参考架构:Citrix Workspace 与 nFactor 和面向 CSP 的多 IdP

简介

本文档的目的是指导 Citrix 服务提供商 (CSP) 通过 Citrix Workspace 和多个身份提供商 (IdP) 实施 Citrix Virtual Apps and Desktops 服务 (CVADS)。Citrix Workspace 支持多个 IdP 是通过使用 Citrix ADC nFactor 身份验证实现的。

csp-image-001

本文档无意提供有关如何为 CSP 部署 Citrix Virtual Apps and Desktops 服务的分步指导。它假定了解面向 CSP 的Virtual Apps and Desktops 参考架构,该体系结构为面向 CSP 的 CVADS 环境提供了深入的设计和部署注意事项。

另一方面,它假定了解 Citrix ADC、单点登录 (SSO) 和 Citrix 联合身份验证服务。有关这些技术的更多信息,请访问 docs.citrix.com。

本文档首先回顾了轻松部署 Citrix ADC nFactor 身份验证所需了解的最常见元素。接下来,它将查看构成此解决方案的组件的身份验证流程。

最后,它介绍了使用多个 IdP 部署 Citrix ADC nFactor 身份验证所需的步骤,以及如何将其与 Citrix Workspace 集成。

概述

Citrix Virtual Apps and Desktops 服务

Citrix Virtual Apps and Desktops 服务提供从任何设备或网络对集中管理的桌面和应用程序的安全访问。通过联合身份验证服务 (FAS) 和 Citrix Cloud 之间的集成,CSP 可以向虚拟应用程序和桌面工作负载提供 SSO,同时支持外部 SAML IdP。

CVADS 支持在多个资源位置托管的工作负载,包括传统的虚拟机管理程序和Microsoft Azure、GCP 和 AWS 等公有云平台。在这些资源位置托管的工作负载可以基于 Windows 或 Linux,支持多用户和单用户部署。

用户可以通过基于 Windows、Mac 和 Linux 的客户端、iOS 和Android 手机等访问其虚拟资源。Citrix Gateway 服务通常负责处理外部连接。它通过遍布全球的多个接入点提供高可用性。内部连接可以使用新的 直接工作负载连接 功能。

CSP 可以遵循面向 CSP 的Virt ual Apps and Desktops 参考体系结构 来指导构建由 CVADS 提供支持的托管 DaaS 解决方案。

Citrix ADC nFactor 身份验证

Citrix ADC nFactor 提供操作和策略,为最终客户提供可扩展、灵活的身份验证体验。此使用案例适用于向多个客户交付桌面和应用程序的 CSP,允许他们自带 SAML IDP。

nFactor 身份验证使用强大的策略引擎,允许 CSP 设计复杂的身份验证工作流。nFactor 使用策略表达式作为确定用户身份验证流程的机制。此功能基于不同的详细信息,例如用户或连接属性。

对于此架构,OAUTH IDP 策略配置为允许 Citrix ADC 处理 Citrix Workspace 的身份验证。此外,SAML(可能还有 LDAP)策略配置为连接到多个 IdP。

Citrix Workspace 体验

工作空间体验是 StoreFront 基于云的演变。通过 Workspace Experience,通信服务提供商可以交付虚拟应用程序和桌面、SSO 到 SaaS 和本地 Web 应用程序、微应用集成和操作、内容协作、端点管理功能和分析。此高级功能使 CSP 能够从单一管理平台提供集成的体验,专注于员工体验并提高工作效率。

目前,Citrix Workspace 不支持与多个 IdP 的集成。但是,许多 CSP 需要提供多个 IDP 支持,同时保持 Citrix Workspace 提供的高级功能。

OAUTH 身份验证

可以使用开放 ID 连接 (OIDC) 协议将 Citrix ADC 配置为 OAUTH 身份提供程序 (IDP)。OAUTH 通常不被称为身份验证协议,而是被称为授权框架。OIDC 在典型的 OAUTH 2.0 流程中添加了用户身份验证部分。在此架构中,Citrix Workspace 充当信任 Citrix ADC(OAUTH IDP)的 OAUTH 服务提供商 (SP)。

