Verbinden von Okta als Identitätsanbieter mit Citrix Cloud

Citrix Cloud unterstützt die Verwendung von Okta als Identitätsanbieter für die Authentifizierung von Abonnenten, die sich an ihrem Workspace anmelden. Wenn Sie Ihre Okta-Organisation mit Citrix Cloud verbinden, können Abonnenten über eine vertraute Anmeldeoberfläche auf Ressourcen in Citrix Workspace zugreifen.

Nach dem Aktivieren der Okta-Authentifizierung in der Workspacekonfiguration ändert sich das Anmeldefenster für Abonnenten. Bei Auswahl der Okta-Authentifizierung wird eine Verbundanmeldung und kein Single Sign-On ermöglicht. Wenn Abonnenten sich über eine Okta-Anmeldeseite am Workspace anmelden, müssen sie sich möglicherweise erneut authentifizieren, wenn sie eine App oder einen Desktop in Citrix DaaS (früher Citrix Virtual Apps and Desktops Service) öffnen. Um dies zu vermeiden und einen Single Sign-On zu aktivieren, müssen Sie den Citrix Verbundauthentifizierungsdienst (FAS) mit Citrix Cloud verwenden. Weitere Informationen finden Sie unterVerbinden des Citrix Verbundauthentifizierungsdiensts (FAS) mit Citrix Cloud．

Voraussetzungen

Cloud Connectors

Sie benötigen in Ihrer Active Directory-Domäne mindestens zwei (2) Server, auf denen Sie die Citrix Cloud Connector-Software installieren. Cloud Connectors sind für die Kommunikation zwischen Citrix Cloud und IhremRessourcenstandorterforderlich. Mindestens zwei Cloud Connectors sind erforderlich, um eine hochverfügbare Verbindung mit Citrix Cloud sicherzustellen. Die Server müssen die folgenden Anforderungen erfüllen:

• Die unterTechnische Daten zu Citrix Cloud Connectorbeschriebenen Anforderungen müssen erfüllt sein.
• Es dürfen keine anderen Komponenten von Citrix installiert sein. Die Server dürfen keine Active Directory-Domänencontroller oder Maschinen sein, die für Ihre Ressourcenstandortinfrastruktur kritisch sind.
• Gehört zu Ihrer Active Directory-Domäne. Wenn sich Ihre Workspace-Ressourcen und -Benutzer in mehreren Domänen befinden, müssen Sie in jeder Domäne mindestens zwei Cloud Connectors installieren. Weitere Informationen finden Sie unterBereitstellungsszenarios für Cloud Connectors in Active Directory．
• Es muss eine Verbindung zum Netzwerk bestehen, das die Ressourcen abrufen kann, auf die Benutzer über Citrix Workspace zugreifen.
• Eine Verbindung mit dem Internet muss bestehen. Weitere Informationen finden Sie unterAnforderungen an System und Konnektivität．

Weitere Informationen zur Installation von Cloud Connectors finden Sie unterCloud Connector-Installation．

Okta-Domäne

Beim Verbinden von Okta mit Citrix Cloud müssen Sie die Okta-Domäne für Ihre Organisation angeben. Citrix unterstützt die folgenden Okta-Domänen:

• okta.com
• okta-eu.com
• oktapreview.com

Sie können auch benutzerdefinierte Okta-Domänen mit Citrix Cloud verwenden. Lesen Sie hierfür die Hinweise zur Verwendung benutzerdefinierter Domänen unterCustomize the Okta URL domainauf der Okta-Website.

Weitere Informationen zum Suchen der benutzerdefinierten Domäne für Ihre Organisation finden Sie unterFinding Your Okta Domainauf der Okta-Website.

Okta-OIDC-Webanwendung

Um Okta als Identitätsanbieter zu verwenden, müssen Sie zunächst eine Okta-OIDC-Webanwendung erstellen, deren Clientanmeldeinformationen Sie dann mit Citrix Cloud verwenden. Nachdem Sie die Anwendung erstellt und konfiguriert haben, notieren Sie sich die Client-ID und das Clientgeheimnis. Diese Werte geben Sie dann in Citrix Cloud beim Verbinden mit Ihrer Okta-Organisation ein.

Informationen zum Erstellen und Konfigurieren dieser Anwendung finden Sie in den folgenden Abschnitten dieses Artikels:

• Erstellen einer Okta-OIDC-Webintegration
• Konfigurieren der Okta-OIDC-Webanwendung

Workspace-URL

Beim Erstellen der Okta-Anwendung müssen Sie Ihre Workspace-URL aus Citrix Cloud angeben. Um die Workspace-URL zu erfassen, wählen Sie im Citrix Cloud-Menü die OptionWorkspacekonfiguration．Die Workspace-URL wird auf der RegisterkarteZugriffangezeigt.

