Documentation produit
Citrix Cloud
Voir PDF

Connecter SAML en tant que fournisseur d’identité à Citrix Cloud

May 10, 2023
Contributeur: 
C C

Citrix Cloud prend en charge l’utilisation de SAML (Security Assertion Markup Language) en tant que fournisseur d’identité pour authentifier les administrateurs Citrix Cloud et les abonnés qui se connectent à leurs espaces de travail. Vous pouvez utiliser le fournisseur SAML 2.0 de votre choix avec votre répertoire Active Directory (AD) local.

Pour la plupart des fournisseurs SAML, utilisez les informations de cet article pour configurer l’authentification SAML. Si vous souhaitez utiliser l’authentification SAML avec votre répertoire Azure AD, vous pouvez utiliser l’application Citrix Cloud SAML SSO à partir de la galerie d’applications Azure AD. Pour plus d’informations sur l’utilisation de l’application Citrix Cloud SAML SSO pour configurer l’authentification SAML dans Citrix Cloud, consultez Tutoriel : Intégration de l’authentification unique (SSO) Azure Active Directory à l’authentification unique SAML Citrix Cloud sur le site Web de documentation de l’application Azure AD.

Composants requis

L’utilisation de l’authentification SAML avec Citrix Cloud exige les conditions suivantes :

  • Fournisseur SAML prenant en charge SAML 2.0
  • Domaine AD local
  • Deux Cloud Connector déployés sur un emplacement de ressources et associés à votre domaine AD local Les Cloud Connector sont utilisés pour garantir que Citrix Cloud peut communiquer avec votre emplacement de ressources.
  • Intégration AD avec votre fournisseur SAML

Cloud Connector

Vous devez disposer d’au moins deux (2) serveurs sur lesquels installer le logiciel Citrix Cloud Connector. Citrix recommande au moins deux serveurs pour garantir la haute disponibilité de Cloud Connector. Ces serveurs doivent satisfaire aux exigences suivantes :

  • Répondre aux exigences système décrites dans Détails techniques sur Cloud Connector.
  • Aucun autre composant Citrix ne doit être installé sur ces serveurs, ils ne doivent pas être un contrôleur de domaine AD ou une machine critique à votre infrastructure d’emplacement de ressources.
  • Les serveurs doivent être associés au domaine sur lequel résident vos ressources. Si les utilisateurs accèdent aux ressources dans plusieurs domaines, vous devez installer au moins deux Cloud Connector dans chaque domaine.
  • Les serveurs doivent être connectés à un réseau pouvant contacter les ressources auxquelles les utilisateurs accèdent via Citrix Workspace.
  • Être connectés à Internet. Pour plus d’informations, consultez la section Configuration requise pour le système et la connectivité.

Pour de plus amples informations sur l’installation du Cloud Connector, consultez la section Installation de Cloud Connector.

Active Directory

Avant de configurer l’authentification SAML, effectuez les tâches suivantes :

  • Vérifiez que vos abonnés à un espace de travail disposent de comptes d’utilisateur dans Active Directory (AD). Les abonnés sans compte AD ne peuvent pas se connecter à leurs espaces de travail lorsque l’authentification SAML est configurée.
  • Assurez-vous que les propriétés utilisateur des comptes AD de vos abonnés sont renseignées. Citrix Cloud utilise ces propriétés pour établir le contexte utilisateur lorsque les abonnés se connectent à Citrix Workspace. Si ces propriétés ne sont pas renseignées, les abonnés ne peuvent pas se connecter. Ces propriétés comprennent :
    • Adresse e-mail
    • Nom d’affichage (facultatif)
    • Nom commun
    • Nom du compte SAM
    • Nom d’utilisateur principal
    • GUID d’objet
    • SID
  • Connectez votre répertoire Active Directory (AD) à votre compte Citrix Cloud en déployant Cloud Connector dans votre répertoire AD local.
  • Synchronisez vos utilisateurs AD avec le fournisseur SAML. Citrix Cloud a besoin des attributs d’utilisateur AD pour vos abonnés à un espace de travail afin qu’ils puissent se connecter correctement.

