Citrix Cloud

Connecter SAML en tant que fournisseur d’identité à Citrix Cloud (Technical Preview)

Citrix Cloud prend en charge l’utilisation de SAML (Security Assertion Markup Language) en tant que fournisseur d’identité pour authentifier les abonnés qui se connectent à leurs espaces de travail. Vous pouvez utiliser le fournisseur SAML de votre choix avec votre répertoire Active Directory (AD) local, à condition qu’il prenne en charge SAML 2.0.

Remarques :

  • Cette fonctionnalité est actuellement disponible dans la version Technical Preview. Citrix recommande d’utiliser les fonctionnalités Technical Preview uniquement dans les environnements de test.
  • Cet article décrit la configuration de SAML 2.0 dans Citrix Cloud avec Active Directory uniquement. Si vous envisagez d’utiliser l’authentification unique (SSO) avec SAML 2.0, consultez Comment intégrer Azure AD avec SAML 2.0 Tech Preview (CTX312150).

Conditions préalables

L’utilisation de l’authentification SAML avec Citrix Cloud exige les conditions suivantes :

  • Fournisseur SAML prenant en charge SAML 2.0
  • Domaine Active Directory local
  • Deux Cloud Connector déployés sur un emplacement de ressources et associés à votre domaine AD local. Les Cloud Connector sont utilisés pour garantir que Citrix Cloud peut communiquer avec votre emplacement de ressources.
  • Intégration AD avec votre fournisseur SAML

Cloud Connector

Vous devez disposer d’au moins deux (2) serveurs sur lesquels installer le logiciel Citrix Cloud Connector. Citrix recommande deux serveurs pour garantir la haute disponibilité de Cloud Connector. Ces serveurs doivent satisfaire aux exigences suivantes :

  • Les serveurs doivent répondre à la configuration système décrite dans la section Détails techniques sur Cloud Connector.
  • Aucun autre composant Citrix ne doit être installé sur ces serveurs, ils ne doivent pas être un contrôleur de domaine Active Directory ou une machine critique à votre infrastructure d’emplacement de ressources.
  • Les serveurs doivent être associés au domaine sur lequel résident vos ressources. Si les utilisateurs accèdent aux ressources dans plusieurs domaines, vous devez installer au moins deux Cloud Connector dans chaque domaine.
  • Les serveurs doivent être connectés à un réseau pouvant contacter les ressources auxquelles les utilisateurs accèdent via Citrix Workspace.
  • Être connectés à Internet. Pour de plus amples informations, consultez Configuration requise pour le système et la connectivité.

Pour plus d’informations sur l’installation du Cloud Connector, consultez la section Installation de Cloud Connector.

Active Directory

Avant de configurer l’authentification SAML, effectuez les tâches suivantes :

  • Vérifiez que vos abonnés à un espace de travail disposent de comptes d’utilisateur dans Active Directory (AD). Les abonnés sans compte AD ne peuvent pas se connecter à leurs espaces de travail lorsque l’authentification SAML est configurée.
  • Assurez-vous que les propriétés utilisateur des comptes AD de vos abonnés sont renseignées. Citrix Cloud utilise ces propriétés pour établir le contexte utilisateur lorsque les abonnés se connectent à Citrix Workspace. Si ces propriétés ne sont pas renseignées, les abonnés ne peuvent pas se connecter. Ces propriétés comprennent :
    • Adresse e-mail
    • Nom d’affichage (facultatif)
    • Nom commun
    • Nom du compte SAM
    • Nom d’utilisateur principal
    • GUID d’objet
    • SID
  • Connectez votre répertoire Active Directory (AD) à votre compte Citrix Cloud en déployant Cloud Connector dans votre répertoire AD local.
  • Synchronisez vos utilisateurs AD avec le fournisseur SAML. Citrix Cloud a besoin des attributs d’utilisateur AD pour vos abonnés à un espace de travail afin qu’ils puissent se connecter correctement.

