Citrix ADC

使用本地 Citrix Gateway 作为 Citrix Cloud 的身份提供程序

Citrix Cloud 支持使用本地 Citrix Gateway 作为身份提供商对登录到其工作区的订阅者进行身份验证。

通过使用 Citrix Gateway 身份验证,您可以:

  • 继续通过现有 Citrix Gateway 对用户进行身份验证,以便他们可以通过 Citrix Workspace 访问本地 Virtual Apps 程序和桌面部署中的
  • 将 Citrix Gateway 身份验证、授权和审核 (Citrix ADC AAA) 功能与 Citrix Workspace 结合使用。
  • 使用直通身份验证、智能卡、安全令牌、条件访问策略、联合身份验证等功能,同时为用户提供通过 Citrix Workspace 访问所需资源的权限。

支持使用以下产品版本的 Citrix Gateway 身份验证:

  • Citrix Gateway 13.0 41.20 高级版或更高版本
  • Citrix Gateway 12.1 54.13 高级版或更高版本

必备条件

  • 云连接器-您至少需要两台服务器来安装 Citrix Cloud Connector 软件。

  • Active Directory -执行必要的检查。

  • Citrix Gateway 要求

    • 由于已弃用经典策略,请在本地网关上使用高级策略。

    • 配置网关以对 Citrix Workspace 的订阅者进行身份验证时,网关将充当 OpenID Connect 提供商。Citrix Cloud 和 Gateway 之间的消息符合 OIDC 协议,该协议涉及对令牌进行数字签名。因此,您必须配置证书以对这些令牌进行签名。

    • 时钟同步-必须将网关同步到 NTP 时间。

有关详细信息,请参阅必备条件

在本地 Citrix Gateway 上创建 OAuth IdP 策略

重要提示:

您必须在 Citrix Cloud > 身份和访问管理 > 身份 验证 选项卡中生成客户端 ID、密钥和 重定向 URL。有关详细信息,请参阅将本地 Citrix Gateway 连接到 Citrix Cloud

创建 OAuth IdP 身份验证策略涉及以下任务:

  1. 创建 OAuth IdP 配置文件。

  2. 添加 OAuth IdP 策略。

  3. 将 OAuth IdP 策略绑定到身份验证虚拟服务器。

  4. 全局绑定证书。

使用 CLI 创建 OAuth IdP 配置文件

在命令提示窗口中,键入:

add authentication OAuthIDPProfile <name> [-clientID <string>] [-clientSecret ] [-redirectURL <URL>] [-issuer <string>] [-sendPassword ( ON | OFF )]

add authentication OAuthIdPPolicy <name> -rule <expression> -action <string>

bind authentication vserver <name> [-policy <string> [-priority <positive_integer>] [-gotoPriorityExpression <expression>]] [-portaltheme <string>]

示例:

add authentication OAuthIDPProfile oauthidp_staging -clientID <client> -clientSecret <Secret from client> -redirectURL "<url from client>" -issuer <https://GatewayFQDN.com> -sendPassword ON

add authentication OAuthIdPPolicy oauthidp_staging -rule true -action oauthidp_staging

bind authentication vserver auth -policy oauthidp_staging -priority 10 -gotoPriorityExpression next

bind vpn global -certkeyName MyCertKeyName

使用 GUI 创建 OAuth IdP 配置文件

  1. 导航到安全 > AAA-应用程序流量 > 策略 > 身份验证 > 高级策略 > OAuth IDP

  2. OAuth IDP 页面中,选择 配置文件 选项卡,然后单击 添加

  3. 配置 OAuth IdP 配置文件。

    注意:

    • Citrix Cloud > 身份和访问管理 > 身份验证选项卡复制并粘贴客户端 ID、秘密和重定向 URL 值,以建立与 Citrix Cloud 的连接。

    • 发行者名称 示例中正确输入网关 URL: https://GatewayFQDN.com

    • 还可以在 “ 受众 ” 字段中复制并粘贴客户端 ID。

    • 发送密码:启用此选项以获得单点登录支持。默认情况下,此选项处于禁用状态。

  4. 单击创建

  5. OAuth IDP 页面中,选择 策略 ,然后单击 添加

  6. 配置 OAuth IdP 策略。

  7. 将 OAuth IdP 策略绑定到身份验证、授权和审核身份验证虚拟服务器。

    1. 导航到安全 > AAA-应用程序流量 > 虚拟服务器。
    2. 选择要将策略绑定到的虚拟服务器,然后单击 编辑。
    3. 高级身份验证策略中,单击 无 OAuth IDP 策略旁边的 >
    4. 身份验证 OAuth IDP 策略 页面中,单击 添加绑定。
    5. 选择策略中,选择 OAuth IdP 策略。
    6. 单击绑定。

注意:

sendPassword 设置为开(默认情况下关闭)时,用户凭据将被加密并通过安全通道传递到 Citrix Cloud。通过安全通道传递用户凭据允许您在启动时向 Citrix Virtual Apps and Desktops 启用 SSO。

使用本地 Citrix Gateway 作为 Citrix Cloud 的身份提供程序