSchema-Profil
  • Regel: TRUE

csp-Image-009

3- Klicken Sie auf Erstellen.

HINWEIS:
Wiederholen Sie diese Schritte, um die 2 verbleibenden Schema-Richtlinien zu erstellen, indem Sie sie mit den Schemaprofilen Nur Benutzername”und “Nur Kennwort” verknüpfen.

Authentifizierungsrichtlinien

Baseline “No-Auth” -Richtlinie

1- Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie, und klicken Sie auf Hinzufügen.

2- Geben Sie auf der Seite Create Authentication Policy die folgenden Informationen ein.

  • Name: Entitätsname der Authentifizierungsrichtlinie
  • Authentifizierungstyp: NO_AUTHN
  • Ausdruck: HTTP.REQ.URL.CONTAINS (“/nf/auth/doAuthentication.do”)

csp-Image-010

3- Klicken Sie auf OK.

LDAP-Richtlinie “No-Auth” (optional)

1- Klicken Sie auf der Seite Authentifizierungsrichtlinien auf Hinzufügen, um eine weitere Richtlinie zu erstellen.

2- Geben Sie auf der Seite Create Authentication Policy die folgenden Informationen ein.

  • Name: Entitätsname der Authentifizierungsrichtlinie
  • Authentifizierungstyp: NO_AUTHN
  • Ausdruck: AAA.USER.LOGIN_NAME.SET_TEXT_MODE (IGNORECASE) .AFTER_STR (“@”) .EQ (“domain1.com”)

csp-Image-011

3- Klicken Sie auf OK.

HINWEIS:
Dieser Schritt ist optional, wird aber für Supportzwecke dringend empfohlen. Erstellen Sie diese Richtlinie, damit sich Umgebungsadministratoren mit AD-Anmeldeinformationen bei der Umgebung anmelden können.
Ersetzen Sie “domain1.com” im Ausdruck durch den Namen des internen UPN-Suffixes für die AD-Domäne.
Der Authentifizierungstyp NO_AUTHN wird als Platzhalter verwendet, um Benutzer zum nächsten Authentifizierungsfaktor umzuleiten, nämlich ihrem AD-Kennwort, der über eine andere LDAP-Richtlinie behandelt wird.

LDAP-Authentifizierungsrichtlinie (optional)

1- Klicken Sie auf der Seite Authentifizierungsrichtlinien auf Hinzufügen, um eine weitere Richtlinie zu erstellen.

2- Geben Sie auf der Seite Create Authentication Policy die folgenden Informationen ein.

  • Name: Entitätsname der Authentifizierungsrichtlinie
  • Authentifizierungstyp: LDAP
  • Aktion: Zuvor erstellte LDAP-Authentifizierungsaktion
  • Ausdruck: TRUE

csp-Image-012

3- Klicken Sie auf OK.

HINWEIS:
Dieser Schritt ist optional, wird aber für Supportzwecke dringend empfohlen. Erstellen Sie diese Richtlinie, damit sich Umgebungsadministratoren mit AD-Anmeldeinformationen bei der Umgebung anmelden können.
Der TRUE-Ausdruck in dieser Richtlinie bedeutet, dass diese Richtlinie für jeden Benutzer ausgewertet wird, der zu diesem Authentifizierungsfaktor umgeleitet wird.
Diese Richtlinie ist an das zuvor erstellte Anmeldeschema “ Nur Kennwort “ angehängt.

LDAP-Richtlinie für Benutzerattribute

1- Klicken Sie auf der Seite Authentifizierungsrichtlinien auf Hinzufügen, um eine weitere Richtlinie zu erstellen.

2- Geben Sie auf der Seite Create Authentication Policy die folgenden Informationen ein.

  • Name: Entitätsname der Authentifizierungsrichtlinie
  • Authentifizierungstyp: LDAP
  • Aktion: Zuvor erstellte LDAP-Benutzerattribute-Aktion
  • Ausdruck: TRUE

csp-Image-013

3- Klicken Sie auf OK.