Intégration SAML avec Active Directory

Avant d’activer l’authentification SAML, vous devez intégrer votre répertoire AD local à votre fournisseur SAML. Cette intégration permet au fournisseur SAML de transmettre les attributs utilisateur AD requis suivants à Citrix Cloud dans l’assertion SAML :

  • objectSID (SID)
  • objectGUID (OID)
  • userPrincipalName (UPN)
  • Mail (adresse e-mail)

Bien que les étapes d’intégration spécifiques varient d’un fournisseur SAML à l’autre, le processus d’intégration comprend généralement les tâches suivantes :

  1. Installez un agent de synchronisation dans votre domaine AD pour établir une connexion entre votre domaine et votre fournisseur SAML.
  2. Créez des attributs personnalisés et associez-les aux attributs utilisateur AD requis mentionnés plus haut dans cette section. Pour référence, les étapes générales de cette tâche sont décrites dans la section Créer et mapper des attributs SAML personnalisés de cet article.
  3. Synchronisez vos utilisateurs AD avec votre fournisseur SAML.

Remarque :

Si vous avez déjà créé des attributs personnalisés correspondant aux attributs utilisateur AD requis mentionnés plus haut dans cette section, vérifiez que vos attributs personnalisés portent les mêmes noms que ceux répertoriés dans Créer et mapper des attributs SAML personnalisés (par exemple cip_sid, cip_upn etc.). S’ils portent des noms différents, pensez à créer des attributs personnalisés supplémentaires pour votre connexion SAML à Citrix Cloud. Citrix Cloud exige que ces attributs personnalisés portent les noms répertoriés dans Créer et mapper des attributs SAML personnalisés.

Pour plus d’informations sur l’intégration de votre répertoire AD avec votre fournisseur SAML, consultez la documentation produit de votre fournisseur SAML.

Authentification de l’administrateur avec SAML 2.0

Citrix Cloud prend en charge l’utilisation de SAML 2.0 pour authentifier les membres des groupes d’administrateurs dans AD. Pour plus d’informations sur l’ajout de groupes d’administrateurs à Citrix Cloud, consultez Gérer les groupes d’administrateurs.

Utilisation d’une connexion SAML existante pour l’authentification des administrateurs

Si vous disposez déjà d’une connexion SAML 2.0 dans Citrix Cloud et que vous souhaitez l’utiliser pour authentifier les administrateurs, vous devez d’abord déconnecter SAML 2.0 dans Gestion des identités et des accès, puis reconfigurer la connexion. Si vous utilisez votre connexion SAML pour authentifier les abonnés à Citrix Workspace, vous devez également désactiver la méthode d’authentification SAML dans Configuration de l’espace de travail. Après avoir reconfiguré la connexion SAML, vous pouvez ajouter des groupes d’administrateurs à Citrix Cloud.

Si vous essayez d’ajouter des groupes d’administrateurs sans avoir préalablement déconnecté et reconnecté SAML 2.0, l’option d’identité Active Directory décrite dans Ajouter un groupe d’administrateurs à Citrix Cloud n’apparaît pas.

Pour plus d’informations, consultez la section Vue d’ensemble des tâches dans cet article.

Vue d’ensemble des tâches

Pour configurer une nouvelle connexion SAML 2.0 dans Citrix Cloud, vous devez effectuer les tâches suivantes :

  1. Dans Gestion des identités et des accès, connectez votre répertoire AD local à Citrix Cloud comme décrit à la section Connecter Active Directory à Citrix Cloud.
  2. Intégrez votre fournisseur SAML à votre répertoire AD local comme décrit à la section Intégration SAML avec Active Directory de cet article.
  3. Configurez l’URL de connexion que les administrateurs peuvent utiliser pour se connecter à Citrix Cloud.
  4. Dans Gestion des identités et des accès, configurez l’authentification SAML dans Citrix Cloud. Cette tâche consiste à configurer les métadonnées SAML de Citrix Cloud dans votre fournisseur SAML, puis à configurer les métadonnées de votre fournisseur SAML dans Citrix Cloud pour créer la connexion SAML.

Si vous disposez déjà d’une connexion SAML 2.0 dans Citrix Cloud et que vous souhaitez l’utiliser pour l’authentification des administrateurs, vous devez effectuer les tâches suivantes :

  1. Le cas échéant, désactivez l’authentification SAML 2.0 Workspace : Dans Configuration de l’espace de travail > Authentification, sélectionnez une autre méthode d’authentification, puis sélectionnez Confirmer lorsque vous y êtes invité.
  2. Déconnectez votre connexion SAML 2.0 existante : dans Gestion des identités et des accès > Authentification, localisez la connexion SAML. Dans le menu des points de suspension tout à droite, sélectionnez Déconnecter. Sélectionnez Oui, déconnecter pour confirmer l’action.
  3. Reconnectez SAML 2.0 et configurez la connexion : dans le menu des points de suspension pour SAML 2.0, sélectionnez Connecter.
  4. Lorsque vous y êtes invité, entrez un identifiant unique pour l’URL de connexion que les administrateurs utiliseront pour se connecter.
  5. Configurez la connexion SAML comme décrit dans la section Configurer les métadonnées du fournisseur SAML de cet article.

