Use an on-premises Citrix Gateway as the identity provider for Citrix Cloud

Citrix Cloud unterstützt die Verwendung eines on-premises Citrix Gateway als Identitätsanbieter für die Authentifizierung von Abonnenten, wenn diese sich bei ihrem Workspace anmelden.

Vorteile der Authentifizierung mit Citrix Gateway:

• Fortdauernde Authentifizierung von Benutzern über das vorhandene Citrix Gateway, damit sie über Citrix Workspace auf die Ressourcen in der On-Premises-Bereitstellung von Virtual Apps and Desktops zugreifen können.
• Verwenden Sie die Citrix Gateway-Authentifizierungs-, Autorisierungs- und Überwachungsfunktionen mit Citrix Workspace.
• Verwendung von Features wie Passthrough-Authentifizierung, Smartcards, Sicherheitstoken, Richtlinien für bedingten Zugriff, Verbund usw. für den Benutzerzugriff auf erforderliche Ressourcen über Citrix Workspace.

Die Authentifizierung mit Citrix Gateway wird für folgende Produktversionen unterstützt:

• Citrix Gateway 13.0 41.20 Advanced Edition oder höher
• Citrix Gateway 12.1 54.13 Advanced Edition oder höher

Voraussetzungen

• Cloud Connectors - Sie benötigen mindestens zwei Server, auf denen Sie die Citrix Cloud Connector-Software installieren können.

• Active Directory - Führen Sie die erforderlichen Prüfungen durch.

• Anforderungen毛皮CitrixGateway

  • Verwenden Sie erweiterte Richtlinien auf dem on-premises Gateway aufgrund der Veraltung klassischer Richtlinien.

  • Bei der Konfiguration des Gateway für die Authentifizierung von Abonnenten von Citrix Workspace fungiert das Gateway als OpenID Connect-Anbieter. Nachrichten zwischen Citrix Cloud und Gateway entsprechen dem OIDC-Protokoll, was auch die digitale Signatur von Token umfasst. Daher müssen Sie ein Zertifikat zur Signatur dieser Token konfigurieren.

  • Taktsynchronisation - Das Gateway muss mit der NTP-Zeit synchronisiert sein.

Details finden Sie unterVoraussetzungen.

Erstellen einer OAuth IdP-Richtlinie auf dem lokalen Citrix Gateway

Wichtig:

Sie müssen die Client-ID, die geheime und die Umleitungs-URL auf der RegisterkarteCitrix Cloud > Identitäts- und Zugriffsmanagement > Authentifizierunggeneriert haben. Weitere Informationen finden Sie unterVerbinden eines on-premises Citrix Gateway mit Citrix Cloud.

Das Erstellen einer OAuth IdP-Authentifizierungsrichtlinie umfasst die folgenden Aufgaben:

1. Erstellen Sie ein OAuth IdP-Profil.

2. Fügen Sie eine OAuth IdP-Richtlinie hinzu.

3. Binden Sie die OAuth IdP-Richtlinie an einen virtuellen Authentifizierungsserver.

4. Binden Sie das Zertifikat global.

Erstellen eines OAuth IdP-Profils mit der CLI

Geben Sie an der Eingabeaufforderung;

add authentication OAuthIDPProfile  [-clientID ][-clientSecret ][-redirectURL ][-issuer ][-audience ][-skewTime ] [-defaultAuthenticationGroup ] add authentication OAuthIdPPolicy  -rule  [-action  [-undefAction ] [-comment ][-logAction ] add authentication ldapAction  -serverIP  -ldapBase "dc=aaa,dc=local" ldapBindDn  -ldapBindDnPassword  -ldapLoginName sAMAccountName add authentication policy  -rule  -action  bind authentication vserver auth_vs -policy  -priority  -gotoPriorityExpression NEXT bind authentication vserver auth_vs -policy  -priority  -gotoPriorityExpression END bind vpn global –certkey <> 

Erstellen eines OAuth IdP-Profils mit der GUI

1. Navigieren Sie zuSicherheit > AAA — Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > OAuth IDP.

   ![Oauth-IDP-navigation](/en-us/citrix-adc/media/oauth-navigation-to-idp.png)

2. 民意调查您der汪汪汪OAuth IDP-Seitedie RegisterkarteProfileaus und klicken Sie aufHinzufügen.

