通过 Citrix Cloud 使用 Azure Active Directory 进行身份验证
Endpoint Management 支持通过 Citrix Cloud 使用 Azure Active Directory (Azure AD) 凭据进行身份验证。此身份验证方法仅适用于通过 Citrix Workspace 应用程序或 Citrix Secure Hub 注册 MDM 的用户。如果 Endpoint Management 已启用工作区,则用户可从 Citrix Workspace 应用程序访问资源。如果您未启用 Citrix Workspace 与 Citrix Endpoint Management 的集成,则用户可以从 Secure Hub 访问资源。
在 MAM 中注册的设备无法通过 Citrix Cloud 使用 Azure AD 凭据进行身份验证。要将 Secure Hub 与 MDM+MAM 结合使用,请将 Endpoint Management 配置为使用 Citrix Gateway 进行 MAM 注册。有关更多信息,请参阅 Citrix Gateway 和 Endpoint Management。
Endpoint Management 使用 Citrix Cloud 服务、Citrix 身份与 Azure Active Directory 联盟。Citrix 建议您使用 Citrix 身份提供程序来代替与 Azure Active Directory 直接连接。
Endpoint Management 支持以下平台使用 Azure AD 进行身份验证:
- 未在 Apple 商务管理或 Apple 校园教务管理中注册的 iOS 和 macOS 设备
- 在 Apple 商务管理中注册的 iOS 和 macOS 设备
- 适用于 BYOD 和完全托管模式的 Android Enterprise 设备(预览版)
通过 Citrix Cloud 使用 Azure AD 进行身份验证具有以下限制:
- 不适用于 Endpoint Management 本地帐户。
- 不支持通过 Azure AD 对注册邀请进行身份验证。如果您向用户发送了一个包含注册 URL 的注册邀请,用户将通过 LDAP 进行身份验证,而非通过 Azure AD。
必备条件
- Azure Active Directory 用户凭据
- Active Directory 中的用户组必须与 Azure Active Directory 中的用户组匹配。
- Active Directory 中的用户名和电子邮件地址必须与 Azure Active Directory 中的用户名和
- Citrix Cloud 帐户,安装了用于目录服务同步的 Citrix Cloud Connector。
- Citrix Gateway。Citrix 建议您启用基于证书的身份验证以实现完整的单点登录体验。如果您在 Citrix Gateway 上使用 LDAP 身份验证进行 MAM 注册,最终用户在注册期间会遇到双身份验证提示。有关详细信息,请参阅客户端证书或证书加域身份验证。
- 如果 Endpoint Management 未启用 Workspace,则为 Secure Hub。
- 如果 Endpoint Management 已启用 Workspace,则 Citrix Workspace 应用程序。有关启用 Citrix Workspace 集成的信息,请参阅 Workspace 配置。
- 在 Android Enterprise 的注册配置文件中,将 允许用户拒绝设备管理设 置为 关闭。如果用户拒绝设备管理,则无法使用身份提供商注册进行身份验证。有关详细信息,请参阅 注册安全性。
可以在启用或不启用 Workspace 的情况下配置此功能。
如果 Endpoint Management 启用了 Workspace,则配置
如果将 Endpoint Management 与 Citrix Workspace 集成,则通过 Citrix Cloud 使用 Azure AD 配置身份验证的一般步骤如下:
- 将 Citrix Cloud 配置为使用 Azure AD 作为身份提供程序。
- 将 Azure AD 配置为 Citrix Workspace 的身份验证方法。
如果 Endpoint Management 未启用 Workspace,则配置
如果未为 Endpoint Management 启用 Citrix Workspace,则通过 Citrix Cloud 使用 Azure AD 配置身份验证的一般步骤如下:
- 将 Citrix Cloud 配置为使用 Azure AD 作为身份提供程序。
- 将 Citrix 身份配置为 Endpoint Management 的 IdP 类型。
完成该配置后,已加入域的 Secure Hub 用户可以使用 Secure Hub 使用其 Azure AD 凭据登录。Secure Hub 对 MAM 设备使用客户端证书身份验证。
将 Citrix Cloud 配置为使用 Azure Active Directory 作为您的身份提供程序
要将此服务设置为与 Citrix Workspace 应用程序和 Secure Hub 配合使用,请在 Citrix Cloud 中配置 Azure Active Directory。
-
转到 https://citrix.cloud.com 并登录到您的 Citrix Cloud 帐户。
-
在 Citrix Cloud 菜单中,转至身份识别和访问管理页面并连接到 Azure Active Directory。
-
键入您的管理员登录 URL,然后单击连接。
-
登录后,您的 Azure Active Directory 帐户将连接到 Citrix Cloud。身份识别和访问管理 > 身份验证页面显示哪些帐户用于登录您的 Citrix Cloud 和 Azure AD 帐户。
-
要为通过 Citrix Workspace 应用程序和 Secure Hub 注册的用户启用 Azure AD 的身份验证,请在 工作区配置 > 身份验证下,选择 Azure Active Directory。完成配置后,您可以通过 Citrix Workspace 应用程序和 Secure Hub 注册用户设备。
将 Citrix 身份配置为适用于 Endpoint Management 的 IdP 类型
此配置仅适用于通过 Secure Hub 注册的用户。在 Citrix Cloud 中配置 Azure Active Directory 后,请按如下所示配置 Endpoint Management。
-
在 Endpoint Management 控制台中,转至设置 > 身份提供程序(IDP),然后单击添加。
-
在 身份提供程序 (IDP) 页面上,配置以下内容:
- IDP 名称: 键入唯一名称以标识您正在创建的 IdP 连接。
- IDP 类型: 选择 Citrix 身份平台。
- 身份验证域: 选择 Azure Active Directory。此域对应于 Citrix Cloud Workspace 配置 > 身份验证 页面上的身份提供程序域。
-
单击下一步。在 IDP 声明使用情况 页面上,配置以下内容:
- 用户标识符类型: 默认情况下,此字段设置为 userPrincipalName。确保在本地活动目录和 Azure Active Directory Active Directory 中为所有用户配置相同的标识符。Endpoint Management 使用此标识符将身份提供商上的用户与本地 Active Directory 用户映射。
- 用户标识符字符串: 此字段自动填充。
-
单击下一步,检查摘要页面,然后单击保存。
Secure Hub 用户、Endpoint Management 控制台和自助服务门户用户现在可以使用其 Azure Active Directory 凭据登录。
Secure Hub 身份验证流程
Endpoint Management 使用以下流程在通过 Secure Hub 注册的设备上使用 Azure AD 作为 IdP 对用户进行身份验证:
- 用户开始使用 Secure Hub。
- Secure Hub 将身份验证请求传递到 Citrix 身份,该身份再将请求传递到 Azure Active Directory。
- 用户键入 Azure Active Directory 用户名和密码。
- Azure Active Directory 验证用户并将某个代码发送到 Citrix 身份。
- Citrix 身份将该代码发送到 Secure Hub,后者再将该代码发送到 Endpoint Management 服务器。
- Endpoint Management 通过使用代码和密码获取 ID 令牌,然后验证 ID 令牌中的用户信息。Endpoint Management 返回会话 ID。