Après avoir configuré votre connexion SAML, vous pouvez ajouter vos groupes d’administrateurs AD à Citrix Cloud comme décrit dans Gérer les groupes d’administrateurs. Vous pouvez également réactiver SAML pour les abonnés à Workspace comme décrit dans cet article.

Créer et mapper des attributs SAML personnalisés

Si vous disposez déjà d’attributs personnalisés pour les attributs SID, UPN, OID et E-mail configurés dans votre fournisseur SAML, vous n’avez pas à effectuer cette tâche. Passez à l’étape Créer une application de connecteur SAML et utilisez vos attributs SAML personnalisés existants à l’étape 8.

Remarque :

Les étapes de cette section décrivent les actions que vous effectuez dans la console d’administration de votre fournisseur SAML. Les commandes spécifiques que vous utilisez pour effectuer ces actions peuvent varier des commandes décrites dans cette section, en fonction du fournisseur SAML choisi. Les commandes du fournisseur SAML de cette section ne sont fournies qu’à titre d’exemples. Reportez-vous à la documentation de votre fournisseur SAML pour plus d’informations sur les commandes correspondantes de votre fournisseur SAML.

  1. Connectez-vous à la console d’administration de votre fournisseur SAML et sélectionnez l’option permettant de créer des attributs utilisateur personnalisés. Par exemple, en fonction de la console de votre fournisseur SAML, vous pouvez sélectionner Users > Custom User Fields > New User Field.
  2. Ajoutez les attributs suivants :
    • cip_sid
    • cip_upn
    • cip_oid
    • cip_email
  3. Sélectionnez le répertoire AD que vous avez connecté à Citrix Cloud. Par exemple, en fonction de la console de votre fournisseur SAML, vous pouvez sélectionner Users > Directories.
  4. Sélectionnez l’option permettant d’ajouter des attributs de répertoire. Par exemple, en fonction de la console de votre fournisseur SAML, vous pouvez sélectionner Directory Attributes.
  5. Sélectionnez l’option permettant d’ajouter des attributs et mappez les attributs AD suivants aux attributs utilisateur personnalisés que vous avez créés à l’étape 2 :
    • Sélectionnez objectSid et mappez avec l’attribut cip_sid.
    • Sélectionnez userPrincipalName et mappez avec l’attribut cip_upn.
    • Sélectionnez ObjectGUID et mappez avec l’attribut cip_oid.
    • Sélectionnez mail et mappez avec l’attribut cip_email.

Configurer l’URL de connexion de l’administrateur

  1. Connectez-vous à Citrix Cloud sur https://citrix.cloud.com.
  2. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès.
  3. Localisez SAML 2.0 et sélectionnez Connecter dans le menu des points de suspension.
  4. Lorsque vous y êtes invité, saisissez un identifiant court et descriptif pour votre entreprise et sélectionnez Enregistrer et continuer. La page Configurer SAML s’affiche.
  5. Passez à la section suivante pour configurer la connexion SAML à Citrix Cloud.

Configurer les métadonnées du fournisseur SAML

Dans cette tâche, vous créez une application de connecteur à l’aide des métadonnées SAML de Citrix Cloud. Après avoir configuré l’application SAML, vous utilisez les métadonnées SAML de votre application connecteur pour configurer la connexion SAML à Citrix Cloud.

Remarque :

Certaines étapes de cette section décrivent les actions que vous effectuez dans la console d’administration de votre fournisseur SAML. Les commandes spécifiques que vous utilisez pour effectuer ces actions peuvent varier des commandes décrites dans cette section, en fonction du fournisseur SAML choisi. Les commandes du fournisseur SAML de cette section ne sont fournies qu’à titre d’exemples. Reportez-vous à la documentation de votre fournisseur SAML pour plus d’informations sur les commandes correspondantes de votre fournisseur SAML.

Créer une application de connecteur SAML

  1. À partir de la console d’administration de votre fournisseur SAML, ajoutez une application pour un fournisseur d’identité en incluant des attributs et une réponse signée. Par exemple, en fonction de la console de votre fournisseur, vous pouvez sélectionner Applications > Applications > Add App, puis sélectionner SAML Test Connector (IdP w/ attr w/ sign response).
  2. Le cas échéant, entrez un nom complet et enregistrez l’application.
  3. Dans l’écran Configurer SAML dans Citrix Cloud, dans le champ Métadonnées SAML, sélectionnez Télécharger. Le fichier XML de métadonnées apparaît dans un autre onglet du navigateur.

