Citrix Endpoint Management

通过 Citrix Cloud 对 Azure Active Directory 进行身份验证(预览版)

此功能可作为预览版使用。要启用使用 Azure Active Directory (AAD) 通过 Citrix Cloud (AAD) 进行身份验证,请与您的 Citrix 支持代表联系。

Endpoint Management 支持通过 Citrix Secure Hub 注册的用户使用 Azure Active Directory 凭据进行身份验证。Endpoint Management 支持对在旧设备管理模式下运行的 iOS 设备和 Android 设备使用 Azure AD 进行身份验证。有关详细信息,请参阅 适用于 REST 的公共 API 服务 PDF 中的第 3.3.2 节“Login (Cloud Credentials)”[登录(云凭据)]。此身份验证方法不支持 Android Enterprise。

注意:

Endpoint Management 不支持通过 Azure Active Directory 针对注册邀请完成身份验证。如果您向用户发送了一个包含注册 URL 的注册邀请,用户将通过 LDAP 进行身份验证,而非通过 Azure AD。

Endpoint Management 使用 Citrix Cloud 服务、Citrix 身份与 Azure Active Directory 联盟。

要设置此服务,请执行以下操作:

  • 将 Citrix Cloud 配置为在 Identity & Access Management(身份识别和访问管理)中将 AAD 用作身份提供程序。
  • 在 Citrix Cloud 中的 Workspace configuration(Workspace 配置)下启用 AAD 作为身份验证方法。

加入域的用户随后可以使用 Secure Hub 通过其 AAD 凭据登录。Secure Hub 对 MAM 设备使用客户端证书身份验证。

对于 Endpoint Management 本地帐户,此身份验证方法不可用。

Citrix 建议您使用 Citrix 身份提供程序来代替与 Azure Active Directory 直接连接。

使用 Azure Active Directory 的身份验证的必备条件

  • Citrix Gateway,配置为进行基于证书的身份验证
  • Secure Hub 20.5.0 及更高版本
  • Azure Active Directory 用户凭据
  • Citrix Cloud 帐户,安装了用于目录服务同步的 Citrix Cloud Connector

将 Citrix Cloud 配置为使用 Azure Active Directory 作为您的身份提供程序

要在 Citrix Cloud 中配置 Azure Active Directory,请执行以下操作:

  1. 转至 https://citrix.cloud.com 并登录您的 Citrix Cloud 帐户。

  2. 在 Citrix Cloud 菜单中,转至身份识别和访问管理页面并连接到 Azure Active Directory。

    Citrix Cloud 屏幕

  3. 键入您的管理员登录 URL,然后单击连接

    Citrix Cloud 屏幕

  4. 登录后,您的 Azure Active Directory 帐户将连接到 Citrix Cloud。身份识别和访问管理 > 身份验证页面显示哪些帐户用于登录您的 Citrix Cloud 和 Azure AD 帐户。

    Citrix Cloud 屏幕

将 Citrix 身份配置为适用于 Endpoint Management 的 IdP 类型

在 Citrix Cloud 中配置 Azure Active Directory 后,请按如下所示配置 Endpoint Management。

  1. 在 Endpoint Management 控制台中,转至设置 > 身份提供程序(IDP),然后单击添加

  2. 身份提供程序(IDP) 页面中,配置以下设置:

    IdP 配置屏幕

    • IDP 名称: 键入用于识别要创建的 IdP 连接的唯一名称。
    • IDP 类型: 选择 Citrix 身份平台
    • 身份验证域: 选择 Citrix Cloud 域。如果不确定要选择的域,您的域将在 Citrix Cloud 身份识别和访问管理 > 身份验证页面上显示。
  3. 单击下一步。在 IDP 声明用法页面中,配置以下设置:

    IdP 配置屏幕

    • 用户标识符类型: 此字段设置为 userPrincipalName
    • 用户标识符字符串: 此字段自动填充。
  4. 单击下一步,检查摘要页面,然后单击保存

    Secure Hub 用户、Endpoint Management 控制台和自助服务门户用户现在可以使用其 Azure Active Directory 凭据登录。

Secure Hub 身份验证流程

在将 Endpoint Management 配置为使用 Citrix 身份作为其 IdP 的情况下,面向通过 Secure Hub 注册的设备的 Secure Hub 身份验证流程如下:

  1. 用户开始使用 Secure Hub。
  2. Secure Hub 将身份验证请求传递到 Citrix 身份,该身份再将请求传递到 Azure Active Directory。
  3. 用户键入其用户名和密码。
  4. Azure Active Directory 验证用户并将某个代码发送到 Citrix 身份。
  5. Citrix 身份将该代码发送到 Secure Hub,后者再将该代码发送到 Endpoint Management 服务器。
  6. Endpoint Management 使用该代码和机密获取 ID 令牌,然后验证该 ID 令牌中的用户信息。Endpoint Management 返回会话 ID。

通过 Citrix Cloud 对 Azure Active Directory 进行身份验证(预览版)