Citrix Cloud

Connecter Okta en tant que fournisseur d’identité à Citrix Cloud

Citrix Cloud prend en charge l’utilisation de Okta en tant que fournisseur d’identité pour authentifier les abonnés qui se connectent à leurs espaces de travail. En connectant votre organisation Okta à Citrix Cloud, vous pouvez offrir à vos abonnés une expérience de connexion commune pour l’accès aux ressources dans Citrix Workspace.

Après avoir activé l’authentification Okta dans Configuration de l’espace de travail, les abonnés ont une expérience de connexion différente. La sélection de l’authentification Okta fournit une connexion fédérée, et non une authentification unique. Les abonnés se connectent aux espaces de travail à partir d’une page de connexion Okta, toutefois, ils peuvent être amenés à s’authentifier une seconde fois lors de l’ouverture d’une application ou d’un bureau à partir de Citrix Virtual Apps and Desktops Service. Pour activer l’authentification unique et empêcher une deuxième invite d’ouverture de session, vous devez utiliser le Service d’authentification fédérée Citrix avec Citrix Cloud. Pour de plus amples informations, consultez Connecter le Service d’authentification fédérée Citrix à Citrix Cloud.

Conditions préalables

Cloud Connector

Vous devez disposer d’au moins deux (2) serveurs dans votre domaine Active Directory sur lesquels installer le logiciel Citrix Cloud Connector. Les Cloud Connector sont requis pour établir la communication entre Citrix Cloud et votre emplacement de ressources. Citrix recommande deux serveurs pour garantir la haute disponibilité de Cloud Connector. Ces serveurs doivent satisfaire aux exigences suivantes :

  • Répondre à la configuration décrite dans la section Détails techniques sur Cloud Connector.
  • Aucun autre composant Citrix ne doit être installé sur ces serveurs, ils ne doivent pas être un contrôleur de domaine Active Directory ou une machine critique à votre infrastructure d’emplacement de ressources.
  • Appartenir à votre domaine Active Directory (AD). Si vos ressources et vos utilisateurs d’espace de travail résident dans plusieurs domaines, vous devez installer au moins deux Cloud Connector dans chaque domaine. Pour de plus amples informations, consultez Scénarios de déploiement de Cloud Connector dans Active Directory.
  • Être connectés à un réseau pouvant contacter les ressources auxquelles les utilisateurs accèdent via Citrix Workspace.
  • Être connectés à Internet. Pour de plus amples informations, consultez Configuration requise pour le système et la connectivité.

Pour plus d’informations sur l’installation des composants Cloud Connector, consultez la section Installation de Cloud Connector.

Domaine Okta

Lorsque vous connectez Okta à Citrix Cloud, vous devez fournir le domaine Okta pour votre organisation. Citrix prend en charge les domaines Okta suivants :

  • okta.com
  • okta-eu.com
  • oktapreview.com

Vous pouvez également utiliser des domaines personnalisés Okta avec Citrix Cloud. Passez en revue les points importants à prendre en compte pour l’utilisation de domaines personnalisés dans Personnaliser le domaine URL Okta sur le site Web Okta.

Pour savoir comment trouver le domaine personnalisé de votre organisation, reportez-vous à Trouver votre domaine Okta sur le site Web Okta.

Application Web Okta OIDC

Pour utiliser Okta comme fournisseur d’identité, vous devez d’abord créer une application Web Okta OIDC avec des informations d’identification client que vous pouvez utiliser avec Citrix Cloud. Après avoir créé et configuré l’application, notez l’ID client et le secret client. Vous fournissez ces valeurs à Citrix Cloud lorsque vous connectez votre organisation Okta.

Pour créer et configurer cette application, consultez les sections suivantes de cet article :

URL Workspace

Lors de la création de l’application Okta, vous devez fournir l’URL de votre espace de travail à partir de Citrix Cloud. Pour obtenir l’URL de l’espace de travail, sélectionnez Configuration de l’espace de travail dans le menu Citrix Cloud. L’URL de l’espace de travail est affichée dans l’onglet Accès.