HINWEIS:
Dieser Schritt ist NICHT optional. Diese Richtlinie wird verwendet, um die Ansprüche des Benutzers aus seinen Schattenkonten in AD zu extrahieren, nachdem er über seinen SAML-IDP authentifiziert wurde. Diese Ansprüche sind notwendig, damit die Umleitung zurück zu Citrix Workspace erfolgreich ist.
Der TRUE-Ausdruck in dieser Richtlinie bedeutet, dass diese Richtlinie für jeden Benutzer ausgewertet wird, der zu diesem Authentifizierungsfaktor umgeleitet wird.
Diese Richtlinie ist an ein NO_SCHEMA-Anmeldeschema angehängt.

SAML-Authentifizierungsrichtlinien

1- Klicken Sie auf der Seite Authentifizierungsrichtlinien auf Hinzufügen, um eine weitere Richtlinie zu erstellen.

2- Geben Sie auf der Seite Create Authentication Policy die folgenden Informationen ein.

  • Name: Entitätsname der Authentifizierungsrichtlinie
  • Authentifizierungstyp: SAML
  • Aktion: Zuvor erstellte SAML-Authentifizierungsaktion
  • Ausdruck: AAA.USER.LOGIN_NAME.SET_TEXT_MODE (IGNORECASE) .AFTER_STR (“@”) .EQ (“domain2.com”)

csp-Image-014

3- Klicken Sie auf OK.

HINWEIS:
Ersetzen Sie “domain2.com” im Ausdruck durch den Domainnamen des Kunden.
Erstellen Sie eine SAML-Authentifizierungsrichtlinie für jede zuvor erstellte SAML-Authentifizierungsaktion und ordnen Sie sie 1:1 mit dem entsprechenden Domänennamen im Ausdruck ab.

Bezeichnungen für Authentifizierungsrichtlinien

Bezeichnung der LDAP-Authentifizierungsrichtlinie

1- Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinienlabel, und klicken Sie auf Hinzufügen.

2- Geben Sie auf der Seite Create Authentication Policy die folgenden Informationen ein.

  • Name: Entitätsname für die Authentifizierungsrichtlinie
  • Anmeldeschema: Anmeldeschemaprofil “Nur Kennwort”
  • Feature-Typ: AAATM_REQ
  • Klicken Sie auf Weiter

csp-Image-015

3- Binden Sie die Authentifizierungsrichtlinien mit den folgenden Details.

  • Richtlinie 1
    • Wählen Sie Richtlinie: LDAP-Authentifizierungsrichtlinie
    • Priorität: 100
    • Gehe zu Ausdruck: END
    • Wählen Sie den nächsten Faktor: N/A

csp-Image-016

4- Klicken Sie auf Fertig.

Richtlinienlabel für LDAP-Benutzerattribute

1- Klicken Sie auf der Seite Bezeichnungen für Authentifizierungsrichtlinien auf Hinzufügen, um eine weitere Richtlinie zu erstellen.

2- Geben Sie auf der Seite Create Authentication Policy die folgenden Informationen ein.

  • Name: Entitätsname für die Authentifizierungsrichtlinie
  • Anmeldeschema: Anmeldeschemaprofil “NO_SCHEMA”
  • Feature-Typ: AAATM_REQ
  • Klicken Sie auf Weiter

csp-Image-017

3- Binden Sie die Authentifizierungsrichtlinien mit den folgenden Details.

  • Richtlinie 1
    • Richtlinie auswählen: LDAP-Benutzerattribute-Richtlinie
    • Priorität: 100
    • Gehe zu Ausdruck: END
    • Wählen Sie den nächsten Faktor: N/A

csp-Image-018

4- Klicken Sie auf Fertig.

