Verbinden von Okta als Identitätsanbieter mit Citrix Cloud

Citrix Cloud unterstützt die Verwendung von Okta als Identitätsanbieter für die Authentifizierung von Abonnenten, die sich an ihrem Workspace anmelden. Wenn Sie Ihre Okta-Organisation mit Citrix Cloud verbinden, können Abonnenten über eine vertraute Anmeldeoberfläche auf Ressourcen in Citrix Workspace zugreifen.

新一轮Aktivierender Okta-Authentifizierung in der Workspacekonfiguration ändert sich das Anmeldefenster für Abonnenten. Bei Auswahl der Okta-Authentifizierung wird eine Verbundanmeldung und kein Single Sign-On ermöglicht. Wenn Abonnenten sich über eine Okta-Anmeldeseite am Workspace anmelden, müssen sie sich möglicherweise erneut authentifizieren, wenn sie eine App oder einen Desktop in Citrix DaaS (früher Citrix Virtual Apps and Desktops Service) öffnen. Um dies zu vermeiden und einen Single Sign-On zu aktivieren, müssen Sie den Citrix Verbundauthentifizierungsdienst (FAS) mit Citrix Cloud verwenden. Weitere Informationen finden Sie unterVerbinden des Citrix Verbundauthentifizierungsdiensts (FAS) mit Citrix Cloud.

Voraussetzungen

Cloud Connectors

Sie benötigen in Ihrer Active Directory-Domäne mindestens zwei (2) Server, auf denen Sie die Citrix Cloud Connector-Software installieren. Cloud Connectors sind für die Kommunikation zwischen Citrix Cloud und IhremRessourcenstandorterforderlich. Mindestens zwei Cloud Connectors sind erforderlich, um eine hochverfügbare Verbindung mit Citrix Cloud sicherzustellen. Die Server müssen die folgenden Anforderungen erfüllen:

• 迪e unterTechnische Daten zu Citrix Cloud Connectorbeschriebenen Anforderungen müssen erfüllt sein.
• Es dürfen keine anderen Komponenten von Citrix installiert sein. Die Server dürfen keine Active Directory-Domänencontroller oder Maschinen sein, die für Ihre Ressourcenstandortinfrastruktur kritisch sind.
• Gehört zu Ihrer Active Directory-Domäne. Wenn sich Ihre Workspace-Ressourcen und -Benutzer in mehreren Domänen befinden, müssen Sie in jeder Domäne mindestens zwei Cloud Connectors installieren. Weitere Informationen finden Sie unterBereitstellungsszenarios für Cloud Connectors in Active Directory.
• Es muss eine Verbindung zum Netzwerk bestehen, das die Ressourcen abrufen kann, auf die Benutzer über Citrix Workspace zugreifen.
• Eine Verbindung mit dem Internet muss bestehen. Weitere Informationen finden Sie unterAnforderungen an System und Konnektivität.

Weitere Informationen zur Installation von Cloud Connectors finden Sie unterCloud Connector-Installation.

Okta-Domäne

Beim Verbinden von Okta mit Citrix Cloud müssen Sie die Okta-Domäne für Ihre Organisation angeben. Citrix unterstützt die folgenden Okta-Domänen:

• okta.com
• okta-eu.com
• oktapreview.com

Sie können auch benutzerdefinierte Okta-Domänen mit Citrix Cloud verwenden. Lesen Sie hierfür die Hinweise zur Verwendung benutzerdefinierter Domänen unterCustomize the Okta URL domainauf der Okta-Website.

Weitere Informationen zum Suchen der benutzerdefinierten Domäne für Ihre Organisation finden Sie unterFinding Your Okta Domainauf der Okta-Website.

Okta-OIDC-Webanwendung

嗯Okta als Identitatsanbieter祖茂堂verwenden mussen Sie zunächst eine Okta-OIDC-Webanwendung erstellen, deren Clientanmeldeinformationen Sie dann mit Citrix Cloud verwenden. Nachdem Sie die Anwendung erstellt und konfiguriert haben, notieren Sie sich die Client-ID und das Clientgeheimnis. Diese Werte geben Sie dann in Citrix Cloud beim Verbinden mit Ihrer Okta-Organisation ein.

