Citrix Cloud

Connecter SAML en tant que fournisseur d’identité à Citrix Cloud

Citrix Cloud prend en charge l’utilisation de SAML (Security Assertion Markup Language) en tant que fournisseur d’identité pour authentifier les abonnés qui se connectent à leurs espaces de travail. Vous pouvez utiliser le fournisseur SAML 2.0 de votre choix avec votre répertoire Active Directory (AD) local.

Pour la plupart des fournisseurs SAML, utilisez les informations de cet article pour configurer l’authentification SAML pour les abonnés de votre espace de travail. Si vous souhaitez utiliser l’authentification SAML avec votre répertoire Azure AD, vous pouvez utiliser l’application Citrix Cloud SAML SSO à partir de la galerie d’applications Azure AD. Pour plus d’informations sur l’utilisation de l’application Citrix Cloud SAML SSO pour configurer l’authentification SAML dans Citrix Cloud, consultez Tutoriel : Intégration de l’authentification unique (SSO) Azure Active Directory à l’authentification unique SAML Citrix Cloud sur le site Web de documentation de l’application Azure AD.

Conditions préalables

L’utilisation de l’authentification SAML avec Citrix Cloud exige les conditions suivantes :

  • Fournisseur SAML prenant en charge SAML 2.0
  • Domaine Active Directory local
  • Deux Cloud Connector déployés sur un emplacement de ressources et associés à votre domaine AD local Les Cloud Connector sont utilisés pour garantir que Citrix Cloud peut communiquer avec votre emplacement de ressources.
  • Intégration AD avec votre fournisseur SAML

Cloud Connector

Vous devez disposer d’au moins deux (2) serveurs sur lesquels installer le logiciel Citrix Cloud Connector. Citrix recommande deux serveurs pour garantir la haute disponibilité de Cloud Connector. Ces serveurs doivent satisfaire aux exigences suivantes :

  • Répondre aux exigences système décrites dans Détails techniques sur Cloud Connector.
  • Aucun autre composant Citrix ne doit être installé sur ces serveurs, ils ne doivent pas être un contrôleur de domaine Active Directory ou une machine critique à votre infrastructure d’emplacement de ressources.
  • Les serveurs doivent être associés au domaine sur lequel résident vos ressources. Si les utilisateurs accèdent aux ressources dans plusieurs domaines, vous devez installer au moins deux Cloud Connector dans chaque domaine.
  • Les serveurs doivent être connectés à un réseau pouvant contacter les ressources auxquelles les utilisateurs accèdent via Citrix Workspace.
  • Être connectés à Internet. Pour plus d’informations, consultez la section Configuration requise pour le système et la connectivité.

Pour de plus amples informations sur l’installation du Cloud Connector, consultez la section Installation de Cloud Connector.

Active Directory

Avant de configurer l’authentification SAML, effectuez les tâches suivantes :

  • Vérifiez que vos abonnés à un espace de travail disposent de comptes d’utilisateur dans Active Directory (AD). Les abonnés sans compte AD ne peuvent pas se connecter à leurs espaces de travail lorsque l’authentification SAML est configurée.
  • Assurez-vous que les propriétés utilisateur des comptes AD de vos abonnés sont renseignées. Citrix Cloud utilise ces propriétés pour établir le contexte utilisateur lorsque les abonnés se connectent à Citrix Workspace. Si ces propriétés ne sont pas renseignées, les abonnés ne peuvent pas se connecter. Ces propriétés comprennent :
    • Adresse e-mail
    • Nom d’affichage (facultatif)
    • Nom commun
    • Nom du compte SAM
    • Nom d’utilisateur principal
    • GUID d’objet
    • SID
  • Connectez votre répertoire Active Directory (AD) à votre compte Citrix Cloud en déployant Cloud Connector dans votre répertoire AD local.
  • Synchronisez vos utilisateurs AD avec le fournisseur SAML. Citrix Cloud a besoin des attributs d’utilisateur AD pour vos abonnés à un espace de travail afin qu’ils puissent se connecter correctement.

Intégration SAML avec Active Directory

Avant d’activer l’authentification SAML, vous devez intégrer votre répertoire AD local à votre fournisseur SAML. Cette intégration permet au fournisseur SAML de transmettre les attributs utilisateur AD requis suivants à Citrix Cloud dans l’assertion SAML :

  • SecurityIDentifier (SID)
  • objectGUID (OID)
  • userPrincipalName (UPN)
  • Mail (adresse e-mail)

Bien que les étapes d’intégration spécifiques varient d’un fournisseur SAML à l’autre, le processus d’intégration comprend généralement les tâches suivantes :

  1. Installez un agent de synchronisation dans votre domaine AD pour établir une connexion entre votre domaine et votre fournisseur SAML.
  2. Si vous ne disposez pas déjà d’attributs personnalisés mappés sur les attributs utilisateur AD décrits ci-dessus, créez les attributs personnalisés et mappez-les à AD. Pour référence, les étapes générales de cette tâche sont décrites dans la section Créer et mapper des attributs SAML personnalisés de cet article.
  3. Synchronisez vos utilisateurs AD avec votre fournisseur SAML.