对于此配置,Citrix Workspace 要求 Active Directory 影子帐户通过一组 “声明”,身份验证过程才能成功。Citrix Cloud 需要这些属性才能在订阅者登录时建立用户上下文。如果未填充这些属性,则订阅者将无法登录其工作区。索赔清单将在本文件后面的章节中进行审查。

SAML 身份验证

在此架构环境中,Citrix ADC 将成为服务提供商 (SP),每个客户的身份验证解决方案都充当身份提供商 (IDP)。SP 或 IDP 可以启动 SAML 身份验证过程。此体系结构使用 SP 启动的 SAML SSO。

SAML 通信流并不意味着 SP 和 IDP 之间有直接通信。Web 浏览器处理所有通信,无需在 SP 和 IDP 之间打开防火墙端口。只有 Web 浏览器需要能够与 SP 和 IDP 通信。

概念与术语

Citrix ADC nFactor 使用一组实体,这些实体允许配置特定部署所需的不同因素。以下概念为理解 Citrix nFactor 使用的策略流奠定了基础。

  • 身份验证服务器(操作): 身份验证服务器(操作)定义给定 IDP 的特定配置,无论是本地Active Directory、Azure AD、Okta、ADFS 等。它包括 Citrix ADC 设备与 IDP 通信并对用户进行身份验证所需的详细信息。
  • 身份验证策略: 身份验证策略允许用户根据设备进行身份验证。策略使用应用策略的表达式。表达式用于让 ADC 根据用户的 UPN 将用户重定向到相应的 IDP。身份验证策略必须链接到身份验证服务器(操作)。
    • 在这些情况下最常用的表达式是 AAA.USER.NAME.SET_TEXT_MODE (IGNORECASE) .AFTER_STR (“@”) .EQ (“domain.com”)。此表达式在 “@” 符号后计算用户的 UPN 后缀,如果它与策略匹配,则应用配置的 SAML 服务器(操作)进行身份验证。
  • 登录架构: 登录架构是用 XML 编写的登录表单的逻辑表示形式,换句话说,它们代表用户界面。它是一个定义用户看到的内容并指定如何从用户那里提取数据的实体。不同的身份验证因素可以使用不同的架构(或没有架构)。Citrix ADC 为常见用例提供了多个开箱即用的架构模板,可以针对其他使用案例进行自定义。
  • 策略标签: 策略标签指定特定因素的身份验证策略。每个策略标签对应一个身份验证因素。它们基本上是可以作为单个实体链接在一起的策略的集合。策略标签中策略的结果遵循逻辑 “OR” 条件。如果第一个策略指定的身份验证成功,则跳过该策略之后的其他策略。策略标签通过登录架构定义其视图。
  • “No-Auth” 策略: 这是一项特殊策略,始终返回 “成功” 作为身份验证结果。其主要目的是在通过用户身份验证流程做出逻辑决策时允许灵活性。
  • 下一个因素: 如果身份验证流程成功,它决定了在给定步骤之后要执行的操作。它可以是额外的策略,也可以定义身份验证流程必须停止。
  • AAA 虚拟服务器: 身份验证虚拟服务器处理关联的身份验证策略并提供对环境的访问。对于这种架构,AAA 虚拟服务器取代了更常见的网关虚拟服务器,它是一个完全可寻址的虚拟服务器。只有在将 Citrix ADC 用于 HDX 流量时才需要网关虚拟服务器,在这种情况下,AAA 虚拟服务器配置为不可寻址。网关虚拟服务器集成超出了本文档的讨论范围。
  • 身份验证配置文件(可选): 身份验证配置文件允许将 AAA 虚拟服务器及其所有策略链接到网关虚拟服务器。只有在处理通过 Citrix ADC 设备的 HDX 流量时才需要此配置文件。

体系结构

通信服务提供商不断发展壮大,并在其基于 CVADS 的 DaaS 产品中增加新客户。这种增长引入了这样的要求:允许最终客户自带身份解决方案并将其与 Citrix Workspace 集成,以使用基于 CVADS 的工作负载。

Citrix Workspace 还提供高级功能,允许 CSP 将更多服务(例如 SSO 集成到 SaaS 和本地 Web 应用程序、微应用集成和操作以及内容协作)。它还提供了与 Azure AD、Okta 和 SAML 2.0 等多个 IdP 的集成。但是,目前不支持来自单个 Citrix Workspace 的多个 IdP。