3. Konfigurieren Sie das OAuth IdP-Profil.

   Hinweis:

   • Kopieren Sie die Werte für Client-ID, Secret und Redirect URL aus der RegisterkarteCitrix Cloud > Identitäts- und Zugriffsmanagement > Authentifizierungund fügen Sie sie ein, um die Verbindung zu Citrix Cloud herzustellen.

   • Geben Sie die Gateway-URL im Beispiel für denAusstellernamenkorrekt ein:https://GatewayFQDN.com

   • Kopieren Sie auch die Client-ID und fügen Sie sie auch in das FeldZielgruppeein.

   • Kennwort senden: Aktivieren Sie diese Option für Single-Sign-On-Unterstützung. Standardmäßig ist diese Option deaktiviert.

4. Legen Sie im BildschirmAuthentifizierung erstellen OAuth IDP-ProfilWerte für die folgenden Parameter fest und klicken Sie aufErstellen.

   • Name- - - - - - des Authentifizierungsprofils名称。麻省理工学院静脉给弄em Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und darf nur Buchstaben, Zahlen und den Bindestrich (-), Punkt (.) Pfund (#), Leerzeichen (), Leerzeichen (), bei (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem das Profil erstellt wurde.

   • Client-ID— Eindeutige Zeichenfolge, die SP identifiziert. Der Autorisierungsserver führt die Clientkonfiguration mit dieser ID ab. Maximale Länge: 127
   • Client Secret— Geheime Zeichenfolge, die vom Benutzer und Autorisierungsserver festgelegt wurde. Maximale Länge: 239
   • URL umleiten— Endpunkt für SP, an dem Code/Token gepostet werden muss.
   • Name des Ausstellers— Identität des Servers, dessen Token akzeptiert werden sollen. Maximale Länge: 127 Beispiel:https://GatewayFQDN.com
   • Zielgruppe— Zielempfänger für das Token, das vom IdP gesendet wird. Dies könnte vom Empfänger überprüft werden.
   • Skew Time— Diese Option gibt die zulässige Taktverzerrung in Minuten an, die Citrix ADC für ein eingehendes Token zulässt. Wenn SkewTime beispielsweise 10 ist, wäre das Token von (aktuelle Zeit - 10) min bis (aktuelle Zeit + 10) min gültig, das sind insgesamt 20 Minuten. Standardwert: 5.
   • Standard-Authentifizierungsgruppe— Eine Gruppe, die der internen Gruppenliste der Sitzung hinzugefügt wurde, wenn dieses Profil von IdP ausgewählt wird, das im nFactor Flow verwendet werden kann. Es kann im Ausdruck (AAA.USER.IS_MEMBER_OF (“xxx”)) für Authentifizierungsrichtlinien verwendet werden, um den zugehörigen nFactor-Flow zu identifizieren. Maximale Länge: 63

   Der Sitzung für dieses Profil wird eine Gruppe hinzugefügt, um die Richtlinienbewertung zu vereinfachen und beim Anpassen von Richtlinien zu helfen. Dies ist die Standardgruppe, die ausgewählt wird, wenn die Authentifizierung zusätzlich zu den extrahierten Gruppen erfolgreich ist. Maximale Länge: 63.

   ![Oauth-IDP-profile-parameters](/en-us/citrix-adc/media/oauth-idp-profile.png)

5. Klicken Sie aufRichtlinien, und klicken Sie aufHinzufügen.

6. Legen Sie im FensterRichtlinie für OAuth IDP-Authentifizierung erstellenWerte für die folgenden Parameter fest und klicken Sie aufErstellen.

