Citrix Cloud

将 Okta 作为身份提供程序连接到 Citrix Cloud

Citrix Cloud 支持使用 Okta 作为身份提供程序来对登录其 Workspace 的订阅者进行身份验证。通过将您的 Okta 组织连接到 Citrix Cloud,您可以为订阅者提供通用的登录体验,以访问 Citrix Workspace 中的资源。

在 Workspace 配置中启用 Okta 身份验证后,订阅者将获得不同的登录体验。选择 Okta 身份验证提供联合登录,而不是单点登录。订阅者从 Okta 登录页面登录 Workspace,但在从 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)打开应用程序或桌面时,他们可能需要再次进行身份验证。要启用单点登录并防止出现第二次登录提示,您需要将 Citrix 联合身份验证服务与 Citrix Cloud 结合使用。有关详细信息,请参阅将 Citrix 联合身份验证服务连接到 Citrix Cloud

必备条件

Cloud Connector 或 Connector Appliance

要启用 Citrix Cloud 与您的资源位置之间的通信,需要使用 Cloud Connector 或 Connector Appliance。至少需要两个 Cloud Connector 或 Connector Appliance 才能确保与 Citrix Cloud 的高可用连接。您需要至少两个连接器加入您的 Active Directory 域。它们可以是 Cloud ConnectorConnector Appliance

连接器必须满足以下要求:

  • 满足各自文档中描述的要求
  • 已加入您的Active Directory (AD) 域。如果您的 Workspace 用户位于多个域中,则可以使用 Connector Appliance 多域功能加入多个域。
  • 已连接到可以联系用户通过 Citrix Workspace 访问的资源的网络。
  • 已连接到 Internet。有关详细信息,请参阅系统和连接要求

有关安装 Cloud Connector 的详细信息,请参阅 Cloud Connector 安装。 有关安装 Connector Appliance 的详细信息,请参阅 Connector Appliance 安装

Okta 域

将 Okta 连接到 Citrix Cloud 时,必须为组织提供 Okta 域。Citrix 支持以下 Okta 域:

  • okta.com
  • okta-eu.com
  • oktapreview.com

您还可以将 Okta 自定义域与 Citrix Cloud 配合使用。在 Okta Web 站点上的“自定义 Okta URL 域”中查看使用自定义域的重要注意事项。

有关为您的组织查找自定义域的更多信息,请参阅在 Okta 网站上查找您的 Okta 域

Okta OIDC Web 应用程序

要使用 Okta 作为身份提供商,必须首先使用可与 Citrix Cloud 配合使用的客户端凭据创建 Okta OIDC Web 应用程序。创建并配置应用程序后,请记下客户端 ID 和客户端密钥。在连接 Okta 组织时,您可以向 Citrix Cloud 提供这些值。

要创建和配置此应用程序,请参阅本文中的以下部分:

Workspace URL

创建 Okta 应用程序时,必须提供来自 Citrix Cloud 的 Workspace URL。要找到 Workspace URL,请从 Citrix Cloud 菜单中选择 Workspace 配置 。Workspace URL 显示在访问选项卡上。

重要:

如果稍后修改 Workspace URL,则必须使用新的 URL 更新 Okta 应用程序配置。否则,您的订阅者可能会遇到从其 Workspace 注销的问题。

Okta API 令牌

使用 Okta 作为 Citrix Cloud 的身份提供商需要为您的 Okta 组织提供 API 令牌。使用您的 Okta 组织中的只读管理员帐户创建此令牌。此令牌必须能够读取 Okta 组织中的用户和组。

要创建 API 令牌,请参阅本文中的 创建 Okta API 令牌 。有关 API 令牌的更多信息,请参阅 Okta 网站上的 创建 API 令牌

重要:

创建 API 令牌时,请记下令牌值(例如,将该值临时复制到纯文本文档中)。Okta 仅显示一次此值,因此您可以在执行 将 Citrix Cloud 连接到 Okta 组织中的步骤之前创建令牌。

