Arbeitsbereich-

Die primäre Workspace-Identität eines Benutzers autorisiert den Zugriff auf alle Workspace-Ressourcen-Feeds, einschließlich Mikroapps, mobilen Apps, virtuellen Apps, virtuellen Desktops und Inhalten. Citrix Workspace bietet Unternehmen die Wahl bei der Auswahl des primären Identitätsanbieters des Benutzers.

Identitätsanbieter (IdP)

Ein Identitätsanbieter ist die letzte Autorität der Identität des Nutzers. Der Identitätsanbieter ist für die Richtlinien zum Schutz und zur Sicherung der Identität des Benutzers verantwortlich, einschließlich Kennwortrichtlinien, Multifaktor-Authentifizierungsrichtlinien und Lockout-Richtlinien.

Vor der Cloud-Ära hatten Unternehmen eine einzige Option für einen Identitätsanbieter: Windows Active Directory. Aber jetzt verhält sich fast jedes System oder jeder Dienst, der ein eindeutiges Benutzerkonto erfordert, wie ein Identitätsanbieter. Facebook, LinkedIn, Twitter, Workday und Google sind alle Identitätsanbieter, da jeder die endgültige Autorität für die Identität eines Nutzers in seinem Dienst ist. Darüber hinaus besteht eine allgemeine Sicherheitsempfehlung, die selten befolgt wird, darin, für jede Identität unterschiedliche Kennwörter zu verwenden, um die Auswirkungen eines gestohlenen Kennworts zu begrenzen.

Der traditionelle Identitätsansatz bietet eine der schlechtesten Benutzererfahrungen, die man sich vorstellen kann. Benutzer sind ständig aufgefordert, sich zu authentifizieren. Benutzer sind gezwungen, sich für jeden Dienst eindeutige, komplexe Kennwörter zu merken. Benutzer verbringen wertvolle Zeit damit, Kennwörter zurückzusetzen und Konten aufgrund vergessener Anmeldeinformationen freischalten zu lassen.

Citrix Workspace bietet eine bessere Alternative zum Status Quo. Citrix Workspace ermöglicht es jeder Organisation, eine primäre Identität aus einer wachsenden Liste von Optionen auszuwählen, die derzeit enthalten ist.

  • Windows Active Directory
  • Azure Active Directory
  • Okta
  • Citrix Gateway

Arbeitsbereich Identity

Citrix Workspace stützt sich auf den Identity Broker-Micro-Service, um die Authentifizierung beim konfigurierten Identitätsanbieter zu verwalten. Eine erfolgreiche Workspace-Authentifizierung ermöglicht es dem Ressourcen-Feed-µ-Service, eine Liste der autorisierten Ressourcen zu erstellen, die dem Benutzer zur Verfügung stehen.

Viele dieser Dienste haben oder erfordern jedoch eine andere Identität als die primäre Workspace-Identität des Benutzers, da sie einen anderen Identitätsanbieter verwenden. Der Single Sign-On µ-Service übersetzt die primäre Workspace-Identität des Benutzers in eine ressourcenspezifische Identität mit geeigneten Ansätzen wie:

  • SAML
  • Kerberos
  • Formulare
  • Virtuelle Smartcards

Der Citrix Workspace-Ansatz für primäre und sekundäre Identitäten schafft eine Erfahrung, bei der sich Benutzer einmal physisch authentifizieren und alle nachfolgenden Authentifizierungsherausforderungen automatisch erfüllt werden.

Identitätsbrokering

Ein Identitätsanbieter und die zugehörige Identitätsdatenbank sind die letzte Berechtigung für die Identität eines Benutzers. Jeder Identitätsanbieter ist jedoch anders. Jeder Identitätsanbieter enthält verschiedene Parameter, Richtlinien und Kriterien für die Identität eines Benutzers.

In Citrix Workspace leitet der µ-Service des Identitätsbrokers die primäre Authentifizierungsanforderung an den konfigurierten Identitätsanbieter um. Sobald die Authentifizierungsanforderung an den Identitätsanbieter übertragen wurde, bestimmen Authentifizierungsrichtlinien innerhalb des Identitätsanbieters, wie sich der Benutzer authentifizieren muss, was häufig Multifaktor-Authentifizierungsrichtlinien umfasst.

