将作为身份提供商的谷歌连接到 Citrix Cloud
Citrix Cloud 支持使用 Google 作为身份提供商来对登录其工作区的订阅者进行身份验证。通过将组织的 Google 帐户关联到 Citrix Cloud,您可以为访问 Citrix Workspace 和 Google 资源提供统一的登录体验。
注意:
谷歌身份验证可作为预览版提供。Citrix 建议仅在非生产环境中使用预览功能。
加入域和未加入域配置的要求
您可以使用已加入域或未加入域的计算机在 Citrix Cloud 中将 Google 配置为身份提供商。
- 加入域意味着计算机加入到本地 Active Directory (AD) 中的域,身份验证使用存储在该域中的用户配置文件。
- 未加入域意味着计算机未加入到 AD 域,并且身份验证使用存储在您的 Google Workspace 目录中的用户配置文件(也称为 Google 本地用户)。
下表列出了每种配置类型的要求。
| 要求 | 已加入域 | 未加入域 | 更多信息 |
|---|---|---|---|
| 本地 AD | 是 | 否 | 请参阅本文中的 准备Active Directory 和 Citrix Cloud 连接器 。 |
| 在您的资源位置部署了 Citrix Cloud 连接器 | 是 | 不需要;访问未加入域的计算机不需要云连接器。 | 在本文中@@准备Active Directory 和 Citrix Cloud 连接器 。 |
| AD 与 Google Cloud 同步 | 仅当使用网关服务或微应用而不使用其他服务时才可选。否则,此任务是必需的。 | 否 | 请参阅本文中的将 Active Directory 与谷歌云同步 。 |
| 具有 Google Cloud Platform 控制台访问权限的开发者帐号。用于创建服务帐号和密钥,以及启用管理员 SDK API。 | 是 | 是 | 请参阅本文中的 创建服务帐号、创建服务帐号密钥和 配置域范围委 派。 |
| 具有 Google Workspace 管理员控制台访问权限的管理员帐号。用于配置域范围的委派和只读 API 用户账户。 | 是 | 是 | 请参阅本文中的 配置域范围委派 和 添加只读 API 用户账户 。 |
使用多个 Citrix Cloud 帐户进行谷歌身份验证
本文介绍如何将作为身份提供商的 Google 连接到单个 Citrix Cloud 帐户。如果您有多个 Citrix Cloud 帐户,则可以使用相同的服务帐户和只读 API 用户帐户将每个帐户连接到同一 Google Cloud 帐户。只需登录 Citrix Cloud 并从客户选取器中选择相应的客户 ID 即可。
准备Active Directory 和 Citrix Cloud 连接器
如果您使用 加入域 的计算机来配置 Google 身份验证,请使用此部分来准备您的本地 AD。如果您使用的是未加入域的计算机,请跳过此任务并继续本文中的 创建服务帐户 。
您的 Active Directory 域中至少需要两 (2) 台服务器才能安装 Citrix Cloud Connector 软件。要启用 Citrix Cloud 与您的 资源位置之间的通信,需要使用云连接器。要确保与 Citrix Cloud 的高可用性连接,至少需要两个云连接器。这些服务器必须满足以下要求:
- 符合 Cloud Connector 技术详情中描述的要求。
- 未安装任何其他 Citrix 组件,不是 Active Directory 域控制器,也不是对资源位置基础架构至关重要的计算机。
- 已加入您的Active Directory (AD) 域。如果您的工作空间资源和用户位于多个域中,则必须在每个域中至少安装两个 Cloud Connector。有关更多信息,请参阅 Active Directory 中 Cloud Connector 的部署方案。
- 已连接到可以联系用户通过 Citrix Workspace 访问的资源的网络。
- 已连接到 Internet。有关详细信息,请参阅系统和连接要求。
有关安装 Cloud Connector 的详细信息,请参阅 Cloud Connector 安装。
将Active Directory 与谷歌云同步
如果您使用 加入域 的计算机来配置 Google 身份验证,请使用此部分来准备您的本地 AD。如果您使用的是未加入域的计算机,请跳过此任务并继续本文中的 创建服务帐户 。
如果您仅使用 Citrix Gateway 服务或微应用,而未启用其他服务,则可选择将 AD 与 Google 同步。仅针对这些服务,您可以使用 Google 本地用户,而无需与 AD 同步。
如果您使用的是其他 Citrix Cloud 服务,则需要将 AD 与 Google 同步。谷歌云必须将以下 AD 用户属性传递给 Citrix Cloud:
- SecurityIDentifier (SID)
- objectGUID
- userPrincipalName (UPN)
将您的 AD 与 Google Cloud 同步
- 从谷歌网站下载并安装 谷歌云目录同步实用程序 。有关此实用程序的 更多信息,请参阅 Google 网站上的 Google Cloud 目录同步 文档。
- 安装该实用程序后,启动 Configuration Manager(开始 > Configuration Manager)。
- 指定 Google 域名设置和 LDAP 设置,如实用程序文档中的设置与 Configuration Manager 的同步中所述。
- 在 常规设置中,选择 自定义架构。保持默认选择不变。
- 配置自定义架构以应用于所有用户帐户。使用本节中指定的精确大小写和拼写输入所需信息。
- 选择 “ 自定义架构” 选项卡, 然后选择 “ 添加架构”。