从 Citrix Workspace 启动虚拟应用程序和桌面资源时,Citrix Gateway 服务会处理 HDX 代理功能。此功能似乎没有必要,因为需要使用 Citrix ADC 来提供多个 IDP 支持。但是,卸载 HDX 代理可以显著简化 CSP 端的网络带宽和可用性要求。

本参考体系结构侧重于将多个 IdP(尤其是基于 SAML 的)与 Citrix Workspace 和 CVADS 集成时的设计决策和注意事项。这种集成是通过将 Citrix Workspace 配置为向 Citrix ADC 委派用户身份验证来实现的,后者又将用户转发到各自的 IdP。

注意事项和要求

在撰写本文时,在决定将多个 IdP 集成到 CSP 托管的 CVADS 部署之前,需要考虑以下细节。

  1. AAA nFactor 功能需要 Citrix ADC 高级或高级许可证。
  2. 需要 Citrix ADC 12.1 版本 54.13 或更高版本,或 13.0 版本 41.20 或更高版本。
  3. 由于 FAS 和反向联合的限制,CVADS 多租户功能与此部署不兼容。
  4. 不同的 SAML IdP 具有不同的配置步骤。本文档中没有介绍这些步骤。
  5. 必须为每个特定客户配置 Active Directory 的备用 UPN 后缀和影子帐户。
  6. 必须在 AD 影子帐户上配置以下 AD 属性才能用作声明:
    • 电子邮件地址
    • 显示名称
    • 常见的名字
    • SAM 账户名
    • UPN
    • OID
    • SID
  7. 在配置 FAS 之前,必须配置 Active Directory 证书服务并使其可用。
  8. 虽然 Citrix FAS 已与 Citrix Workspace 集成,但它不是云服务。FAS 部署在资源位置。
  9. 本文档不包括初始 ADC 配置步骤,包括 IP、证书和网络详细信息。
  10. 不能使用不同 UPN 后缀的重复用户名。尽管 UPN 后缀不同,但 Windows 2000 之前的登录名对于所有后缀都是相同的。

用户体验

下图从用户体验的角度展示了身份验证流程。对于最终用户来说,这种体验与没有多个 IdP 的传统实施非常相似。但是,重要的是要让最终用户了解在登录时需要使用其 UPN,而不是使用更常见的 SAM 帐户名称。

csp-image-002

  1. 来自不同客户的最终用户可以从任何设备/任何网络导航到 Citrix Workspace。
  2. Citrix Workspace 自动将用户重定向到 Citrix ADC AAA 虚拟服务器。
  3. Citrix ADC AAA 虚拟服务器向用户显示用户名提示。用户必须输入他们的 UPN。
  4. 用户身份验证请求将根据用户的 UPN 后缀转发到相应的 SAML IDP。
  5. 用户通过其 IDP 进行身份验证后,他们将被重定向回 Citrix Workspace。
  6. 当用户尝试启动虚拟应用程序或虚拟桌面时,CVAD 服务会处理代理过程。
  7. Citrix Gateway 服务为虚拟资源建立 HDX 代理。
  8. Active Directory 跟踪帐户用于请求智能卡证书,以便为用户提供 SSO。
  9. 应用 FAS 规则,并通过 SSO 满足用户登录请求。

认证流程

下图显示了此体系结构中不同协议的身份验证流程。Citrix Workspace 充当 OAUTH SP,Citrix ADC 既充当 OAUTH IDP 又充当 SAML SP,客户 IDP 是 SAML IDP。

csp-image-003

  1. 最终用户通过 Web 浏览器或 Citrix Workspace 应用程序访问 Citrix Workspace (SP)。
  2. 到达 Citrix Workspace (OAUTH SP) 时,用户将被重定向到 Citrix ADC AAA 虚拟服务器 (OAUTH IDP)。
  3. 用户在 AAA 虚拟服务器 (SAML SP) 登录提示符下输入 UPN,然后重定向到身份验证服务 (SAML IDP)。
  4. SAML IDP 对用户进行身份验证并生成 SAML 断言(XHTML 表单)。
  5. SAML 断言将发送回 Citrix Workspace 应用程序。
  6. Citrix Workspace 应用程序将 SAML 断言重定向到 Citrix ADC AAA 虚拟服务器。
  7. Citrix ADC AAA 虚拟服务器将安全上下文发送回用户代理。
  8. Citrix Workspace 应用程序向 Citrix ADC AAA 虚拟服务器请求资源。
  9. Citrix ADC AAA 虚拟服务器对用户进行身份验证,并将声明发送到 Citrix Workspace。
  10. Citrix Workspace 应用程序可以访问资源。
注意:
在 SAML 流程中,Web 浏览器或 Workspace 应用程序被称为 “用户代理”,它是 HTTP 请求标头的一部分。

