Tech Brief: Single Sign-On im Workspace

Die primäre Workspace-Identität eines Benutzers autorisiert ihn, auf SaaS, mobile, Web-, virtuelle Apps und virtuelle Desktops zuzugreifen. Viele autorisierte Ressourcen erfordern eine andere Authentifizierung, häufig mit einer anderen Identität als die primäre Workspace-Identität des Benutzers. Citrix Workspace bietet Benutzern eine nahtlose Erfahrung, indem Single Sign-On für sekundäre Ressourcen bereitgestellt wird.

Primäre Identität

Das Verständnis der Unterschiede zwischen der primären und sekundären Identitäten eines Benutzers bietet eine Grundlage für das Verständnis von Workspace Single Sign-On.

Zu Beginn ermöglicht Citrix Workspace jeder Organisation, eine primäre Identität aus einer wachsenden Liste von Optionen auszuwählen, die derzeit Folgendes umfasst:

• Windows Active Directory
• Azure Active Directory
• Okta
• Citrix Gateway
• Google

In Citrix Workspace dient die primäre Identität des Benutzers zwei Zwecken:

1. Authentifiziert den Benutzer bei Citrix Workspace
2. Autorisiert den Benutzer, auf eine Reihe von Ressourcen in Citrix Workspace zuzugreifen

Sobald sich der Benutzer erfolgreich bei Citrix Workspace mit der primären Identität authentifiziert hat, hat er die Berechtigung für alle sekundären Ressourcen. Für Unternehmen ist es wichtig, strenge Authentifizierungsrichtlinien für die primäre Identität des Benutzers einzurichten.

Viele Identitätsanbieter enthalten starke Optionen für Authentifizierungsrichtlinien, die dazu beitragen, die primäre Authentifizierung des Benutzers bei Citrix Workspace zu sichern. In Fällen, in denen der Identitätsanbieter nur einen einzigen Benutzernamen und ein einziges Kennwort enthält, wie z. B. Active Directory, enthält Citrix Workspace zusätzliche Funktionen zur Verbesserung der Sicherheit der primären Authentifizierung, wie z. B. daszeitbasierte Einmalkennwort.

Ein tieferes Verständnis der primären Identität für Citrix Workspace finden Sie in derWorkspace Identity Tech Brief.

sekundäre Identitäten

Viele der Anwendungen, Desktops und Ressourcen, auf die ein Benutzer in Citrix Workspace zugreift, sind mit einem anderen Satz von Benutzeranmeldeinformationen gesichert, die als sekundäre Identitäten bezeichnet werden. Viele der sekundären Identitäten unterscheiden sich von der primären Identität des Benutzers.

Der Single Sign-On µ-Service übersetzt die primäre Workspace-Identität des Benutzers in eine ressourcenspezifische Identität mit geeigneten Ansätzen wie:

• SAML
• Kerberos
• 形式
• Virtuelle Smartcards

麻省理工学院Citrix工作区authentifizieren西奇Benutzer einmal mit ihrer primären Identität und alle nachfolgenden Authentifizierungsherausforderungen für sekundäre Ressourcen werden automatisch erfüllt.

Wie Citrix Workspace Single Sign-On für verschiedene Ressourcen bereitstellt, hängt von der Art der Ressource ab, auf die zugegriffen wird. Um die verschiedenen Ansätze besser zu verstehen, gliedert man sie am besten in folgende Themen auf:

• SaaS-Apps
• Web-Apps
• Mobile Apps (Abschnitt kommt bald)
• Virtuelle Apps und Desktops
• IdP-Verkettung

SSO: SaaS-Apps

Aus Sicht von Citrix Workspace ist eine SaaS-Anwendung eine browserbasierte Anwendung, die von einem Drittanbieter in der Cloud gehostet wird. Um auf die Anwendung zugreifen zu können, müssen sich Benutzer mit einer Reihe von Anmeldeinformationen authentifizieren, die mit der SaaS-Anwendung verknüpft sind und als sekundäre Identität bezeichnet werden.