Intégration SAML avec Active Directory

Avant d’activer l’authentification SAML, vous devez intégrer votre répertoire AD local à votre fournisseur SAML. Cette intégration permet au fournisseur SAML de transmettre les attributs utilisateur AD requis suivants à Citrix Cloud dans l’assertion SAML :

  • SecurityIDentifier (SID)
  • objectGUID (OID)
  • userPrincipalName (UPN)
  • Mail (adresse e-mail)

Bien que les étapes d’intégration spécifiques varient d’un fournisseur SAML à l’autre, le processus d’intégration comprend généralement les tâches suivantes :

  1. Installez un agent de synchronisation dans votre domaine AD pour établir une connexion entre votre domaine et votre fournisseur SAML.
  2. Si vous ne disposez pas déjà d’attributs personnalisés mappés sur les attributs utilisateur AD décrits ci-dessus, créez les attributs personnalisés et mappez-les à AD. À titre de référence, les étapes générales de cette tâche sont décrites à la section Créer et mapper des attributs SAML personnalisés de cet article.
  3. Synchronisez vos utilisateurs AD avec votre fournisseur SAML.

Remarque :

Si vous avez déjà créé des attributs personnalisés qui correspondent aux attributs utilisateur AD requis répertoriés précédemment dans cette section, vous n’avez pas besoin de créer et de mapper d’autres attributs personnalisés. Utilisez plutôt vos attributs personnalisés existants lorsque vous configurez les métadonnées de votre fournisseur SAML dans Citrix Cloud.

Pour plus d’informations sur l’intégration de votre répertoire AD avec votre fournisseur SAML, consultez la documentation produit de votre fournisseur SAML.

Vue d’ensemble des tâches

Pour configurer l’authentification SAML pour les abonnés de l’espace de travail, effectuez les tâches suivantes :

  1. Dans Gestion des identités et des accès, connectez votre répertoire AD local à Citrix Cloud comme décrit à la section Connecter Active Directory à Citrix Cloud.
  2. Intégrez votre fournisseur SAML à votre répertoire AD local comme décrit à la section Intégration SAML avec Active Directory de cet article.
  3. Dans Gestion des identités et des accès, configurez l’authentification SAML dans Citrix Cloud. Cette tâche consiste à configurer les métadonnées SAML de Citrix Cloud dans votre fournisseur SAML, puis à configurer les métadonnées de votre fournisseur SAML dans Citrix Cloud pour créer la connexion SAML.
  4. Dans Configuration de l’espace de travail, sélectionnez la méthode d’authentification SAML.

Créer et mapper des attributs SAML personnalisés

Si vous disposez déjà d’attributs personnalisés pour les attributs SID, UPN, OID et E-mail configurés dans votre fournisseur SAML, vous n’avez pas à effectuer cette tâche. Passez à l’étape Créer une application de connecteur SAML et utilisez vos attributs SAML personnalisés existants à l’étape 8.

Remarque :

Les étapes de cette section décrivent les actions que vous effectuez dans la console d’administration de votre fournisseur SAML. Les commandes spécifiques que vous utilisez pour effectuer ces actions peuvent varier des commandes décrites dans cette section, en fonction du fournisseur SAML choisi. Les commandes du fournisseur SAML de cette section ne sont fournies qu’à titre d’exemples. Reportez-vous à la documentation de votre fournisseur SAML pour plus d’informations sur les commandes correspondantes de votre fournisseur SAML.

  1. Connectez-vous à la console d’administration de votre fournisseur SAML et sélectionnez l’option permettant de créer des attributs utilisateur personnalisés. Par exemple, en fonction de la console de votre fournisseur SAML, vous pouvez sélectionner Users > Custom User Fields > New User Field.
  2. Ajoutez les attributs suivants :
    • cip_sid
    • cip_upn
    • cip_oid
    • cip_email
  3. Sélectionnez le répertoire AD que vous avez connecté à Citrix Cloud. Par exemple, en fonction de la console de votre fournisseur SAML, vous pouvez sélectionner Users > Directories.
  4. Sélectionnez l’option permettant d’ajouter des attributs de répertoire. Par exemple, en fonction de la console de votre fournisseur SAML, vous pouvez sélectionner Directory Attributes.
  5. Sélectionnez l’option permettant d’ajouter des attributs et mappez les attributs AD suivants aux attributs utilisateur personnalisés que vous avez créés à l’étape 2 :
    • Sélectionnez objectSid et mappez avec l’attribut cip_sid.
    • Sélectionnez userPrincipalName et mappez avec l’attribut cip_upn.
    • Sélectionnez ObjectGUID et mappez avec l’attribut cip_oid.
    • Sélectionnez mail et mappez avec l’attribut cip_email.