保单流程

下图显示了此架构的 nFactor 策略流程。了解 nFactor 策略流对于设计的身份验证架构的成功至关重要。在此图中,使用了 LDAP 策略。虽然使用 LDAP 策略是可选的,但通常的做法是向管理员提供访问权限。

csp-image-004

  1. 用户通过网络浏览器或 Citrix Workspace 应用程序访问 Citrix Workspace。身份验证请求将转发到 Citrix AAA 虚拟服务器。在 Citrix ADC 上配置了表达式 “TRUE” 的 OAUTH IDP 策略,这意味着此策略将应用于所有请求。
  2. 身份验证请求命中 “NO_AUTHN” 策略,并显示 “仅用户名” 登录架构。NO_AUTHN 策略充当占位符。NO_AUTHN 策略始终返回 “成功” 作为身份验证结果。
  3. 当用户以 UPN 格式输入其用户名时,UPN 后缀将决定评估哪个身份验证策略。在此架构中,domain1.com 被转发到 LDAP 服务器,domain2.com 被重定向到 Azure AD 租户,domain3.com 被重定向到另一个 Azure AD 租户。所有这些功能都基于每个策略使用的表达式。另请注意,这些身份验证策略绑定到 “无架构” 登录架构。此详细信息意味着用户的 Web 浏览器上不会显示任何内容。
  4. 如果用户在 domain1.com 下输入用户名,他们将被重定向到 LDAP 策略(传统 LDAP 策略)。此策略的评估结果为 “TRUE”,这意味着它会影响它评估的所有用户。在这种情况下,登录架构是 “仅限密码”,这意味着用户只能在此步骤中输入自己的 AD 密码。他们的用户名在前面的因素中被捕获。
  5. 另一方面,如果用户在 domain2.com 或 domain3.com 下输入用户名,他们将被重定向到各自的 Azure AD 租户进行登录。在这种情况下,Azure 会处理所有身份验证,这不在 Citrix ADC nFactor 引擎的范围之内。用户通过身份验证后,他们将被重定向回 Citrix ADC AAA 虚拟服务器。
  6. 身份验证请求重定向回 Citrix Gateway 后,它将通过另一个与 LDAP 策略绑定的身份验证因子。但是,此策略不执行身份验证。此策略的目的是将用户身份验证回到 Citrix Workspace 所需的声明提取回 Citrix Workspace。所有 SAML 策略都将重定向到此单个 LDAP 策略。此时不会向用户显示登录架构,也不需要输入任何信息,此过程会自动进行。
  7. 用户声明存储在 Citrix ADC 上,然后传回给 Citrix Workspace。Citrix Workspace 接受来自 Citrix ADC 的身份验证需要这些声明。
  8. 用户被重定向回 Citrix Workspace,他们现在可以访问其资源了。
注意:
LDAP “无身份验证” 策略仅在用户通过其他因素进行身份验证后才使用。它总是评估为 “成功” 作为身份验证结果。

扩展注意事项

随着新客户的加入,能够以敏捷的方式扩展此解决方案对通信服务提供商来说非常重要。这种架构允许在加入新客户时遵循无中断的步骤。新客户加入此解决方案的主要步骤如下所示。

