Verbinden eines on-premises思杰网关als Identitätsanbieter mit思杰云

Citrix Cloud unterstützt die Verwendung eines on-premises Citrix Gateway als Identitätsanbieter für die Authentifizierung von Abonnenten, wenn diese sich bei ihrem Workspace anmelden。

Vorteile der Authentifizierung mit Citrix Gateway:

• Fortdauernde Authentifizierung von Benutzern über das vorhandene Citrix Gateway, damit sie über Citrix Workspace auf die resource in der on -预置- bereitstellung von Virtual Apps and台式机zugreifen können。
• 你死定了AAA-Funktionen(认证、审计和审计)von Citrix Gateway mit Citrix工作空间。
• Verwendung von Features wie Passthrough-Authentifizierung，智能卡，Sicherheitstoken, Richtlinien für bedingten Zugriff, Verbund usw。für den Benutzerzugriff auf erforderliche资源über Citrix工作空间。

Tipp:

Im科尔Citrix身份和身份验证介绍erfahren Sie mehr über unterstützte Identitätsanbieter。Das模块“规划Citrix身份和访问管理”enthält kurze视频zum Verbinden des Identitätsanbieters mit Citrix Cloud und zum Aktivieren der Authentifizierung für Citrix工作区。

Unterstutzte Versionen

Die Authentifizierung mit Citrix Gateway wid für folgende on - premise - producktversionen unterstützt:

• Citrix Gateway 12.1 54.13高级版oder höher
• Citrix网关13.0 41.20高级版oder höher

Voraussetzungen

云连接器

Sie benötigen mindestens zwei (2) Server zum Installieren der Citrix云连接器-软件。Die Server müssen Die folgenden Anforderungen erfüllen:

• 死单元思杰云连接器beschriebenen Systemanforderungen müssen erfüllt sein。
• Es dürfen keine anderen Komponenten von Citrix installiert sein。Die Server dürfen keine Active Directory-Domänencontroller oder Maschinen sein, Die für Ihre resource censtandortinfrastruktur kritisch sind。
• Sie müssen mit der Domäne verbunden sein, in der sich Ihre Site befindet。Wenn Benutzer auf Anwendungen zugreifen, die sich in meherren Domänen der Site befinden, müssen Sie in jder Domäne mindestens zwei Cloud Connectors installieren。
• Die Server müssen mit einem Netzwerk verbunden sein, das Ihre Site kontaktieren kann。
• Eine不停地说网络是一团糟。Weitere Informationen发现Sie unterAnforderungen an System und Konnektivität．
• Mindestens zwei Cloud Connectors sind erforderlich, um eine hochverfügbare verindung mit Citrix Cloud sicherzustellen。Nach der安装ermöglichen die Cloud连接器Citrix Cloud, Ihre Site zu lokalisieren und mit ihr zu kommunizieren。

Weitere Informationen zur Installation des Cloud Connectors finden Sie unter云插件装配．

活动目录

Führen瑞士Citrix认证网关die folgenden Aufgaben aus:

• Stellen Sie sicher, dass Ihre Workspace-Abonnenten über Benutzerkonten in Active Directory (AD) verfügen。阿onnenten ohne AD-Konto können sich nicht erfolgreich bei ihrem工作空间安梅尔登。
• steellen Sie sicher, dass die Benutzereigenschaften AD-Konten Ihrer Abonnenten ausgefüllt信德。Citrix Cloud benötigt diese Eigenschaften, um den Benutzerkontext bei der Anmeldung von Abonnenten zu erfassen。Wenn diese Eigenschaften niht ausgefüllt werden, können Abonnenten sich niht bei ihrem工作空间anmelden。祖diesen Eigenschaften gehören:
  • E-Mail-Adresse
  • Anzeigename
  • 《名字
  • SAM-Kontoname
  • Benutzerprinzipalname
  • OID
  • SID
• Verbinden Sie Ihr Active Directory (AD) mit Ihrem Citrix Cloud-Konto。Diese Aufgabe umfast das Installieren der Cloud Connector-Software auf den vorbereiteten Servern, wie im Abschnitt云连接器beschrieben。Die Cloud Connectors ermöglichen eine Kommunikation zwischen Citrix Cloud und under on - premise - umgebung。安伟松根找到了你的秘密Verbinden von Active Directory mit Citrix Cloud．
• synisieren Sie bei einer Verbundauthentifizierung mit Citrix Gateway Ihre AD-Benutzer mit dem Verbundanbieter。Citrix Cloud benötigt die AD-Benutzerattribute Ihrer Workspace-Abonnenten, damit diese sich erfolgreich anmelden können。

