Citrix Cloud

将 SAML 作为身份提供商连接到 Citrix Cloud

Citrix Cloud 支持使用 SAML(安全断言标记语言)作为身份提供程序来对登录其工作区的 Citrix Cloud 管理员和订阅者进行身份验证。您可以将自己选择的 SAML 2.0 提供程序与本地Active Directory (AD) 配合使用。

对于大多数 SAML 提供商,请使用本文中的信息设置 SAML 身份验证。如果您想在 Azure AD 中使用 SAML 身份验证,您可以选择使用 Azure AD 应用程序库中的 Citrix Cloud SAML SSO 应用程序。有关使用 Citrix Cloud SAML SSO 应用程序在 Citrix Cloud 中设置 SAML 身份验证的更多信息,请参阅 Azure AD 应用程序文档网站上的 Azure Active Directory 单点登录 (SSO) 与 Citrix Cloud SAML SSO 集成

必备条件

在 Citrix Cloud 中使用 SAML 身份验证有以下要求:

  • 支持 SAML 2.0 的 SAML 提供商
  • 本地 AD 域
  • 两个 Cloud Connector 部署到资源位置并加入到您的本地 AD 域。Cloud Connector 用于确保 Citrix Cloud 可以与您的资源位置进行通信。
  • 与您的 SAML 提供商的 AD 集成。

Cloud Connector

您至少需要两 (2) 台服务器才能安装 Citrix Cloud Connector 软件。Citrix 建议至少使用两台服务器以Cloud Connector 高可用性。这些服务器必须满足以下要求:

  • 符合 Cloud Connector 技术详情中描述的系统要求。
  • 未安装任何其他 Citrix 组件,不是 AD 域控制器,也不是对资源位置基础架构至关重要的计算机。
  • 已加入您的资源所在的域。如果用户访问多个域中的资源,则需要在每个域中至少安装两个 Cloud Connector。
  • 已连接到可以联系订阅者通过 Citrix Workspace 访问的资源的网络。
  • 已连接到 Internet。有关详细信息,请参阅系统和连接要求

有关安装 Cloud Connector 的详细信息,请参阅 Cloud Connector 安装

Active Directory

在配置 SAML 身份验证之前,请执行以下任务:

  • 验证您的工作区订阅者在Active Directory (AD) 中是否有用户帐户。配置 SAML 身份验证后,没有 AD 帐户的订阅者无法成功登录其工作区。
  • 确保已填充订阅者 AD 帐户中的用户属性。订阅者登录 Citrix Workspace 时,Citrix Cloud 需要这些属性来建立用户上下文。如果未填充这些属性,订阅者将无法登录。这些属性包括:
    • 电子邮件地址
    • 显示名称(可选)
    • 常见的名字
    • SAM 帐户名
    • 用户主体名称
    • 对象 GUID
    • SID
  • 通过在本地 AD 中部署 Cloud Connector,将 Active Directory (AD) 连接到 Citrix Cloud 帐户。
  • 将您的 AD 用户与 SAML 提供商同步。Citrix Cloud 要求您的工作空间订阅者具有 AD 用户属性,以便他们能够成功登录。

SAML 与Active Directory 集成

在启用 SAML 身份验证之前,您必须将本地 AD 与 SAML 提供商集成。此集成允许 SAML 提供商在 SAML 断言中将以下必需的 AD 用户属性传递给 Citrix Cloud:

  • SecurityIDentifier (SID)
  • objectGUID (OID)
  • userPrincipalName (UPN)
  • 邮件(电子邮件)

尽管精确的集成步骤因 SAML 提供商而异,但集成过程通常包括以下任务:

  1. 在 AD 域中安装同步代理,以便在域和 SAML 提供商之间建立连接。
  2. 如果您还没有映射到上述 AD 用户属性的自定义属性,请创建自定义属性并将其映射到 AD。本文中的 创建和映射自定义 SAML 属性 中介绍了此任务的一般步骤,以供参考。
  3. 将您的 AD 用户与 SAML 提供商同步。

注意:

如果您已经创建了映射到本部分前面列出的必需 AD 用户属性的自定义属性,则无需创建和映射更多自定义属性。相反,在 Citrix Cloud 中 配置来自 SAML 提供商的元数据时,请 使用现有的自定义属性。