Um Single Sign-On für eine SaaS-Anwendung zu erreichen, bietet Citrix Workspace die Identität zwischen der primären Identität und der sekundären Identität zusammen. Der SSO-Prozess nutzt die SAML-basierte Authentifizierung nach Branchenstandard.

Die SAML-basierte Authentifizierung konzentriert sich in der Regel auf drei Haupteinheiten:

• Identity Provider: Die Entität in einem SAML-Link, die den Nachweis der Identität des Benutzers als gültig macht
• Dienstanbieter: Die Entität in einem SAML-Link, die einen Dienst (SaaS-App) basierend auf einer sekundären Identität bereitstellt
• Behauptung: ein Paket von Daten, die

Die SAML-basierte Authentifizierung verknüpft zwei verschiedene Benutzerkonten (primär und sekundär) mit allgemeinen Attributen, in der Regel einem Benutzerprinzipalnamen (UPN) oder einer E-Mail-Adresse.

我死Benutzeridentitat萤石说是der primarendentität vom Identitätsanbieter und der sekundären Identität vom Dienstanbieter unterschiedlich sein.

Bei Single Sign-On muss der Benutzer den Benutzernamen oder das Kennwort seiner sekundären Identität nicht kennen. Darüber hinaus haben viele SaaS-Anwendungen die Möglichkeit, das Kennwort (und den direkten Kennwortzugriff) von Benutzerkonten zu deaktivieren, wenn die Authentifizierung SAML verwendet. Dies zwingt die Benutzerauthentifizierung, immer die primäre Identität des Identitätsanbieters und nicht die sekundäre Identität des Dienstanbieters zu verwenden.

Citrix Workspace führt eine vierte Komponente in den SAML-Prozess ein

• Identity Broker: Die Entität, die mehrere Identitätsanbieter mit mehreren Dienstanbietern verknüpft (Citrix Workspace)

Innerhalb einer SAML-Link muss es eine Einheit geben, die als Dienstanbieter (SP) und Identitätsanbieter (IdP) fungiert. Der IdP muss nicht die primären Benutzerkontoidentitäten enthalten. In diesem Beispiel ist die primäre Benutzeridentität im primären Benutzerverzeichnis (Dir) enthalten.

Wenn Citrix Workspace als Identitätsbroker (IdB) fungiert, nimmt er Ansprüche über die primäre Identität des Benutzers und übersetzt sie in sekundäre Identitäten.

Das Hinzufügen eines Identitätsbrokers (IdB) zum SAML-Authentifizierungsfluss erfordert weiterhin ein gemeinsames Attribut, das die primäre Identität des Benutzers (IdP) mit der sekundären Identität (SP) verknüpft.

Damit die SAML-Authentifizierung funktioniert, verknüpft der Identity Broker die Anfrage mit einer SAML-spezifischen Anmelde-URL für jede SaaS-Anwendung. Diese URL erhält die Assertion des Benutzers. Wenn der Dienstanbieter die Assertion erhält, muss er die Assertion gegen das Unternehmen validieren, das die Assertion generiert hat, nämlich die SAML-Aussteller-URL des Identitätsbrokers.

In Citrix Workspace ist der Gesamtprozess für Single Sign-On bei SaaS-Anwendungen wie folgt:

SSO für SaaS-Apps in Citrix Workspace hilft bei der Lösung einiger Herausforderungen bei der Erfahrung von Benutzern und Administratoren:

1. Benutzer müssen sich nicht für jede sekundäre Identität einen Benutzernamen und ein Kennwort merken
2. Benutzer müssen nicht für jede sekundäre Identität komplexe Kennwörter erstellen
3. Benutzer müssen nicht MFA-Keys/Token für jede sekundäre Identität einrichten/konfigurieren
4. Administratoren können den Zugriff auf alle SaaS-Apps deaktivieren, indem sie die primäre Identität des Benutzers deaktivieren
5. Administratoren können die primäre Identität des Benutzers auf einer der wachsenden Listen unterstützter Identitätsanbieter stützen

Um den Zugriff zu sichern, müssen Unternehmen

1. Implementierung starker Authentifizierungsrichtlinien für die primäre Workspace-Identität
2. Deaktivieren Sie den direkten Zugriff auf SaaS-Apps mit der sekundären Identität

SSO: Web-Apps

Eine Webanwendung ist eine browserbasierte Anwendung, die von der Organisation gehostet und verwaltet wird. Die Webanwendung wird im on-premises Rechenzentrum gehostet. Um auf eine Webanwendung zugreifen zu können, müssen Benutzer eine sichere Verbindung zum Host herstellen und sich mit einer Reihe von Anmeldeinformationen authentifizieren, die mit der Webanwendung verknüpft sind, die als sekundäre Identität bezeichnet werden.