   • Name— Der Name der Authentifizierungsrichtlinie.
   • Aktion— Name des zuvor erstellten Profils.
   • Log Action— Name der Nachrichtenprotokollaktion, die verwendet werden soll, wenn eine Anforderung mit dieser Richtlinie übereinstimmt. Keine obligatorische Einreichung.
   • Aktion mitundefiniertem Ergebnis — Aktion, die ausgeführt werden soll, wenn das Ergebnis der Richtlinienbewertung nicht bestraft wird (UNDEF). Kein Pflichtfeld.
   • Ausdruck— Standardsyntaxausdruck, den die Richtlinie verwendet, um auf eine bestimmte Anforderung zu antworten. Zum Beispiel ist es wahr.
   • Kommentare- Irgendwelche Kommentare zu den Richtlinien.

   ![Oauth-IDP-policy](/en-us/citrix-adc/media/oauth-idp-policy.png)

Hinweis:

WennsendPasswordauf ON (standardmäßig OFF) eingestellt ist, werden Benutzeranmeldeinformationen verschlüsselt und über einen sicheren Kanal an Citrix Cloud weitergeleitet. Wenn Sie Benutzeranmeldeinformationen über einen sicheren Kanal übergeben, können Sie SSO an Citrix Virtual Apps and Desktops nach dem Start aktivieren.

Binden der OAuthIDP-Richtlinie und der LDAP-Richtlinie an den virtuellen Authentifizierungsserver

1. Navigieren Sie zuKonfiguration > Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > LDAP.

2. Klicken Sie im BildschirmLDAP-AktionenaufHinzufügen.

3. Legen Sie im BildschirmAuthentifizierungs-LDAP-Server erstellendie Werte für die folgenden Parameter fest und klicken Sie aufErstellen.

   • Name —Der Name der LDAP-Aktion
   • Servername/ServerIP —Bereitstellung von FQDN oder IP des LDAP-Servers
   • Wählen Sie geeignete Wertefür Sicherheitstyp, Port, Servertyp, Timeout
   • Stellen Sie sicher, dassAuthentifizierungaktiviert ist
   • Basis-DN —Basis, von der aus die LDAP-Suche gestartet werden soll. Beispiel:dc=aaa,dc=local.
   • Administrator Bind DN:Benutzername der Bindung an den LDAP-Server. Zum Beispiel admin@aaa.local.
   • Administratorkennwort/Kennwort bestätigen: Kennwort zum Binden von LDAP
   • Klicken Sie aufVerbindung testen, um Ihre Einstellungen zu testen.
   • Attribut für Server-Anmeldename:Wählen Sie“samAccountName”
   • Andere Felder sind nicht Pflichtfelder und können daher nach Bedarf konfiguriert werden.

4. Navigieren Sie zuKonfiguration > Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie.

5. Klicken Sie im BildschirmAuthentifizierungsrichtlinienaufHinzufügen.

6. Legen Sie auf der SeiteAuthentifizierungsrichtlinie erstellendie Werte für die folgenden Parameter fest und klicken Sie aufErstellen.

   • Name —Name der LDAP-Authentifizierungsrichtlinie.
   • Aktionstyp —Wählen SieLDAP aus.
   • Aktion —Wählen Sie die LDAP-Aktion aus.
   • Ausdruck —Standardsyntaxausdruck, den die Richtlinie verwendet, um auf eine bestimmte Anforderung zu antworten. Zum Beispiel stimmt**.

Unterstützung für aktiv-aktive GSLB-Bereitstellungen auf Citrix Gateway

Citrix Gateway, das mit dem OIDC-Protokoll als Identity Provider (IdP) konfiguriert ist, kann aktiv-aktive GSLB-Bereitstellungen unterstützen. Die aktiv-aktive GSLB-Bereitstellung auf dem Citrix Gateway IdP ermöglicht den Lastausgleich einer eingehenden Benutzeranmeldeanforderung an mehreren geografischen Standorten.

Wichtig

Citrix empfiehlt, Zertifizierungsstellenzertifikate an den SSL-Dienst zu binden und die Zertifikatvalidierung für den SSL-Dienst zu aktivieren, um die Sicherheit zu erhöhen.

Weitere Informationen zum Konfigurieren des GSLB-Setups finden Sie unterBeispiel für eine GSLB-Setup und -Konfiguration.