Configurer les métadonnées du fournisseur SAML

Dans cette tâche, vous créez une application de connecteur à l’aide des métadonnées SAML de Citrix Cloud. Après avoir configuré l’application SAML, vous utilisez les métadonnées SAML de votre application connecteur pour configurer la connexion SAML à Citrix Cloud.

Remarque :

Certaines étapes de cette section décrivent les actions que vous effectuez dans la console d’administration de votre fournisseur SAML. Les commandes spécifiques que vous utilisez pour effectuer ces actions peuvent varier des commandes décrites dans cette section, en fonction du fournisseur SAML choisi. Les commandes du fournisseur SAML de cette section ne sont fournies qu’à titre d’exemples. Reportez-vous à la documentation de votre fournisseur SAML pour plus d’informations sur les commandes correspondantes de votre fournisseur SAML.

Créer une application de connecteur SAML

  1. Connectez-vous à Citrix Cloud sur https://citrix.cloud.com.
  2. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès.
  3. Localisez SAML 2.0 et sélectionnez Connecter dans le menu des points de suspension. L’écran Configurer SAML s’affiche.
  4. À partir de la console d’administration de votre fournisseur SAML, ajoutez une application pour un fournisseur d’identité en incluant des attributs et une réponse signée. Par exemple, en fonction de la console de votre fournisseur, vous pouvez sélectionner Applications > Applications > Add App, puis sélectionner SAML Test Connector (IdP w/ attr w/ sign response).
  5. Le cas échéant, entrez un nom complet et enregistrez l’application.
  6. Dans l’écran Configurer SAML dans Citrix Cloud, dans le champ Métadonnées SAML, sélectionnez Télécharger. Le fichier XML de métadonnées apparaît dans un autre onglet du navigateur.
  7. Entrez les détails suivants pour l’application de connecteur :
    • Dans le champ Audience, entrez https://saml.cloud.com.
    • Dans le champ Destinataire, entrez https://saml.cloud.com/saml/acs.
    • Dans le champ Validateur URL ACS, entrez https://saml.cloud.com/saml/acs.
    • Dans le champ URL ACS, entrez https://saml.cloud.com/saml/acs.
    • Dans le champ URL de déconnexion unique, entrez https://saml.cloud.com/saml/logout/callback.
  8. Ajoutez vos attributs SAML personnalisés en tant que valeurs de paramètre dans l’application :

    Créer ce champ Attribuer cet attribut personnalisé
    cip_sid cip_sid ou votre attribut SID existant
    cip_upn cip_upn ou votre attribut UPN existant
    cip_oid cip_oid ou votre attribut OID existant
    cip_email cip_email ou votre attribut e-mail existant
  9. Ajoutez vos abonnés Workspace en tant qu’utilisateurs pour leur permettre d’accéder à l’application.

Ajouter des métadonnées du fournisseur SAML à Citrix Cloud

  1. Obtenez les métadonnées SAML auprès de votre fournisseur SAML. L’image suivante montre à quoi ce fichier peut ressembler : Fichier de métadonnées SAML
  2. Sur l’écran Configurer SAML dans Citrix Cloud, entrez les valeurs suivantes à partir du fichier de métadonnées de votre fournisseur SAML :
    • Sous ID de l’entité, entrez la valeur entityID de l’élément EntityDescriptor dans les métadonnées. ID de l'entité provenant du fichier de métadonnées SAML

    • Sous Signer demande d’authentification, sélectionnez Oui pour autoriser Citrix Cloud à signer les demandes d’authentification, certifiant qu’elles proviennent de Citrix Cloud et non d’un acteur malveillant. Sélectionnez Non si vous préférez ajouter l’URL Citrix ACS à une liste d’autorisation utilisée par votre fournisseur SAML pour publier des réponses SAML en toute sécurité.
    • Dans URL du service SSO, entrez l’URL du mécanisme de liaison que vous souhaitez utiliser. Vous pouvez utiliser la liaison HTTP-POST ou HTTP-Redirect. Dans le fichier de métadonnées, recherchez les éléments SingleSignOnService dont les valeurs de liaison sont HTTP-POST ou HTTP-Redirect. URL du service SSO provenant du fichier de métadonnées SAML

