将作为身份提供商的 Google Cloud Identity 连接到 Citrix Cloud
Citrix Cloud 支持使用 Google Cloud Identity 作为身份提供商对登录其工作区的订阅者进行身份验证。通过将组织的 Google 帐户关联到 Citrix Cloud,您可以为访问 Citrix Workspace 和 Google 资源提供统一的登录体验。
加入域和未加入域配置的要求
可以使用已加入域或未加入域的计算机在 Citrix Cloud 中将 Google Cloud Identity 配置为身份提供商。
- 加入域意味着计算机加入到本地 Active Directory (AD) 中的域,身份验证使用存储在该域中的用户配置文件。
- 未加入域意味着计算机未加入到 AD 域,并且身份验证使用存储在您的 Google Workspace 目录中的用户配置文件(也称为 Google 本地用户)。
下表列出了每种配置类型的要求。
| 要求 | 已加入域 | 未加入域 | 更多信息 |
|---|---|---|---|
| 本地 AD | 是 | 否 | 请参阅本文中的 准备Active Directory 和 Citrix Cloud 连接器 。 |
| 在您的资源位置部署了 Citrix Cloud 连接器 | 是 | 否;无需 Cloud Connector 即可访问未加入域的计算机。 | 在本文中@@准备Active Directory 和 Citrix Cloud 连接器 。 |
| AD 与 Google Cloud 同步 | 仅在使用 Gateway 服务且不使用其他服务时才可选。否则,此任务是必需的。 | 否 | 请参阅本文中的将 Active Directory 与 Google Cloud Identity 同步。 |
| 具有 Google Cloud Platform 控制台访问权限的开发者帐号。用于创建服务帐号和密钥,以及启用管理员 SDK API。 | 是 | 是 | 请参阅本文中的 创建服务帐号、创建服务帐号密钥和 配置域范围委 派。 |
| 具有 Google Workspace 管理员控制台访问权限的管理员帐号。用于配置域范围的委派和只读 API 用户帐户。 | 是 | 是 | 请参阅本文中的 配置域范围委派 和 添加只读 API 用户帐户 。 |
使用多个 Citrix Cloud 帐户进行身份验证
本文介绍如何将作为身份提供商的 Google Cloud Identity 连接到单个 Citrix Cloud 帐户。如果您有多个 Citrix Cloud 帐户,则可以使用相同的服务帐户和只读 API 用户帐户将每个帐户连接到同一 Google Cloud 帐户。只需登录 Citrix Cloud 并从客户选取器中选择相应的客户 ID 即可。
准备Active Directory 和 Citrix Cloud 连接器
如果您使用的是加入了域的带 Google Cloud Identity 的计算机,请使用此部分来准备您的本地 AD。如果您使用的是未加入域的计算机,请跳过此任务并继续本文中的 创建服务帐户 。
您的 Active Directory 域中至少需要两 (2) 台服务器才能安装 Citrix Cloud Connector 软件。要启用 Citrix Cloud 与您的 资源位置之间的通信,需要使用 Cloud Connector。至少需要两个 Cloud Connector 才能确保与 Citrix Cloud 的高可用连接。这些服务器必须满足以下要求:
- 符合 Cloud Connector 技术详情中描述的要求。
- 未安装任何其他 Citrix 组件,不是 Active Directory 域控制器,也不是对您的资源位置基础结构至关重要的计算机。
- 已加入您的Active Directory (AD) 域。如果您的工作空间资源和用户位于多个域中,则必须在每个域中至少安装两个 Cloud Connector。有关更多信息,请参阅 Active Directory 中 Cloud Connector 的部署方案。
- 已连接到可以联系用户通过 Citrix Workspace 访问的资源的网络。
- 已连接到 Internet。有关详细信息,请参阅系统和连接要求。
