Documentation produit
Citrix Cloud
Voir PDF

Se connecter à des espaces de travail avec SAML à l’aide de domaines personnalisés

November 29, 2023
Author:  Mark Dear

Si vous avez configuré un domaine personnalisé dans Citrix Workspace (par exemple https://workspaces.yourdomain.com), une configuration supplémentaire dans Citrix Cloud et auprès de votre fournisseur SAML peut être requise, en fonction des scénarios de connexion SAML que vous souhaitez prendre en charge dans Citrix Cloud.

Vous aurez peut-être besoin de deux applications SAML pour cette configuration. Citrix Cloud nécessite différents points de terminaison du fournisseur de services SAML, selon que l’application SAML utilise les URL cloud.com ou workspaces.yourdomain.com pour effectuer l’opération de connexion.

Pour plus d’informations sur la configuration de domaines personnalisés dans Citrix Workspace, consultez la section Configurer un domaine personnalisé dans la documentation du produit Citrix Workspace.

Considérations relatives au déploiement d’une ou deux applications SAML

Pour déterminer si vous devez déployer une solution d’application SAML unique ou double, identifiez la combinaison de scénarios de connexion SAML que votre fournisseur SAML doit prendre en charge.

Les scénarios de connexion suivants partagent la même application SAML (SAML App 1) par défaut :

  • Authentification SAML pour Citrix Workspace où l’URL de connexion à l’espace de travail pour votre région (cloud.com, citrixcloud.jp, cloud.us) est configurée dans votre fournisseur SAML en tant qu’ID d’entité du fournisseur de services.
  • Authentification SAML pour Citrix Cloud à l’aide de votre URL de connexion unique (par exemple, https://citrix.cloud.com/go/mycompany). Dans ce scénario, les administrateurs sont authentifiés auprès de Citrix Cloud à l’aide de SAML, en fonction de leur appartenance au groupe Active Directory (AD).

L’ajout de l’authentification SAML pour les utilisateurs via un domaine personnalisé (par exemple https://workspaces.mycompany.com) que vous définissez dans Configuration de l’espace de travail nécessite une deuxième application SAML (SAML App 2).

Le tableau suivant répertorie les combinaisons de scénarios de connexion SAML prises en charge et les applications SAML requises.

Connexion à Workspace à l’aide de l’URL de l’espace de travail Connexion à Workspace avec une URL de domaine personnalisée Connexion à Citrix Cloud à l’aide de l’URL de connexion SAML Application SAML 1 requise ? Application SAML 2 requise ?
Oui Non Non Oui, utilisez les points de terminaison SAML cloud.com Non
Non Oui Non Oui, utilisez des points de terminaison SAML de domaine personnalisés Non
Non Non Oui Oui, utilisez les points de terminaison SAML cloud.com Non
Oui Non Oui Oui, utilisez les points de terminaison SAML cloud.com Non
Non Non Oui Oui, utilisez les points de terminaison SAML cloud.com Oui, utilisez des points de terminaison SAML de domaine personnalisés
Oui Oui Oui Oui, utilisez les points de terminaison SAML cloud.com Oui, utilisez des points de terminaison SAML de domaine personnalisés

Configuration d’une application SAML unique

  1. Dans Citrix Cloud, accédez à Configuration de l’espace de travail > Accès et configurez un domaine personnalisé. Pour plus d’informations, consultez la section Configurer un domaine personnalisé.
  2. Dans la console de gestion de votre fournisseur SAML, configurez une seule application SAML en utilisant le domaine personnalisé comme points de terminaison du fournisseur de services.
  3. Téléchargez le certificat de signature SAML pour l’application SAML. À une étape ultérieure, vous téléchargerez ce certificat sur Citrix Cloud.

  4. Sous Entity ID, assurez-vous que https://saml.cloud.com est saisi. Selon votre fournisseur SAML, il se peut que ce paramètre soit intitulé Audience. Pour tous les autres points de terminaison, remplacez https://saml.cloud.com par le domaine personnalisé Workspace que vous avez configuré à l’étape 1.

    L’exemple suivant illustre la configuration du point de terminaison pour Okta, où Audience Restriction contient la valeur Entity ID :

    Console Okta avec le champ Audience et le point de terminaison en surbrillance

    L’exemple suivant illustre la configuration du point de terminaison pour OneLogin, où Audience contient la valeur Entity ID :

    Console OneLogin avec le champ Audience et le point de terminaison en surbrillance

  5. Dans Citrix Cloud, accédez à Gestion des identités et des accès > Authentification et configurez la connexion SAML.
  6. Accédez à Configuration de l’espace de travail > Authentification et sélectionnez SAML 2.0.
  7. Accédez à Configuration de l’espace de travail > URL d’espace de travail personnalisée > Modifier et sélectionnez Utiliser uniquement l’URL du domaine personnalisé.
  8. Sélectionnez Enregistrer pour enregistrer vos modifications.
  9. Pour tester la configuration, connectez-vous à Citrix Workspace à l’aide de l’URL personnalisée de votre espace de travail (https://workspaces.mycompany.com).