Remarque :

Si vous avez déjà créé des attributs personnalisés qui correspondent aux attributs utilisateur AD requis répertoriés précédemment dans cette section, vous n’avez pas besoin de créer et de mapper d’autres attributs personnalisés. Utilisez plutôt vos attributs personnalisés existants lorsque vous configurez les métadonnées de votre fournisseur SAML dans Citrix Cloud.

Pour plus d’informations sur l’intégration de votre répertoire AD avec votre fournisseur SAML, consultez la documentation produit de votre fournisseur SAML.

Vue d’ensemble des tâches

Pour configurer l’authentification SAML pour les abonnés de l’espace de travail, effectuez les tâches suivantes :

  1. Dans Gestion des identités et des accès, connectez votre répertoire AD local à Citrix Cloud comme décrit à la section Connecter Active Directory à Citrix Cloud.
  2. Intégrez votre fournisseur SAML à votre répertoire AD local comme décrit à la section Intégration SAML avec Active Directory de cet article.
  3. Dans Gestion des identités et des accès, configurez l’authentification SAML dans Citrix Cloud. Cette tâche consiste à configurer les métadonnées SAML de Citrix Cloud dans votre fournisseur SAML, puis à configurer les métadonnées de votre fournisseur SAML dans Citrix Cloud pour créer la connexion SAML.
  4. Dans Configuration de l’espace de travail, sélectionnez la méthode d’authentification SAML.

Créer et mapper des attributs SAML personnalisés

Si vous disposez déjà d’attributs personnalisés pour les attributs SID, UPN, OID et E-mail configurés dans votre fournisseur SAML, vous n’avez pas à effectuer cette tâche. Passez à l’étape Créer une application de connecteur SAML et utilisez vos attributs SAML personnalisés existants à l’étape 8.

Remarque :

Les étapes de cette section décrivent les actions que vous effectuez dans la console d’administration de votre fournisseur SAML. Les commandes spécifiques que vous utilisez pour effectuer ces actions peuvent varier des commandes décrites dans cette section, en fonction du fournisseur SAML choisi. Les commandes du fournisseur SAML de cette section ne sont fournies qu’à titre d’exemples. Reportez-vous à la documentation de votre fournisseur SAML pour plus d’informations sur les commandes correspondantes de votre fournisseur SAML.

  1. Connectez-vous à la console d’administration de votre fournisseur SAML et sélectionnez l’option permettant de créer des attributs utilisateur personnalisés. Par exemple, en fonction de la console de votre fournisseur SAML, vous pouvez sélectionner Users > Custom User Fields > New User Field.
  2. Ajoutez les attributs suivants :
    • cip_sid
    • cip_upn
    • cip_oid
    • cip_email
  3. Sélectionnez le répertoire AD que vous avez connecté à Citrix Cloud. Par exemple, en fonction de la console de votre fournisseur SAML, vous pouvez sélectionner Users > Directories.
  4. Sélectionnez l’option permettant d’ajouter des attributs de répertoire. Par exemple, en fonction de la console de votre fournisseur SAML, vous pouvez sélectionner Directory Attributes.
  5. Sélectionnez l’option permettant d’ajouter des attributs et mappez les attributs AD suivants aux attributs utilisateur personnalisés que vous avez créés à l’étape 2 :
    • Sélectionnez objectSid et mappez avec l’attribut cip_sid.
    • Sélectionnez userPrincipalName et mappez avec l’attribut cip_upn.
    • Sélectionnez ObjectGUID et mappez avec l’attribut cip_oid.
    • Sélectionnez mail et mappez avec l’attribut cip_email.

Configurer les métadonnées du fournisseur SAML

Dans cette tâche, vous créez une application de connecteur à l’aide des métadonnées SAML de Citrix Cloud. Après avoir configuré l’application SAML, vous utilisez les métadonnées SAML de votre application connecteur pour configurer la connexion SAML à Citrix Cloud.

Remarque :

Certaines étapes de cette section décrivent les actions que vous effectuez dans la console d’administration de votre fournisseur SAML. Les commandes spécifiques que vous utilisez pour effectuer ces actions peuvent varier des commandes décrites dans cette section, en fonction du fournisseur SAML choisi. Les commandes du fournisseur SAML de cette section ne sont fournies qu’à titre d’exemples. Reportez-vous à la documentation de votre fournisseur SAML pour plus d’informations sur les commandes correspondantes de votre fournisseur SAML.