Anforderungen

Erweiterte Citrix Gateway-Richtlinien

Für die Citrix Gateway-Authentifizierung müssen erweiterte Richtlinien auf dem on - premes - gateway verwendet werden, da klassische Richtlinien veraltet sind。Erweiterte Richtlinien unterstützen die mehrstufige Authentifizierung für Citrix Cloud, einschließlich Optionen wie Identitätsanbieterverkettung。Wenn Sie bislang klassische Richtlinien nutzen, müssen Sie neue erweiterte Richtlinien erstellen，嗯die Citrix网关- authentifizierung在Citrix Cloud zu verwenden。贝姆·厄斯特朗德·里奇林können希恩·里奇林übernehmen。

Zertifikate für die签名

Beim Konfigurieren des Gateway für die Authentifizierung von Abonnenten bei Citrix Workspace fungiert das Gateway als OpenID Connect-Anbieter。Nachrichten zwischen Citrix Cloud and Gateway entsprechen dem OIDC-Protokoll，是auch die digitale signature von Token umfastl。达赫müssen你在Zertifikat zur签名diesel Token konfigurieren。diesel Zertifikat muss von einer öffentlichen Zertifizierungsstelle (ZS) ausgestellt werden。Zertifikate einer privaten zertifierungsstelle werden nicht unterstützt, da Citrix Cloud nicht auf das Stammzertifikat der privaten zertifierungsstelle zugreifen kann。Daher kann keine vertrauensket für das Zertifikat hergestellt werden。温斯梅里尔Zertifikate für die Signatur konfigurieren, weird für jede Nachricht ein anderer Schlüssel verwendet。

Schlüssel müssen anvpn全球gebunden盛。Ohne diese Schlüssel können安梅尔顿夜晚auf ihren工作区zugreifen。

Uhrsynchronisierung

法国国家数据中心的数字签名，法国国家数据中心的同步时代。Wenn die Uhr nicht synchronisiert word, werden Token in Citrix Cloud bei der Gültigkeitsprüfung als veraltet eingestuft。

Aufgabenuberblick

Zum Einrichten der Authentifizierung mit Citrix Gateway führen Sie die folgenden Aufgaben aus:

1. Konfigurieren Sie unterIdentitäts- und Zugriffsverwaltungdie verindung zum Gateway。在diesem Schritt generieren Sie Client-ID, Geheimnis und Umleitungs-URL für das Gateway。
2. 思杰云信息管理系统。达杜尔奇康恩思杰云逐字逐句mit Ihrem现场网关赫斯特伦。Anweisungen finden Sie in folgenden Artikeln:
   • Citrix Gateway 12.1:使用内部部署的Citrix Gateway作为Citrix Cloud的身份提供者
   • Citrix Gateway 13.0:使用内部部署的Citrix Gateway作为Citrix Cloud的身份提供者
3. Aktivieren Sie unterWorkspacekonfigurationdie Citrix Gateway-Authentifizierung für Abonnenten。

Aktivieren der Authentifizierung mit Citrix Gateway für工作空间abonnenten

1. Klicken Sie im Menü“Citrix Cloud”aufIdentitäts- und Zugriffsverwaltung．
2. 我知道你的名字Authentifizierungauf die Auslassungspunkte(…)fürCitrix网关und wählen Sie den MenübefehlVerbinden．
3. 现场网关和现场通道Ermitteln．Nachdem der FQDN von Citrix Cloud ermittelt wurde, klicken Sie auf魏特。．
4. Erstellen Sie eine对他们说:
   1. Kopieren Sie客户端id, Geheimnis和Umleitungs-URL，死在Citrix云angezeigt werden。这是一个关于信息和语言的故事离线的故事。Die Informationen sind nach dem Generieren in Citrix Cloud nicht mehr verfügbar。
   2. Erstellen Sie auf dem Gateway eine erweiterte OAuth-IdP-Richtlinie mit Client-ID, Geheimnis und Umleitungs-URL aus Citrix Cloud。Anweisungen finden Sie in folgenden Artikeln:
      • Für Citrix Gateway 12.1:使用内部部署的Citrix Gateway作为Citrix Cloud的身份提供者
      • Für Citrix Gateway 13.0:使用内部部署的Citrix Gateway作为Citrix Cloud的身份提供者
   3. 祝你好运Testen und schließen．Citrix Cloud überprüft, ob Ihr Gateway erreichbar和ordnungsgemäß konfiguriert ist。
5. Aktivieren Sie die Authentifizierung mit Citrix Gateway für工作空间:
   1. Wählen Sie im Citrix Cloud-MenüWorkspacekonfiguration．
   2. Wählen Sie auf der RegisterkarteAuthentifizierung死亡的选择Citrix网关．
   3. 民意调查您我死在地狱了und klicken Sie aufSpeichern．