Haupt-Richtlinienlabel

1- Klicken Sie auf der Seite Bezeichnungen für Authentifizierungsrichtlinien auf Hinzufügen, um eine weitere Richtlinie zu erstellen.

2- Geben Sie auf der Seite Create Authentication Policy die folgenden Informationen ein.

  • Name: Entitätsname für die Authentifizierungsrichtlinie
  • Anmeldeschema: Anmeldeschemaprofil “NO_SCHEMA”
  • Feature-Typ: AAATM_REQ
  • Klicken Sie auf Weiter

csp-Image-019

3- Binden Sie die Authentifizierungsrichtlinien mit den folgenden Details.

  • Richtlinie 1
    • Richtlinie auswählen: LDAP “No-Auth” -Richtlinie
    • Priorität: 100
    • Gehe zu Ausdruck: WEITER
    • Wählen Sie den nächsten Faktor: LDAP-Authentifizierungsrichtlinienlabel
  • Richtlinie 2
    • Wählen Sie Policy: SAML-Authentifizierungsrichtlinie
    • Priorität: 110
    • Gehe zu Ausdruck: WEITER
    • Nächsten Faktor auswählen: Richtlinienlabel für LDAP-Benutzerattribute

csp-Image-020

4- Klicken Sie auf Fertig.

HINWEIS:
Wenn Sie neue Kunden/IDPs einbinden, müssen Sie die entsprechenden SAML-Authentifizierungsrichtlinien zu diesem Richtlinienlabel hinzufügen.

AAA-vServer

1- Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Server und klicken Sie auf Hinzufügen.

2- Geben Sie auf der Seite Virtueller Authentifizierungsserver die folgenden Informationen ein.

  • Name: Name der virtuellen Servereinheit für die Authentifizierung
  • IP-Adresstyp: IP-Adresse
  • IP-Adresse: vServer hat die IP-Adresse zugewiesen
  • Port: 443
  • Klicken Sie auf OK.

csp-Image-021

3- Klicken Sie im Bereich Certificate auf No Server Certificate und binden Sie ein SSL-Zertifikat an den vServer. Klicken Sie dann auf Weiter.

4- Klicken Sie im Bereich Erweiterte Authentifizierungsrichtlinien auf Keine Authentifizierungsrichtlinie, und geben Sie die folgenden Informationen ein.

  • Richtlinie auswählen: Baseline “No-Auth” -Richtlinie
  • Priorität: 100
  • Gehe zu Ausdruck: WEITER
  • Wählen Sie den nächsten Faktor: Haupt-Richtlinienlabel

csp-Image-022

5- Klicken Sie auf Weiter.

6- Klicken Sie im Bereich Erweiterte Einstellungen auf Anmeldeschemas.

7- Klicken Sie im Bereich Anmeldeschemas auf Kein Anmeldeschema, und geben Sie die folgenden Informationen ein.

  • Wählen Sie Policy: Schema-Richtlinie “Nur Benutzername”
  • Priorität: 100
  • Gehe zu Ausdruck: END

csp-Image-023

8- Klicken Sie auf Binden.

9- Klicken Sie auf der Seite AAA vServer auf Fertig.

HINWEIS:
Zu diesem Zeitpunkt ist die AAA-vServer-URL öffentlich erreichbar, und sowohl die LDAP- als auch die SAML-Authentifizierung funktionieren.

Globale Zertifikatsbindung

1- Stellen Sie über SSH eine Verbindung zum Citrix ADC her und authentifizieren Sie sich mit den Administratoranmeldeinformationen.

2- Führen Sie den folgenden Befehl aus: bind vpn global -certKeyName certname.

3- Speichern Sie die laufende Konfiguration.

HINWEIS:
Dieser Befehl wird von ADC verwendet, um das Token zu signieren, das im Rahmen des Authentifizierungsprozesses an Citrix Workspace gesendet wird.
Das Flag -certKeyName bezieht sich auf dasselbe SSL-Zertifikat, das auf dem AAA-vServer verwendet wird.