Basierend auf der konzeptuellen Architektur baut der Gateway Connector eine Verbindung zum Citrix Cloud-Abonnement des Unternehmens für ausgehende Steuerungskanäle auf. Einmal etablierte Authentifizierungs- und Zugriffsanforderungen an die on-premises Webanwendung reisen über den Steuerungskanal des Gateway Connector, wodurch die Notwendigkeit einer VPN-Verbindung entfällt.

Abhängig von der Webanwendung kann die sekundäre Identität die gleiche Identität wie die primäre Identität sein, die zur Authentifizierung bei Citrix Workspace verwendet wird, oder einer eindeutigen Identität, die von einem anderen Identitätsanbieter verwaltet wird.

Um Single Sign-On für eine Webanwendung zu erreichen, föderiert Citrix Workspace die Identität zwischen der primären Identität (die zur Anmeldung bei Citrix Workspace verwendet wird) und der sekundären Identität (die zur Anmeldung bei der Web-App verwendet wird). Der SSO-Prozess für Webanwendungen verwendet mehrere Ansätze, um eine größere Anzahl von Webanwendungen unterstützen zu können. Diese Ansätze können sein

• Basic - wird verwendet, wenn der Webanwendungsserver Benutzern eine grundlegende 401-Herausforderung darstellt. Die Standardauthentifizierung verwendet die Anmeldeinformationen, die zur Authentifizierung bei Citrix Workspace verwendet werden.
• Kerberos - wird verwendet, wenn der Webanwendungsserver Benutzern eine Verhandlung-401-Herausforderung darstellt. Kerberos verwendet die Anmeldeinformationen, die zur Authentifizierung bei Citrix Workspace verwendet werden.
• Formulare - wird verwendet, wenn der Webanwendungsserver Benutzern ein HTML-Authentifizierungsformular anzeigt. Bei formularbasierter Authentifizierung muss der Administrator die entsprechenden Felder auf der Authentifizierungsseite für den Benutzernamen und das Kennwort identifizieren.
• SAML——将verwendet der Webanwendungsserve要是r in der Lage ist, SAML-basierte Authentifizierung zu verwenden, bei der die Webanwendung als Dienstanbieter und Citrix Workspace als Identitätsanbieter fungiert. Die primäre Identität des Benutzers, mit der er sich bei Citrix Workspace anmeldet, muss über einen Parameter (UPN oder E-Mail) verfügen, der mit den Anmeldeinformationen in der Webanwendung übereinstimmt. Weitere Informationen über SAML-basiertes Single Sign-On finden Sie im AbschnittSSO für SaaS-Apps.
• Kein SSO - wird verwendet, wenn der Webanwendungsserver keine Benutzerauthentifizierung erfordert oder wenn der Administrator möchte, dass sich der Benutzer manuell anmeldet.

Single Sign-On bei Webanwendungen in Citrix Workspace hilft bei der Lösung einiger Herausforderungen bei der Erfahrung von Benutzern und Administratoren:

• Benutzer müssen sich nicht für jede Webanwendung einen Benutzernamen und ein Kennwort merken
• Benutzer müssen nicht für jede Webanwendung komplexe Kennwörter erstellen
• Benutzer müssen nicht MFA-Keys/Token für jede Webanwendung einrichten/konfigurieren
• Benutzer müssen keine VPN-Verbindung starten, um auf eine interne Webanwendung zugreifen zu können
• Administratoren können den Zugriff auf alle Webanwendungen deaktivieren, indem sie die primäre Identität des Benutzers deaktivieren
• Administratoren können die primäre Identität des Benutzers auf einer der wachsenden Listen unterstützter Identitätsanbieter stützen
• Nach der Bereitstellung müssen Administratoren die Gateway Connectors nicht aktualisieren. Citrix Cloud Services automatisiert die Updates nach Bedarf.

