Documentation produit
Citrix Cloud
Voir PDF

Configurer un serveur PingFederate local en tant que fournisseur SAML pour Workspace et Citrix Cloud

April 26, 2024
Author:  Mark Dear

Cet article a été rédigé dans le cadre d’une collaboration entre les ingénieurs de Citrix et de Ping et a été révisé par les deux parties pour en garantir l’exactitude technique au moment de la rédaction. Reportez-vous à la documentation Ping pour savoir comment provisionner, configurer et octroyer une licence à un serveur PingFederate local à utiliser en tant que fournisseur SAML, car cela dépasse le cadre de cet article.

Ce document a été écrit à l’aide des versions 11.3 et 12 de PingFederate.

Pré-requis

Cet article traite spécifiquement de la configuration SAML et garantit que les conditions suivantes sont remplies.

  • Vous avez déjà provisionné un serveur PingFederate local au sein de votre organisation et obtenu la licence nécessaire. Pour plus d’informations, consultez la section Installation de PingFederate.
  • Vous devez avoir installé une version compatible de Java sur le serveur PingFederate. Consultez la documentation de Ping Identity pour connaître les versions Java prises en charge. Pour plus d’informations, consultez la section Configuration requise pour Java PingFederate.
  • Vous avez configuré les règles de réseau et de pare-feu requises pour permettre à Citrix Cloud et Workspace de rediriger vers le serveur PingFederate local pendant le processus d’ouverture de session SAML de la console d’administration Workspace/Citrix Cloud. Pour plus d’informations, consultez la section Configuration réseau requise pour PingFederate.
  • Vous avez importé un certificat x509 signé publiquement sur votre serveur PingFederate qui peut faire office de certificat de serveur pour le serveur PingFederate.
  • Vous avez importé un certificat x509 signé publiquement sur votre serveur PingFederate qui peut faire office de certificat de signature SAML pour le fournisseur d’identité. Ce certificat doit être chargé vers Citrix Cloud pendant le processus de connexion SAML.
  • Vous avez connecté votre Active Directory local à PingFederate. Pour plus d’informations, consultez Magasin de données LDAP PingFederate.

Remarque :

Lors de la configuration de PingFederate pour une utilisation avec Citrix Cloud et Workspace, consultez la documentation de PingFederate pour comprendre le fonctionnement de chaque paramètre SAML et pour compléter les instructions fournies ici.

Configurer une connexion Active Directory à votre domaine AD à l’aide d’un magasin de donnée dans PingFederate

  1. Configurez une connexion Active Directory dans des magasins de données.

    Configurer la connexion Active Directory

  2. Sélectionnez le type Annuaire (LDAP).

    Sélectionner un annuaire

  3. Configurez vos contrôleurs de domaine pour les connexions LDAPS et ajoutez la liste des noms de domaine complets des contrôleurs de domaine dans le champ des noms d’hôte. Cliquez ensuite sur Tester la connexion.

    Configurer les contrôleurs de domaine

  4. Une fois configurée, la connexion Active Directory devrait ressembler à l’exemple suivant :

    Connexion Active Directory

Charger le certificat de signature SAML Citrix Cloud

  1. Cliquez sur l’onglet Sécurité

  2. Chargez le certificat de signature SAML que vous souhaitez que PingFederate utilise dans les clés et certificats de signature et de décryptage.

    Clés et certificats de signature et de décryptage

    Remarque :

    Le certificat utilisé est un certificat Digicert pingfederateserver.domain.com signé publiquement dans cet exemple.

  3. Chargez tous les certificats CA utilisés pour signer le certificat de signature SAML de votre serveur PingFederate.

    Certificat de signature SAML

Remarque :

Le certificat de serveur PingFederate et le certificat de signature SAML peuvent être identiques ou vous pouvez utiliser des certificats SSL différents. Vous devez fournir une copie du certificat de signature SAML à Citrix Cloud lorsque vous configurez la connexion SAML.

Certificats de serveur SSL

Charger les métadonnées Citrix Cloud

  1. Donnez un nom aux métadonnées Citrix Cloud et entrez l’URL des métadonnées correspondant à la région Citrix Cloud dans laquelle se trouve votre locataire Citrix Cloud.