  1. 配置最终客户 IDP: 这可能属于 CSP 的责任,也可能不属于 CSP 的职责范围。大多数 SAML IdP 都提供了大量文档来配置这些类型的解决方案。
  2. 添加客户 UPN 后缀: 这是通过 Active Directory 域和信任 MMC 控制台完成的。UPN 后缀必须是唯一的。此外,尽管共享 AD 环境中每个客户的 UPN 不同,但所有卷影帐户都具有相同的 NetBIOS 后缀名称。
  3. 添加影子帐户: 手动创建影子帐户可能是一项繁琐的任务,建议使用脚本来自动执行此过程。最终用户无需知道这些账户的密码。
  4. 配置 SAML 操作和策略: 必须为加入此解决方案的每位新客户配置新的 SAML 操作和策略。操作包含所有 SAML IDP 详细信息,策略包含用于评估策略的表达式。
  5. 绑定 SAML 策略: 必须将新的 SAML 身份验证策略添加到将不同客户的所有身份验证策略分组的 SAML 策略标签中。由于所有这些策略都是互斥的,因此向策略标签添加新策略不会对当前客户造成任何干扰。
注意:
不能使用不同 UPN 后缀的重复用户名。尽管 UPN 后缀不同,但对于重复用户,Windows 2000 之前的登录名也是相同的。

实现

本文档介绍了将 Citrix Workspace 与 Citrix ADC AAA 虚拟服务器和多个 SAML IdP 集成所需的步骤。Cloud Connector 配置、计算机目录/交付组创建和 FAS 实施不在本文档的讨论范围之内。

通过遵循标准安装实践,可以成功配置前面提到的组件。无需自定义配置步骤即可将它们与该架构集成。有关 配置步骤,请访问本文档的其他配置资源 部分。

身份验证策略

LDAP 身份验证操作(可选)

1-登录 Citrix ADC 设备并导航到 安全 > AAA-应用程序流量 > 策略 > 身份验证 > 高级策略 > 操作 > LDAP ,然后单击 添加

2-在 “ 创建身份验证 LDAP 服务器 ” 页面上,输入以下信息。

  • 名称:LDAP 认证服务器实体名称
  • 服务器名称/服务器 IP: 建议使用服务器名称
  • 安全类型:基于安全要求的纯文本或 SSL。(推荐 SSL)
  • 端口:389 或 636(基于安全类型)。
  • 服务器类型:AD
  • 身份验证:已选中
  • 基本 DN:用于用户搜索的基于 AD 的 DN
  • 管理员绑定 DN:AD 服务帐户 UPN
  • 管理员密码:AD 服务帐户密码
  • 确认管理员密码:AD 服务帐户密码
  • 服务器登录名属性:用户主体名称
  • 组属性:memberOf
  • 子属性名称:cn
  • SSO 名称属性:cn
  • 电子邮件:邮件

csp-image-005

3-单击 “ 确定”

注意:
此步骤是可选的,但出于支持目的,强烈建议您执行此步骤。创建此操作可允许环境管理员使用 AD 凭据登录环境。

LDAP 用户属性操作

1-在 “ LDAP 操作 ” 页面上,单击 “ 添加 ” 以创建第二个 LDAP 操作。使用与上一个相同的信息,但这一次, 取消选 中 “ 身份验证 ” 框。

csp-image-006

2-单击 “ 确定”

注意:
此步骤不是可选的。此操作用于在用户通过 SAML IDP 进行身份验证后,从其 AD 中的影子账户中提取用户的声明。这些声明对于成功重定向回 Citrix Workspace 是必不可少的。

SAML 操作

1-导航到 “ 安全” > “AAA-应用程序流量” > “策略” > “身份验证” > “高级策略” > “操作” > “SAML ”,然后单击 “ 添加”。

2-在 “ 创建身份验证 SAML 服务器 ” 页面上,输入以下信息。

  • 名称:SAML 身份验证服务器实体名称
  • 重定向 URL:由 IDP 提供的重定向 URL
  • 单注销 URL:IDP 提供的注销 URL
  • SAML 绑定:开机自检/重定向/神器
  • 注销绑定:开机自检/重定向
  • IDP 证书名称:单击添加并导入从 SAML IDP 下载的证书
  • 签名证书名称:Citrix ADC AAA 虚拟服务器 SSL 证书
  • 问题名称:与 AAA 虚拟服务器 URL 相同
  • 拒绝无符号断言:开
  • 签名算法:RSA-SHA256
  • 摘要方法:SHA256

csp-image-007

3-单击 “ 确定”

注意:
重复这些步骤,为要使用的每个 SAML IDP 创建单独的 SAML 操作。
此页面中必须填写的字段因 SAML IDP 而异。有关其他信息,请参阅特定的 SAML IDP 文档。