Problembehandlung

Lesen Sie zunächst die AbschnitteVoraussetzung和Anforderungen在diesem Artikel。你在哪里，你在哪里，你在哪里，你在哪里?Wenn eines dieser element fehlt oder falsch konfiguriert ist, funktioniert die Authentifizierung beim Workspace mit Citrix Gateway niht。

Citrix Cloud and dem on - pres - gateway stellen Sie Folgendes sicher:

• Der Gateway-FQDN kann über das Internet erreicht werden。
• Der Gateway-FQDN wurde korrekt in Citrix Cloud eingegeben。
• Sie haben die Gateway-URL korrekt in den参数发行人der OAuth-IdP-Richtlinie eingegeben。Beispiel:发行人https://GatewayFQDN.com．贝dem参数发行人奇怪的zwischen Groß und Kleinschreibung unterschieden。
• Die Werte für Client-ID, Geheimnis und Umleitungs-URL aus Citrix Cloud wurden korrekt in Die Felder für Client-ID, Clientgeheimnis, Umleitungs-URL und Zielgruppe der OAuth-IdP-Richtlinie eingegeben。Überprüfen Sie, ob im Feld " Zielgruppe " der Richtlinie die richtige Client-ID eingegeben wurde。
• Die OAuth-IdP-Authentifizierungsrichtlinie ist korrekt konfiguriert。Anweisungen finden Sie in folgenden Artikeln:
  • Citrix Gateway 12.1:使用内部部署的Citrix Gateway作为Citrix Cloud的身份提供者
  • Citrix Gateway 13.0:使用内部部署的Citrix Gateway作为Citrix Cloud的身份提供者
• steellen Sie sicher, dass die Richtlinie ordnungsgemäß an den AAA-Authentifizierungsserver gebunden ist, wie unter绑定认证策略beschrieben。

这个整体Katalogserver

Neben den Details zum Benutzerkonto ruft Gateway auden Domänennamen der Benutzer, den AD NETBIOS-Namen und den Namen der AD-Stammdomäne ab. zum Abrufen des AD NETBIOS-Namen durchsucht Gateway das Active Directory, in dem sich die Benutzerkonten befinden。NETBIOS-Namen werden niht auf global Katalogservern repliziert。

Wenn Sie global Katalogserver in Ihrer AD-Umgebung verwenden, funktionieren die auf diesen Servern konfigurierten LDAP-Aktionen nicht mit Citrix Cloud。Stattdessen müssen Sie die einzelnen Active Directorys in der LDAP-Aktion konfigurieren。wen Sie mehere Domänen oder Gesamtstrukturen verwenden, können Sie mehere LDAP-Richtlinien konfigurieren。

AD-Suche nach单点登录mit Kerberos- oder IdP-Verkettung

关于Kerberos的外部命令Identitätsanbieters，根据SAML- order OIDC-Protokolle zum Anmelden von Abonnenten verwendet, muss die AD-Suche konfiguriert ist。网关benötigt die AD-Suche zum Abrufen der AD-Benutzereigenschaften von Abonnenten und under ad - konfigationseigenschaften。

Stellen Sie sicher, dass LDAP-Richtlinien konfiguriert sind, auch wenn die Authentifizierung über Server von Drittanbietern erfolgt。嗯diese richtlinen zu konfiguriren, fügen Sie Ihrem vorhandenen Anmeldeschemaprofil einen zweiten authentifizierungfaktor hinzu, indem Sie die folgenden Aufgaben ausführen:

1. Erstellen Sie einen LDAP-Authentifizierungsserver, der nur attribute und Gruppenextraktion aus Active Directory durchführt。
2. Erstellen Sie eine erweiterte LDAP-Authentifizierungsrichtlinie。
3. 我是你的真人真事。
4. Definieren Sie die Authentifizierungsrichtlinienbezeichnung als nächsten Faktor nach dem primären Identitätsanbieter。

