SAML 使用 Azure AD 和 AD 身份进行 Workspace 身份验证
本文介绍如何使用 Active Directory (AD) 身份为工作区身份验证配置 SAML。无论使用哪个 SAML 提供商,Citrix Cloud 和 SAML 向 Citrix Workspace 或 Citrix Cloud 进行身份验证的默认行为都是断言 AD 用户身份。对于本文中描述的配置,需要使用 Azure AD Connect 将您的 AD 身份导入 Azure AD。
重要:
为 Workspace 最终用户确定适当的 SAML 流程至关重要,因为这会直接影响他们的登录流程和资源可见性。所选身份会影响 Workspace 最终用户可访问的资源类型。 有一篇相关文章提供了有关使用 Azure AD 作为 SAML 提供者使用 AAD 身份在 Workspace 中进行身份验证的说明。您可以在 SAML 中找到使用 Azure AD 和 AAD 身份进行工作区身份验证的详细说明。 通常,Workspace 最终用户通常需要打开加入 AD 域的 VDA 提供的应用程序和桌面。在决定最适合贵组织的 SAML 流程之前,必须仔细阅读两篇文章中概述的用例。如果不确定,Citrix 建议使用 AD SAML 流程并按照本文中的说明进行操作,因为它符合最常见的 DaaS 方案。
功能范围
本文适用于使用以下 Citrix Cloud 和 Azure 功能组合的用户:
- 使用 AD 身份进行工作区身份验证的 SAML
- 使用 AD 身份登录 Citrix Cloud 管理员时使用 SAML
- 使用加入了 AD 域的 VDA 发布的 Citrix DaaS 和 HDX 资源枚举
- 加入 AD 域的 VDA 资源枚举
哪个最好:AD 身份还是 Azure AD 身份
要确定您的工作区用户应该使用 SAML AD 还是 SAML Azure AD 身份进行身份验证,请执行以下操作:
- 决定您打算在 Citrix Workspace 中向用户提供哪种资源组合。
-
使用下表来确定哪种类型的用户身份适合每种资源类型。
资源类型 (VDA) 登录 Citrix Workspace 时的用户身份 需要使用 Azure AD 的 SAML 身份吗? FAS 提供对 VDA 的单点登录 (SSO) 吗? 已加入 AD AD,从 AD 导入的 Azure AD(包含 SID) 否。使用默认 SAML。 是
配置自定义 Azure AD Enterprise SAML 应用程序
默认情况下,SAML 登录工作区的行为是根据 AD 用户身份进行断言。
- 登录 Azure 门户。
- 从门户菜单中选择 Azure Active Directory。
- 在左侧窗格的“管理”下,选择“企业应用程序”。
-
在搜索框中,输入
Citrix Cloud SAML SSO以找到 Citrix SAML 应用程序模板。
-
为 SAML 应用程序输入合适的名称,例如
Citrix Cloud SAML SSO Production
- 在左侧导航窗格中,选择单点登录,然后在工作窗格中单击 SAML。
- 在“基本 SAML 配置”部分中,单击“编辑”并配置以下设置:
- 在 标识符(实体 ID) 部分,选择 添加标识符 ,然后输入与您的 Citrix Cloud 租户所在区域关联的值:
- 对于欧洲、美国和亚太南部地区,请输入
https://saml.cloud.com。 - 对于日本区域,请输入
https://saml.citrixcloud.jp。 - 对于 Citrix Cloud Government 区域,请输入
https://saml.cloud.us。
- 对于欧洲、美国和亚太南部地区,请输入
- 在“回复 URL(断言消费者服务 URL)”部分,选择“添加回复 URL”,然后输入与 Citrix Cloud 租户所在区域关联的值:
- 对于欧洲、美国和亚太南部地区,请输入
https://saml.cloud.com/saml/acs。 - 对于日本区域,请输入
https://saml.citrixcloud.jp/saml/acs。 - 对于 Citrix Cloud Government 区域,请输入
https://saml.cloud.us/saml/acs。
- 对于欧洲、美国和亚太南部地区,请输入
- 在“登录 URL”部分,输入您的 Workspace URL。
- 在注销 URL(可选)部分,输入与您的 Citrix Cloud 租户所在区域关联的值:
- 对于欧洲、美国和亚太南部地区,请输入
https://saml.cloud.com/saml/logout/callback。 - 对于日本区域,请输入
https://saml.citrixcloud.jp/saml/logout/callback。 - 对于 Citrix Cloud Government 区域,请输入
https://saml.cloud.us/saml/logout/callback。
- 对于欧洲、美国和亚太南部地区,请输入
- 在命令栏上,单击“保存”。“基本 SAML 配置”部分显示如下:
- 在 标识符(实体 ID) 部分,选择 添加标识符 ,然后输入与您的 Citrix Cloud 租户所在区域关联的值:
-
在“属性和声明”部分,单击“编辑”以配置以下声明。这些声明出现在 SAML 响应中的 SAML 断言中。创建 SAML 应用程序后,配置以下属性。
- 对于 唯一用户标识符(姓名 ID) 声明,请保留默认值
user.userprincipalname。 - 对于 cip_upn 声明,请保留
user.userprincipalname的默认值。 - 对于 cip_email 声明,请保留
user.mail的默认值。 - 对于 cip_sid 声明,请保留
user.onpremisesecurityidentitier的默认值。 - 对于 cip_oid 声明,请编辑现有声明并选择来源属性。搜索字符串
object并选择user.onpremisesimmutableid。
- 对于 displayName,请保留
user.displayname的默认值。 - 在“其他声明”部分中,对于
http://schemas.xmlsoap.org/ws/2005/05/identity/claims命名空间的所有剩余声明,请单击省略号 (…) 按钮,然后单击“删除”。无需包含这些声明,因为它们是上述用户属性的重复。
完成后,“属性和声明”部分将显示如下所示:
- 使用此第三方在线工具获取 Citrix Cloud SAML 签名证书的副本。
- 在 URL 字段中输入
https://saml.cloud.com/saml/metadata并单击“加载”。
- 对于 唯一用户标识符(姓名 ID) 声明,请保留默认值
-
滚动到页面底部,然后单击“下载”。
- 配置 Azure Active Directory SAML 应用程序签名设置。
- 在 Azure Active Directory SAML 应用程序中上载步骤 10 中获得的生产 SAML 签名证书
- 启用“需要验证证书”。
故障排除
- 使用 SAML 网络工具(例如 SAML-tracer browser extension)验证您的 SAML 断言包含正确的用户属性。
-
找到黄色显示的 SAML 响应并与以下示例进行比较:
- 单击底部窗格中的 SAML 选项卡,解码 SAML 响应并以 XML 格式查看。
-
滚动到响应底部,验证 SAML 断言是否包含正确的 SAML 属性和用户值。
如果您的订阅者仍然无法登录其工作区或无法看到适用于 Windows 365 桌面的 Citrix HDX Plus,请联系 Citrix 支持部门并提供以下信息:
- SAML-tracer 捕获
- 登录 Citrix Workspace 失败的日期和时间
- 受影响的用户名
- 您用于登录 Citrix Workspace 的客户端计算机的主叫方 IP 地址。您可以使用像 https://whatismyip.com 这样的工具来获取这个 IP 地址。