    • Dans Mécanisme de liaison, sélectionnez le mécanisme qui correspond à la liaison de l’URL du service SSO que vous avez choisie dans le fichier de métadonnées.
    • Dans Réponse SAML, sélectionnez la méthode de signature utilisée par votre fournisseur SAML pour la réponse SAML et l’assertion SAML. Par défaut, Citrix Cloud rejette toutes les réponses qui ne sont pas signées de la manière spécifiée dans ce champ.
  3. Dans la console d’administration de votre fournisseur SAML, effectuez les opérations suivantes :
    • Sélectionnez SHA-256 pour l’algorithme de signature SAML.
    • Téléchargez le certificat X.509 en tant que fichier PEM.
  4. Sur l’écran Configurer SAML dans Citrix Cloud, sélectionnez Charger le fichier et sélectionnez le fichier PEM que vous avez téléchargé à l’étape précédente.
  5. Sélectionnez Continuer pour terminer le chargement.
  6. Sous Contexte d’authentification, sélectionnez le contexte que vous souhaitez utiliser et le degré de rigueur avec lequel vous souhaitez que Citrix Cloud applique ce contexte. Sélectionnez Minimum pour appliquer l’authentification avec le contexte sélectionné ainsi que dans des contextes plus stricts. Sélectionnez Exact pour appliquer l’authentification uniquement avec le contexte sélectionné. Par exemple, si vous sélectionnez le contexte Transport Layer Security (TLS) et le niveau Minimum, Citrix Cloud accepte les réponses SAML avec le contexte de TLS, de certificat X.509, d’authentification Windows intégrée et de Kerberos. Les réponses utilisant les contextes Nom d’utilisateur et Mot de passe, et Transport protégé par mot de passe sont rejetées. Si votre fournisseur SAML ne prend pas en charge les contextes d’authentification ou si vous choisissez de ne pas les utiliser, sélectionnez Non spécifié et Minimum.
  7. Sous URL de déconnexion, recherchez l’élément SingleSignOnService avec la liaison HTTP-Redirect dans le fichier de métadonnées de votre fournisseur SAML et entrez l’URL.
  8. Vérifiez que les valeurs d’attribut des noms par défaut suivantes dans Citrix Cloud correspondent aux valeurs d’attribut dans la console d’administration de votre fournisseur SAML. Si votre fournisseur SAML utilise des valeurs différentes, vous pouvez modifier ces valeurs dans Citrix Cloud pour vous assurer qu’elles correspondent à celles de votre fournisseur SAML.
    • Nom d’attribut du nom d’affichage de l’utilisateur : displayName
    • Nom d’attribut du prénom de l’utilisateur : givenName
    • Nom d’attribut du nom de famille de l’utilisateur : familyName
  9. Dans Citrix Cloud, entrez les attributs SAML personnalisés de votre fournisseur SAML :
    • Sous Nom d’attribut de l’identificateur de sécurité (SID), entrez votre nom d’attribut SID personnalisé. La valeur par défaut est cip_sid.
    • Sous Nom d’attribut du nom d’utilisateur principal (UPN), entrez votre nom d’attribut UPN personnalisé. La valeur par défaut est cip_upn.
    • Sous Nom d’attribut de l’e-mail, entrez votre nom d’attribut E-mail personnalisé. La valeur par défaut est cip_email.
    • Sous Nom d’attribut de l’identificateur d’objet AD (OID), entrez votre nom d’attribut OID personnalisé. La valeur par défaut est cip_oid.
  10. Sélectionnez Tester et terminer pour vérifier que vous avez correctement configuré la connexion.

Activer l’authentification SAML pour les espaces de travail

  1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail.
  2. Sélectionnez l’onglet Authentification
  3. Sélectionnez SAML 2.0.
Connecter SAML en tant que fournisseur d’identité à Citrix Cloud (Technical Preview)