有关将 AD 与 SAML 提供商集成的更多信息,请查阅 SAML 提供商的产品文档。

使用 SAML 2.0 进行管理员身份验证

Citrix Cloud 支持使用 SAML 2.0 对 AD 中管理员组的成员进行身份验证。有关向 Citrix Cloud 添加管理员组的更多信息,请参阅 管理管理员组

使用现有 SAML 连接进行管理员身份验证

如果您已在 Citrix Cloud 中拥有 SAML 2.0 连接并希望使用它对管理员进行身份验证,则必须先在 身份和访问管理 中断开 SAML 2.0 连接,然后重新配置连接。如果您使用 SAML 连接对 Citrix Workspace 订阅者进行身份验证,则还必须在 Workspace 配置中禁用 SAML 身份验证方法。重新配置 SAML 连接后,您可以将管理员组添加到 Citrix Cloud。

如果您在未先断开连接并重新连接 SAML 2.0 的情况下尝试添加管理员组,则不会显示将管理员组添加到 Citrix Cloud 中描述的 Active Directory 身份选项。

有关更多信息,请参阅本文中的 任务概述

任务概述

要在 Citrix Cloud 中设置新的 SAML 2.0 连接,请执行以下任务:

  1. 身份和访问管理中,按照将 Active Directory 连接到 Citrix Cloud 中所述,将本地 AD 连接到 Citrix Cloud。
  2. 按照本文中的 SAML 与 Active Directory 集成中所述,将 SAML 提供商与本地 AD 集成。
  3. 配置管理员可用于登录 Citrix Cloud 的登录 URL
  4. 身份和访问管理中,在 Citrix Cloud 中 配置 SAML 身份验证 。此任务包括使用来自 Citrix Cloud 的 SAML 元数据配置 SAML 提供商,然后使用来自 SAML 提供商的元数据配置 Citrix Cloud 以创建 SAML 连接。

如果您已在 Citrix Cloud 中拥有 SAML 2.0 连接并希望将其用于管理员身份验证,请执行以下任务:

  1. 如果适用,请禁用 SAML 2.0 工作区身份验证:在 Workspace 配置 > 身份验证中,选择其他身份验证方法,然后在出现提示时选择 确认
  2. 断开现有的 SAML 2.0 连接:在 身份和访问管理 > 身份验证中,找到 SAML 连接。从最右侧的省略号菜单中,选择 断开连接。选择 是,断开连接 以确认操作。
  3. 重新连接 SAML 2.0 并配置连接:在 SAML 2.0的省略号菜单中,选择 连接
  4. 出现提示时,输入管理员用于 登录的登录 URL 的唯一标识符。
  5. 按照本文中的 配置 SAML 提供程序元数据中所述配置 SAML 连接。

配置 SAML 连接后,您可以将 AD 管理员组添加到 Citrix Cloud,如 管理管理员组中所述。您还可以 为工作区订阅者重新启用 SAML ,如本文所述。

创建和映射自定义 SAML 属性

如果您已在 SAML 提供程序中配置了 SID、UPN、OID 和电子邮件属性的自定义属性,则不必执行此任务。继续执行 创建 SAML 连接器应用程序 并使用步骤 8 中的现有自定义 SAML 属性。

注意:

本节中的步骤描述了您在 SAML 提供商的管理控制台中执行的操作。用于执行这些操作的特定命令可能与本部分中描述的命令有所不同,具体取决于您选择的 SAML 提供商。本节中的 SAML 提供程序命令仅作为示例提供。有关适用于 SAML 提供商的相应命令的更多信息,请参阅 SAML 提供商的文档。

  1. 登录 SAML 提供商的管理控制台,然后选择用于创建自定义用户属性的选项。例如,根据您的 SAML 提供商的控制台,您可以选择用户 > 自定义用户字段 > 新建用户字段
  2. 添加以下属性:
    • cip_sid
    • cip_upn
    • cip_oid
    • cip_email
  3. 选择您与 Citrix Cloud 连接的 AD。例如,根据您的 SAML 提供商的控制台,您可以选择用户 > 目录
  4. 选择用于添加目录属性的选项。例如,根据您的 SAML 提供商的控制台,您可以选择 目录属性
  5. 选择用于添加属性的选项,并将以下 AD 属性映射到您在步骤 2 中创建的自定义用户属性:
    • 选择 objectSid 并映射到 cip_sid 属性。
    • 选择 userPrincipalName 并映射到 cip_upn 属性。
    • 选择 ObjectGUID 并映射到 cip_oid 属性。
    • 选择 mail 并映射到 cip_email 属性。

