Citrix ADC

使用本地 Citrix Gateway 作为 Citrix Cloud 的身份提供程序

Citrix Cloud 支持使用本地 Citrix Gateway 作为身份提供程序对登录到其工作区的订阅者进行身份验证。

通过使用 Citrix Gateway 身份验证,您可以:

  • 继续通过现有 Citrix Gateway 对用户进行身份验证,以便其能够通过 Citrix Workspace 访问本地 Virtual Apps and Desktops 部署中的资源。
  • 将 Citrix Gateway 身份验证、授权和审核 (Citrix ADC AAA) 功能与 Citrix Workspace 结合使用。
  • 使用直通身份验证、智能卡、安全令牌、条件访问策略、联合身份验证等功能,同时为用户提供通过 Citrix Workspace 访问所需资源的权限。

支持 Citrix Gateway 身份验证与以下产品版本结合使用:

  • Citrix Gateway 13.0 41.20 Advanced Edition 或更高版本
  • Citrix Gateway 12.1 54.13 Advanced edition 或更高版本

必备条件

  • Cloud Connector - 至少需要两台服务器来安装 Citrix Cloud Connector 软件。

  • Active Directory - 执行必要的检查。

  • Citrix Gateway 要求

    • 由于已弃用经典策略,请在本地网关上使用高级策略。

    • 配置网关以对 Citrix Workspace 的订阅者进行身份验证时,网关将充当 OpenID Connect 提供商。Citrix Cloud 与网关之间的消息符合 OIDC 协议,该协议涉及对令牌进行数字签名。因此,您必须配置证书以对这些令牌进行签名。

    • 时钟同步 - 必须将网关同步到 NTP 时间。

有关详细信息,请参阅必备条件

在本地 Citrix Gateway 上创建 OAuth IdP 策略

重要:

必须在 Citrix Cloud > Identity and Access Management(身份识别和访问管理)> Authentication(身份验证)选项卡中生成客户端 ID、机密和重定向 URL。有关详细信息,请参阅将本地 Citrix Gateway 连接到 Citrix Cloud

创建 OAuth IdP 身份验证策略涉及以下任务:

  1. 创建 OAuth IdP 配置文件。

  2. 添加 OAuth IdP 策略。

  3. 将 OAuth IdP 策略绑定到身份验证虚拟服务器。

  4. 全局绑定证书。

使用 CLI 创建 OAuth IdP 配置文件

在命令提示窗口中,键入:

add authentication OAuthIDPProfile <name> [-clientID <string>] [-clientSecret ] [-redirectURL <URL>] [-issuer <string>] [-sendPassword ( ON | OFF )]

add authentication OAuthIdPPolicy <name> -rule <expression> -action <string>

bind authentication vserver <name> [-policy <string> [-priority <positive_integer>] [-gotoPriorityExpression <expression>]] [-portaltheme <string>]

bind vpn global –certkey <certkeyName>

示例:

add authentication OAuthIDPProfile oauthidp_staging -clientID <client> -clientSecret <Secret from client> -redirectURL "<url from client>" -issuer <https://GatewayFQDN.com> -sendPassword ON

add authentication OAuthIdPPolicy oauthidp_staging -rule true -action oauthidp_staging

bind authentication vserver auth -policy oauthidp_staging -priority 10 -gotoPriorityExpression next

bind vpn global -certkeyName MyCertKeyName

使用 GUI 创建 OAuth IdP 配置文件

  1. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Policies(策略)> Authentication(身份验证)> Advanced Policies(高级策略)> OAuth IDP

  2. OAuth IDP 页面中,选择 Profiles(配置文件)选项卡,然后单击 Add(添加)。

  3. 配置 OAuth IdP 配置文件。

    注意:

    • Citrix Cloud > Identity and Access Management(身份识别和访问管理) > Authentication(身份验证)选项卡中复制并粘贴客户端 ID、密钥和重定向 URL 值,以建立与 Citrix Cloud 的连接。

    • Issuer Name(发行者名称)示例中正确输入网关 URL:https://GatewayFQDN.com

    • 还可以在 Audience(受众)字段中复制并粘贴客户端 ID。

    • Send Password(发送密码):启用此选项以获得单点登录支持。默认情况下,此选项处于禁用状态。

  4. 单击 Create(创建)。

  5. OAuth IDP 页面中,选择 Policies(策略),然后单击 Add(添加)。

  6. 配置 OAuth IdP 策略。

  7. 将 OAuth IdP 策略绑定到身份验证、授权和审核身份验证虚拟服务器。

    1. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Virtual Servers(虚拟服务器)。
    2. 选择要将策略绑定到的虚拟服务器,然后单击 Edit(编辑)。
    3. Advanced Authentication Policies(高级身份验证策略)中,单击 No OAuth IDP Policy(无 OAuth IDP 策略)旁边的 >
    4. Authentication OAuth IDP Policy(身份验证 OAuth IDP 策略)页面中,单击 Add Binding(添加绑定)。
    5. Select Policy(选择策略)中,选择 OAuth IdP 策略。
    6. 单击 Bind(绑定)。

注意

sendPassword 设置为 ON(默认设置为 OFF)时,用户凭据将加密并通过安全通道传递到 Citrix Cloud。通过安全通道传递用户凭据允许您在启动时为 Citrix Virtual Apps and Desktops 启用 SSO。

支持 Citrix Gateway 上的主动-主动 GSLB 部署

使用 OIDC 协议配置为身份提供程序 (IdP) 的 Citrix Gateway 可以支持主动-主动 GSLB 部署。Citrix Gateway IdP 上的主动-主动 GSLB 部署提供了跨多个地理位置对传入用户登录请求进行负载平衡的功能。

重要

Citrix 建议您将 CA 证书绑定到 SSL 服务并在 SSL 服务上启用证书验证以增强安全性。

有关配置 GSLB 设置的详细信息,请参阅 GSLB 设置和配置示例

使用本地 Citrix Gateway 作为 Citrix Cloud 的身份提供程序