    URL de métadonnées du partenaire

  2. Une fois configurée, la configuration des métadonnées de Citrix Cloud doit ressembler à l’exemple suivant.

    URL des métadonnées du partenaire configurée

Configurer un validateur de mot de passe dans PingFederate

Pour plus d’informations, consultez la section Validateur de mot de passe PingFederate

  1. Configurez le type de validateur de mot de passe comme nom d’utilisateur et mot de passe LDAP.

    Validateurs de mot de passe

  2. Configurez la configuration d’instance. Sélectionnez la connexion au domaine AD et le magasin de données que vous avez configurés précédemment. Configurez une connexion Active Directory à votre domaine AD à l’aide d’un magasin de données dans PingFederate Entrez un filtre LDAP approprié comme indiqué dans l’exemple. (((sAMAccountName=${username})(userPrincipalName=${username}))

    Configurer la configuration d'instance

    Remarque : l’exemple de filtre correspond aux formats de nom d’utilisateur AD sAMAccountName et userPrincipalName, ce qui permet aux utilisateurs finaux de se connecter à Workspace ou Citrix Cloud avec l’un ou l’autre de ces formats. L’exemple de filtre prend en charge les formats de nom d’utilisateur AD sAMAccountName et userPrincipalName, qui permettent aux utilisateurs finaux de se connecter à Workspace ou Citrix Cloud à l’aide de l’un de ces formats.

  3. Configurez le contrat prolongé.

    Contrat prolongé

  4. Le résumé du validateur de mot de passe doit ressembler à cet exemple.

    Validateur de mot de passe

Configurer l’adaptateur IDP dans PingFederate

Pour plus d’informations, consultez la section Adaptateur de formulaire HTML PingFederate

  1. Créez un adaptateur IDP de type Adapteur IDP de formulaire HTML.

    Créer une instance d'adaptateur

  2. Sélectionnez le validateur de mot de passe que vous avez configuré précédemment et configurez l’adaptateur IDP. Pour plus d’informations, consultez Configurer un validateur de mot de passe dans PingFederate.

    Validateur de mot de passe

  3. Configurez le contrat prolongé avec des attributs SAML transmis à Citrix Cloud ou Workspace lors de l’ouverture de session SAML.

    Configurer un contrat prolongé

  4. Configurez les attributs d’un adaptateur.

    Configurer des attributs d'adaptateur

  5. Configurez le mappage des contrats d’adaptateur où les attributs SAML sont mappés aux attributs utilisateur LDAP à partir d’identités AD. Cliquez sur Configurer le contrat d’adaptateur.

  6. Configurez les sources d’attributs et la recherche d’utilisateurs.

    Sources d'attributs et recherche d'utilisateurs

  7. Configurez l’exécution des contrats d’adaptateur. Sélectionnez LDAP et le nom de votre magasin de données Active Directory comme source des données d’attributs utilisateur. La valeur est l’attribut Active Directory de l’utilisateur, par exemple, objectGUID ou objectSid.

    Configurer l'exécution des contrats d'adaptateur

Configuration de la connexion au fournisseur de services (application SAML) pour Citrix Cloud ou Workspace

L’exemple de configuration de PingFederate fourni ci-dessous suppose les exigences d’authentification SAML suivantes au sein de votre organisation.

  • Les demandes d’authentification SAML envoyées depuis la console d’administration Workspace/Citrix Cloud DOIVENT être signées.
  • Les liaisons HTTP POST SAML seront utilisées pour les requêtes SSO et SLO.
  • La déconnexion unique (SLO) est une exigence au sein de votre organisation. Lorsqu’un utilisateur final se déconnecte de Workspace ou de la console d’administration Citrix Cloud, une demande SLO SAML est envoyée par Citrix Cloud au fournisseur SAML (fournisseur d’identité) pour déconnecter l’utilisateur.

  • PingFederate nécessite des requêtes HTTP POST signées pour démarrer la déconnexion. Le fournisseur SAML nécessite des requêtes SLO signées.

    Mécanisme de liaison SLO

Pour plus d’informations, consultez Gestion des fournisseurs de services PingFederate

Procédure

  1. Configurez le modèle de connexion.

    Configurer le modèle de connexion

  2. Configurez le type de connexion et sélectionnez Profils d’authentification unique du navigateur et SAML 2.0.

    Configurer le type de connexion

  3. Configurez les options de connexion.

    Configurer les options de connexion

  4. Importez les métadonnées Citrix Cloud. Sélectionnez l’URL et l’URL CitrixCloudProdMetadata que vous avez créée précédemment, puis cliquez sur Charger les métadonnées

    Importer les métadonnées Citrix Cloud

  5. Configurez les informations générales. Définissez l’ID de l’entité de connexion du fournisseur de services, l’URL de base et le nom de connexion sur le point de terminaison Citrix Cloud SAML pour votre région client Citrix Cloud.