有关安装 Cloud Connector 的详细信息,请参阅 Cloud Connector 安装。
将 Active Directory 与 Google Cloud Identity 同步
如果您使用的是加入了域的带 Google Cloud Identity 的计算机,请使用此部分来准备您的本地 AD。如果您使用的是未加入域的计算机,请跳过此任务并继续本文中的 创建服务帐户 。
如果您仅使用 Citrix Gateway 服务,而未启用其他服务,则可以选择将 AD 与 Google Cloud Identity 同步。仅针对这些服务,您可以使用 Google 本地用户,而无需与 AD 同步。
如果您使用的是其他 Citrix Cloud 服务,则需要将您的 AD 与 Google Cloud Identity 同步。Google Cloud 必须将以下 AD 用户属性传递给 Citrix Cloud:
- SecurityIDentifier (SID)
- objectGUID
- userPrincipalName (UPN)
将您的 AD 与 Google Cloud 同步
- 从谷歌网站下载并安装 谷歌云目录同步实用程序 。有关此实用程序的 更多信息,请参阅 Google 网站上的 Google Cloud 目录同步 文档。
- 安装该实用程序后,启动 Configuration Manager(开始 > Configuration Manager)。
- 指定 Google 域名设置和 LDAP 设置,如实用程序文档中的设置与 Configuration Manager 的同步中所述。
- 在 常规设置中,选择 自定义架构。保持默认选择不变。
- 配置自定义架构以应用于所有用户帐户。使用本节中指定的精确大小写和拼写输入所需信息。
- 选择“自定义架构”选项卡,然后选择“添加架构”。
- 选择 使用“用户帐户”中定义的规则。
- 在 架构名称中,输入 citrix-schema。
- 选择添加字段,然后输入以下信息:
- 在架构字段模板下的架构字段中,选择 userPrincipalName。
- 在 Google 字段详细信息下的 字段名称中,输入 UPN。
- 重复步骤 4 以创建以下字段:
- objectGUID:在架构字段模板下,选择 objectGUID。在 Google 字段详细信息下,输入 objectGUID。
- SID:在 架构字段模板下,选择 自定义。在 Google 字段详细信息下,输入 SID。
- objectSID:在架构字段模板下,选择自定义。在 Google 字段详细信息下,输入 objectSID。
- 选择“确定”保存您输入的内容。
- 按照实用程序文档的“设置与 Configuration Manager 的同步”中所述完成组织的所有剩余设置配置并验证同步设置。
- 选择“同步并应用更改”,将您的 Active Directory 与您的 Google 帐户同步。
同步完成后,Google Cloud 中的用户信息部分会显示用户的Active Directory 信息。
创建一个服务帐户
要完成此任务,您需要一个 Google Cloud Platform 开发者帐户。
- 登录 https://console.cloud.google.com。
- 从控制面板侧边栏中,选择 IAM 和管理员 ,然后选择 服务帐户。
- 选择创建服务帐户。
- 在 服务帐户详细信息下,输入服务帐户名称和服务帐户 ID。
- 选择完成。
创建服务帐户密钥
- 在“服务帐户”页面上,选择您刚刚创建的服务帐户。
- 选择密钥选项卡,然后选择添加密钥 > 创建新密钥。
- 将默认 JSON 密钥类型选项保留为选中状态。
- 选择创建。将密钥保存到稍后可以访问的安全位置。当您以身份提供商的身份连接 Google Cloud Identity 时,可以在 Citrix Cloud 控制台中输入私钥。
配置域范围的委派
- 启用管理员 SDK API:
- 从 Google Cloud Platform 菜单中选择 API 和服务 > 已启用 API 和服务。
- 选择控制台顶部附近的 启用 API 和服务 。此时将显示 API 库主页。
- 搜索 管理员 SDK API ,然后从结果列表中选择它。
- 选择“启用”。
- 为服务帐户创建 API 客户端:
- 从 Google Cloud Platform 菜单中选择 IAM 和管理员 > 服务帐户,然后选择您之前创建的服务帐户。
- 在服务帐户的 详细信息 选项卡中,展开 高级设置。
- 在“全域委派”下,复制客户端 ID,然后选择“查看 Google Workspace 管理员控制台”。
- 如果适用,请选择要使用的 Google Workspace 管理员帐户。此时将显示 Google 管理控制台。
- 在 Google 管理员侧栏中,选择 安全 > 访问和数据控制 > API 控制。
- 在“域范围委派”下,单击“管理全域委派”。
- 选择“新增”。
- 在客户端 ID 中,粘贴您在步骤 C 中复制的服务帐户的客户端 ID。
-
在 OAuth 作用域中,在以逗号分隔的单行中输入以下范围:
https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.domain.readonly <!--NeedCopy--> - 选择 授权。
添加只读 API 用户帐户
在此任务中,您将创建一个具有 Citrix Cloud 只读 API 访问权限的 Google Workspace 用户帐户。此帐户不用于任何其他目的,也没有其他权限。
- 从 Google 管理员菜单中,选择 目录 > 用户。
- 选择 添加新用户 并输入相应的用户信息。
- 选择 添加新用户 以保存帐户信息。
- 为只读用户帐户创建自定义角色:
- 在 Google 管理员菜单中,选择 帐户 > 管理员角色。
- 选择 创建新角色。
- 输入新角色的名称。示例:API-ReadOnly
- 选择继续。
- 在 管理员 API 权限下,选择以下权限:
- 用户 > 读取
- 组 > 读取
- 域管理
- 选择 继续 ,然后选择 创建角色。
- 将自定义角色分配给您之前创建的只读用户帐户:
- 在自定义角色详细信息页面的 管理员 窗格中,选择 分配用户。
- 开始键入只读用户帐户的名称,然后从用户列表中选择它。
- 选择 分配角色。
- 要验证角色分配,请返回用户页面(目录 > 用户),然后选择只读用户帐户。自定义角色分配显示在 管理员角色和权限下。
将 Google Cloud Identity 连接到 Citrix Cloud
- 通过 https://citrix.cloud.com登录 Citrix Cloud。
- 在 Citrix Cloud 菜单中,选择 Identity and Access Management(身份识别和访问管理)。
- 找到 Google Cloud Identity,然后从省略号菜单中选择“连接”。
- 出现提示时,为贵公司输入一个简短的 URL 友好标识符,然后选择“保存并继续”。所选标识符必须在 Citrix Cloud 中具有全局唯一性。
- 选择 导入文件 ,然后选择您在 为服务帐户创建密钥时保存的JSON 文件。此操作会导入您的私钥和您创建的 Google Cloud 服务帐户的电子邮件地址。
- 在 模拟用户中,输入只读 API 用户帐户的名称。
- 选择下一步。Citrix Cloud 会验证您的 Google 帐户详细信息并测试连接。
- 查看列出的关联域。如果正确,请选择确认以保存您的配置。
向 Citrix Cloud 添加管理员
您可以通过 Google Cloud 添加单个 Citrix Cloud 管理员和管理员组。有关详细信息,请参阅以下文章:
- 对于个人管理员:管理管理员对 Citrix Cloud 的访问权限
- 对于管理员组:管理管理员组
将管理员添加到 Citrix Cloud 后,他们可以使用以下方法之一登录:
- 导航到您在最初将 Google Cloud 配置为身份提供商时配置的管理员登录网址。示例:
https://citrix.cloud.com/go/mycompany - 在 Citrix Cloud 登录页面上,选择使用我的公司凭据登录,输入贵公司的唯一标识符(例如 “mycompany”),然后单击继续。
启用 Google Cloud Identity 进行工作区身份验证
- 在 Citrix Cloud 菜单中,选择 Workspace 配置 > 身份验证。
- 选择 Google Cloud Identity。出现提示时,选择“我了解对订阅者体验的影响”,然后单击“保存”。