Important :

Si vous modifiez l’URL de l’espace de travail plus tard, vous devez mettre à jour la configuration de l’application Okta avec la nouvelle URL. Sinon, vos abonnés peuvent rencontrer des problèmes lors de la déconnexion de leur espace de travail.

Jeton API Okta

L’utilisation d’Okta comme fournisseur d’identité avec Citrix Cloud nécessite un jeton API pour votre organisation Okta. Créez ce jeton à l’aide d’un compte Administrateur en lecture seule dans votre organisation Okta. Ce jeton doit pouvoir lire les utilisateurs et les groupes de votre organisation Okta.

Pour créer le jeton API, reportez-vous à Créer un jeton API Okta dans cet article. Pour plus d’informations sur les jetons API, voir Créer un jeton API sur le site Web Okta.

Important :

Lorsque vous créez le jeton API, notez la valeur du jeton (par exemple, copiez temporairement la valeur dans un document en texte brut). Okta n’affiche cette valeur qu’une seule fois, vous pouvez donc créer le jeton juste avant d’effectuer les étapes décrites dans Connecter Citrix Cloud à votre organisation Okta.

Synchroniser les comptes avec l’agent Okta AD

Pour utiliser Okta comme fournisseur d’identité, vous devez d’abord intégrer votre AD local à Okta. Pour ce faire, vous installez l’agent Okta AD dans votre domaine et ajoutez votre AD à votre organisation Okta. Pour obtenir des conseils sur le déploiement de l’agent Okta AD, reportez-vous à Démarrer avec l’intégration d’Active Directory sur le site Web Okta. Vous importez ensuite vos utilisateurs et groupes AD dans Okta. Lors de l’importation, incluez les valeurs SID, UPN et OID associées à vos comptes AD.

Remarque :

Si vous utilisez le service Citrix Gateway avec Workspace, vous n’avez pas besoin de synchroniser vos comptes AD avec votre organisation Okta.

Pour synchroniser vos utilisateurs et groupes AD avec votre organisation Okta :

  1. Installez et configurez l’agent Okta AD. Pour obtenir des instructions complètes, consultez les articles suivants sur le site Web Okta :
  2. Ajoutez vos utilisateurs et groupes AD à Okta en effectuant une importation manuelle ou une importation automatisée. Pour plus d’informations sur les méthodes d’importation Okta et des instructions, consultez la section Gérer les utilisateurs et les groupes Active Directory sur le site Web Okta.

Créer une application Web Okta OIDC

  1. Dans la console de gestion Okta, sous Applications, sélectionnez Applications.
  2. Cliquez sur Add Application, puis sur Create New App.
  3. Dans Sign in method, sélectionnez OpenID Connect, puis cliquez sur Create. La valeur par défaut de la plate-forme (Web) ne change pas.
  4. Entrez le nom de l’application.
  5. Dans Login redirect URIs, entrez https://accounts.cloud.com/core/login-okta.
  6. Dans Logout redirect URIs, entrez l’URL de votre espace de travail à partir de Citrix Cloud.
  7. Cliquez sur Save.

Configurer l’application Web Okta OIDC

Dans cette étape, vous configurez votre application Web Okta OIDC avec les paramètres requis pour Citrix Cloud. Citrix Cloud requiert ces paramètres pour authentifier vos abonnés via Okta lorsqu’ils se connectent à leurs espaces de travail.

