使用 Azure Active Directory 的单点登录

Endpoint Management 支持对以下场景使用 Azure Active Directory 凭据的单点登录:

  • 用户通过 Citrix Secure Hub 注册(Android 或 iOS)
  • 对于 RBAC 用户角色,对 Endpoint Management 自助服务门户进行身份验证
  • 管理员对 Endpoint Management 控制台进行身份验证
  • 对于 Endpoint Management,管理员使用通过 Citrix Cloud API 获取的令牌对适用于 REST 服务的公用 API 进行身份验证。
  • 有关详细信息,请参阅适用于 REST 的公共 API 服务 PDF 中的第 3.3.2 节“Login (Cloud Credentials)”[登录(云凭据)]。

Endpoint Management 使用 Citrix Cloud 服务 Citrix 身份平台与 Azure Active Directory 联盟。Citrix 身份平台是一项身份提供程序 (IDP) 服务。

要设置此服务,请将 Citrix Cloud 配置为使用 Azure Active Directory 作为您的身份提供程序。然后,请为 Endpoint Management 将 Citrix 身份平台配置为 IDP 类型。用户之后可以使用其 Azure Active Directory 凭据登录 Secure Hub。Secure Hub 对 MAM 设备使用客户端证书身份验证。

Citrix 建议您使用 Citrix 身份平台来代替与 Azure Active Directory 直接连接。

使用 Azure Active Directory 的单点登录的必备条件

  • 配置为进行基于证书的身份验证的 Citrix Gateway
  • Secure Hub 10.7.20(最低版本)
  • Azure Active Directory 用户凭据

将 Citrix Cloud 配置为使用 Azure Active Directory 作为您的身份提供程序

要在 Citrix Cloud 中配置 Azure Active Directory,请执行以下操作:

  1. 转至 https://citrix.cloud.com 并登录您的 Citrix Cloud 帐户。

  2. 在 Citrix Cloud 菜单中,转至身份识别和访问管理页面并连接到 Azure Active Directory。

    Citrix Cloud 屏幕示意图

  3. 键入您的管理员登录 URL,然后单击连接

    Citrix Cloud 屏幕示意图

  4. 登录后,您的 Azure Active Directory 帐户将连接到 Citrix Cloud。身份识别和访问管理 > 身份验证页面显示哪些帐户用于登录您的 Citrix Cloud 和 Azure AD 帐户。

    Citrix Cloud 屏幕示意图

为 Endpoint Management 将 Citrix 身份平台配置为 IDP 类型

在 Citrix Cloud 中配置 Azure Active Directory 后,请按如下所示配置 Endpoint Management。

  1. 在 Endpoint Management 控制台中,转至设置 > 身份提供程序(IDP),然后单击添加

  2. 身份提供程序(IDP) 页面中,配置以下设置:

    IDP 配置屏幕图

    • IDP 名称: 键入用于识别要创建的 IDP 连接的唯一名称。
    • IDP 类型: 选择 Citrix 身份平台
    • 身份验证域: 选择 Citrix Cloud 域。如果不确定要选择的域,您的域将在 Citrix Cloud 身份识别和访问管理 > 身份验证页面上显示。
  3. 单击下一步。在 IDP 声明用法页面中,配置以下设置:

    IDP 配置屏幕图

    • 用户标识符类型: 此字段设置为 userPrincipalName
    • 用户标识符字符串: 此字段自动填充。
  4. 单击下一步,检查摘要页面,然后单击保存

    Secure Hub 用户、Endpoint Management 控制台和自助服务门户用户现在可以使用其 Azure Active Directory 凭据登录。

Endpoint Management 管理员和用户身份验证流程

Endpoint Management 控制台和 Endpoint Management 自助服务门户的登录屏幕包括链接使用我的公司凭据登录

Endpoint Management 登录图

单击该链接以输入您的 Azure Active Directory 凭据。成功对您进行身份验证后,Endpoint Management 将不要求您进行登录以便将来进行访问。

如果从加入了域的设备登录 Endpoint Management 控制台或自助服务门户,并单击使用我的公司凭据登录链接:Endpoint Management 将提供单点登录体验。此时不显示任何身份验证提示。

Secure Hub 身份验证流程

在将 Endpoint Management 配置为使用 Citrix 身份平台作为其 IDP 的情况下,面向通过 Secure Hub 注册的设备的 Secure Hub 身份验证流程如下:

  1. 用户开始使用 Secure Hub。
  2. Secure Hub 将身份验证请求传递到 Citrix 身份平台,该平台再将请求传递到 Azure Active Directory。
  3. 用户键入其用户名和密码。
  4. Azure Active Directory 验证用户并将某个代码发送到 Citrix 身份平台。
  5. Citrix 身份平台将该代码发送到 Secure Hub,后者再将该代码发送到 Endpoint Management 服务器。
  6. Endpoint Management 使用该代码和机密获取 ID 令牌,然后验证该 ID 令牌中的用户信息。Endpoint Management 返回一个会话 ID。

加入了域的设备的用户可以使用其 Azure Active Directory 凭据进行单点登录体验。对于 Endpoint Management 本地帐户,单点登录不可用。