Wichtig:

Wenn Sie später dieWorkspace-URL ändern, müssen Sie die neue URL in der Konfiguration der Okta-Anwendung eingeben. Andernfalls können Probleme auftreten, wenn Abonnenten sich von ihrem Workspace abmelden.

Okta-API-Token

Bei Verwendung von Okta als Identitätsanbieter mit Citrix Cloud benötigen Sie einen API-Token für Ihre Okta-Organisation. Erstellen Sie diesen Token mit einem Administratorkonto mit Lesezugriff in Ihrer Okta-Organisation. Der Token muss Benutzer und Gruppen in Ihrer Okta-Organisation lesen können.

Informationen zum Erstellen des API-Token法登ie unterErstellen eines Okta-API-Tokenin diesem Artikel. Weitere Informationen zu API-Token finden Sie unterCreate an API Tokenauf der Okta-Website.

Wichtig:

Notieren Sie sich beim Erstellen des API-Token den Tokenwert (zum Beispiel, indem Sie ihn in eine temporäre Textdatei kopieren). Okta zeigt diesen Wert nur einmal an. Erstellen Sie den Token daher vielleicht direkt vor der Ausführung der Schritte inVerbinden von Citrix Cloud mit Ihrer Okta-Organisation．

Synchronisieren von Konten mit dem Okta-AD-Agent

Um Okta als Identitätsanbieter zu verwenden, müssen Sie zunächst Ihr On-Premises-Active Directory mit Okta integrieren. Installieren Sie dafür den Okta-AD-Agent in Ihrer Domäne und fügen Ihr AD zu Ihrer Okta-Organisation hinzu. Hinweise zum Bereitstellen des Okta-AD-Agent finden Sie unterGet started with Active Directory integrationauf der Okta-Website. Anschließend importieren Sie Ihre AD-Benutzer und -Gruppen in Okta. Übertragen Sie beim Importieren auch die Werte für Sicherheits-ID, UPN und Objekt-ID, die Ihren AD-Konten zugewiesen sind.

Hinweis:

Wenn Sie den Citrix Gateway Service mit Workspace verwenden, müssen Sie Ihre AD-Konten nicht mit Ihrer Okta-Organisation synchronisieren.

Synchronisieren der AD-Benutzer und -Gruppen mit Ihrer Okta-Organisation:

1. Installieren und konfigurieren Sie den Okta-AD-Agent. Ausführliche Anweisungen finden Sie in den folgenden Artikeln auf der Okta Website:
   • Install the Okta Active Directory agent
   • Configure Active Directory import and account settings
   • Configure Active Directory provisioning settings
2. Fügen Sie Ihre AD-Benutzer und -Gruppen durch manuellen oder automatisierten Import zu Okta hinzu. Weitere Hinweise zu Importverfahren finden Sie unterManage Active Directory users and groupsauf der Okta-Website.

Erstellen einer Okta-OIDC-Webintegration

1. 民意调查您in der Okta-Verwaltungskonsole unterApplicationsdie OptionApplications．
2. 民意调查您Create App Integration．
3. 民意调查您unterSign in methoddie OptionOIDC - OpenID Connectund dannWeb Application．民意调查您Weiter．
4. Geben Sie einen App-Integrationsnamen ein.
5. 民意调查您fürGrant typefolgende Optionen:
   • Autorisierungscode
   • Implicit (Hybrid)
6. Geben Sie unterSign-in redirect URIshttps://accounts.cloud.com/core/login-oktaein.
7. Geben Sie unterSign-out redirect URIsIhre Workspace-URL aus Citrix Cloud ein.
8. Geben Sie unterAssignmentsan, ob Sie die App-Integration allen in Ihrer Organisation, nur von Ihnen angegebenen Gruppen oder später zuweisen möchten.
9. 民意调查您Speichern．

Wenn Sie die App-Integration gespeichert haben, werden in der Konsole im BereichClient CredentialsWerte fürClient IDundClient Secretangezeigt. Diese Werte verwenden Sie, wenn SieCitrix Cloud mit Ihrer Okta-Organisation verbinden．

Konfigurieren der Okta-OIDC-Webanwendung

In diesem Schritt konfigurieren Sie Ihre Okta-OIDC-Webanwendung mit den erforderlichen Einstellungen für Citrix Cloud. Citrix Cloud benötigt diese Einstellungen, um Ihre Abonnenten über Okta zu authentifizieren, wenn sie sich bei ihrem Workspace anmelden.