Sobald der Identitätsanbieter den Benutzer erfolgreich authentifiziert hat, erhält der µ-Service des Identitätsbrokers eine erfolgreiche Authentifizierungsantwort. Der Vorteil dieses Ansatzes besteht darin, dass Unternehmen Authentifizierungsrichtlinien innerhalb des Identitätsanbieters ändern können, ohne Citrix Workspace zu beeinträchtigen.

Zusätzlich zu einer erfolgreichen Authentifizierungsantwort des Identitätsanbieters erhält und übersetzt der Identity Broker µ-service die eindeutigen Informationen des Identitätsanbieters in einen Standardsatz von Ansprüchen über den Benutzer.

Ansprüche über einen Benutzer sind einfach Informationen, die den Benutzer identifizieren, bei denen es sich um eine UPN, SID, GUID, E-Mail oder irgendetwas anderes in der Datenbank des Identitätsanbieters handeln kann. Die Ansprüche ermöglichen es Citrix Workspace, eine Liste von Ressourcen und Diensten zu erstellen, auf die der Benutzer zugreifen darf. Wenn die primäre Identität für den Benutzer beispielsweise eine Google-ID ist, verwendet Citrix Workspace die Google ID, um die Autorisierung für andere Ressourcen und Dienste zu steuern, die nicht mit Google ID verknüpft sind, wie Workday, SAP, Windows, Slack und andere. Auf andere Weise können Benutzer mit Citrix Workspace eine einzige Google-ID verwenden, um sich bei jeder autorisierten Ressource, einschließlich Windows, anzumelden.

In Citrix Workspace wird der µ-Service des Identitäts-Brokers weiter auf zusätzliche Optionen für den primären Identitätsanbieter ausgeweitet. Der µ-Service des Identitätsbrokers umfasst Identitätsanbieter, die von einem on-premises Standort aus verfügbar sein können, oder der µ-Service des Identitätsbrokers kann Cloud-basierte Identitätsanbieter nutzen. Das folgende Diagramm bietet einen Überblick über die Citrix Workspace Identity Platform und alle aktuellen Identity Provider-Optionen, auf die später ausführlicher eingegangen wird.

![Überblick über die Identität des(Arbeitsber)]/en-us/tech-zone/learn/media/tech-briefs_workspace-identity_identity-brokering.png

Jeder der Identitätsanbieter ist einzigartig; am Ende teilt jeder Identitätsanbieter Citrix Workspace jedoch einige Dinge über den Benutzer mit:

  1. Der Benutzername
  2. Der Benutzer hat sich erfolgreich authentifiziert
  3. Ansprüche über den Benutzer

Um die Details der einzelnen Identitätsanbieter besser zu verstehen, lesen Sie die folgenden Abschnitte zu primären Identitätsanbietern

  • Active Directory
  • Active Directory mit TOTP
  • Azure Active Directory
  • Citrix Gateway
  • Okta
  • Google

Active Directory

Nach der Konfiguration können sich Benutzer mit Active Directory-Anmeldeinformationen bei Citrix Workspace authentifizieren.

Active Directory IdP

Um Citrix Workspace in eine on-premises Active Directory-Domäne zu integrieren, muss Workspace in der Lage sein, mit einem Domänencontroller zu kommunizieren. Durch die Bereitstellung eines hochverfügbaren Satzes von Cloud-Konnektoren in der on-premises Umgebung richten die Cloud-Konnektoren einen ausgehenden Kontrollkanal mit dem Citrix Cloud-Abonnement des Unternehmens ein. Der ausgehende Kontrollkanal ermöglicht es Citrix Workspace, die Kommunikation mit on-premises Komponenten sicher über Port 443 zu tunneln, ohne dass Änderungen am eingehenden Firewall-Port erforderlich sind.

Der Cloud-Connector enthält einen AD-Anbieterdienst, der es Citrix Workspace ermöglicht, Benutzer- und Gruppeninformationen aus der Active Directory-Domäne zu lesen. Wenn sich ein Benutzer bei Citrix Workspace authentifiziert, werden die Anmeldeinformationen über den AD-Provider-Dienst des Cloud-Connectors an den on-premises Domänencontroller gesendet.