Um den Zugriff zu sichern, müssen Unternehmen

• Implementierung starker Authentifizierungsrichtlinien für die primäre Workspace-Identität
• Deaktivieren Sie den VPN-Zugriff auf Webanwendungen

Stellen Sie redundante Gateway Connectors bereit, um die Verfügbarkeit zu erhalten, wenn ein Connector aktualisiert wird. Es wird jeweils nur ein Konnektor aktualisiert und der Prozess wird nicht fortgesetzt, bis ein Erfolgsergebnis erreicht ist.

SSO: Virtual Apps and Desktops

Citrix Virtual Apps and Desktops ermöglicht Benutzern den Remotezugriff auf Windows- und Linux-basierte Anwendungen und Desktops. Um auf eine Windows-basierte virtuelle Anwendung oder einen Desktop zuzugreifen, müssen sich Benutzer mit einer Active Directory-Identität authentifizieren.

Wenn die primäre Workspace-Identität eines Benutzers Active Directory lautet, verwendet eine virtuelle App- und Desktop-Sitzung Passthrough-Authentifizierung, um Single Sign-On für die sekundäre Ressource bereitzustellen. Wenn eine Organisation jedoch einen nicht aktiven, verzeichnisbasierten Identitätsanbieter für die primäre Identität des Benutzers verwenden möchte, müssen Single Sign-On-Funktionen von Citrix Workspace die primäre Identität in eine sekundäre Active Directory-Identität übersetzen.

Um Single Sign-On bei einer virtuellen App und einem Desktop zu erreichen, verwendet Citrix Workspace den föderierten Authentifizierungsdienst, der dynamisch eine Active Directory-basierte virtuelle Smartcard für den Benutzer generiert.

Bevor eine virtuelle Smartcard generiert werden kann, muss Workspace in der Lage sein, die primäre Identität des Benutzers über eine Reihe gemeinsamer Attribute mit der Active Directory-basierten sekundären Identität zu verknüpfen.

Wenn Okta beispielsweise die primäre Identität für Citrix Workspace ist, muss die Okta-Identität des Benutzers drei zusätzliche Parameter enthalten (cip_sid, cip_upn und cip_oid). Die Parameter verknüpfen eine Active Directory-Identität mit einer Okta-Identität.

Sobald sich der Benutzer erfolgreich bei der primären Identität authentifiziert hat, verwendet die Single Sign-On-Funktion in Citrix Workspace die Parameter, um eine virtuelle Smartcard anzufordern.

In Citrix Workspace ist der Gesamtprozess für Single Sign-On bei einer Windows-basierten virtuellen Anwendung und einem Desktop wie folgt:

In diesem Beispiel wird davon ausgegangen, dass die Citrix Virtual Apps and Desktops eine on-premises Bereitstellung ist.

Wenn Unternehmen den cloudbasierten Citrix Virtual Apps and Desktops Service verwenden, ähnelt die Architektur der folgenden:

SSO毛皮Windows-basierte virtuelle Anwendungen和Desktops in Citrix Workspace hilft bei der Lösung einiger Probleme bei der Erfahrung von Benutzern und Administratoren:

1. Benutzer erhalten keine Authentifizierungsaufforderung beim Zugriff auf eine virtuelle Anwendung oder einen Desktop
2. Benutzer müssen keine komplexen Kennwörter für ihre Active Directory-Identität erstellen, aktualisieren und sich daran erinnern
3. Administratoren können den Zugriff auf alle virtuellen Anwendungen und Desktops deaktivieren, indem sie die primäre Identität des Benutzers deaktivieren

Um den föderierten Authentifizierungsdienst ordnungsgemäß zu integrieren, sollten Sie Folgendes beachten:

• Synchronisierung: Die primäre Workspace-Identität muss die Synchronisierung mit der auf Active Directory-basierenden sekundären Identität aufrechterhalten. Viele primäre Identitätsanbieter enthalten ein Active Directory-Synchronisierungstool, das die Synchronisierung zwischen primären und sekundären Identitäten unterstützt Ohne ordnungsgemäße Synchronisierung kann der föderierte Authentifizierungsdienst der virtuellen Smartcard keine Active Directory-Identität zuordnen.
• Nur-Smartcard-Authentifizierung: Bei einem Gruppenrichtlinienobjekt können Administratoren nur Smartcard-Authentifizierung erzwingen. Dies eliminiert die Möglichkeit, dass ein Benutzer versucht, die gesicherte primäre Identität zu Bypass, indem der Benutzername/die Kennwortberechtigung der sekundären Identität verwendet wird. Wenn ein Benutzer jedoch jemals den Benutzernamen/das Kennwort verwenden muss, um sich interaktiv bei einem Dienst anzumelden, schlägt die Authentifizierung bei aktivierter Einstellung fehl.
• Virtual Smartcard Security: Es ist wichtig sicherzustellen, dass die föderierte Authentifizierungsdienstinfrastruktur ordnungsgemäß verwaltet und gesichert wird. Der folgende Artikel enthältSicherheitsempfehlungen für den Verbundauthentifizierungsdienst.
• Redundanz:在静脉Produktionsbereitstellung弄乱die Gesamtarchitektur die Fehlertoleranz als Teil des Entwurfs enthalten. Dies umfasst redundante Server für föderierte Authentifizierungsdienste, Zertifizierungsstellen usw. Je nach Umfang der Umgebung müssen Organisationen möglicherweise untergeordnete Zertifizierungsstellen widmen, anstatt auf die Stammzertifizierungsstelle hinzuweisen.
• Zertifizierungsstelle: Für einen Produktionseinsatz müssen Organisationen die Zertifizierungsstelle für die Handhabung der Waage entwerfen. Außerdem müssen Unternehmen die zugehörige Infrastruktur für Zertifikatsperrlisten (CRL) ordnungsgemäß entwerfen, um potenzielle Serviceunterbrechungen zu überwinden.
• Tertiärauthentifizierung: In einer virtuellen Desktopsitzung erfordern viele interne Websites, dass sich Benutzer mit einer Active Directory-Identität authentifizieren. Die virtuelle Smartcard, die zum Single Sign-On für den virtuellen Desktop verwendet wird, kann verwendet werden, um Single Sign-On auf der internen Website bereitzustellen. Der föderierte Authentifizierungsdienst ermöglicht (über ein Gruppenrichtlinienobjekt) Sitzungszertifikate, bei denen die virtuelle Smartcard im Zertifikatsspeicher des Benutzers abgelegt wird. Diese Fähigkeit bietet Single Sign-On für diese tertiären Ressourcen.

SSO: IDP Verkettung

Viele Unternehmen verlassen sich derzeit auf eine Drittanbieter-Lösung (Okta, Ping, Azure usw.), um Single Sign-On für SaaS-Anwendungen bereitzustellen. Citrix Workspace kann die SSO-fähigen SaaS-Anwendungen durch einen Prozess namens IdP-Chaining in den Ressourcen-Feed des Benutzers integrieren. IdP-Chaining wandelt im Wesentlichen eine SAML-Behauptung in eine andere SAML-Assertion um. IdP-Chaining ermöglicht es Unternehmen, ihren aktuellen SSO-Anbieter zu verwalten und gleichzeitig vollständig in Citrix Workspace zu integrieren, einschließlich der Implementierung erweiterter Sicherheitsrichtlinien.

Wenn Citrix Workspace SSO für SaaS-Anwendungen bereitstellt, verwendet es die SAML-Authentifizierung. Die SAML-basierte Authentifizierung verknüpft zwei verschiedene Benutzerkonten (primär und sekundär) mit allgemeinen Attributen, in der Regel einem Benutzerprinzipalnamen (UPN) oder einer E-Mail-Adresse.