所以fügen Sie LDAP als zweiten Authentifizierungsfaktor hinzu

1. Erstellen Sie den LDAP-Authentifizierungsserver:
   1. 民意调查您System > Authentifizierung > Grundlegende Richtlinien > LDAP > Server > Hinzufügen．
   2. Geben Sie auf der SeiteLDAP-Authentifizierungsserver erstellendie folgenden information n .信息
      • Wählen你在地下Servertyp auswahlen死亡的选择LDAP来自。
      • Geben Sie unter的名字einen Anzeigenamen für den服务器ein。
      • 民意调查您服务器ipaus, und geben Sie dann die ip - address des LDAP-Servers ein。
      • Wählen你在地下Sicherheitstypden gewünschten LDAP-Sicherheitstyp aus。
      • Wählen你在地下Servertyp死亡的选择广告来自。
      • Aktivieren Sie unterAuthentifizierungnicht das Kontrollkästchen。diesel Kontrollkästchen muss deaktiviert werden, da diesel authentifizierungserver nur zum Extrahieren von Benutzerattributen und -gruppen aus Active Directory dient und nht zur Authentifizierung。
   3. Geben Sie unter安德利果汁设置die folgenden information n .信息
      • Geben Sie unterNamensattribut für ServeranmeldungUserPrincipalName静脉。
      • Wählen你在地下Gruppenattribut死亡的选择MemberOf来自。
      • Wählen你在地下Unterattributname死亡的选择cn来自。
2. LDAP-Authentifizierungsrichtlinie:
   1. 民意调查您Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie > Hinzufügen来自。
   2. Geben Sie auf der SeiteAuthentifizierungsrichtlinie erstellendie folgenden information n .信息
      • Geben Sie unter的名字einen Anzeigenamen für die Richtlinie ein。
      • Wählen你在地下AktionstypLDAP来自。
      • Wählen你在地下Aktionden zuvor erstellten LDAP-Authentifizierungsserver aus。
      • Geben Sie unterAusdruck真正的静脉。
   3. 祝你好运Erstellen呃die Konfiguration zu speichern。
3. Erstellen Sie die Authentifizierungsrichtlinienbezeichnung。
   1. 民意调查您Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinienbezeichnung > Hinzufügen．
   2. Geben Sie unter的名字einen Anzeigenamen für die Authentifizierungsrichtlinienbezeichnung ein。
   3. Wählen Sie under AnmeldeschemaLSCHEMA_INT来自。
   4. Wählen你在地下Richtlinienbindung螺母Richtlinie auswahlendie erweiterte LDAP-Authentifizierungsrichtlinie aus, die Sie zuvor erstellt haben。
   5. Wählen你在地下Gehe zu Ausdruck结束来自。
   6. 祝你好运Binden，嗯die Konfiguration abzuschließen。
4. Definieren Sie die LDAP-Authentifizierungsrichtlinienbezeichnung als nächster Faktor nach dem primären Identitätsanbieter:
   1. 民意调查您System > Sicherheit > AAA - Anwendungsverkehr > Virtuelle服务器．
   2. Wählen Sie den virtuellen Server aus, der die Bindung für Ihren primären Identitätsanbieter enthält, und wählen SieBearbeiten来自。
   3. Wählen你在地下Erweiterte Authentifizierungsrichtliniendie vorhandenen Bindungen fürAuthentifizierungsrichtlinie来自。
   4. Wählen Sie die Bindung für Ihren primären Identitätsanbieter aus, und wählen Sie dannBindung bearbeiten来自。
   5. Wählen Sie auf der SeiteRichtlinienbindung螺母Nächsten Faktor auswählendie LDAP-Authentifizierungsrichtlinienbezeichnung aus, die Sie zuvor erstellt haben。
   6. 祝你好运Binden呃die Konfiguration zu speichern。

标准肯草für die mehrstufige Authentifizierung

Wenn Sie die mehrstufige Authentifizierung für工作空间abonnenten verwenden, nutzt Gateway das Kennwort der letzten Stufe als Standardkennwort für den单点登录。Dieses Kennwort wid an Citrix Cloud gesendet, wenn Abonnenten sich an ihrem Workspace anmelden。Wenn in Ihrer Umgebung nach der LDAP-Authentifizierung eine weitere Stufe folgt, müssen Sie das LDAP-Kennwort als Standardkennwort konfigurieren, das an Citrix Cloud gesendet wid。Aktivieren您SSOCredentialsim Anmeldeschema, das der LDAP-Stufe entspricht。

Weitere Informationen

思杰科技园区:技术洞察:认证-网关