Integration von Citrix Workspace

Citrix Gateway-IDP

1- Gehen Sie in einem Webbrowser zu Citrix Cloud und melden Sie sich mit Ihren Citrix-Anmeldeinformationen an.

2- Navigieren Sie nach der Authentifizierung zu Identity and Access Management > Authentication > Citrix Gateway und klicken Sie auf Verbinden.

csp-Image-024

3- Geben Sie im Popup-Bildschirm zur Konfiguration Ihren öffentlich zugänglichen AAA vServer FQDN ein und klicken Sie auf Detect. Klicken Sie nach dem Erkennen auf Weiter.

csp-Image-025

4- Kopieren Sie auf dem Bildschirm Verbindung erstellen die Client-ID, das Geheimnis und die Weiterleitungs-URL.

csp-Image-026

HINWEIS:
Schließen Sie diese Seite NICHT, Sie müssen zurückkommen, um die Konfiguration abzuschließen.

OAUTH-IDP-Profil

1- Zurück in Citrix ADC, navigieren Sie zu Sicherheit > AAA — Application Traffic > Policies > Authentication > Advanced Policies > OAUTH IDP > Profiles und klicken Sie auf Hinzufügen.

2- Geben Sie auf der Seite Create Authentication OAUTH IDP Profile die folgenden Informationen ein.

  • Name: Entitätsname des OAUTH IDP-Authentifizierungsprofils
  • Client-ID: Wert aus Citrix Cloud einfügen
  • Client Secret: Wert aus Citrix Cloud einfügen
  • Umleitungs-URL: Wert aus Citrix Cloud einfügen
  • Name des Ausstellers: ADC AAA vServer Basis-URL
  • Zielgruppe: Identisch mit Kunden-ID
  • Kennwort senden: Geprüft

csp-Image-027

3- Klicken Sie auf Erstellen.

OAUTH-IDP-Richtlinie

1- Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > OAUTH IDP > Richtlinien, und klicken Sie auf Hinzufügen.

2- Geben Sie auf der Seite Create Authentication OAUTH IDP Policy die folgenden Informationen ein.

  • Name: Entitätsname der OAUTH IDP-Authentifizierungsrichtlinie
  • Aktion: OAUTH IDP-Authentifizierungsprofil
  • Ausdruck: TRUE

csp-Image-028

3- Klicken Sie auf Erstellen.

OAUTH IDP-Richtlinienbindung

1- Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Server und klicken Sie auf den zuvor erstellten AAA vServer.

2- Klicken Sie im Bereich Erweiterte Authentifizierungsrichtlinien auf No OAuth IDP Policy, und binden Sie die OAUTH-IDP-Richtlinie.

csp-Image-029

3- Klicken Sie auf der Seite AAA vServer auf Fertig.

Workspace-Authentifizierung

1- Zurück in der Citrix Cloud klicken Sie auf der Konfigurationsseite auf Test and Finish.

2- Navigieren Sie zu Workspace-Konfiguration > Authentifizierung und klicken Sie auf Citrix Gateway.

3- Aktivieren Sie im Popup-Bildschirm “Konfiguration” das Kästchen neben “Ich verstehe die Auswirkungen auf das Abonnentenerlebnis” und klicken Sie auf Speichern.

csp-Image-030

HINWEIS:
An diesem Punkt leitet das Navigieren zur Citrix Workspace-URL (customer.cloud.com) Benutzer zum ADC AAA vServer um. Sobald sich Benutzer mit ihrem jeweiligen IDP angemeldet haben, werden sie zurück zu Citrix Workspace weitergeleitet.
Single Sign-On für virtuelle Apps und Desktopressourcen kann durch die Integration von Citrix Workspace mit Citrix FAS erreicht werden.

Weitere Ressourcen für die Konfiguration

Referenzarchitektur: Integration von Citrix Workspace mit nFactor und mehreren IDPs für CSPs