Bei SAML-basiertem Single Sign-On gibt es zwei Partner:

1. Service Provider (SP): das Unternehmen, das einen Dienst bereitstellt und eine sekundäre Identität enthält
2. Identity Provider (IdP): Die Einheit, die eine Validierung für die primäre Identität des Benutzers bereitstellt. Der Identitätsanbieter in einer SAML-Gruppe muss nicht die endgültige Autorität für die Identität des Nutzers sein.

Das primäre Benutzerverzeichnis ist die letzte Berechtigung zur Identität des Benutzers. Citrix Workspace, der als Identity Broker (IDB) fungiert, erhält Ansprüche über den Benutzer aus dem primären Benutzerverzeichnis (Dir), um eine SAML-Zusicherung zu erstellen. Die Assertion beweist die Identität des Nutzers gegenüber dem Dienstanbieter (SP) und erfüllt den Single-Sign-On-Prozess.

Wenn eine Organisation bereits einen anderen SSO-Anbieter verwendet, fügt die IdP-Verkettung einen zusätzlichen SAML-Authentifizierungslink in die Authentifizierungskette ein.

In diesem Beispiel für die IdP-Verkettung authentifiziert Citrix Workspace, der als Identitätsbroker fungiert, den Benutzer gegenüber dem primären Benutzerverzeichnis. Innerhalb des ersten SAML-Links verwendet Citrix Workspace Ansprüche über den Benutzer, um eine SAML-Assertion für eine Okta-spezifische Ressource zu erstellen, die als Dienstanbieter fungiert. Innerhalb des zweiten SAML-Linkes verwendet Okta Ansprüche über den Benutzer, um eine SAML-Assertion für eine bestimmte SaaS-App zu erstellen, die der Dienstanbieter ist.

IdP-Verkettung fügt zusätzliche Verbindungen zwischen der primären Identität des Benutzers und dem angeforderten Dienst hinzu. Innerhalb jeder SAML-Link muss das gemeinsame Attribut zwischen Identitätsanbieter und Dienstanbieter identisch sein. Wenn die Authentifizierung über verschiedene Verbindungen in der Kette hinweg verläuft, kann sich das gemeinsame Attribut ändern.

Innerhalb jedes SAML-Linkes verknüpft der Identitätsanbieter die Authentifizierungsanforderung mit einer SAML-spezifischen Anmelde-URL für jede SaaS-Anwendung. Diese URL erhält die Benutzerbehauptung, die das common -Attribut enthält. Wenn der Diensteanbieter die Assertion erhält, muss er die Assertion gegen die Entität validieren, die die Assertion generiert hat, nämlich die SAML-Aussteller-URL des Identitätsanbieters.

In einer IdP-Kette ist der Prozess identisch, außer dass jede SSO-fähige Anwendung innerhalb des SSO-Anbieters eine App-spezifische URL hat. Die app-spezifische URL fungiert als Dienstanbieter. Die app-spezifische URL wird als SAML-Anmelde-URL verwendet, wenn der SSO-Anbieter die Rolle des Dienstanbieters übernimmt.

Wenn in diesem Beispiel ein Benutzer eine Okta-fähige Anwendung aus Citrix Workspace auswählt, zeigt Citrix Workspace die Assertion an die SAML-Anmelde-URL für die angeforderte Okta-Anwendung an. Okta validiert die Assertion mit der URL des SAML-Ausstellers von Citrix Workspace. Sobald es erfolgreich ist, legt Okta eine Assertion für die SAML-Login-URL der SaaS-Anwendung vor, die die Assertion mit der Okta SAML-Aussteller-URL validiert.

Der einfachste Weg, an die IdP-Verkettung zu denken, besteht darin, sich auf jedes Glied in der Kette einzeln zu konzentrieren, zu dem ein Identitätsanbieter und ein Dienstanbieter gehören. In diesem Beispiel sind die Glieder in der Kette:

1. Citrix nach Okta
2. Okta-to-Work-day

Dies führt zu folgendem Authentifizierungsablauf:

Durch das Erstellen einer IdP-Kette können Unternehmen ihren aktuellen SSO-Anbieter beibehalten und gleichzeitig alle Ressourcen in Citrix Workspace vereinheitlichen.