    Remarque :

    Si nécessaire, vous pouvez également télécharger ce fichier depuis https://saml.cloud.com/saml/metadata.xml. Ce point de terminaison peut être plus facile d’accès pour certains fournisseurs d’identité lors de l’importation et du monitoring des métadonnées du fournisseur SAML.

  4. Entrez les détails suivants pour l’application de connecteur :
    • Dans le champ Audience, entrez https://saml.cloud.com.
    • Dans le champ Destinataire, entrez https://saml.cloud.com/saml/acs.
    • Dans le champ Validateur URL ACS, entrez https://saml.cloud.com/saml/acs.
    • Dans le champ URL ACS, entrez https://saml.cloud.com/saml/acs.

  5. Ajoutez vos attributs SAML personnalisés en tant que valeurs de paramètre dans l’application :

    Créer ce champ Attribuer cet attribut personnalisé
    cip_sid cip_sid
    cip_upn cip_upn
    cip_oid cip_oid
    cip_email cip_email
  6. Ajoutez vos abonnés Workspace en tant qu’utilisateurs pour leur permettre d’accéder à l’application.

Ajouter des métadonnées du fournisseur SAML à Citrix Cloud

  1. Obtenez les métadonnées SAML auprès de votre fournisseur SAML. L’image suivante montre à quoi ce fichier peut ressembler : Fichier de métadonnées SAML
  2. Sur l’écran Configurer SAML dans Citrix Cloud, entrez les valeurs suivantes à partir du fichier de métadonnées de votre fournisseur SAML :

    • Sous ID de l’entité, entrez la valeur entityID de l’élément EntityDescriptor dans les métadonnées. ID de l'entité provenant du fichier de métadonnées SAML

    • Sous Signer demande d’authentification, sélectionnez Oui pour autoriser Citrix Cloud à signer les demandes d’authentification, certifiant qu’elles proviennent de Citrix Cloud et non d’un acteur malveillant. Sélectionnez Non si vous préférez ajouter l’URL Citrix ACS à une liste d’autorisation utilisée par votre fournisseur SAML pour publier des réponses SAML en toute sécurité.

    • Dans URL du service SSO, entrez l’URL du mécanisme de liaison que vous souhaitez utiliser. Vous pouvez utiliser la liaison HTTP-POST ou HTTP-Redirect. Dans le fichier de métadonnées, recherchez les éléments SingleSignOnService dont les valeurs de liaison sont HTTP-POST ou HTTP-Redirect. URL du service SSO provenant du fichier de métadonnées SAML

    • Dans Mécanisme de liaison, sélectionnez le mécanisme qui correspond à la liaison de l’URL du service SSO que vous avez choisie dans le fichier de métadonnées.
    • Dans Réponse SAML, sélectionnez la méthode de signature utilisée par votre fournisseur SAML pour la réponse SAML et l’assertion SAML. Par défaut, Citrix Cloud rejette toutes les réponses qui ne sont pas signées de la manière spécifiée dans ce champ.
  3. Dans la console d’administration de votre fournisseur SAML, effectuez les opérations suivantes :
    • Sélectionnez SHA-256 pour l’algorithme de signature SAML.
    • Téléchargez le certificat X.509 en tant que fichier PEM.
  4. Sur l’écran Configurer SAML dans Citrix Cloud, sélectionnez Charger le fichier et sélectionnez le fichier PEM que vous avez téléchargé à l’étape précédente.
  5. Sélectionnez Continuer pour terminer le chargement.
  6. Sous Contexte d’authentification, sélectionnez le contexte que vous souhaitez utiliser et le degré de rigueur avec lequel vous souhaitez que Citrix Cloud applique ce contexte. Sélectionnez Minimum pour demander l’authentification dans le contexte sélectionné sans appliquer l’authentification dans ce contexte. Sélectionnez Exact pour demander l’authentification dans le contexte sélectionné et appliquer l’authentification uniquement dans ce contexte. Si votre fournisseur SAML ne prend pas en charge les contextes d’authentification ou si vous choisissez de ne pas les utiliser, sélectionnez Non spécifié et Minimum.
  7. Sous URL de déconnexion, recherchez l’élément SingleLogoutService avec la liaison HTTP-Redirect dans le fichier de métadonnées de votre fournisseur SAML et entrez l’URL. Citrix Cloud ne prend pas en charge l’envoi de demandes de déconnexion signées.