![Active Directory(Directory-Ports)]/en-us/tech-zone/learn/media/tech-briefs_workspace-identity_active-directory-ports.png

Active Directory mit TOTP

Für viele Unternehmen bietet die Bereitstellung des Zugriffs auf Anwendungs- und Desktopdienste mit Benutzernamen und Kennwort keine angemessene Sicherheit. Citrix Workspace enthält eine in der Cloud bereitgestellte Zeitbasiertes einmaliges Kennwort (TOTP), die eine Multifaktor-Authentifizierung bereitstellt, indem ein “etwas, das Sie haben”, das TOTP-Token ist, mit dem “etwas, das Sie wissen”, welches das Kennwort ist.

TOTP generiert einen zufälligen 6-stelligen Code, der sich alle 30 Sekunden ändert. Dieser Code basiert auf einem geheimen Schlüssel, der zwischen der mobilen App des Benutzers und der Backend-Infrastruktur geteilt wird. Der geheime Schlüssel ist der Faktor “etwas, das Sie haben” für die Multifaktor-Authentifizierung. Um den Zufallscode zu generieren, wird ein Secure-Hash-Algorithmus nach Industriestandard auf den geheimen Schlüssel und die aktuelle Uhrzeit angewendet. Zur Authentifizierung wird der Code in der mobilen App mit dem Code der Backend-Infrastruktur verglichen.

Um sich beim TOTP-Dienst zu registrieren, erstellt und installiert jeder Benutzer einen vorinstallierten geheimen Schlüssel in der Authentifikator-App auf einem Mobilgerät.

Active Directory mit TOTP-Registrierung

Sobald sich der Benutzer erfolgreich beim TOTP-Microdienst registriert hat, muss der Benutzer das Token zusammen mit seinen Active Directory-Anmeldeinformationen verwenden, um sich erfolgreich bei Citrix Workspace zu authentifizieren.

Active Directory mit TOTP-Authentifizierung

Da TOTP als Fähigkeit in Citrix Workspace integriert ist, wird die Komplexität des Einrichtungs- und Wartungsaufwands einer TOTP-Lösung in einer on-premises Umgebung aufgehoben. Mit dieser Funktion in Citrix Workspace ermöglichen Administratoren den Dienst und Benutzer registrieren Geräte.

Bei der Aktivierung der TOTP-basierten Multifaktorauthentifizierung sind einige Punkte zu berücksichtigen:

  • Authenticator Apps: TOTP verwendet einen Algorithmus nach Industriestandard, um das zeitbasierte Token zu generieren. Benutzer können eine beliebige Anzahl von mobilen Apps verwenden, um die Token zu generieren, darunter: Citrix SSO, Microsoft Authenticator und andere.
  • Token-Anzahl: Benutzern ist ein Token (Schlüssel) pro Benutzerkonto zulässig.
  • Geräteanzahl: Obwohl Benutzer auf ein einzelnes Token (Schlüssel) beschränkt sind, können Benutzer das Token auf mehreren Geräten installieren. Die Installation muss jedoch während der Registrierungsphase erfolgen, da die Benutzer nach Abschluss der Registrierung den QR-Code oder den geheimen Schlüssel nicht preisgeben können.
  • Gerätetausch: Wenn ein Benutzer sein Mobilgerät ersetzt, muss er das Gerät beim TOTP-Dienst registrieren. Wenn der Benutzer den TOTP-Registrierungsprozess erneut durchläuft, wird der alte geheime Schlüssel gelöscht. Jedes Gerät, das den alten geheimen Schlüssel verwendet, generiert nicht das richtige Token, was zu einer fehlgeschlagenen Workspace-Authentifizierung führt.
  • Token Reset: Administratoren können den Token eines Benutzers manuell zurücksetzen. Nach dem Zurücksetzen können Benutzer die Authentifizierung nicht ohne erneutes Registrieren mit dem TOTP-Dienst abschließen.
  • Bereitstellung: Wie alle Änderungen an der Identitäts- und Zugriffsverwaltung wirkt sich die Aktivierung von TOTP für ein Workspace-Abonnement auf alle Benutzer aus. Wenn diese Option aktiviert ist, schlagen alle neuen Authentifizierungsversuche fehl, bis sich der Benutzer erfolgreich beim TOTP-Dienst registriert hat.

Der TOTP Tech Insight-Video bietet zusätzliche Details zur Benutzer- und Administratorerfahrung.