Créer une application de connecteur SAML

  1. Connectez-vous à Citrix Cloud sur https://citrix.cloud.com.
  2. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès.
  3. Localisez SAML 2.0 et sélectionnez Connecter dans le menu des points de suspension. L’écran Configurer SAML s’affiche.
  4. À partir de la console d’administration de votre fournisseur SAML, ajoutez une application pour un fournisseur d’identité en incluant des attributs et une réponse signée. Par exemple, en fonction de la console de votre fournisseur, vous pouvez sélectionner Applications > Applications > Add App, puis sélectionner SAML Test Connector (IdP w/ attr w/ sign response).
  5. Le cas échéant, entrez un nom complet et enregistrez l’application.
  6. Dans l’écran Configurer SAML dans Citrix Cloud, dans le champ Métadonnées SAML, sélectionnez Télécharger. Le fichier XML de métadonnées apparaît dans un autre onglet du navigateur.

    Remarque :

    Si nécessaire, vous pouvez également télécharger ce fichier depuis https://saml.cloud.com/saml/metadata.xml. Ce point de terminaison peut être plus facile d’accès pour certains fournisseurs d’identité lors de l’importation et du monitoring des métadonnées du fournisseur SAML.

  7. Entrez les détails suivants pour l’application de connecteur :
    • Dans le champ Audience, entrez https://saml.cloud.com.
    • Dans le champ Destinataire, entrez https://saml.cloud.com/saml/acs.
    • Dans le champ Validateur URL ACS, entrez https://saml.cloud.com/saml/acs.
    • Dans le champ URL ACS, entrez https://saml.cloud.com/saml/acs.
  8. Ajoutez vos attributs SAML personnalisés en tant que valeurs de paramètre dans l’application :

    Créer ce champ Attribuer cet attribut personnalisé
    cip_sid cip_sid ou votre attribut SID existant
    cip_upn cip_upn ou votre attribut UPN existant
    cip_oid cip_oid ou votre attribut OID existant
    cip_email cip_email ou votre attribut e-mail existant
  9. Ajoutez vos abonnés Workspace en tant qu’utilisateurs pour leur permettre d’accéder à l’application.

Ajouter des métadonnées du fournisseur SAML à Citrix Cloud

  1. Obtenez les métadonnées SAML auprès de votre fournisseur SAML. L’image suivante montre à quoi ce fichier peut ressembler : Fichier de métadonnées SAML
  2. Sur l’écran Configurer SAML dans Citrix Cloud, entrez les valeurs suivantes à partir du fichier de métadonnées de votre fournisseur SAML :
    • Sous ID de l’entité, entrez la valeur entityID de l’élément EntityDescriptor dans les métadonnées. ID de l'entité provenant du fichier de métadonnées SAML

    • Sous Signer demande d’authentification, sélectionnez Oui pour autoriser Citrix Cloud à signer les demandes d’authentification, certifiant qu’elles proviennent de Citrix Cloud et non d’un acteur malveillant. Sélectionnez Non si vous préférez ajouter l’URL Citrix ACS à une liste d’autorisation utilisée par votre fournisseur SAML pour publier des réponses SAML en toute sécurité.
    • Dans URL du service SSO, entrez l’URL du mécanisme de liaison que vous souhaitez utiliser. Vous pouvez utiliser la liaison HTTP-POST ou HTTP-Redirect. Dans le fichier de métadonnées, recherchez les éléments SingleSignOnService dont les valeurs de liaison sont HTTP-POST ou HTTP-Redirect. URL du service SSO provenant du fichier de métadonnées SAML

