Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Verwenden Sie ein lokales NetScaler Gateway als Identitätsanbieter für Citrix Cloud

August 15, 2023
Beitrag von:
C

Citrix Cloud unterstützt die Verwendung eines on-premises NetScaler Gateway als Identitätsanbieter für die Authentifizierung von Abonnenten, wenn diese sich bei ihrem Workspace anmelden.

Mithilfe der NetScaler Gateway-Authentifizierung können Sie:

  • Fortdauernde Authentifizierung von Benutzern über das vorhandene NetScaler Gateway, damit sie über Citrix Workspace auf die Ressourcen in der On-Premises-Bereitstellung von Virtual Apps and Desktops zugreifen können.
  • Verwenden Sie die NetScaler Gateway-Authentifizierungs-, Autorisierungs- und Überwachungsfunktionen mit Citrix Workspace.
  • Bieten Sie Ihren Benutzern Zugriff auf die Ressourcen, die sie über Citrix Workspace benötigen, indem Sie Funktionen wie Pass-Through-Authentifizierung, Smartcards, sichere Token, Richtlinien für bedingten Zugriff und Verbund verwenden.

Die Authentifizierung mit NetScaler Gateway wird für folgende Produktversionen unterstützt:

  • NetScaler Gateway 13.0 41.20 Advanced Edition oder höher
  • NetScaler Gateway 12.1 54.13 Advanced Edition oder höher

Voraussetzungen

  • Cloud Connectors - Sie benötigen mindestens zwei Server, auf denen Sie die Citrix Cloud Connector-Software installieren können.

  • Active Directory - Führen Sie die erforderlichen Prüfungen durch.

  • Anforderungen für NetScaler Gateway

    • Verwenden Sie erweiterte Richtlinien auf dem on-premises Gateway aufgrund der Veraltung klassischer Richtlinien.

    • Bei der Konfiguration des Gateway für die Authentifizierung von Abonnenten von Citrix Workspace fungiert das Gateway als OpenID Connect-Anbieter. Nachrichten zwischen Citrix Cloud und Gateway entsprechen dem OIDC-Protokoll, was auch die digitale Signatur von Token umfasst. Daher müssen Sie ein Zertifikat zur Signatur dieser Token konfigurieren.

    • Taktsynchronisation - Das Gateway muss mit der NTP-Zeit synchronisiert sein.

Details finden Sie unterVoraussetzungen.

Erstellen einer OAuth IdP-Richtlinie auf dem lokalen NetScaler Gateway

Wichtig:

Sie müssen die Client-ID, die geheime und die Umleitungs-URL auf der RegisterkarteCitrix Cloud > Identitäts- und Zugriffsmanagement > Authentifizierunggeneriert haben. Weitere Informationen finden Sie unterVerbinden eines on-premises NetScaler Gateway mit Citrix Cloud.

Das Erstellen einer OAuth IdP-Authentifizierungsrichtlinie umfasst die folgenden Aufgaben:

  1. Erstellen eines OAuth-IdP-Profils

  2. Fügen Sie eine OAuth IdP-Richtlinie hinzu.

  3. Binden您die OAuth IdP-Richtlinie an einen virtuellen Authentifizierungsserver.

  4. Binden您das Zertifikat global.

Erstellen eines OAuth IdP-Profils mit der CLI

Geben Sie in der Befehlszeile ein;

add authentication OAuthIDPProfile  [-clientID ][-clientSecret ][-redirectURL ][-issuer ][-audience ][-skewTime ] [-defaultAuthenticationGroup ] add authentication OAuthIdPPolicy  -rule  [-action  [-undefAction ] [-comment ][-logAction ] add authentication ldapAction  -serverIP  -ldapBase "dc=aaa,dc=local" ldapBindDn  -ldapBindDnPassword  -ldapLoginName sAMAccountName add authentication policy  -rule  -action  bind authentication vserver auth_vs -policy  -priority  -gotoPriorityExpression NEXT bind authentication vserver auth_vs -policy  -priority  -gotoPriorityExpression END bind vpn global -certkeyName <>

Erstellen eines OAuth IdP-Profils mit der GUI

  1. Navigieren Sie zuSicherheit > AAA — Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > OAuth IDP.

    `Oauth-IDP-navigation`

  2. Wählen Sie auf derOAuth IDP-Seitedie RegisterkarteProfileaus und klicken Sie aufHinzufügen.

  3. Konfigurieren Sie das OAuth IdP-Profil.

    Hinweis:

    • Kopieren Sie die Werte für Client-ID, Secret und Redirect URL aus der RegisterkarteCitrix Cloud > Identitäts- und Zugriffsmanagement > Authentifizierungund fügen Sie sie ein, um die Verbindung zu Citrix Cloud herzustellen.

