Citrix Cloud

Connecter Okta en tant que fournisseur d’identité à Citrix Cloud

Citrix Cloud prend en charge l’utilisation de Okta en tant que fournisseur d’identité pour authentifier les abonnés qui se connectent à leurs espaces de travail. En connectant votre organisation Okta à Citrix Cloud, vous pouvez offrir à vos abonnés une expérience de connexion commune pour l’accès aux ressources dans Citrix Workspace.

Après avoir activé l’authentification Okta dans Configuration de l’espace de travail, les abonnés ont une expérience de connexion différente. La sélection de l’authentification Okta fournit une connexion fédérée, et non une authentification unique. Les abonnés se connectent aux espaces de travail à partir d’une page de connexion Okta, toutefois, ils peuvent être amenés à s’authentifier une seconde fois lors de l’ouverture d’une application ou d’un bureau à partir de Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service). Pour activer l’authentification unique et empêcher une deuxième invite d’ouverture de session, vous devez utiliser le Service d’authentification fédérée Citrix avec Citrix Cloud. Pour plus d’informations, consultez la section Connecter le Service d’authentification fédérée Citrix à Citrix Cloud.

Conseil :

Apprenez-en plus sur les fournisseurs d’identité pris en charge avec le cours de formation Introduction to Citrix Identity and Authentication. Le module « Planning Citrix Identity and Access Management » comprend de courtes vidéos qui vous expliquent comment connecter ce fournisseur d’identité à Citrix Cloud et activer l’authentification pour Citrix Workspace.

Conditions préalables

Cloud Connector

Vous devez disposer d’au moins deux (2) serveurs dans votre domaine Active Directory sur lesquels installer le logiciel Citrix Cloud Connector. Les composants Cloud Connector sont requis pour établir la communication entre Citrix Cloud et vos emplacements des ressources. Au moins deux Cloud Connector sont nécessaires pour garantir une connexion haute disponibilité avec Citrix Cloud. Ces serveurs doivent satisfaire aux exigences suivantes :

  • Répondre aux exigences décrites dans Détails techniques sur Cloud Connector.
  • Aucun autre composant Citrix ne doit être installé sur ces serveurs, ils ne doivent pas être un contrôleur de domaine Active Directory ou une machine critique à votre infrastructure d’emplacement de ressources.
  • Appartenir à votre domaine Active Directory (AD). Si vos ressources et vos utilisateurs d’espace de travail résident dans plusieurs domaines, vous devez installer au moins deux Cloud Connector dans chaque domaine. Pour plus d’informations, consultez Scénarios de déploiement de Cloud Connector dans Active Directory.
  • Être connectés à un réseau pouvant contacter les ressources auxquelles les utilisateurs accèdent via Citrix Workspace.
  • Être connectés à Internet. Pour plus d’informations, consultez la section Configuration requise pour le système et la connectivité.

Pour plus d’informations sur l’installation des composants Cloud Connector, consultez la section Installation de Cloud Connector.

Domaine Okta

Lorsque vous connectez Okta à Citrix Cloud, vous devez fournir le domaine Okta pour votre organisation. Citrix prend en charge les domaines Okta suivants :

  • okta.com
  • okta-eu.com
  • oktapreview.com

Vous pouvez également utiliser des domaines personnalisés Okta avec Citrix Cloud. Passez en revue les points importants à prendre en compte pour l’utilisation de domaines personnalisés dans Customize the Okta URL domain sur le site Web Okta.

Pour savoir comment trouver le domaine personnalisé de votre organisation, consultez la page Finding Your Okta Domain sur le site Web Okta.

Application Web Okta OIDC

Pour utiliser Okta comme fournisseur d’identité, vous devez d’abord créer une application Web Okta OIDC avec des informations d’identification client que vous pouvez utiliser avec Citrix Cloud. Après avoir créé et configuré l’application, notez l’ID client et le secret client. Vous fournissez ces valeurs à Citrix Cloud lorsque vous connectez votre organisation Okta.

Pour créer et configurer cette application, consultez les sections suivantes de cet article :

URL de l’espace de travail

Lors de la création de l’application Okta, vous devez fournir l’URL de votre espace de travail à partir de Citrix Cloud. Pour obtenir l’URL de l’espace de travail, sélectionnez Configuration de l’espace de travail dans le menu Citrix Cloud. L’URL de l’espace de travail est affichée dans l’onglet Accès.