1. (Optional) Aktualisieren Sie die Clientberechtigungen für “Grant type = implicit”. Sie können diesen Schritt ausführen, wenn Sie die geringste Anzahl an Privilegien für diesen Berechtigungstyp zulassen möchten.
   1. 民意调查您auf der Konfigurationsseite der Okta-Anwendung unterGeneral Settingsdie OptionEdit．
   2. Löschen Sie im AbschnittApplicationunterClient acting on behalf of itselfdie OptionAllow Access Token with implicit grant type．
   3. 民意调查您Speichern．
2. Fügen Sie Anwendungsattribute hinzu. Bei diesen Attributen muss Groß- und Kleinschreibung beachtet werden.
   1. 民意调查您im Okta-KonsolenmenüDirectory > Profile Editor．
   2. Suchen Sie das Okta-Profiluserund wählen SieProfile．民意调查您unterAttributesdie OptionAdd attribute．
   3. Geben Sie die folgenden Informationen ein:
      • Anzeigename: cip_sid
      • Variablenname: cip_sid
      • Beschreibung: AD-Benutzer-Sicherheits-ID
      • Attributlänge: größer als 1
      • Erforderliches Attribut: Ja
   4. 民意调查您Save and Add Another．
   5. Geben Sie die folgenden Informationen ein:
      • Anzeigename: cip_upn
      • Variablenname: cip_upn
      • Beschreibung: AD-Benutzerprinzipalname
      • Attributlänge: größer als 1
      • Erforderliches Attribut: Ja
   6. 民意调查您Save and Add Another．
   7. Geben Sie die folgenden Informationen ein:
      • Anzeigename: cip_oid
      • Variablenname: cip_oid
      • Beschreibung: AD-Benutzer-GUID
      • Attributlänge: größer als 1
      • Erforderliches Attribut: Ja
   8. 民意调查您Speichern．
3. Bearbeiten von Attributzuordnungen für die Anwendung:
   1. 民意调查您in der Okta-KonsoleDirectory > Directory Integrations．
   2. 民意调查您das zuvor integrierte AD aus. Weitere Informationen finden Sie unterSynchronisieren von Konten mit dem Okta-AD-Agent．
   3. 民意调查您die RegisterkarteProvisioningund dannSettings > To Okta．
   4. Ordnen Sie unterOkta Attribute Mappingsdie folgenden Attribute zu. Wählen Sie nach dem Ändern jedes AttributsSave．
      • 民意调查您appuser.objectSidaus und ordnen Sie es dem Attributcip_sidzu.
      • 民意调查您appuser.userNameaus und ordnen Sie es dem Attributcip_upnzu.
      • 民意调查您appuser.externalIdaus und ordnen Sie es dem Attributcip_oidzu.
   5. 民意调查您Force Sync．

Erstellen eines Okta-API-Token

1. Melden Sie sich mit einem Administratorkonto mit Lesezugriff bei der Okta-Konsole an.
2. 民意调查您im Menü der Okta-KonsoleSecurity > API．
3. 民意调查您die RegisterkarteTokenund dannCreate Token．
4. Geben Sie einen Namen für den Token ein.
5. 民意调查您Create Token．
6. Kopieren Sie den Tokenwert. Diesen Wert geben Sie dann beim Verbinden Ihrer Okta-Organisation mit Citrix Cloud ein.

Verbinden von Citrix Cloud mit Ihrer Okta-Organisation

1. Melden Sie sich bei Citrix Cloud unterhttps://citrix.cloud.coman.
2. Klicken Sie im Menü “Citrix Cloud” aufIdentitäts- und Zugriffsverwaltung．
3. Suchen SieOkta, klicken Sie auf die Auslassungspunkte (…) und wählen Sie im MenüVerbindenaus.
4. Geben Sie unterOkta-URLIhre Okta-Domäne ein.
5. Geben Sie unterOkta-API-Tokenden API-Token für Ihre Okta-Organisation ein.
6. Geben Sie fürClient-IDundGeheimer Clientschlüsseldie Client-ID und den geheimen Clientschlüssel der zuvor erstellten OIDC-Webanwendungsintegration ein. Um diese Werte aus der Okta-Konsole zu kopieren, wählen SieAnwendungenund suchen die Okta-Anwendung. Klicken Sie unterClient-Anmeldeinformationenauf die SchaltflächeIn Zwischenablage kopierenfür jeden Wert.
7. Klicken Sie aufTesten und schließen．Citrix Cloud überprüft Ihre Okta-Details und testet die Verbindung.

Aktivieren der Okta-Authentifizierung für Workspaces

1. 民意调查您im Citrix Cloud-MenüWorkspacekonfiguration > Authentifizierung．
2. 民意调查您Okta．民意调查您Ich verstehe die Auswirkungen auf Abonnenten, wenn Sie dazu aufgefordert werden.
3. Klicken Sie aufAkzeptieren, um die Berechtigungsanforderung zu akzeptieren.

Weitere Informationen

• Citrix Tech Zone:
  • Tech Insight: Authentication - Okta
  • Tech Brief: Workspace Identity
  • Tech Brief: Workspace SSO