登录模式

登录架构配置文件

1-导航到 “ 安全” > “AAA-应用程序流量” > “登录架构” > “配置文件 ”,然后单击 “ 添加”。

2-在 “ 创建身份验证登录架构 ” 页上,输入以下信息。

  • 名称:登录架构配置文件实体名称
  • 身份验证架构:无架构

csp-image-008

3-单击 “ 创建”。

注意:
重复这些步骤,使用 OnlyUsername.xmlOnlyPassword.xml 文件创建剩余的 2 个架构配置文件。

登录架构策略

1-导航到 “ 安全” > “AAA-应用程序流量” > “登录架构” > “策略 ”,然后单击 “ 添加”。

2-在 “ 创建身份验证登录架构策略 ” 页上,输入以下信息。

  • 名称:登录架构策略实体名称
  • 配置文件:之前创建的 NoSchema 配置文件
  • 规则:TRUE

csp-image-009

3-单击 “ 创建”。

注意:
重复这些步骤以创建剩余的 2 个架构策略,方法是将它们与 “仅用户名” 和 “仅密码” 架构配置文件关联起来。

身份验证策略

基准 “无身份验证” 策略

1-导航到 “ 安全” > “AAA-应用程序流量” > “策略” > “身份验证” > “高级策略” > “策略 ”,然后单击 “ 添加”。

2-在 “ 创建身份验证策略 ” 页面上,输入以下信息。

  • 名称:身份验证策略实体名称
  • 身份验证类型:NO_AUTHN
  • 表达式:HTTP.REQ.URL.CONTAINS (“/nf/AUTH/doAuthentication.do”)

csp-image-010

3-单击 “ 确定”

LDAP “无身份验证” 策略(可选)

1-在 “ 身份验证策略 ” 页面上,单击 “ 添加 ” 以创建其他策略。

2-在 “ 创建身份验证策略 ” 页面上,输入以下信息。

  • 名称:身份验证策略实体名称
  • 身份验证类型:NO_AUTHN
  • 表达式:AAA.USER.LOGIN_NAME.SET_TEXT_MODE (IGNORECASE) .AFTER_STR (“@”) .EQ (“domain1.com”)

csp-image-011

3-单击 “ 确定”

注意:
此步骤是可选的,但出于支持目的,强烈建议您执行此步骤。创建此策略以允许环境管理员使用 AD 凭据登录环境。
将表达式中的 “domain1.com” 替换为内部 AD 域 UPN 后缀的名称。
NO_AUTHN 身份验证类型用作占位符,将用户重定向到下一个身份验证因子,即通过另一个 LDAP 策略处理的 AD 密码。

LDAP 身份验证策略(可选)

1-在 “ 身份验证策略 ” 页面上,单击 “ 添加 ” 以创建其他策略。

2-在 “ 创建身份验证策略 ” 页面上,输入以下信息。

  • 名称:身份验证策略实体名称
  • 身份验证类型:LDAP
  • 操作:先前创建的 LDAP 身份验证操作
  • 表情:TRUE

csp-image-012

3-单击 “ 确定”

注意:
此步骤是可选的,但出于支持目的,强烈建议您执行此步骤。创建此策略以允许环境管理员使用 AD 凭据登录环境。
此策略中的 TRUE 表达式表示将针对重定向到此身份验证因素的每个用户评估此策略。
此策略附加到先前创建的 仅密码 登录架构。

LDAP 用户属性策略

1-在 “ 身份验证策略 ” 页面上,单击 “ 添加 ” 以创建其他策略。

2-在 “ 创建身份验证策略 ” 页面上,输入以下信息。

  • 名称:身份验证策略实体名称
  • 身份验证类型:LDAP
  • 操作:先前创建的 LDAP 用户属性操作
  • 表情:TRUE

csp-image-013

3-单击 “ 确定”

注意:
此步骤不是可选的。此策略用于在用户通过 SAML IDP 进行身份验证后,从其 AD 中的影子账户中提取用户的声明。这些声明对于成功重定向回 Citrix Workspace 是必不可少的。
此策略中的 TRUE 表达式表示将针对重定向到此身份验证因素的每个用户评估此策略。
此策略附加到 NO_SCHEM A 登录架构。