Important :

Si vous modifiez l’URL de l’espace de travail plus tard, vous devez mettre à jour la configuration de l’application Okta avec la nouvelle URL. Sinon, vos abonnés peuvent rencontrer des problèmes lors de la déconnexion de leur espace de travail.

Jeton API Okta

L’utilisation d’Okta comme fournisseur d’identité avec Citrix Cloud nécessite un jeton API pour votre organisation Okta. Créez ce jeton à l’aide d’un compte Administrateur en lecture seule dans votre organisation Okta. Ce jeton doit pouvoir lire les utilisateurs et les groupes de votre organisation Okta.

Pour créer le jeton d’API, consultez Créer un jeton API Okta dans cet article. Pour plus d’informations sur les jetons API, consultez la page Create an API token sur le site Web Okta.

Important :

Lorsque vous créez le jeton API, notez la valeur du jeton (par exemple, copiez temporairement la valeur dans un document en texte brut). Okta n’affiche cette valeur qu’une seule fois, vous pouvez donc créer le jeton juste avant d’effectuer les étapes décrites dans Connecter Citrix Cloud à votre organisation Okta.

Synchroniser les comptes avec l’agent Okta AD

Pour utiliser Okta comme fournisseur d’identité, vous devez d’abord intégrer votre AD local à Okta. Pour ce faire, vous installez l’agent Okta AD dans votre domaine et ajoutez votre AD à votre organisation Okta. Pour obtenir des conseils sur le déploiement de l’agent Okta AD, consultez la page Get started with Active Directory integration sur le site Web Okta. Vous importez ensuite vos utilisateurs et groupes AD dans Okta. Lors de l’importation, incluez les valeurs SID, UPN et OID associées à vos comptes AD.

Remarque :

Si vous utilisez le service Citrix Gateway avec Workspace, vous n’avez pas besoin de synchroniser vos comptes AD avec votre organisation Okta.

Pour synchroniser vos utilisateurs et groupes AD avec votre organisation Okta :

  1. Installez et configurez l’agent Okta AD. Pour obtenir des instructions complètes, consultez les articles suivants sur le site Web Okta :
  2. Ajoutez vos utilisateurs et groupes AD à Okta en effectuant une importation manuelle ou une importation automatisée. Pour plus d’informations sur les méthodes et les instructions d’importation Okta, consultez la page Manage Active Directory users and groups sur le site Web d’Okta.

Créer une intégration d’application Web Okta OIDC

  1. Dans la console de gestion Okta, sous Applications, sélectionnez Applications.
  2. Sélectionnez Create App Integration.
  3. Dans Sign in method, sélectionnez OIDC - OpenID Connect, puis Web Application. Sélectionnez Suivant.
  4. Donnez un nom à l’intégration de l’application.
  5. Dans Grant types, sélectionnez les options suivantes :
    • Authorization Code
    • Implicit (Hybrid)
  6. Dans Sign-in redirect URIs, entrez https://accounts.cloud.com/core/login-okta.
  7. Dans Sign-out redirect URIs, entrez l’URL de votre espace de travail à partir de Citrix Cloud.
  8. Dans Assignments, indiquez si vous souhaitez attribuer l’intégration de l’application à tous les membres de votre organisation, uniquement aux groupes que vous spécifiez, ou si vous souhaitez attribuer un accès ultérieurement.
  9. Sélectionnez Enregistrer.

Après avoir enregistré l’intégration de l’application, la console affiche les valeurs Client ID et Client Secret dans les sections Client Credentials. Vous utilisez ces valeurs lorsque vous connectez Citrix Cloud à votre organisation Okta.

Configurer l’application Web Okta OIDC

Dans cette étape, vous configurez votre application Web Okta OIDC avec les paramètres requis pour Citrix Cloud. Citrix Cloud requiert ces paramètres pour authentifier vos abonnés via Okta lorsqu’ils se connectent à leurs espaces de travail.