Azure Active Directory

Citrix Workspace ermöglicht Benutzern die Authentifizierung mit einem Azure Active Directory-Konto. Die Authentifizierung kann so einfach wie ein Benutzername und ein Kennwort sein oder beliebige mehrstufige Authentifizierungsrichtlinien verwenden, die in Azure Active Directory verfügbar sind. Die Integration zwischen Citrix Workspace und Azure Active Directory führt dazu, dass Azure Active Directory den Authentifizierungsprozess verarbeitet und gleichzeitig ein Identitäts-Token für den Benutzer zurückgibt.

Azure Active Directory-IdP

Um Citrix Workspace und Azure Active Directory zu integrieren, erstellt Citrix Workspace automatisch eine Unternehmensanwendung in Azure und legt die richtigen Berechtigungen fest. Zu diesen Berechtigungen gehören die folgenden (schreibgeschützten Funktionen):

  • Anmelden und Benutzerprofil lesen
  • Lesen Sie die grundlegenden Profile aller Benutzer
  • Lesen Sie die vollständigen Profile aller Benutzer
  • Lesen von Verzeichnisdaten
  • Alle Gruppen lesen

Azure Active Directory authentifiziert den Benutzer. Sobald der Benutzer erfolgreich authentifiziert wurde, stellt Azure Citrix Workspace ein Azure-Identitäts-Token zur Verfügung, einschließlich Ansprüchen über den Benutzer, um sie im richtigen Verzeichnis eindeutig zu identifizieren.

Citrix Workspace verwendet die Ansprüche von Azure Active Directory, um den Benutzer für Ressourcen und Services in Citrix Workspace zu autorisieren.

Die Autorisierung des Zugriffs auf eine Ressource erfordert eine einzige “Quelle der Wahrheit”. Die Quelle der Wahrheit ist die letzte Autorität bei Genehmigungsentscheidungen. Wenn Sie Azure Active Directory als primäres Benutzerverzeichnis verwenden, bestimmt der Typ der Workspace-Ressource die Quelle der Wahrheit.

  • Content Collaboration Service: Für Benutzerdateien und -inhalte ist der Content Collaboration Service die Quelle der Wahrheit. Wenn Azure Active Directory der Identitätsanbieter für Workspace ist, müssen eine Azure Active Directory-Identität und das Content Collaboration-Konto dieselbe E-Mail-Adresse verwenden. Für Informationen zur Gruppenmitgliedschaft ist der Content Collaboration Service die Quelle der Wahrheit. Die Informationen zur Gruppenmitgliedschaft basieren auf der E-Mail-Adresse des Benutzers.
  • Endpoint Management Service: Für mobile Anwendungen verwendet der Endpoint Management Service Active Directory als Quelle der Wahrheit. Wenn Azure Active Directory der Identitätsanbieter für Workspace ist, muss eine Azure Active Directory-Identität bestimmte Active Directory-Ansprüche enthalten (SID, UPN und eine, ImmutableID die sich nicht ändert). Diese Ansprüche verknüpfen eine Azure Active Directory-Identität mit einer Active Directory-Identität. Wenn der Endpoint Management Service die Gruppenmitgliedschaft verwendet, ist Active Directory die Quelle der Wahrheit.
  • Gateway Service: Für SaaS und Webanwendungen verwendet der Gateway Service Azure Active Directory als Quelle der Wahrheit. Der Gateway Service kann Azure Active Directory-Benutzerkonten oder eine Azure Active Directory-Benutzergruppenmitgliedschaft verwenden, um den Zugriff auf Ressourcen zu autorisieren.
  • Mikroapps-Dienst: Für Mikroapp-Anwendungen verwendet der Microapps Service Azure Active Directory als Quelle der Wahrheit. Der Microapps Service kann Azure Active Directory-Benutzerkonten oder eine Azure Active Directory-Benutzergruppenmitgliedschaft verwenden, um den Zugriff auf Ressourcen zu autorisieren.
  • Virtual Apps and Desktops Service: Da Windows-basierte Ressourcen (VDI) eine Active Directory-basierte Benutzeridentität erfordern, hängt die Quelle der Wahrheit von der zugrunde liegenden Active Directory- und Azure Active Directory-Integration ab.
    • Azure Active Directory-Benutzeridentitäten müssen bestimmte Active Directory-Ansprüche enthalten (SID, UPN und ein, ImmutableID das sich nicht ändert). Diese Ansprüche verknüpfen eine Azure Active Directory-Identität mit einer Active Directory-Identität. Für eine bestimmte Benutzeridentität ist Azure Active Directory die Quelle der Wahrheit.
    • Wenn Autorisierungsentscheidungen auf der Gruppenmitgliedschaft basieren, ist Active Directory die Quelle der Wahrheit. Workspace sendet anschließend Anfragen zur Gruppenmitgliedschaft über den Cloud-Connector an Active Directory.