SAML 身份验证策略

1-在 “ 身份验证策略 ” 页面上,单击 “ 添加 ” 以创建其他策略。

2-在 “ 创建身份验证策略 ” 页面上,输入以下信息。

  • 名称:身份验证策略实体名称
  • 身份验证类型:SAML
  • 操作:先前创建的 SAML 身份验证操作
  • 表达式:AAA.USER.LOGIN_NAME.SET_TEXT_MODE (IGNORECASE) .AFTER_STR (“@”) .EQ (“domain2.com”)

csp-image-014

3-单击 “ 确定”

注意:
将表达式中的 “domain2.com” 替换为客户的域名。
为之前创建的每个 SAML 身份验证操作创建一个 SAML 身份验证策略,并将它们与表达式中的相应域名进行匹配 1:1。

身份验证策略标签

LDAP 身份验证策略标签

1-导航到 “ 安全” > “AAA-应用程序流量” > “策略” > “身份验证” > “高级策略” > “策略标签 ”,然后单击 “ 添加”。

2-在 “ 创建身份验证策略 ” 页面上,输入以下信息。

  • 名称:身份验证策略标签实体名称
  • 登录架构:“仅限密码” 登录架构配置文件
  • 功能类型:AAATM_REQ
  • 点击继续

csp-image-015

3-使用以下详细信息绑定身份验证策略。

  • 策略 1
    • 选择策略:LDAP 身份验证策略
    • 优先级:100
    • Goto 表达式:END
    • 选择下一个因素:N/A

csp-image-016

4-单击 “ 完成”。

LDAP 用户属性策略标签

1-在 “ 身份验证策略标签 ” 页上,单击 “ 添加 ” 以创建其他策略。

2-在 “ 创建身份验证策略 ” 页面上,输入以下信息。

  • 名称:身份验证策略标签实体名称
  • 登录架构:“NO_SCHEMA” 登录架构配置文件
  • 功能类型:AAATM_REQ
  • 点击继续

csp-image-017

3-使用以下详细信息绑定身份验证策略。

  • 策略 1
    • 选择策略:LDAP 用户属性策略
    • 优先级:100
    • Goto 表达式:END
    • 选择下一个因素:N/A

csp-image-018

4-单击 “ 完成”。

主保单标签

1-在 “ 身份验证策略标签 ” 页上,单击 “ 添加 ” 以创建其他策略。

2-在 “ 创建身份验证策略 ” 页面上,输入以下信息。

  • 名称:身份验证策略标签实体名称
  • 登录架构:“NO_SCHEMA” 登录架构配置文件
  • 功能类型:AAATM_REQ
  • 点击继续

csp-image-019

3-使用以下详细信息绑定身份验证策略。

  • 策略 1
    • 选择策略:LDAP “无身份验证” 策略
    • 优先级:100
    • 转到表达式:下一步
    • 选择下一个因素:LDAP 身份验证策略标签
  • 策略 2
    • 选择策略:SAML 身份验证策略
    • 优先级:110
    • 转到表达式:下一步
    • 选择下一个因素:LDAP 用户属性策略标签

csp-image-020

4-单击 “ 完成”。

注意:
加入新客户/IdP 时,您需要将他们各自的 SAML 身份验证策略添加到此策略标签。

AAA 虚拟服务器

1-导航到 “ 安全” > “AAA-应用程序流量” > “虚拟服务器 ”,然后单击 “ 添加”。

2-在 “ 身份验证虚拟服务器 ” 页面上,输入以下信息。

  • 名称:身份验证虚拟服务器实体名称
  • IP 地址类型:IP 地址
  • IP 地址:虚拟服务器分配的 IP 地址
  • 端口: 443
  • 单击确定。