Informationen zum Erstellen und Konfigurieren dieser Anwendung finden Sie in den folgenden Abschnitten dieses Artikels:

• Erstellen einer Okta-OIDC-Webintegration
• Konfigurieren der Okta-OIDC-Webanwendung

Workspace-URL

Beim Erstellen der Okta-Anwendung müssen Sie Ihre Workspace-URL aus Citrix Cloud angeben. Um die Workspace-URL zu erfassen, wählen Sie im Citrix Cloud-Menü die OptionWorkspacekonfiguration. Die Workspace-URL wird auf der RegisterkarteZugriffangezeigt.

Wichtig:

Wenn Sie später dieWorkspace-URL ändern, müssen Sie die neue URL in der Konfiguration der Okta-Anwendung eingeben. Andernfalls können Probleme auftreten, wenn Abonnenten sich von ihrem Workspace abmelden.

Okta-API-Token

Bei Verwendung von Okta als Identitätsanbieter mit Citrix Cloud benötigen Sie einen API-Token für Ihre Okta-Organisation. Erstellen Sie diesen Token mit einem Administratorkonto mit Lesezugriff in Ihrer Okta-Organisation. Der Token muss Benutzer und Gruppen in Ihrer Okta-Organisation lesen können.

Informationen zum Erstellen des API-Token finden Sie unterErstellen eines Okta-API-Tokenin diesem Artikel. Weitere Informationen zu API-Token finden Sie unterCreate an API Tokenauf der Okta-Website.

Wichtig:

Notieren Sie sich beim Erstellen des API-Token den Tokenwert (zum Beispiel, indem Sie ihn in eine temporäre Textdatei kopieren). Okta zeigt diesen Wert nur einmal an. Erstellen Sie den Token daher vielleicht direkt vor der Ausführung der Schritte inVerbinden von Citrix Cloud mit Ihrer Okta-Organisation.

Synchronisieren von Konten mit dem Okta-AD-Agent

嗯Okta als Identitatsanbieter祖茂堂verwenden mussen Sie zunächst Ihr On-Premises-Active Directory mit Okta integrieren. Installieren Sie dafür den Okta-AD-Agent in Ihrer Domäne und fügen Ihr AD zu Ihrer Okta-Organisation hinzu. Hinweise zum Bereitstellen des Okta-AD-Agent finden Sie unterGet started with Active Directory integrationauf der Okta-Website.

Anschließend importieren Sie Ihre AD-Benutzer und -Gruppen in Okta. Schließen Sie beim Importieren die folgenden Werte ein, die Ihren AD-Konten zugeordnet sind:

• 电子邮件
• SID
• UPN
• OID

Hinweis:

Wenn Sie den Citrix Gateway Service mit Workspace verwenden, müssen Sie Ihre AD-Konten nicht mit Ihrer Okta-Organisation synchronisieren.

Synchronisieren der AD-Benutzer und -Gruppen mit Ihrer Okta-Organisation:

1. Installieren und konfigurieren Sie den Okta-AD-Agent. Ausführliche Anweisungen finden Sie in den folgenden Artikeln auf der Okta Website:
   • Install the Okta Active Directory agent
   • Configure Active Directory import and account settings
   • Configure Active Directory provisioning settings
2. Fügen Sie Ihre AD-Benutzer und -Gruppen durch manuellen oder automatisierten Import zu Okta hinzu. Weitere Hinweise zu Importverfahren finden Sie unterManage Active Directory users and groupsauf der Okta-Website.

Erstellen einer Okta-OIDC-Webintegration

1. Wählen Sie in der Okta-Verwaltungskonsole unterApplicationsdie OptionApplications.
2. Wählen SieCreate App Integration.
3. Wählen Sie unterSign in methoddie OptionOIDC - OpenID Connectaus.
4. Wählen Sie unterApplication typedie OptionWeb Applicationaus. Wählen SieWeiter.
5. Geben Sie unterApp Integration Nameeinen Anzeigenamen für die App-Integration ein.
6. Wählen Sie unterGrant typedie OptionAuthorization Code(standardmäßig ausgewählt).
7. Geben Sie unterSign-in redirect URIshttps://accounts.cloud.com/core/login-oktaein.
8. Geben Sie unterSign-out redirect URIsIhre Workspace-URL aus Citrix Cloud ein.
9. Wählen Sie unterAssignmentsfürControlled accessaus, ob Sie die App-Integration allen in Ihrer Organisation, nur von Ihnen angegebenen Gruppen oder später zuweisen möchten.
10. Wählen SieSpeichern. Nachdem Sie die App-Integration gespeichert haben, zeigt die Konsole die Anwendungskonfigurationsseite an.
11. Kopieren Sie im AbschnittClientanmeldeinformationendie WerteClient-IDundGeheimer Clientschlüssel. Diese Werte verwenden Sie, wenn SieCitrix Cloud mit Ihrer Okta-Organisation verbinden.