    • Geben Sie die Gateway-URL im Beispiel für denAusstellernamenkorrekt ein:https://GatewayFQDN.com

    • Kopieren Sie auch die Client-ID und fügen Sie sie auch in das FeldZielgruppeein.

    • Kennwort senden: Aktivieren Sie diese Option für Single-Sign-On-Unterstützung. Standardmäßig ist diese Option deaktiviert.

  4. Legen Sie im BildschirmAuthentifizierung erstellen OAuth IDP-ProfilWerte für die folgenden Parameter fest und klicken Sie aufErstellen.

    • Name— Name des Authentifizierungsprofils. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen. Der Name darf nur Buchstaben, Zahlen und den Bindestrich (-), den Punkt (.) Pfund (#), das Leerzeichen (), das At (@), das Gleich (=), den Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem das Profil erstellt wurde.

    • Client-ID— Eindeutige Zeichenfolge, die SP identifiziert. Der Autorisierungsserver leitet die Clientkonfiguration von dieser ID ab. Maximale Länge: 127.
    • Client Secret:Geheime Zeichenfolge, die vom Benutzer und Autorisierungsserver erstellt wird. Maximale Länge: 239
    • URL umleiten— Endpunkt für SP, an dem Code/Token gepostet werden muss.
    • Name des Ausstellers——Identitat des服务器,在全世界牌akzeptiert werden sollen. Maximale Länge: 127. Beispiel:https://GatewayFQDN.com
    • Zielgruppe— Zielempfänger für das vom IdP gesendete Token. Dieses Token wird vom Empfänger geprüft.
    • Zeitversatz— Diese Option gibt den zulässigen Zeitversatz (in Minuten) an, den NetScaler für ein eingehendes Token zulässt. Wenn skewTime beispielsweise 10 ist, wäre das Token von (aktuelle Zeit - 10) min bis (aktuelle Zeit + 10) min gültig, das sind insgesamt 20 Minuten. Standardwert: 5.
    • Standard-Authentifizierungsgruppe— Eine Gruppe, die der internen Gruppenliste der Sitzung hinzugefügt wurde, wenn dieses Profil von IdP ausgewählt wird, das im nFactor Flow verwendet werden kann. Es kann im Ausdruck (AAA.USER.IS_MEMBER_OF (“xxx”)) für Authentifizierungsrichtlinien verwendet werden, um den zugehörigen nFactor-Flow zu identifizieren. Maximale Länge: 63

    Der Sitzung für dieses Profil wird eine Gruppe hinzugefügt, um die Richtlinienbewertung und das Anpassen von Richtlinien zu vereinfachen. Die Gruppe ist die Standardgruppe, die zusätzlich zu extrahierten Gruppen ausgewählt wird, wenn die Authentifizierung erfolgreich ausgeführt wird. Maximale Länge: 63.

    `Oauth-IDP-profile-parameters`

  5. Klicken Sie aufRichtlinien, und klicken Sie aufHinzufügen.

  6. Legen Sie im FensterRichtlinie für OAuth IDP-Authentifizierung erstellenWerte für die folgenden Parameter fest und klicken Sie aufErstellen.

    • Name— Der Name der Authentifizierungsrichtlinie.
    • Action:Name des zuvor erstellten Profils.
    • Log Action:Name der Nachrichtenprotokollaktion, die verwendet werden soll, wenn eine Anforderung mit dieser Richtlinie übereinstimmt. Keine obligatorische Einreichung.
    • Aktion mitundefiniertem Ergebnis — Aktion, die ausgeführt werden soll, wenn das Ergebnis der Richtlinienbewertung nicht bestraft wird (UNDEF). Kein Pflichtfeld.
    • Expression:Standardsyntaxausdruck, den die Richtlinie verwendet, um auf eine bestimmte Anfrage zu antworten. Beispiel: true.
    • Comments:Kommentare zu der Richtlinie.

    `Oauth-IDP-policy`

Hinweis:

WennsendPasswordauf ON (standardmäßig OFF) eingestellt ist, werden Benutzeranmeldeinformationen verschlüsselt und über einen sicheren Kanal an Citrix Cloud weitergeleitet. Wenn Sie Benutzeranmeldeinformationen über einen sicheren Kanal übergeben, können Sie SSO an Citrix Virtual Apps and Desktops nach dem Start aktivieren.

Binden der OAuthIDP-Richtlinie und der LDAP-Richtlinie an den virtuellen Authentifizierungsserver

  1. Navigieren Sie zuKonfiguration > Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > LDAP.

  2. Klicken Sie im BildschirmLDAP-AktionenaufHinzufügen.

  3. Legen Sie im BildschirmAuthentifizierungs-LDAP-Server erstellendie Werte für die folgenden Parameter fest und klicken Sie aufErstellen.