配置管理员登录 URL

  1. 通过 https://citrix.cloud.com登录 Citrix Cloud。
  2. 在 Citrix Cloud 菜单中,选择 Identity and Access Management(身份和访问管理)。
  3. 找到 SAML 2.0 ,然后从省略号菜单中选择连接
  4. 出现提示时,为贵公司输入一个简短的 URL 友好型标识符,然后选择 保存并继续。此时 将显示配置 SAML 页面。
  5. 继续下一部分以配置与 Citrix Cloud 的 SAML 连接。

配置 SAML 提供程序元数据

在此任务中,您将使用来自 Citrix Cloud 的 SAML 元数据创建连接器应用程序。配置 SAML 应用程序后,您可以使用连接器应用程序中的 SAML 元数据来配置与 Citrix Cloud 的 SAML 连接。

注意:

本节中的一些步骤描述了您在 SAML 提供商的管理控制台中执行的操作。用于执行这些操作的特定命令可能与本部分中描述的命令有所不同,具体取决于您选择的 SAML 提供商。本节中的 SAML 提供程序命令仅作为示例提供。有关适用于 SAML 提供商的相应命令的更多信息,请参阅 SAML 提供商的文档。

创建 SAML 连接器应用程序

  1. 从 SAML 提供商的管理控制台中,为身份提供商添加具有属性和签名响应的应用程序。例如,根据提供商的控制台,您可以选择应用程序 > 应用程序 > 添加应用程序,然后选择 SAML 测试连接器(带符号响应的 IdP w/attr)
  2. 如果适用,请输入显示名称并保存应用程序。
  3. 在 Citrix Cloud 的 配置 SAML 屏幕中,在 SAML 元数据中,选择 下载。元数据 XML 文件将显示在另一个浏览器选项卡中。

    注意:

    如果需要,也可以从下载此文件 https://saml.cloud.com/saml/metadata.xml。在导入和监视 SAML 提供商元数据时,此端点可能对某些身份提供商更友好。

  4. 输入连接器应用程序的以下详细信息:
    • 在“受 ”字段中,输入 https://saml.cloud.com
    • 在“收 件人”字段中,输入 https://saml.cloud.com/saml/acs
    • 在 ACS URL 验证器的字段中,输入 https://saml.cloud.com/saml/acs
    • 在 ACS URL 的字段中,输入 https://saml.cloud.com/saml/acs
  5. 在应用程序中添加自定义 SAML 属性作为参数值:

    创建此字段 分配此自定义属性
    cip_sid cip_sid 或您现有的 SID 属性
    cip_upn cip_upn 或您现有的 UPN 属性
    cip_oid cip_oid 或您现有的 OID 属性
    cip_email cip_email 或您现有的电子邮件属性
  6. 将您的 Workspace 订阅者添加为用户,以允许他们访问应用程序。

将 SAML 提供商元数据添加到 Citrix Cloud

  1. 从 SAML 提供商处获取 SAML 元数据。下图是此文件外观的示例: SAML 元数据文件
  2. 在 Citrix Cloud 的 配置 SAML 屏幕中,从 SAML 提供商的元数据文件中输入以下值:
    • 实体 ID 中,输入元数据中 EntityDescriptor 元素的 entityID 值。 来自 SAML 元数据文件的实体 ID

    • 签名身份验证请求中,选择 以允许 Citrix Cloud 对身份验证请求进行签名,证明这些请求来自 Citrix Cloud 而不是恶意行为者。如果您希望将 Citrix ACS URL 添加到 SAML 提供商用于安全发布 SAML 响应的允许列表中,请选择“”。
    • SSO 服务 URL 中,输入要使用的绑定机制的 URL。您可以使用 HTTP-POST 或 HTTP 重定向绑定。在元数据文件中,找到绑定值为 HTTP-POSTHTTP 重定向SingleSignOnService 元素。 来自 SAML 元数据文件的 SSO 服务 URL