- 选择 使用 “用户帐户” 中定义的规则。
- 在 架构名称中,输入 citrix-schema。
- 选择添加字段,然后输入以下信息:
- 在架构字段模板下的架构字段中,选择 userPrincipalName。
- 在 Google 字段详细信息下的 字段名称中,输入 UPN。
- 重复步骤 4 以创建以下字段:
- objectGUID:在架构字段模板下,选择 objectGUID。在 Google 字段详细信息下,输入 objectGUID。
- SID:在 架构字段模板下,选择 自定义。在 谷歌字段详细信息下,输入 SID。
- objectSID:在架构字段模板下,选择自定义。在 Google 字段详细信息下,输入 objectSID。
- 选择 “ 确定 ” 以保存您输入的内容。
- 按照实用程序文档中设置 与 Configuration Manager 的同步中所述,完成组织的所有剩余设置的配置并验证同 步设置。
- 选择 “ 同步并应用更改”,将A ctive Directory 与 Google 帐号同步。
同步完成后,Google Cloud 中的用户信息部分会显示用户的Active Directory 信息。
创建一个服务账号
要完成此任务,您需要一个 Google Cloud Platform 开发者帐号。
- 登录 https://console.cloud.google.com。
- 从控制面板侧边栏中,选择 IAM 和管理员 ,然后选择 服务账户。
- 选择 “ 创建服务帐户”。
- 在 服务帐户详细信息下,输入服务帐户名称和服务帐户 ID。
- 选择 “ 完成”。
创建服务账号密钥
- 在 “ 服务帐户 ” 页面上,选择您刚刚创建的服务帐户。
- 选择 “ 密钥 ” 选项卡,然后选择 “ 添加密钥” > “创建新密钥”。
- 将默认 JSON 密钥类型选项保留为选中状态。
- 选择创建。将密钥保存到稍后可以访问的安全位置。作为身份提供商连接 Google 时,您可以在 Citrix Cloud 控制台中输入私钥。
配置域范围的委派
- 启用管理软件开发工具包 API:
- 从 Google Cloud Platform 菜单中,选择 API 和服务 > 已启用的 API 和服务。
- 选择控制台顶部附近的 启用 API 和服务 。此时将显示 API 库主页。
- 搜索 管理员 SDK API ,然后从结果列表中选择它。
- 选择 “ 启用”。
- 为服务帐号创建 API 客户端:
- 从 Google Cloud Platform 菜单中,选择 IAM 和管理员 > 服务帐 号,然后选择您之前创建的服务帐号。
- 在服务帐号的 详细信息 选项卡中,展开 高级设置。
- 在 “ 域范围的委派” 下,复制客户端 ID,然后选择 “ 查看 Google Workspace 管理控制台”。
- 如果适用,请选择要使用的 Google Workspace 管理员帐户。此时将显示 Google 管理控制台。
- 在 Google 管理后台侧栏中,依次选择 “ 安全” > “访问和数据控制” > “API 控制”。
- 在 “ 域范围的委派” 下,单击 “ 管理域范围的授权”。
- 选择 “ 新增”。
- 在 “ 客户端 ID ” 中,粘贴您在步骤 C 中复制的服务帐号的客户端 ID。
-
在 OAuth 作用域中,用逗号分隔的单行输入以下作用域:
https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.domain.readonly <!--NeedCopy--> - 选择 授权。
添加只读 API 用户账户
在此任务中,您将创建一个具有 Citrix Cloud 只读 API 访问权限的 Google Workspace 用户帐户。此账户不用于任何其他目的,也没有其他权限。
- 从 Google 管理员菜单中,选择 目录 > 用户。
- 选择 添加新用户 并输入相应的用户信息。
- 选择 添加新用户 以保存帐户信息。
- 为只读用户账户创建自定义角色:
- 从 Google 管理员菜单中,选择 “ 帐户” > “管理员角色”。
- 选择 创建新角色。
- 输入新角色的名称。示例:API-ReadOnly
- 选择继续。
- 在 管理员 API 权限下,选择以下权限:
- 用户 > 读取
- 群组 > 读取
- 域名管理
- 选择 继续 ,然后选择 创建角色。
- 将自定义角色分配给您之前创建的只读用户帐户:
- 在自定义角色详细信息页面的 管理员 窗格中,选择 分配用户。
- 开始键入只读用户帐户的名称,然后从用户列表中选择它。
- 选择 分配角色。
- 要验证角色分配,请返回 “用户” 页面(“目录” > “用户”),然后选择只读用户帐户。自定义角色分配显示在 管理员角色和权限下。
将谷歌连接到 Citrix Cloud
- 通过 https://citrix.cloud.com登录 Citrix Cloud。
- 在 Citrix Cloud 菜单中,选择 Identity and Access Management(身份和访问管理)。
- 找到 Google,然后从省略号菜单中选择 “ 连接 ”。
- 选择 导入文件 ,然后选择您在 为服务帐号创建密钥时保存的JSON 文件。此操作会导入您的私钥和您创建的 Google Cloud 服务帐号的电子邮件地址。
- 在 模拟用户中,输入只读 API 用户帐户的名称。
- 选择下一步。Citrix Cloud 会验证您的 Google 帐户详细信息并测试连接。
- 查看列出的关联域。如果正确,请选择确认以保存您的配置。
为 Google 启用工作区身份验证
- 从 Citrix Cloud 菜单中,选择 工作区配置 > 身份验证。
- 选择 谷歌。出现提示时,选择 “ 我了解对订阅者体验的影响 ”,然后单击 “ 保存”。