使用本地Citrix网关作为Citrix Cloud的身份提供者
Citrix Cloud支持使用本地Citrix Gateway作为身份提供者,对登录到其工作区的订阅者进行身份验证。
通过使用Citrix网关认证,您可以:
- 继续通过现有的Citrix Gateway对用户进行身份验证,以便他们可以通过Citrix Workspace访问本地虚拟应用程序和桌面部署中的资源。
- 在Citrix Workspace中使用Citrix Gateway的认证、授权和审计功能。
- 使用诸如直通身份验证、智能卡、安全令牌、有条件访问策略、联合以及许多其他特性,同时为用户提供通过Citrix Workspace访问所需资源的权限。
以下产品版本支持Citrix网关身份验证:
- Citrix Gateway 13.0 41.20高级版及以上版本
- Citrix Gateway 12.1 54.13高级版及以上版本
先决条件
云连接器—您至少需要两台服务器来安装Citrix云连接器软件。
活动目录-执行必要的检查。
Citrix网关要求
在本地网关上使用高级策略,因为经典策略已被弃用。
在配置网关以对Citrix Workspace的订阅者进行身份验证时,网关充当OpenID Connect提供程序。Citrix云和网关之间的消息遵循OIDC协议,该协议涉及数字签名令牌。因此,您必须为签名这些令牌配置证书。
时钟同步—网关需要与NTP时间同步。
有关详情,请参阅先决条件.
在本地Citrix Gateway上创建OAuth IdP策略
重要的是:
中生成了客户端ID、secret和重定向URLCitrix Cloud >身份与访问管理>认证选项卡。有关详情,请参阅将本地Citrix网关连接到Citrix Cloud.
创建OAuth IdP认证策略主要包括以下任务:
创建OAuth IdP配置文件。
添加OAuth IdP策略。
将OAuth IdP策略绑定到认证虚拟服务器。
全局绑定证书。
使用CLI创建OAuth IdP配置文件
在命令提示符下,输入;
add authentication OAuthIDPProfile [-clientID ][-clientSecret][-redirectURL ][-issuer ][-audience ][-skewTime ] [-defaultAuthenticationGroup ] add authentication OAuthIdPPolicy -rule [-action [-undefAction ][-comment ][-logAction ] add authentication ldapAction -serverIP -ldapBase "dc=aaa,dc=local" ldapbdn -ldapBindDnPassword -ldapLoginName .sAMAccountName添加认证策略 -rule -action 绑定认证vserver auth_vs -policy -priority -gotoPriorityExpression下一个绑定认证vserver auth_vs -policy -priority -gotoPriorityExpression END绑定vpn global -certkeyName <>
通过使用GUI创建OAuth IdP配置文件
导航到安全> AAA -应用流量>策略>认证>高级策略> OAuth IDP.
在OAuth国内流离失所者页,选择配置文件选项卡并单击添加.
配置OAuth IdP配置文件。
注意:
中的客户端ID、secret和Redirect URL值进行复制并粘贴Citrix Cloud >身份与访问管理>认证选项卡,建立与思杰云的连接。
输入正确的网关地址发行人的名字例子:https://GatewayFQDN.com
中复制并粘贴客户端ID观众Field也是。
发送密码:为单点登录支持启用此选项。默认情况下,该选项是禁用的。
在创建认证OAuth IDP配置文件在界面中设置以下参数值,单击创建.
名字-认证配置文件的名称。必须以字母、数字或下划线_开头,且只能包含字母、数字、连字符“-”、“。”、“#”、空格、“@”、“=”、“:”和下划线字符。配置文件创建后不能修改。
- 客户机ID-唯一标识SP的字符串。授权服务器使用该ID推断客户端配置。最大长度:127。
- 客户的秘密—用户与授权服务器建立的秘密字符串。最大长度:239。
- 重定向URL-必须将代码/令牌发布到SP上的端点。
- 发行人的名字-要接受令牌的服务器的标识。最大长度:127。例子:https://GatewayFQDN.com
- 观众- IdP发送令牌的目标接收者。这可能由收件人检查。
- 扭曲的时间-此选项指定允许的时钟偏差(以分钟为单位),Citrix ADC允许传入令牌。例如,如果skewTime为10,则令牌的有效期从(当前时间- 10)分钟到(当前时间+ 10)分钟,即总共20分钟。缺省值:5。
- 默认认证组-当IdP选择此配置文件时,添加到会话内部组列表中的组,可用于nFactor流。它可以在表达式(AAA.USER.IS_MEMBER_OF(" xxx "))中用于身份验证策略,以识别依赖方相关的nFactor流。最大长度:63
此配置文件的会话中添加了一个组,以简化策略评估并帮助自定义策略。除了提取的组之外,这是身份验证成功时选择的默认组。最大长度:63。
点击政策并点击添加。
在创建认证OAuth IDP策略在界面中设置以下参数值,单击创建.
- 名字—认证策略的名称。
- 行动—先前创建的配置文件名称。
- 日志操作-当请求匹配此策略时使用的消息日志操作名称。不是强制性的。
- Undefined-Result行动-政策评价结果未确定时应采取的行动(UNDEF)。不是必填字段。
- 表达式—策略响应特定请求时使用的默认语法表达式。例如,true。
- 评论-对政策有何评论?
注意:
当sendPassword设置为ON(默认为OFF),用户凭证将被加密并通过安全通道传递给Citrix Cloud。通过安全通道传递用户凭据允许您在启动时启用对Citrix虚拟应用程序和桌面的SSO。
将OAuthIDP策略和LDAP策略绑定到认证虚拟服务器
导航到配置>安全> aaa -应用流量>策略>认证>高级策略>动作> LDAP.
在LDAP操作屏幕上,单击添加.
在创建认证LDAP服务器在界面中设置以下参数值,单击创建.
- 的名字,LDAP操作的名称
- ServerName / ServerIP -提供LDAP服务器的FQDN或IP
- 选择合适的值用于安全类型,端口,服务器类型,超时
- 确保身份验证检查
- 基准DN -开始LDAP搜索的基础。例如,
dc = aaa, dc =当地
. - 管理员绑定DN:绑定LDAP服务器的用户名。例如:admin@aaa.local。
- “管理员密码/确认密码”:绑定LDAP的密码
- 点击测试连接来测试您的设置。
- 服务器登录名属性:选择“sAMAccountName”
- 其他字段不是必选的,可以根据需要进行配置。
导航到配置>安全> aaa -应用流量>策略>认证>高级策略>策略。
在身份验证策略屏幕上,单击添加.
在创建认证策略界面,输入以下参数,单击创造。
- 的名字,LDAP认证策略的名称。
- 行动类型-选择LDAP。
- 行动——选择LDAP操作。
- 表达-策略用于响应特定请求的默认语法表达式。例如,true**。
支持在Citrix Gateway上部署双活GSLB
Citrix Gateway使用OIDC协议配置为IdP (Identity Provider),可以支持双活GSLB部署。Citrix Gateway IdP上的双活GSLB部署提供了跨多个地理位置负载平衡传入用户登录请求的功能。
重要的
Citrix建议您将CA证书绑定到SSL服务,并在SSL服务上启用证书验证,以增强安全性。
有关配置GSLB设置的详细信息,请参见GSLB设置和配置示例.