    • 绑定机制中,选择与从元数据文件中选择的 SSO 服务 URL 的绑定匹配的机制。
    • SAML 响应中,选择您的 SAML 提供商用于 SAML 响应和 SAML 断言的签名方法。默认情况下,Citrix Cloud 拒绝任何未按此字段中指定的方式签名的响应。
  3. 在 SAML 提供商的管理控制台中,执行以下操作:
    • 选择 SHA-256 作为 SAML 签名算法。
    • 将 X.509 证书下载为 PEM 文件。
  4. 在 Citrix Cloud 的配置 SAML 屏幕中,选择上传文件 ,然后选择您在上一步中下载的 PEM 文件。
  5. 选择继续以完成上传。
  6. 身份验证上下文中,选择要使用的上下文以及希望 Citrix Cloud 强制执行此上下文的严格程度。选择最小可在所选上下文中请求身份验证,而不在该上下文中强制执行身份验证。选择“精确”可在选定的上下文中请求身份验证,并仅在该上下文中强制执行身份验证。如果您的 SAML 提供程序不支持身份验证上下文,或者您选择不使用它们,请选择未指定最小值
  7. 注销 URL 中,在 SAML 提供商的元数据文件中找到具有 HTTP 重定向绑定的 SingleSignOnService 元素,然后输入 URL。如果您选择省略注销 URL,Citrix Cloud 不会向身份提供商发送注销请求。相反,Citrix Cloud 会重定向到工作区 URL。Citrix Cloud 不支持单点注销 (SLO) 或发送已签名的注销请求。
  8. 验证 Citrix Cloud 中的以下默认名称属性值与 SAML 提供商管理控制台中的相应属性值相匹配。如果您的 SAML 提供程序具有不同的值,则可以在 Citrix Cloud 中更改这些值,以确保它们与您的 SAML 提供商匹配。
    • 用户显示名称的属性名称displayName
    • 用户给定名称的属性名称givenName
    • 用户系列名称的属性名称familyName
  9. 在 Citrix Cloud 中,输入来自您的 SAML 提供商的自定义 SAML 属性:
    • 安全标识符 (SID) 的属性名称中,输入自定义 SID 属性名称。默认值为 cip_sid
    • 用户主体名称 (UPN) 的属性名称中,输入您的自定义 UPN 属性名称。默认值为 cip_upn
    • 电子邮件的属性名称中,输入您的自定义电子邮件属性名称。默认值为 cip_email
    • AD 对象标识符 (OID) 的属性名称中,输入自定义 OID 属性名称。默认值为 cip_oid
  10. 选择 测试和完成 以验证是否已成功配置连接。

从 AD 向 Citrix Cloud 添加管理员

有关在 Citrix Cloud 中添加和管理 AD 组的说明,请参阅 管理管理员组

为工作区启用 SAML 身份验证

  1. 在 Citrix Cloud 菜单中,选择 Workspace 配置
  2. 选择“身份验证”选项卡
  3. 选择 SAML 2.0

故障排除

属性错误

如果 SAML 配置中的必需属性未正确编码,则可能会出现属性错误。发生属性错误时,Citrix Cloud 将显示一条包含错误属性的错误消息。

引用了 cip_oid 的属性错误消息

要解决此类错误,请确保按照下表所述对这些属性进行编码。

属性 编码
cip_email 必须为字符串格式 (user@domain)
cip_oid 必须为 Base64 或字符串格式
cip_sid 必须为 Base64 或字符串格式
cip_upn 必须为字符串格式 (user@domain)

意外错误

在以下情况下,Citrix Cloud 可能会遇到意外错误:

  • 用户使用 IDP 发起的流程发起 SAML 请求。例如,请求是通过身份提供商的应用程序门户选择磁贴,而不是直接导航到工作区 URL (customer.cloud.com) 来发出的。
  • SAML 证书无效或已过期。
  • 身份验证上下文无效。
  • SAML 断言和响应签名不匹配。

发生此错误时,Citrix Cloud 将显示一条一般错误消息。

意外的错误消息

如果通过身份提供商的应用程序门户导航到 Citrix Cloud 导致此错误,则可以使用以下解决方法:

  1. 在身份提供商的应用程序门户中创建引用您的工作区 URL 的书签应用程序(例如, https://customer.cloud.com)。
  2. 将用户分配给 SAML 应用程序和书签应用程序。
  3. 更改 SAML 应用程序和书签应用程序的可见性设置,以便在应用程序门户中显示书签应用程序并隐藏 SAML 应用程序。
  4. 禁用 Prompt=Login 参数以删除其他密码提示。

更多信息

将 SAML 作为身份提供商连接到 Citrix Cloud