使用本地Citrix网关作为Citrix Cloud的身份提供者

Citrix Cloud支持使用本地Citrix Gateway作为身份提供者，对登录到其工作区的订阅者进行身份验证。

通过使用Citrix网关认证，您可以:

• 继续通过现有的Citrix Gateway对用户进行身份验证，以便他们可以通过Citrix Workspace访问本地虚拟应用程序和桌面部署中的资源。
• 在Citrix Workspace中使用Citrix Gateway的认证、授权和审计功能。
• 使用诸如直通身份验证、智能卡、安全令牌、有条件访问策略、联合以及许多其他特性，同时为用户提供通过Citrix Workspace访问所需资源的权限。

以下产品版本支持Citrix网关身份验证:

• Citrix Gateway 13.0 41.20高级版及以上版本
• Citrix Gateway 12.1 54.13高级版及以上版本

先决条件

• 云连接器—您至少需要两台服务器来安装Citrix云连接器软件。

• 活动目录-执行必要的检查。

• Citrix网关要求

  • 在本地网关上使用高级策略，因为经典策略已被弃用。

  • 在配置网关以对Citrix Workspace的订阅者进行身份验证时，网关充当OpenID Connect提供程序。Citrix云和网关之间的消息遵循OIDC协议，该协议涉及数字签名令牌。因此，您必须为签名这些令牌配置证书。

  • 时钟同步—网关需要与NTP时间同步。

有关详情，请参阅先决条件．

在本地Citrix Gateway上创建OAuth IdP策略

重要的是:

中生成了客户端ID、secret和重定向URLCitrix Cloud >身份与访问管理>认证选项卡。有关详情，请参阅将本地Citrix网关连接到Citrix Cloud．

创建OAuth IdP认证策略主要包括以下任务:

1. 创建OAuth IdP配置文件。

2. 添加OAuth IdP策略。

3. 将OAuth IdP策略绑定到认证虚拟服务器。

4. 全局绑定证书。

使用CLI创建OAuth IdP配置文件

在命令提示符下，输入;

add authentication OAuthIDPProfile  [-clientID ][-clientSecret][-redirectURL ][-issuer ][-audience ][-skewTime ] [-defaultAuthenticationGroup ] add authentication OAuthIdPPolicy  -rule  [-action  [-undefAction ][-comment ][-logAction ] add authentication ldapAction  -serverIP  -ldapBase "dc=aaa,dc=local" ldapbdn  -ldapBindDnPassword  -ldapLoginName .sAMAccountName添加认证策略 -rule  -action 绑定认证vserver auth_vs -policy  -priority  -gotoPriorityExpression下一个绑定认证vserver auth_vs -policy  -priority  -gotoPriorityExpression END绑定vpn global -certkeyName <> 

通过使用GUI创建OAuth IdP配置文件

1. 导航到安全> AAA -应用流量>策略>认证>高级策略> OAuth IDP．

   

2. 在OAuth国内流离失所者页，选择配置文件选项卡并单击添加．

3. 配置OAuth IdP配置文件。

   注意:

   • 中的客户端ID、secret和Redirect URL值进行复制并粘贴Citrix Cloud >身份与访问管理>认证选项卡，建立与思杰云的连接。

   • 输入正确的网关地址发行人的名字例子:https://GatewayFQDN.com

   • 中复制并粘贴客户端ID观众Field也是。

   • 发送密码:为单点登录支持启用此选项。默认情况下，该选项是禁用的。

4. 在创建认证OAuth IDP配置文件在界面中设置以下参数值，单击创建．

   • 名字-认证配置文件的名称。必须以字母、数字或下划线_开头，且只能包含字母、数字、连字符“-”、“。”、“#”、空格、“@”、“=”、“:”和下划线字符。配置文件创建后不能修改。

   • 客户机ID-唯一标识SP的字符串。授权服务器使用该ID推断客户端配置。最大长度:127。
   • 客户的秘密—用户与授权服务器建立的秘密字符串。最大长度:239。
   • 重定向URL-必须将代码/令牌发布到SP上的端点。
   • 发行人的名字-要接受令牌的服务器的标识。最大长度:127。例子:https://GatewayFQDN.com
   • 观众- IdP发送令牌的目标接收者。这可能由收件人检查。
   • 扭曲的时间-此选项指定允许的时钟偏差(以分钟为单位)，Citrix ADC允许传入令牌。例如，如果skewTime为10，则令牌的有效期从(当前时间- 10)分钟到(当前时间+ 10)分钟，即总共20分钟。缺省值:5。
   • 默认认证组-当IdP选择此配置文件时，添加到会话内部组列表中的组，可用于nFactor流。它可以在表达式(AAA.USER.IS_MEMBER_OF(" xxx "))中用于身份验证策略，以识别依赖方相关的nFactor流。最大长度:63

   此配置文件的会话中添加了一个组，以简化策略评估并帮助自定义策略。除了提取的组之外，这是身份验证成功时选择的默认组。最大长度:63。

   

5. 点击政策并点击添加。

6. 在创建认证OAuth IDP策略在界面中设置以下参数值，单击创建．

   • 名字—认证策略的名称。
   • 行动—先前创建的配置文件名称。
   • 日志操作-当请求匹配此策略时使用的消息日志操作名称。不是强制性的。
   • Undefined-Result行动-政策评价结果未确定时应采取的行动(UNDEF)。不是必填字段。
   • 表达式—策略响应特定请求时使用的默认语法表达式。例如，true。
   • 评论-对政策有何评论?

   

注意:

当sendPassword设置为ON(默认为OFF)，用户凭证将被加密并通过安全通道传递给Citrix Cloud。通过安全通道传递用户凭据允许您在启动时启用对Citrix虚拟应用程序和桌面的SSO。

将OAuthIDP策略和LDAP策略绑定到认证虚拟服务器

1. 导航到配置>安全> aaa -应用流量>策略>认证>高级策略>动作> LDAP．

2. 在LDAP操作屏幕上,单击添加．

3. 在创建认证LDAP服务器在界面中设置以下参数值，单击创建．

   • 的名字,LDAP操作的名称
   • ServerName / ServerIP -提供LDAP服务器的FQDN或IP
   • 选择合适的值用于安全类型，端口，服务器类型，超时
   • 确保身份验证检查
   • 基准DN -开始LDAP搜索的基础。例如,dc = aaa, dc =当地．
   • 管理员绑定DN:绑定LDAP服务器的用户名。例如:admin@aaa.local。
   • “管理员密码/确认密码”:绑定LDAP的密码
   • 点击测试连接来测试您的设置。
   • 服务器登录名属性:选择“sAMAccountName”
   • 其他字段不是必选的，可以根据需要进行配置。

4. 导航到配置>安全> aaa -应用流量>策略>认证>高级策略>策略。

5. 在身份验证策略屏幕上,单击添加．

6. 在创建认证策略界面，输入以下参数，单击创造。

   • 的名字,LDAP认证策略的名称。
   • 行动类型-选择LDAP。
   • 行动——选择LDAP操作。
   • 表达-策略用于响应特定请求的默认语法表达式。例如，true**。

支持在Citrix Gateway上部署双活GSLB

Citrix Gateway使用OIDC协议配置为IdP (Identity Provider)，可以支持双活GSLB部署。Citrix Gateway IdP上的双活GSLB部署提供了跨多个地理位置负载平衡传入用户登录请求的功能。

重要的

Citrix建议您将CA证书绑定到SSL服务，并在SSL服务上启用证书验证，以增强安全性。

有关配置GSLB设置的详细信息，请参见GSLB设置和配置示例．