    • Dans Mécanisme de liaison, sélectionnez le mécanisme qui correspond à la liaison de l’URL du service SSO que vous avez choisie dans le fichier de métadonnées.
    • Dans Réponse SAML, sélectionnez la méthode de signature utilisée par votre fournisseur SAML pour la réponse SAML et l’assertion SAML. Par défaut, Citrix Cloud rejette toutes les réponses qui ne sont pas signées de la manière spécifiée dans ce champ.
  3. Dans la console d’administration de votre fournisseur SAML, effectuez les opérations suivantes :
    • Sélectionnez SHA-256 pour l’algorithme de signature SAML.
    • Téléchargez le certificat X.509 en tant que fichier PEM.
  4. Sur l’écran Configurer SAML dans Citrix Cloud, sélectionnez Charger le fichier et sélectionnez le fichier PEM que vous avez téléchargé à l’étape précédente.
  5. Sélectionnez Continuer pour terminer le chargement.
  6. Sous Contexte d’authentification, sélectionnez le contexte que vous souhaitez utiliser et le degré de rigueur avec lequel vous souhaitez que Citrix Cloud applique ce contexte. Sélectionnez Minimum pour demander l’authentification dans le contexte sélectionné sans appliquer l’authentification dans ce contexte. Sélectionnez Exact pour demander l’authentification dans le contexte sélectionné et appliquer l’authentification uniquement dans ce contexte. Si votre fournisseur SAML ne prend pas en charge les contextes d’authentification ou si vous choisissez de ne pas les utiliser, sélectionnez Non spécifié et Minimum.
  7. Sous URL de déconnexion, recherchez l’élément SingleSignOnService avec la liaison HTTP-Redirect dans le fichier de métadonnées de votre fournisseur SAML et entrez l’URL. Si vous choisissez d’omettre l’URL de déconnexion, Citrix Cloud n’envoie pas de demande de déconnexion au fournisseur d’identité. Au lieu de cela, Citrix Cloud vous redirige vers l’URL de Workspace. Citrix Cloud ne prend pas en charge la déconnexion unique (SLO) ni l’envoi de demandes de déconnexion signées.
  8. Vérifiez que les valeurs d’attribut des noms par défaut suivantes dans Citrix Cloud correspondent aux valeurs d’attribut dans la console d’administration de votre fournisseur SAML. Si votre fournisseur SAML utilise des valeurs différentes, vous pouvez modifier ces valeurs dans Citrix Cloud pour vous assurer qu’elles correspondent à celles de votre fournisseur SAML.
    • Nom d’attribut du nom d’affichage de l’utilisateur : displayName
    • Nom d’attribut du prénom de l’utilisateur : givenName
    • Nom d’attribut du nom de famille de l’utilisateur : familyName
  9. Dans Citrix Cloud, entrez les attributs SAML personnalisés de votre fournisseur SAML :
    • Sous Nom d’attribut de l’identificateur de sécurité (SID), entrez votre nom d’attribut SID personnalisé. La valeur par défaut est cip_sid.
    • Sous Nom d’attribut du nom d’utilisateur principal (UPN), entrez votre nom d’attribut UPN personnalisé. La valeur par défaut est cip_upn.
    • Sous Nom d’attribut de l’e-mail, entrez votre nom d’attribut E-mail personnalisé. La valeur par défaut est cip_email.
    • Sous Nom d’attribut de l’identificateur d’objet AD (OID), entrez votre nom d’attribut OID personnalisé. La valeur par défaut est cip_oid.
  10. Sélectionnez Tester et terminer pour vérifier que vous avez correctement configuré la connexion.

Activer l’authentification SAML pour les espaces de travail

  1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail.
  2. Sélectionnez l’onglet Authentification
  3. Sélectionnez SAML 2.0.

Résolution des problèmes

Erreurs d’attribut

Des erreurs d’attribut peuvent survenir si les attributs requis dans votre configuration SAML ne sont pas codés correctement. Lorsqu’une erreur d’attribut se produit, Citrix Cloud affiche un message d’erreur qui inclut l’attribut défectueux.

Message d'erreur d'attribut avec mention de cip_oid

Pour résoudre ce type d’erreur, assurez-vous que ces attributs sont codés comme décrit dans le tableau suivant.

Attribut Codage
cip_email Doit être au format de chaîne (user@domain)
cip_oid Doit être au format Base64 ou au format de chaîne
cip_sid Doit être au format Base64 ou au format de chaîne
cip_upn Doit être au format de chaîne (user@domain)

Erreurs inattendues

Citrix Cloud peut rencontrer une erreur inattendue dans les cas suivants :

  • Un utilisateur lance une demande SAML à l’aide d’un flux initié par le fournisseur d’identité. Par exemple, la demande est effectuée en sélectionnant une vignette via le portail d’applications du fournisseur d’identité au lieu d’accéder directement à l’URL de l’espace de travail (customer.cloud.com).
  • Le certificat SAML n’est pas valide ou a expiré.
  • Le contexte d’authentification n’est pas valide.
  • L’assertion SAML et la signature de réponse ne correspondent pas.

Lorsque cette erreur se produit, Citrix Cloud affiche un message d’erreur générique.

Message d'erreur inattendu

Si cette erreur résulte de la navigation vers Citrix Cloud via le portail d’applications d’un fournisseur d’identité, vous pouvez utiliser la solution suivante :

  1. Créez une application de signet dans le portail d’applications du fournisseur d’identité qui fait référence à l’URL de votre espace de travail (par exemple, https://customer.cloud.com).
  2. Attribuez les utilisateurs à la fois à l’application SAML et à l’application de signet.
  3. Modifiez les paramètres de visibilité de l’application SAML et de l’application de signet afin que l’application de signet soit visible et que l’application SAML soit masquée dans le portail d’applications.
  4. Désactivez le paramètre Prompt=Login pour supprimer les demandes de mot de passe supplémentaires.
Connecter SAML en tant que fournisseur d’identité à Citrix Cloud