    Configurer les informations générales

  6. Configurez les paramètres du protocole.

    Configurer les paramètres du protocole

  7. Utilisez les paramètres de durée de vie des assertions par défaut.

    Paramètres de durée de vie des assertions

  8. Configurez la création d’assertions SAML.

    1. Cliquez sur Configurer la création d’assertions

      Configurer la création d'assertions

    2. Sélectionnez Standard.

      Sélectionner Standard

  9. Configurez le contrat d’attribut.

    Configurer le contrat d'attribut

  10. Configurez l’instance d’adaptateur.

    Configurer l'instance d'adaptateur

  11. Configurez la méthode de mappage.

    Configurer la méthode de mappage

  12. Configurez l’exécution des contrats d’attribut.

    Configurer l'exécution des contrats d'attribut

  13. Configurez les critères d’émission de certificats en tant que valeurs par défaut, sans aucune condition.

    Configurer les critères d'émission de certificats

  14. Le mappage d’adaptateur IDP terminé apparaît comme suit :

    Mappage d'adaptateur IDP terminé

  15. Configurez les paramètres du protocole. Les chemins SAML requis par Citrix Cloud seront ajoutés à l’URL de base de votre serveur PingFederate. Il est possible de remplacer l’URL de base en saisissant un chemin complet dans le champ URL du point de terminaison, mais cela est généralement inutile et non souhaitable. URL de base - https://youpingfederateserver.domain.com

    1. Configurez l’URL ACS qui ajoute le chemin SAML à l’URL de base du serveur PingFederate. URL du point de terminaison - /saml/acs

      Configurer l'URL ACS

    2. Configurez l’URL du service SLO. URL du point de terminaison - /saml/logout/callback

      Configurer l'URL du service SLO

    Important :

    La connexion SAML Citrix Cloud nécessite la configuration d’une URL de déconnexion PingFederate correspondante si vous souhaitez effectuer une SLO lorsque vous vous déconnectez de Workspace ou de Citrix Cloud. Si vous ne configurez pas l’URL de déconnexion dans votre connexion SAML, les utilisateurs finaux se déconnecteront simplement de Workspace, mais pas de PingFederate.

    1. Configurez les liaisons SAML autorisées.

      Configurer les liaisons SAML autorisées

    2. Configurez la stratégie de signature.

      Configurer la stratégie de signature

    Important :

    Les paramètres de signature SAML doivent être configurés de manière cohérente des deux côtés de la connexion SAML. Workspace ou Citrix Cloud (SP) doivent être configurés pour envoyer des demandes SSO et SLO signées.

    1. PingFederate (IDP) doit être configuré pour appliquer les demandes signées à l’aide du certificat de vérification de signature SAML de Citrix Cloud.

      Exécution des demandes signées

    2. Configurez la stratégie de cryptage.

      Configurer la stratégie de cryptage

      Remarque :

      Il est recommandé de définir le cryptage sur AUCUN lors de la configuration initiale et les tests afin de pouvoir déboguer tout problème lié à des attributs SAML manquants ou incorrects dans l’assertion. Si vous avez besoin d’assertions cryptées, il est recommandé d’activer le cryptage après avoir prouvé que la connexion à Workspace ou à Citrix Cloud est réussie et que toutes les ressources ont été correctement énumérées et peuvent être lancées. Le débogage des problèmes avec SAML lorsque le cryptage est activé sera impossible si vous ne pouvez pas afficher le contenu en texte brut de l’assertion SAML.

    3. Consultez l’onglet Résumé.

      Onglet Résumé

    4. Vérifiez la connexion au fournisseur de services Citrix Cloud. Une fois la connexion au fournisseur de services Citrix Cloud configurée, elle devrait ressembler à cet exemple :

      Résumé Résumé Résumé Résumé

      Conseil utile :

      Utilisez la page Activation et résumé de la connexion au fournisseur de services pour passer en revue votre application SAML et à des fins de débogage, car elle permet d’apporter des modifications de configuration rapides et faciles. La page Activation et résumé de la connexion au fournisseur de services vous permet d’accéder à l’une des sous-sections de configuration SAML en cliquant sur le titre de cette section. Cliquez sur l’un des titres surlignés en rouge pour mettre à jour ces paramètres.

    Paramètres du protocole

  16. La connexion au fournisseur de services Citrix Cloud terminée devrait apparaître dans la liste comme suit.

    Connexion au fournisseur de services Citrix Cloud

  17. Il est possible d’exporter la connexion au fournisseur de services sous la forme d’un fichier XML. Citrix recommande d’effectuer une sauvegarde de votre connexion au fournisseur de services une fois que vous l’avez testée avec Citrix Cloud et Workspace.

    Exporter la connexion au fournisseur de services

Configurer un serveur PingFederate local en tant que fournisseur SAML pour Workspace et Citrix Cloud
April 26, 2024
Author:  Mark Dear
April 26, 2024
Author:  Mark Dear

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.