  1. Dans la page de configuration de l’application Okta, dans General Settings, cliquez sur Edit.
  2. Dans Allowed grant types, sélectionnez les options suivantes :
    • Authorization Code
    • Refresh Token
    • Implicit (Hybrid)
    • Allow ID Token with implicit grant type
    • Allow Access Token with implicit grant type
  3. Cliquez sur Save.
  4. Accordez un accès groupe ou utilisateur à l’application :
    1. Dans l’onglet Assignments, sélectionnez Assign, puis sélectionnez Assign to People ou Assign to Groups.
    2. Sélectionnez les utilisateurs ou les groupes auxquels vous souhaitez donnez accès aux espaces de travail. Pour autoriser l’accès à tous les utilisateurs, sélectionnez Assign to Groups, puis Everyone.
  5. Cliquez sur Terminé.
  6. Ajoutez des attributs d’application. Les attributs sont sensibles à la casse.
    1. Dans le menu de la console Okta, sélectionnez Directory > Profile Editor.
    2. Recherchez le profil user Okta et sélectionnez Profile. Sous Attributes, sélectionnez Add attribute.
    3. Entrez les informations suivantes :
      • Nom complet : cip_sid
      • Nom de la variable : cip_sid
      • Description : Identificateur de sécurité de l’utilisateur AD
      • Longueur de l’attribut : supérieure à 1
      • Attribut requis : Oui
    4. Cliquez sur Save and Add Another.
    5. Entrez les informations suivantes :
      • Nom complet : cip_upn
      • Nom de la variable : cip_upn
      • Description : Nom principal de l’utilisateur AD
      • Longueur de l’attribut : supérieure à 1
      • Attribut requis : Oui
    6. Cliquez sur Save and Add Another.
    7. Entrez les informations suivantes :
      • Nom complet : cip_oid
      • Nom de la variable : cip_oid
      • Description : GUID utilisateur AD
      • Longueur de l’attribut : supérieure à 1
      • Attribut requis : Oui
    8. Cliquez sur Save.
  7. Modifiez les mappages d’attributs pour l’application :
    1. Dans la console Okta, sélectionnez Directory > Directory Integrations.
    2. Sélectionnez l’AD que vous avez précédemment intégré. Pour de plus amples informations, consultez Synchroniser les comptes avec l’agent Okta AD
    3. Sous l’onglet Settings, sélectionnez Edit Mappings.
    4. Mappez les attributs suivants :
      • Sélectionnez appuser.objectSid et mappez avec l’attribut cip_sid.
      • Sélectionnez appuser.userName et mappez avec l’attribut cip_upn.
      • Sélectionnez appuser.externalId et mappez avec l’attribut cip_oid.
    5. Cliquez sur Save Mappings.
    6. Cliquez sur Apply updates now.

Créer un jeton API Okta

  1. Connectez-vous à la console Okta à l’aide d’un compte Administrateur en lecture seule.
  2. Dans le menu de la console Okta, sélectionnez Security > API.
  3. Sélectionnez l’onglet Tokens, puis sélectionnez Create Token.
  4. Entrez un nom pour le jeton.
  5. Cliquez sur Create Token.
  6. Copiez la valeur du jeton. Vous fournissez cette valeur lorsque vous connectez votre organisation Okta à Citrix Cloud.

Connecter Citrix Cloud à votre organisation Okta

  1. Connectez-vous à Citrix Cloud sur https://citrix.cloud.com.
  2. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès.
  3. Localisez Okta et sélectionnez Connecter dans le menu des points de suspension.
  4. Dans URL Okta, entrez votre domaine Okta.
  5. Dans Jeton API Okta, entrez le jeton API de votre organisation Okta.
  6. Dans ID du client et Clé secrète client, entrez les informations d’identification de votre application Okta. Pour copier ces valeurs à partir de la console Okta, sélectionnez Applications et recherchez votre application Okta. Sous Informations d’identification du client, utilisez le bouton Copier dans le presse-papiers pour chaque valeur.
  7. Cliquez sur Tester et terminer. Citrix Cloud vérifie vos détails Okta et teste la connexion.

Activer l’authentification Okta pour les espaces de travail

  1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail > Authentification.
  2. Sélectionnez Okta. Lorsque vous y êtes invité, sélectionnez Je comprends l’impact sur l’expérience des abonnés.
  3. Cliquez sur Accepter pour accepter la demande d’autorisations.

Connecter Okta en tant que fournisseur d’identité à Citrix Cloud