csp-image-021

3-在 “ 证书 ” 窗格中,单击 “ 无服务器证书 ”,然后将 SSL 证书绑定到虚拟服务器。然后,单击 “ 继续”。

4-在 “ 高级身份验证策略 ” 窗格中,单击 “ 无身份验证策略 ”,然后输入以下信息。

  • 选择策略:基准 “无身份验证” 策略
  • 优先级:100
  • 转到表达式:下一步
  • 选择下一个因素:主策略标签

csp-image-022

5-单击 “ 继续”。

6-在 “高级设置” 窗格中,单击 “ 登录架构”。

7-在 “ 登录架构 ” 窗格中,单击 “ 无登录架构 ”,然后输入以下信息。

  • 选择策略:“仅限用户名” 架构策略
  • 优先级:100
  • Goto 表达式:END

csp-image-023

8-单击 “ 绑定”。

9-返回 A AA 虚拟服务器 页面,单击 “ 完成”。

注意:
此时,AAA 虚拟服务器 URL 是可公开访问的,LDAP 和 SAML 身份验证均有效。

全局证书绑定

1-通过 SSH 连接到 Citrix ADC 并使用管理员凭据进行身份验证。

2-运行以下命令: bind vpn global-certKeyName certname

3-保存运行配置。

注意:
ADC 使用此命令对作为身份验证过程一部分发送到 Citrix Workspace 的令牌进行签名。
-certKeyName 标志指的是 AAA 虚拟服务器上使用的相同 SSL 证书。

Citrix Workspace 集成

Citrix Gateway IDP

1-在网络浏览器上,转到 Citrix Cloud 并使用您的 Citrix 凭据登录。

2-身份验证后,导航到 身份和访问管理 > 身份验证 > Citrix Gateway ,然后单击 连接

csp-image-024

3-在弹出的配置屏幕上,输入可公开访问的 AAA 虚拟服务器 FQDN,然后单击 “ 检测”。检测到后,单击 “ 继续”。

csp-image-025

4-在 “ 创建连接 ” 屏幕上,复制 “ 客户端 ID”、“密钥” 和 “重定向 URL”。

csp-image-026

注意:
请勿关闭此页面,您必须返回以完成配置。

OAUTH IDP 配置文件

1-返回 Citrix ADC,导航到 安全 > AAA-应用程序流量 > 策略 > 身份验证 > 高级策略 > OAUTH IDP > 配置文件 ,然后单击 添加

2-在 “ 创建身份验证 OAUTH IDP 配置文件 ” 页面上,输入以下信息。

  • 名称:OAUTH IDP 身份验证配置文件实体名称
  • 客户端 ID:粘贴来自 Citrix Cloud 的值
  • 客户端密钥:粘贴来自 Citrix Cloud 的值
  • 重定向 URL:粘贴来自 Citrix Cloud 的值
  • 发行者名称:ADC AAA 虚拟服务器基本 URL
  • 受众:与客户端 ID 相同
  • 发送密码:已选中

csp-image-027

3-单击 “ 创建”。

OAUTH IDP 政策

1-导航到 “ 安全” > “AAA-应用程序流量” > “策略” > “身份验证” > “高级策略” > “OAUTH IDP” > “策略 ”,然后单击 “ 添加”。

2-在 “ 创建身份验证 OAUTH IDP 策略 ” 页面上,输入以下信息。

  • 名称:OAUTH IDP 身份验证策略实体名称
  • 操作:OAUTH IDP 身份验证配置文件
  • 表情:TRUE

csp-image-028

3-单击 “ 创建”。

OAUTH IDP 策略绑定

1-导航到 安全 > AAA-应用程序流量 > 虚拟服务器 ,然后单击之前创建的 AAA 虚拟服务器

2-在 “ 高级身份验证策略 ” 窗格中,单击 “ 无 OAuth IDP 策略 ” 并绑定 OAUTH IDP 策略。

csp-image-029

3-返回 AAA 虚拟服务器页面,单击 “ 完成”。

工作区身份验证

1-返回 Citrix Cloud,在配置页面上,单击 “ 测试并完成”。

2-导航到 工作区配置 > 身份验证 ,然后单击 Citrix Gateway

3-在弹出配置屏幕上,选中 “我了解对订阅者体验的影响” 旁边的复选框,然后单击 “保存

csp-image-030

注意:
此时,导航到 Citrix Workspace URL (customer.cloud.com) 会将用户重定向到 ADC AAA 虚拟服务器。用户使用各自的 IDP 登录后,他们将被重定向回 Citrix Workspace。
通过将 Citrix Workspace 与 Citrix FAS 集成,可以实现对虚拟应用程序和桌面资源的单点登录。

其他配置资源

参考架构:Citrix Workspace 与 nFactor 和面向 CSP 的多 IdP