与 Okta AD 代理同步帐户

要使用 Okta 作为身份提供商,您必须先将本地 AD 与 Okta 集成。为此,您需要在域中安装 Okta AD 代理,然后将您的 AD 添加到您的 Okta 组织。有关部署 Okta AD 代理的指导,请参阅 Okta Web 站点上的 Active Directory 集成入门

之后,将您的 AD 用户和组导入 Okta。导入时,请包括以下与您的 AD 帐户关联的值:

  • 电子邮件
  • SID
  • UPN
  • OID

注意:

如果您将 Citrix Gateway 服务与 Workspace 配合使用,则无需将 AD 帐户与 Okta 组织同步。

要将 AD 用户和组与 Okta 组织同步,请执行以下操作:

  1. 安装和配置 Okta AD 代理。有关完整说明,请参阅 Okta 网站上的以下文章:
  2. 通过执行手动导入或自动导入,将您的 AD 用户和组添加到 Okta。有关 Okta 导入方法和说明的详细信息,请参阅 Okta 网站上的 管理 Active Directory 用户和组

创建 Okta OIDC Web 应用程序集成

  1. 在 Okta 管理控制台的 应用程序下,选择 应用程序
  2. 选择 创建应用程序集成
  3. 登录方法中,选择 OIDC - OpenID Connect
  4. 应用程序类型中,选择 Web 应用程序。选择下一步
  5. 应用程序集成名称中,输入应用程序集成的友好名称。
  6. 授权类型中,选择授权码(默认选中)。
  7. 登录重定向 URI 中,输入 https://accounts.cloud.com/core/login-okta
  8. 注销重定向 URI 中,输入来自 Citrix Cloud 的 Workspace URL。
  9. 在“分配”下的“受控访问权限”中,选择是将应用程序集成分配给组织中的所有人,仅向您指定的组分配应用程序集成,还是稍后分配访问权限。
  10. 选择保存。保存应用程序集成后,控制台将显示应用程序配置页面。
  11. 在“客户端凭证”部分中,复制客户端 ID客户端密钥值。将 Citrix Cloud 连接到 Okta 组织时,您可以使用这些值。

配置 Okta OIDC Web 应用程序

在此步骤中,您将使用 Citrix Cloud 所需的设置配置 Okta OIDC Web 应用程序。Citrix Cloud 要求这些设置在订阅者登录其 Workspace 时通过 Okta 对他们进行身份验证。