    Important :

    Citrix recommande de saisir la valeur SingleLogoutService comme décrit dans cette étape.

  8. Vérifiez que les valeurs d’attribut des noms par défaut suivantes dans Citrix Cloud correspondent aux valeurs d’attribut dans la console d’administration de votre fournisseur SAML. Si votre fournisseur SAML utilise des valeurs différentes, vous pouvez modifier ces valeurs dans Citrix Cloud pour vous assurer qu’elles correspondent à celles de votre fournisseur SAML.
    • Nom d’attribut du nom d’affichage de l’utilisateur : displayName
    • Nom d’attribut du prénom de l’utilisateur : givenName
    • Nom d’attribut du nom de famille de l’utilisateur : familyName
  9. Dans Citrix Cloud, entrez les attributs SAML personnalisés de votre fournisseur SAML :
    • Dans Nom d’attribut de l’identificateur de sécurité (SID), entrez cip_sid (valeur par défaut).
    • Dans Nom d’attribut du nom principal de l’utilisateur (UPN), entrez cip_upn (valeur par défaut).
    • Dans Nom d’attribut de l’e-mail, entrez cip_email (valeur par défaut).
    • Dans Nom d’attribut de l’identificateur d’objet AD (OID), entrez cip_oid (valeur par défaut).
  10. Sélectionnez Tester et terminer pour vérifier que vous avez correctement configuré la connexion.

Ajouter des administrateurs à Citrix Cloud depuis AD

Pour obtenir des instructions sur l’ajout et la gestion de groupes AD dans Citrix Cloud, consultez Gérer les groupes d’administrateurs.

Activer l’authentification SAML pour les espaces de travail

  1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail.
  2. Sélectionnez l’onglet Authentification
  3. Sélectionnez SAML 2.0.

Dépannage

Erreurs d’attribut

Des erreurs d’attribut peuvent survenir si les attributs requis dans votre configuration SAML ne sont pas codés correctement. Lorsqu’une erreur d’attribut se produit, Citrix Cloud affiche un message d’erreur qui inclut l’attribut défectueux.

Message d'erreur d'attribut avec mention de cip_oid

Pour résoudre ce type d’erreur, assurez-vous que ces attributs sont codés comme décrit dans le tableau suivant.

Attribut Codage
cip_email Doit être au format de chaîne (user@domain)
cip_oid Doit être au format Base64 ou au format de chaîne
cip_sid Doit être au format Base64 ou au format de chaîne
cip_upn Doit être au format de chaîne (user@domain)

Erreurs inattendues

Citrix Cloud peut rencontrer une erreur inattendue dans les cas suivants :

  • Un utilisateur lance une demande SAML à l’aide d’un flux initié par le fournisseur d’identité. Par exemple, la demande est effectuée en sélectionnant une vignette via le portail d’applications du fournisseur d’identité au lieu d’accéder directement à l’URL de l’espace de travail (customer.cloud.com).
  • Le certificat SAML n’est pas valide ou a expiré.
  • Le contexte d’authentification n’est pas valide.
  • L’assertion SAML et la signature de réponse ne correspondent pas.

Lorsque cette erreur se produit, Citrix Cloud affiche un message d’erreur générique.

Message d'erreur inattendu

Si cette erreur résulte de la navigation vers Citrix Cloud via le portail d’applications d’un fournisseur d’identité, vous pouvez utiliser la solution suivante :

  1. Créez une application de signet dans le portail d’applications du fournisseur d’identité qui fait référence à l’URL de votre espace de travail (par exemple, https://customer.cloud.com).
  2. Attribuez les utilisateurs à la fois à l’application SAML et à l’application de signet.
  3. Modifiez les paramètres de visibilité de l’application SAML et de l’application de signet afin que l’application de signet soit visible et que l’application SAML soit masquée dans le portail d’applications.
  4. Désactivez le paramètre Sessions de fournisseur d’identité fédéré dans la configuration de l’espace de travail pour supprimer les demandes de mot de passe supplémentaires. Pour obtenir des instructions, consultez la section Sessions de fournisseur d’identité fédéré dans la documentation du produit Citrix Workspace.

Informations supplémentaires

Connecter SAML en tant que fournisseur d’identité à Citrix Cloud
May 10, 2023
Contributeur: 
C C
May 10, 2023
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.