  1. (Facultatif) Mettez à jour les autorisations du client pour le type d’autorisation implicite. Vous pouvez choisir d’effectuer cette étape si vous préférez accorder le moins de privilèges pour ce type d’autorisation.
    1. Sur la page de configuration de l’application Okta, dans General Settings, sélectionnez Edit.
    2. Dans la section Application, sous Client acting on behalf of itself, décochez la case Allow Access Token with implicit grant type.
    3. Sélectionnez Enregistrer.
  2. Ajoutez des attributs d’application. Les attributs sont sensibles à la casse.
    1. Dans le menu de la console Okta, sélectionnez Directory > Profile Editor.
    2. Recherchez le profil user Okta et sélectionnez Profile. Sous Attributes, sélectionnez Add attribute.
    3. Entrez les informations suivantes :
      • Nom complet : cip_sid
      • Nom de la variable : cip_sid
      • Description : Identificateur de sécurité de l’utilisateur AD
      • Longueur de l’attribut : supérieure à 1
      • Attribut requis : Oui
    4. Sélectionnez Save and Add Another.
    5. Entrez les informations suivantes :
      • Nom complet : cip_upn
      • Nom de la variable : cip_upn
      • Description : Nom principal de l’utilisateur AD
      • Longueur de l’attribut : supérieure à 1
      • Attribut requis : Oui
    6. Sélectionnez Save and Add Another.
    7. Entrez les informations suivantes :
      • Nom complet : cip_oid
      • Nom de la variable : cip_oid
      • Description : GUID utilisateur AD
      • Longueur de l’attribut : supérieure à 1
      • Attribut requis : Oui
    8. Sélectionnez Enregistrer.
  3. Modifiez les mappages d’attributs pour l’application :
    1. Dans la console Okta, sélectionnez Directory > Directory Integrations.
    2. Sélectionnez l’AD que vous avez précédemment intégré. Pour plus d’informations, consultez Synchroniser les comptes avec l’agent Okta AD.
    3. Sélectionnez l’onglet Provisioning, puis Settings > To Okta.
    4. Sous Okta Attribute Mappings, mappez les attributs suivants. Sélectionnez Save après avoir modifié chaque attribut.
      • Sélectionnez appuser.objectSid et mappez avec l’attribut cip_sid.
      • Sélectionnez appuser.userName et mappez avec l’attribut cip_upn.
      • Sélectionnez appuser.externalId et mappez avec l’attribut cip_oid.
    5. Sélectionnez Force Sync.

Créer un jeton API Okta

  1. Connectez-vous à la console Okta à l’aide d’un compte Administrateur en lecture seule.
  2. Dans le menu de la console Okta, sélectionnez Security > API.
  3. Sélectionnez l’onglet Tokens, puis sélectionnez Create Token.
  4. Entrez un nom pour le jeton.
  5. Sélectionnez Create Token.
  6. Copiez la valeur du jeton. Vous fournissez cette valeur lorsque vous connectez votre organisation Okta à Citrix Cloud.

Connecter Citrix Cloud à votre organisation Okta

  1. Connectez-vous à Citrix Cloud sur https://citrix.cloud.com.
  2. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès.
  3. Localisez Okta et sélectionnez Connecter dans le menu des points de suspension.
  4. Dans URL Okta, entrez votre domaine Okta.
  5. Dans Jeton API Okta, entrez le jeton API de votre organisation Okta.
  6. Dans ID client et Clé secrète client, entrez l’ID client et la clé secrète de l’intégration de l’application Web OIDC que vous avez créée précédemment. Pour copier ces valeurs à partir de la console Okta, sélectionnez Applications et recherchez votre application Okta. Sous Informations d’identification du client, utilisez le bouton Copier dans le presse-papiers pour chaque valeur.
  7. Cliquez sur Tester et terminer. Citrix Cloud vérifie vos détails Okta et teste la connexion.

Activer l’authentification Okta pour les espaces de travail

  1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail > Authentification.
  2. Sélectionnez Okta. Lorsque vous y êtes invité, sélectionnez Je comprends l’impact sur l’expérience des abonnés.
  3. Cliquez sur Accepter pour accepter la demande d’autorisations.
Connecter Okta en tant que fournisseur d’identité à Citrix Cloud