Konfigurieren der Okta-OIDC-Webanwendung

In diesem Schritt konfigurieren Sie Ihre Okta-OIDC-Webanwendung mit den erforderlichen Einstellungen für Citrix Cloud. Citrix Cloud benötigt diese Einstellungen, um Ihre Abonnenten über Okta zu authentifizieren, wenn sie sich bei ihrem Workspace anmelden.

1. (Optional) Aktualisieren Sie die Clientberechtigungen für “Grant type = implicit”. Sie können diesen Schritt ausführen, wenn Sie die geringste Anzahl an Privilegien für diesen Berechtigungstyp zulassen möchten.
   1. Auf der Seite mit der Okta-Anwendungskonfiguration scrollen Sie auf der RegisterkarteAllgemeinzum AbschnittAllgemeine Einstellungenund wählen SieBearbeitenaus.
   2. Navigieren Sie im AbschnittAnwendungunterGewährungstypzuClient acting on behalf of a userund deaktivieren Sie die EinstellungAllow Access Token with implicit grant type.
   3. Wählen SieSpeichern.
2. Fügen Sie Anwendungsattribute hinzu. Bei diesen Attributen muss Groß- und Kleinschreibung beachtet werden.
   1. Wählen Sie im Okta-Konsolenmenü迪rectory > Profile Editor.
   2. Wählen Sie das Okta-ProfilUser (default)aus. Okta zeigt die ProfilseiteUseran.
   3. Wählen Sie unterAttributesdie OptionAdd attribute.
   4. Geben Sie die folgenden Informationen ein:
      • Anzeigename: cip_email
      • Variablenname: cip_email
      • 使用说明书:AD-Benutzer-E-Mail
      • Attributlänge: Wählen Siegrößer alsund geben Sie1ein.
      • Erforderliches Attribut: Ja
   5. Wählen SieSave and Add Another.
   6. Geben Sie die folgenden Informationen ein:
      • Anzeigename: cip_sid
      • Variablenname: cip_sid
      • Beschreibung: AD-Benutzer-Sicherheits-ID
      • Attributlänge: Wählen Siegrößer alsund geben Sie1ein.
      • Erforderliches Attribut: Ja
   7. Wählen SieSave and Add Another.
   8. Geben Sie die folgenden Informationen ein:
      • Anzeigename: cip_upn
      • Variablenname: cip_upn
      • Beschreibung: AD-Benutzerprinzipalname
      • Attributlänge: Wählen Siegrößer alsund geben Sie1ein.
      • Erforderliches Attribut: Ja
   9. Wählen SieSave and Add Another.
   10. Geben Sie die folgenden Informationen ein:
       • Anzeigename: cip_oid
       • Variablenname: cip_oid
       • Beschreibung: AD-Benutzer-GUID
       • Attributlänge: Wählen Siegrößer alsund geben Sie1ein.
       • Erforderliches Attribut: Ja
   11. Wählen SieSpeichern.
3. Bearbeiten von Attributzuordnungen für die Anwendung:
   1. Wählen Sie in der Okta-Konsole迪rectory > Profile Editor.
   2. Suchen Sie das Profilactive_directoryfür Ihr AD. Dieses Profil kann im FormatmyDomain Userbeschriftet sein.myDomainist der Name Ihrer integrierten AD-Domäne.
   3. Wählen SieMappingsaus. Die Seite “User Profile Mappings” für Ihre AD-Domäne wird angezeigt und die Registerkarte zum Zuordnen Ihres AD zu einem Okta-Benutzer ist ausgewählt.
   4. Suchen Sie in der SpalteOkta User Profiledie Attribute, die Sie in Schritt 2 erstellt haben, und ordnen Sie sie wie folgt zu:
      • Wählen Sie fürcip_emaildie Optionemailaus der Spalte “Benutzerprofil” für Ihre Domäne aus. Bei dieser Auswahl wird die Zuordnung alsappuser.emailangezeigt.
      • Wählen Sie fürcip_siddie OptionobjectSidaus der Spalte “Benutzerprofil” für Ihre Domäne aus. Bei dieser Auswahl wird die Zuordnung alsappuser.objectSidangezeigt.
      • Wählen Sie fürcip_upndie OptionuserNameaus der Spalte “Benutzerprofil” für Ihre Domäne aus. Bei dieser Auswahl wird die Zuordnung alsappuser.userNameangezeigt.
      • Wählen Sie fürcip_oiddie OptionexternalIdaus der Spalte “Benutzerprofil” für Ihre Domäne aus. Bei dieser Auswahl wird die Zuordnung alsappuser.externalIdangezeigt.
   5. Wählen SieSave Mappingsaus.
   6. Wählen SieApply updates nowaus. Okta beginnt mit dem Anwenden der Zuordnungen.
   7. Synchronisieren Sie Okta mit Ihrem AD.
      1. Wählen Sie in der Okta-Konsole迪rectory > Directory Integrations.
      2. Wählen Sie Ihr integriertes AD aus.
      3. Wählen Sie die RegisterkarteProvisioningaus.
      4. Wählen Sie unterSettingsdie OptionTo Oktaaus.
      5. Scrollen Sie zum AbschnittOkta Attribute Mappingsund wählen Sie dannForce Syncaus.