Configuration de deux applications SAML

  1. Dans Citrix Cloud, accédez à Configuration de l’espace de travail > Accès et configurez un domaine personnalisé. Pour plus d’informations, consultez la section Configurer un domaine personnalisé.
  2. Dans la console de gestion de votre fournisseur SAML, configurez deux applications SAML. Configurez ces applications de manière identique, y compris des paramètres de signature identiques pour les demandes d’authentification unique (SSO) et de déconnexion unique (SLO), le type de liaison et les paramètres de déconnexion. Si les configurations de ces applications SAML ne correspondent pas, vous pouvez rencontrer des différences de comportement au niveau de la connexion et de la déconnexion lorsque vous passez de l’URL de votre espace de travail à votre domaine personnalisé Workspace.
  3. Dans la première application SAML, configurez les points de terminaison du fournisseur de services suivants :
    • Entity ID : https://saml.cloud.com
    • Assertion Consumer Service : https://saml.cloud.com/saml/acs
    • Logout : https://saml.cloud.com/saml/logout/callback

    L’exemple suivant montre la configuration du point de terminaison dans la console de gestion Okta :

    Console Okta avec points de terminaison configurés

  4. Dans la deuxième application SAML, configurez les points de terminaison du fournisseur de services suivants. Utilisez votre domaine personnalisé Workspace uniquement pour les points de terminaison Assertion Consumer Service et Logout.
    • Entity ID : https://saml.cloud.com
    • Assertion Consumer Service : https://workspaces.mycompany.com/saml/acs
    • Logout : https://workspaces.mycompany.com/saml/logout/callback

    L’exemple suivant montre la configuration du point de terminaison dans la console Okta. Notez que le champ Audience Restriction contient la valeur Entity ID.

    Console Okta avec points de terminaison configurés dans la première application

  5. Téléchargez les certificats de signature SAML pour les deux applications SAML. Vous les téléchargerez sur Citrix Cloud lors d’une étape ultérieure.
  6. Dans la console de gestion Citrix Cloud, configurez une connexion SAML :
    1. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès.
    2. Dans l’onglet Authentification, localisez SAML 2.0, cliquez sur le bouton des points de suspension et sélectionnez Connecter.
    3. Sur la page Configurer SAML, entrez les détails de la première application SAML que vous avez créée à l’étape 2.
  7. Configurez Citrix Workspace pour utiliser la nouvelle connexion SAML :
    1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail.
    2. Dans l’onglet Authentification, sélectionnez SAML 2.0.
  8. Dans l’onglet Accès, dans URL d’espace de travail personnalisée, sélectionnez Modifier.
  9. Sur la page Configurer pour SAML, sélectionnez Utiliser à la fois l’URL customer.cloud.com et l’URL du domaine personnalisé.
  10. Entrez les informations suivantes :
    • Sous ID d’entité du fournisseur d’identité pour le domaine personnalisé (facultatif), entrez l’ID d’entité de la deuxième application SAML que vous avez créée à l’étape 2.
    • Sous URL du service SSO pour le domaine personnalisé, entrez l’URL SSO de la deuxième application SAML.
    • Sous URL de déconnexion du domaine personnalisé, entrez l’URL SLO de la deuxième application SAML.
    • Sous Certificat de signature du fournisseur d’identité pour le domaine personnalisé, chargez le certificat de signature SAML depuis la deuxième application SAML.

    Panneau de configuration SAML pour les domaines personnalisés de Workspace

  11. Sélectionnez Enregistrer pour enregistrer vos modifications.

Afficher les détails de la connexion SAML

Une fois la configuration effectuée, accédez à Gestion des identités et des accès > Authentification. Dans SAML 2.0, sélectionnez Sélectionner le fournisseur SAML > Afficher dans le menu de points de suspension. La page de configuration SAML affiche des paires de points de terminaison SAML configurés pour l’ID d’entité, l’URL SSO et l’URL de déconnexion.

Console Citrix Cloud affichant les détails de connexion SAML pour la configuration de deux applications

Tous les autres paramètres de configuration SAML s’appliquent à la fois à la première et à la deuxième application SAML que vous avez créées.

Vérifier les connexions à Citrix Workspace

Pour vérifier le comportement de connexion et de déconnexion que vous avez configuré, effectuez les tests suivants :

  • Connectez-vous à Citrix Workspace à l’aide de l’URL de votre espace de travail (https://mycompany.cloud.com) et de votre fournisseur SAML.
  • Connectez-vous à Citrix Workspace à l’aide de votre domaine personnalisé Workspace (https://workspace.mycompany.com) et de votre fournisseur SAML.
  • Connectez-vous à Citrix Cloud à l’aide de votre URL de connexion unique (https://citrix.cloud.com/go/mycompany) et de votre fournisseur SAML.
Se connecter à des espaces de travail avec SAML à l’aide de domaines personnalisés
November 29, 2023
Author:  Mark Dear
November 29, 2023
Author:  Mark Dear

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.