Der Prozess zum Verknüpfen von Active Directory-Parametern mit einer Azure Active Directory-ID wird durch die Verwendung des Azure Active Directory-Synchronisierungstools erheblich vereinfacht.

Der Video Azure Active Directory-Technologie bietet zusätzliche Details zur Administratorkonfiguration und Benutzererfahrung bei der Verwendung eines FIDO2 YubiKey.

Citrix Gateway

Benutzer können sich mit einem on-premises Citrix Gateway bei Citrix Workspace authentifizieren. Die Citrix Gateway-Authentifizierung berücksichtigt einfache Authentifizierungsrichtlinien, die eine einzige Quelle für die Benutzerauthentifizierung verwenden, wie Active Directory, sowie komplexere, kaskadierte Authentifizierungsrichtlinien, die auf mehreren Authentifizierungsanbietern und -richtlinien basieren.

Die Integration zwischen Citrix Workspace und Citrix Gateway führt dazu, dass Citrix Gateway den anfänglichen Authentifizierungsprozess verarbeitet. Sobald Citrix Gateway die Authentifizierung des Benutzers überprüft hat, validiert Workspace die Active Directory-Anmeldeinformationen, bevor eine Liste autorisierter Dienste und Ressourcen erstellt wird.

Citrix Gateway-IdP

Um Citrix Workspace und Citrix Gateway zu integrieren, muss eine OAuth IdP-Richtlinie innerhalb des on-premises Citrix Gateway erstellt werden, einem auf der OAuth 2.0-Spezifikation basierenden Authentifizierungsprotokoll. Citrix Workspace stellt eine Verbindung mit der eindeutigen Citrix Gateway-URL des Unternehmens her, um auf die OpenID Connect-Anwendung zuzugreifen, indem er auf die Client-ID der Anwendung verweist, die mit einem gemeinsamen geheimen Schlüssel geschützt ist.

Die OpenID Connect-Anwendung, die auf Citrix Gateway konfiguriert ist, verwendet die an den virtuellen Authentifizierungsserver gebundenen erweiterten Authentifizierungsrichtlinien, um den Benutzer zu authentifizieren. Nachdem der Benutzer erfolgreich bei Citrix Gateway authentifiziert wurde, gibt Citrix Gateway die Active Directory-Anmeldeinformationen des Benutzers an Citrix Workspace zurück.

Der Einblick in Citrix Gateway Tech bietet zusätzliche Details zur Administratorkonfiguration und zur Benutzererfahrung.

Mit der Verwendung von nFactorermöglicht Citrix Gateway Unternehmen die Erstellung eines dynamischeren Authentifizierungsflusses unter Berücksichtigung von Merkmalen wie Benutzergruppenmitgliedschaft, Gerätebesitz und Benutzerstandort.

In einem Beispiel können Unternehmen mithilfe der grundlegendsten Konfiguration ein Citrix Gateway in Citrix Workspace integrieren, um die Authentifizierung für Active Directory bereitzustellen.

Citrix Gateway - Active Directory

Diese Art der Konfiguration erfordert eine OAuth-IdP-Richtlinie, die mit Citrix Workspace konfiguriert ist, und eine LDAP-Richtlinie, die für eine on-premises Active Directory-Domäne konfiguriert ist. Diese grundlegende Authentifizierungsrichtlinie kann jedoch ohne Verwendung eines Citrix Gateway durchgeführt werden.

In vielen Organisationen müssen sich Benutzer vor der Authentifizierung bei Active Directory gegen eine RADIUS-Bereitstellung wie DUO authentifizieren, um Active Directory-Anmeldeinformationen zu schützen.

Citrix Gateway - DUO

Für diese Konfiguration ist es erforderlich, dass die Authentifizierungsrichtlinie zuerst eine RADIUS-Authentifizierung validiert. Wenn dies gelingt, setzt sich der Authentifizierungsfluss zum nächsten Authentifizierungsfaktor fort, nämlich der LDAP-Authentifizierung.