Erstellen eines Okta-API-Token

1. Melden Sie sich mit einem Administratorkonto mit Lesezugriff bei der Okta-Konsole an.
2. Wählen Sie im Menü der Okta-KonsoleSecurity > API.
3. Wählen Sie die RegisterkarteTokenund dann创建令牌.
4. Geben Sie einen Namen für den Token ein.
5. Wählen Sie创建令牌.
6. Kopieren Sie den Tokenwert. Diesen Wert geben Sie dann beim Verbinden Ihrer Okta-Organisation mit Citrix Cloud ein.

Verbinden von Citrix Cloud mit Ihrer Okta-Organisation

1. Melden Sie sich bei Citrix Cloud unterhttps://citrix.cloud.coman.
2. Klicken Sie im Menü “Citrix Cloud” aufIdentitäts- und Zugriffsverwaltung.
3. Suchen SieOkta, klicken Sie auf die Auslassungspunkte (…) und wählen Sie im MenüVerbindenaus.
4. Geben Sie unterOkta-URLIhre Okta-Domäne ein.
5. Geben Sie unterOkta-API-Tokenden API-Token für Ihre Okta-Organisation ein.
6. Geben Sie fürClient-IDundGeheimer Clientschlüsseldie Client-ID und den geheimen Clientschlüssel der zuvor erstellten OIDC-Webanwendungsintegration ein. Um diese Werte aus der Okta-Konsole zu kopieren, wählen SieAnwendungenund suchen die Okta-Anwendung. Klicken Sie unterClient-Anmeldeinformationenauf die SchaltflächeIn Zwischenablage kopierenfür jeden Wert.
7. Klicken Sie aufTesten und schließen. Citrix Cloud überprüft Ihre Okta-Details und testet die Verbindung.

Nachdem die Verbindung erfolgreich verifiziert wurde, können Sie die Okta-Authentifizierung für Workspace-Abonnenten aktivieren.

Aktivieren der Okta-Authentifizierung für Workspaces

1. Wählen Sie im Citrix Cloud-MenüWorkspacekonfiguration > Authentifizierung.
2. Wählen SieOkta.
3. Wählen SieIch verstehe die Auswirkungen auf Abonnenten, wenn Sie dazu aufgefordert werden.
4. Wählen SieSpeichern.

Nach der Umstellung auf die Okta-Authentifizierung deaktiviert Citrix Cloud die Workspaces vorübergehend für einige Minuten. Wenn die Workspaces wieder aktiviert sind, können sich Ihre Abonnenten mit Okta anmelden.

Weitere Informationen

• Citrix Tech Zone:
  • Tech Insight: Authentication - Okta
  • Tech Brief: Workspace Identity
  • Tech Brief: Workspace SSO