  1. (可选)更新隐式授权类型的客户端权限。如果您希望允许此授权类型的最小权限,则可以选择执行此步骤。
    1. 在 Okta 应用程序配置页面的“常规”选项卡上,滚动到“常规设置”部分,然后选择“编辑”。
    2. 在“应用程序”部分的“授权类型”中,在“代表用户操作的客户端”下,清除“允许使用隐式授予类型访问令牌”设置。
    3. 选择保存
  2. 添加应用程序属性。这些属性区分大小写。
    1. 从 Okta 控制台菜单中,选择 目录 > 配置文件编辑器
    2. 选择 Okta 用户(默认) 配置文件。Okta 显示用户配置文件页面。
    3. 属性下,选择添加属性
    4. 输入以下信息:
      • 显示名称:cip_email
      • 变量名称:cip_email
      • 说明:AD 用户电子邮件
      • 属性长度:选择“大于”,然后输入 1
      • 必需属性:是
    5. 选择保存并添加另一个
    6. 输入以下信息:
      • 显示名称:cip_sid
      • 变量名:cip_sid
      • 描述:AD 用户安全标识符
      • 属性长度:选择“大于”,然后输入 1
      • 必需属性:是
    7. 选择保存并添加另一个
    8. 输入以下信息:
      • 显示名称:cip_upn
      • 变量名称:cip_upn
      • 描述:AD 用户主体名称
      • 属性长度:选择“大于”,然后输入 1
      • 必需属性:是
    9. 选择保存并添加另一个
    10. 输入以下信息:
      • 显示名称:cip_oid
      • 变量名称:cip_oid
      • 描述:AD 用户 GUID
      • 属性长度:选择“大于”,然后输入 1
      • 必需属性:是
    11. 选择保存
  3. 编辑应用程序的属性映射:
    1. 在 Okta 控制台中,选择目录 > 配置文件编辑器
    2. 找到您的 AD 的 active_directory 配置文件。此配置文件可能使用 myDomain User 格式进行标记,其中 myDomain 是您的集成 AD 域的名称。
    3. 选择“映射”。将显示您的 AD 域的“用户个人资料映射”页面,并选中用于将 AD 映射到 Okta 用户的选项卡。
    4. Okta 用户用户配置文件列中,找到您在步骤 2 中创建的属性并按如下所示进行映射:
      • 对于 cip_email,请从您的域名的“用户配置文件”列中选择 email。选中后,映射将显示为 appuser.email
      • 对于 cip_sid,请从您的域名的“用户配置文件”列中选择 objectSid。选中后,映射将显示为 appuser.objectSid
      • 对于 cip_upn,请从您的域名的“用户配置文件”列中选择 userName。选中后,映射将显示为 appuser.userName
      • 对于 cip_oid,请从您的域名的“用户配置文件”列中选择 externalId。选中后,映射将显示为 appuser.externalId
    5. 选择“保存映射”。
    6. 选择“立即应用更新”。Okta 启动一项应用映射的作业。
    7. 将 Okta 与您的 AD 同步。
      1. 在 Okta 控制台中,选择 目录 > 目录集成
      2. 选择您的集成 AD。
      3. 选择“预配”选项卡。
      4. 在“设置”下,选择“到 Okta”。
      5. 滚动到 Okta 属性映射部分,然后选择强制同步

创建 Okta API 令牌

  1. 使用只读管理员帐户登录 Okta 控制台。
  2. 从 Okta 控制台菜单中,选择 安全 > API
  3. 选择令 选项卡,然后选择 创建令牌
  4. 输入令牌的名称。
  5. 选择 创建令牌
  6. 复制令牌值。将 Okta 组织连接到 Citrix Cloud 时,需要提供此值。

将 Citrix Cloud 连接到您的 Okta 组织

  1. 通过 https://citrix.cloud.com登录 Citrix Cloud。
  2. 在 Citrix Cloud 菜单中,选择 Identity and Access Management(身份和访问管理)。
  3. 找到 Okta ,然后从省略号菜单中选择连接
  4. Okta URL 中,输入您的 Okta 域。
  5. Okta API Token(Okta API 令牌)中,输入您的 Okta 组织的 API 令牌。
  6. Client ID(客户端 ID)和 Client Secret(客户端密码)中,输入您之前创建的 OIDC Web 应用程序集成中的客户端 ID 和密码。要从 Okta 控制台复制这些值,请选择 Applications(应用程序)并找到您的 Okta 应用程序。在 Client Credentials(客户端凭据)下,对每个值使用 Copy to Clipboard(复制到剪贴板)按钮。
  7. 单击 Test and Finish(测试并完成)。Citrix Cloud 会验证您的 Okta 详细信息并测试连接。

成功验证连接后,可以为 Workspace 订阅者启用 Okta 身份验证。

为 Workspace 启用 Okta 身份验证

  1. 在 Citrix Cloud 菜单中,选择 Workspace 配置 > 身份验证
  2. 选择 Okta
  3. 出现提示时,请选择 I understand the impact on the subscriber experience(我了解对订阅者体验产生的影响)。
  4. 选择保存

切换到 Okta 身份验证后,Citrix Cloud 会暂时禁用 Workspace 几分钟。重新启用 Workspace 后,您的订阅者可以使用 Okta 登录。

更多信息

将 Okta 作为身份提供程序连接到 Citrix Cloud