Mit Citrix Gateway können Unternehmen eine kontextabhängige Authentifizierung implementieren, bei der der Authentifizierungsfluss des Benutzers vom aktuellen Benutzerkontext abhängt. Beispielsweise kann eine Organisation unterschiedliche Authentifizierungsrichtlinien für unternehmenseigene Geräte im Vergleich zu Benutzern implementieren.

Citrix Gateway - Zertifikate

In dieser Konfiguration sendet Citrix Workspace die Authentifizierungsanforderung an Citrix Gateway. Citrix Gateway fordert ein clientbasiertes Zertifikat an, das nur auf unternehmenseigenen Geräten verfügbar ist. Wenn das Zertifikat verfügbar und gültig ist, gibt der Benutzer einfach ein Active Directory-Kennwort an. Wenn das Zertifikat jedoch ungültig ist oder nicht existiert, was bei einem benutzereigenen Gerät der Fall wäre, fordert Citrix Gateway den Benutzer auf, einen TOTP-Code gefolgt von Active Directory-Anmeldeinformationen bereitzustellen.

Ein weiteres Beispiel für kontextabhängige Authentifizierung bietet verschiedene Authentifizierungsrichtlinien basierend auf der Active Directory-Gruppenmitgliedschaft.

Citrix Gateway - Benutzergruppen

Benutzer, die mit Finanzdaten, persönlichen Daten oder Daten zum geistigen Eigentum interagieren, sollten auf strengere Authentifizierungsrichtlinien stoßen, wie in Group2 im Diagramm gezeigt.

Bei der Verwendung eines on-premises Citrix Gateway als Identitätsanbieter können Benutzer Push-basierte Authentifizierung mit Citrix Workspace verwenden, wie im [Tech Insight-Video zur Push Authentifizierung] beschrieben.(/de-de/tech-zone/learn/tech-insights/authentication-push.html)

Unabhängig von der Art der konfigurierten Authentifizierungsrichtlinie muss Citrix Gateway nach erfolgreicher Validierung seiner Identität auf die anfängliche Citrix Workspace-Anforderung mit den Active Directory-Anmeldeinformationen des Benutzers antworten. Damit Citrix Workspace den Authentifizierungsprozess abschließen und eine Liste autorisierter Ressourcen erstellen kann, müssen für jedes Active Directory-Benutzerkonto die folgenden Parameter definiert sein:

  • E-Mail-Adresse
  • Anzeigename
  • Allgemeiner Name
  • sAMAccountName
  • Benutzerprinzipalname
  • Objekt-ID (OID)
  • Sicherheitskennung (SID)

Okta

Nach der Konfiguration können sich Benutzer mit Okta-Anmeldeinformationen bei Citrix Workspace authentifizieren. Die Authentifizierung kann so einfach sein wie ein Benutzername und ein Kennwort oder beliebige mehrstufige Authentifizierungsrichtlinien, die in Okta verfügbar sind. Die Integration zwischen Citrix Workspace und Okta führt dazu, dass Okta den Authentifizierungsprozess verarbeitet und gleichzeitig ein Identitäts- und Zugriffstoken für den Benutzer zurückgibt.

Okta IdP

Um Citrix Workspace und Okta zu integrieren, muss eine OpenID Connect-Anwendung in Okta erstellt werden. Citrix Workspace stellt eine Verbindung mit der eindeutigen Okta-URL des Unternehmens her, um auf die OpenID Connect-Anwendung zuzugreifen, indem er auf die Client-ID der Anwendung verweist, die mit einem gemeinsamen geheimen Schlüssel geschützt ist.

Die OpenID Connect-Anwendung authentifiziert den Benutzer. Sobald der Benutzer erfolgreich bei Okta authentifiziert wurde, stellt Okta Citrix Workspace zwei Sicherheitstoken zur Verfügung:

  • Zugriffstoken: Ein Token, das beweist, dass der Benutzer die Berechtigung zum Zugriff auf die Okta-Ressource (OpenID Connect-Anwendung) hat, sodass keine kontinuierliche Neuauthentifizierung erforderlich ist.
  • Identitäts-Token: Ein Token, das die Identität des Benutzers beweist. Das Identitäts-Token enthält Ansprüche (Informationen) über den authentifizierten Benutzer. Der Token ist kodiert, um zu beweisen, dass er nicht manipuliert wurde.