    • Name —Der Name der LDAP-Aktion
    • Servername/ServerIP —Bereitstellung von FQDN oder IP des LDAP-Servers
    • Wählen Sie geeignete Wertefür Sicherheitstyp, Port, Servertyp, Timeout
    • Stellen Sie sicher, dassAuthentifizierungaktiviert ist
    • Basis-DN —Basis, von der aus die LDAP-Suche gestartet werden soll. Beispiel:dc=aaa,dc=local.
    • Administrator Bind DN:Benutzername der Bindung an den LDAP-Server. Beispiel:admin@aaa.local.
    • Administratorkennwort/Kennwort bestätigen: Kennwort zum Binden von LDAP
    • Klicken Sie aufVerbindung testen, um Ihre Einstellungen zu testen.
    • Attribut für Server-Anmeldename:Wählen Sie“sAMAccountName”
    • Andere Felder sind nicht Pflichtfelder und können daher nach Bedarf konfiguriert werden.

  4. Navigieren Sie zuKonfiguration > Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie.

  5. Klicken Sie im BildschirmAuthentifizierungsrichtlinienaufHinzufügen.

  6. Legen Sie auf der SeiteAuthentifizierungsrichtlinie erstellendie Werte für die folgenden Parameter fest und klicken Sie aufErstellen.

    • Name —Name der LDAP-Authentifizierungsrichtlinie.
    • Aktionstyp —Wählen SieLDAP aus.
    • Aktion —Wählen Sie die LDAP-Aktion aus.
    • Ausdruck —Standard-Syntaxausdruck, den die Richtlinie verwendet, um auf bestimmte Anforderungen zu antworten. Beispiel: true**.

Referenzwerte für Authentifizierungskontextklassen speichern

NetScaler, der als on-premises IdP konfiguriert ist, kann ACR-Werte (Authentication Context Class Reference) speichern, die von Citrix Workspace zur Unterstützung der Multidomain-Anmeldefunktion der Citrix Workspace Platform (WSP) bereitgestellt werden.

Wenn Citrix Workspace die ACR-Werte an den OAuth-Autorisierungsendpunkt des NetScaler-IdP sendet, speichert NetScaler die ACR-Werte. Sie können diese ACR-Werte verwenden, um den nächsten Faktor im nFactor-Flow zu bestimmen.

Die Anmeldung/oauth/idp/am OAuth-IdP-Autorisierungsendpunkt erhält eine Abfrage mit dem ACR-Wertparameter im folgenden Format. NetScaler speichert den ACR-Wert im Benutzersitzungsattribut.

GET /oauth/idp/login?response_type=code&scope=openid%20profile%20ctxs_cc&acr_values=device_id:69eec3333333333+wsp:wspmultiurlmain.cloud.com&client_id=test&redirect_uri=https%3A%2F%2Fav6.aaa.local%2Foauth%2Flogin&state=Y3R4PXlFYkpFdEJOeDFLN0hUY2VCc1pBOGc2RjU3d21PcjJ2aXprZkhFSkdBTzVVTzM4eEZBUW1qTEFwR25DSE&code_challenge_method=S256&code_challenge=IJgD-qaJZdhuGt3m262BjjMXrFTOwioV6uSBA-uIY18

Im obigen Beispiel lautetacr_values=device_id:69eec3333333333+wsp:wspmultiurlmain.cloud.comder ACR-Wertparameter.

Im Folgenden finden Sie Ausdrucksbeispiele dafür, wie Sie ACR-Werte in einem nFactor-Flow verwenden können.

  • Verwenden Sie den Ausdruckaaa.user.wsp.eq("URL")in Ihrer Richtlinienkonfiguration, um die WSP-URL abzurufen.

    Beispiel:

    添加身份验证策略wsp_check规则aaa.user.wsp.eq("wspmultiurlmain.cloud.com ") -action ldap-act

  • Verwenden Sie den Ausdruckaaa.user.acr_values.value("device_id").eq(value)in Ihrer Richtlinienkonfiguration, um die Geräte-ID aus dem ACR-Wertparameter abzurufen.

    Beispiel:

    add authentication policy acr_value_check -rule aaa.user.acr_values.value("device_id").eq("69eec3333333333") -action ldap-act

  • Verwenden Sie den Ausdruckaaa.user.acr_values.value("wsp").eq("URL")in Ihrer Richtlinienkonfiguration, um den WSP-Wert aus dem ACR-Wertparameter abzurufen.

    Beispiel:

    add authentication policy acr_value_check -rule aaa.user.acr_values.value("wsp").eq("wspmultiurlmain.cloud.com") -action ldap-act

Verwenden Sie ein lokales NetScaler Gateway als Identitätsanbieter für Citrix Cloud
August 15, 2023
Beitrag von:
C
August 15, 2023
Beitrag von:
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999-Cloud Software Group, Inc. All rights reserved.