Diese Token ermöglichen es Citrix Workspace, auf die OpenID Connect-Anwendung zuzugreifen und eine Liste autorisierter Ressourcen basierend auf der Okta-Identität des Benutzers zu erstellen.

Die Autorisierung des Zugriffs auf eine Ressource erfordert eine einzige “Quelle der Wahrheit”. Die Quelle der Wahrheit ist die letzte Autorität bei Genehmigungsentscheidungen. Wenn Okta als primäres Benutzerverzeichnis verwendet wird, bestimmt der Typ der Workspace-Ressource die Quelle der Wahrheit.

  • Content Collaboration Service: Für Benutzerdateien und -inhalte ist der Content Collaboration Service die Quelle der Wahrheit. Wenn Okta der primäre Identitätsanbieter für Workspace ist, müssen eine Okta-Identität und das Content Collaboration-Konto dieselbe E-Mail-Adresse verwenden. Für Informationen zur Gruppenmitgliedschaft ist der Content Collaboration Service die Quelle der Wahrheit. Die Informationen zur Gruppenmitgliedschaft basieren auf der E-Mail-Adresse des Benutzers. In diesem Szenario wird Okta nur als Identitätsanbieter für Workspace verwendet.
  • Endpoint Management Service: Für mobile Anwendungen verwendet der Endpoint Management Service Active Directory als Quelle der Wahrheit. Wenn Okta der primäre Identitätsanbieter für Workspace ist, muss eine Okta-Identität bestimmte Active Directory-Ansprüche (SID, UPN und GUID) enthalten. Diese Ansprüche verknüpfen eine Okta-Identität mit einer Active Directory-Identität. Wenn der Endpoint Management Service die Gruppenmitgliedschaft verwendet, ist Active Directory die Quelle der Wahrheit.
  • Gateway Service: Für SaaS und Webanwendungen verwendet der Gateway Service Okta als Quelle der Wahrheit. Der Gateway Service kann Okta-Benutzerkonten oder eine Okta-Benutzergruppenmitgliedschaft verwenden, um den Zugriff auf Ressourcen zu autorisieren.
  • Mikroapps Service: Für Mikroapp-Anwendungen verwendet der Microapps Service Okta als Quelle der Wahrheit. Der Microapps Service kann Okta-Benutzerkonten oder eine Okta-Benutzergruppenmitgliedschaft verwenden, um den Zugriff auf Ressourcen zu autorisieren.
  • Virtual Apps and Desktops Service: Da Windows-basierte Ressourcen (VDI) eine Active Directory-basierte Benutzeridentität erfordern, hängt die Quelle der Wahrheit von der zugrunde liegenden Active Directory- und Okta-Integration ab.
    • Okta-Benutzeridentitäten müssen bestimmte Active Directory-Ansprüche (SID, UPN und GUID) enthalten. Diese Ansprüche verknüpfen eine Okta-Identität mit einer Active Directory-Identität. Für eine bestimmte Benutzeridentität ist Okta die Quelle der Wahrheit.
    • Wenn Autorisierungsentscheidungen auf der Gruppenmitgliedschaft basieren, basiert die Quelle der Wahrheit auf den Synchronisierungsparametern zwischen Active Directory und Okta. Wenn eine Active Directory-Gruppe mit Okta synchronisiert wird und Active Directory-Ansprüche (SID) enthält, wird Okta zur Quelle der Wahrheit für Gruppen, die das objectSID-Attribut verwenden. Dieses Okta-Attribut wird nur für Active Directory-Gruppen zurückgegeben, wie in der definiert Okta-Spezifikationen. Native Okta-Gruppen haben dieses Attribut nicht festgelegt, was dazu führt, dass Active Directory zur Quelle der Wahrheit wird. Workspace sendet anschließend Anfragen zur Gruppenmitgliedschaft über den Cloud-Connector an Active Directory.

Der Prozess zum Verknüpfen von Active Directory-Parametern mit einer Okta-ID wird durch die Verwendung des Okta Active Directory-Synchronisierungstools erheblich vereinfacht. Die Active Directory-Ansprüche müssen dem folgenden Benennungsstandard in Okta entsprechen.

Okta - Parameter

Die Einrichtung und Konfiguration von Okta als Identitätsanbieter ist im Okta Tech Insight Video.

Arbeitsbereich-