使用本地Citrix网关作为Citrix Cloud的身份提供者
Citrix Cloud支持使用本地Citrix Gateway作为身份提供者,对登录到其工作区的订阅者进行身份验证。
通过使用Citrix网关身份验证,您可以:
- 继续通过现有的Citrix网关对用户进行身份验证,以便他们可以通过Citrix工作区访问本地虚拟应用程序和桌面部署中的资源。
- 在Citrix Workspace中使用Citrix Gateway身份验证、授权和审计功能。
- 使用诸如直通身份验证、智能卡、安全令牌、有条件访问策略、联邦等特性,同时通过Citrix Workspace向用户提供他们所需的资源访问。
Citrix Gateway认证支持以下产品版本:
- Citrix Gateway 13.0 41.20高级版或更高版本
- Citrix Gateway 12.1 54.13高级版及以上版本
先决条件
云连接器—您至少需要两台服务器来安装Citrix云连接器软件。
活动目录-执行必要的检查。
Citrix网关的需求
在本地网关上使用高级策略,因为传统策略已弃用。
在配置网关以对Citrix工作区的订阅者进行身份验证时,网关充当OpenID连接提供程序。Citrix Cloud和Gateway之间的消息遵循OIDC协议,该协议涉及数字签名令牌。因此,您必须配置一个证书来对这些令牌进行签名。
时钟同步—网关必须与NTP时间同步。
有关详细信息,请参见先决条件.
在本地Citrix Gateway上创建OAuth IdP策略
重要的是:
中的客户端ID、secret和重定向URL必须已生成Citrix Cloud >身份与访问管理>认证选项卡。有关详细信息,请参见将本地Citrix网关连接到Citrix Cloud.
创建OAuth IdP认证策略的主要任务如下:
创建OAuth IdP配置文件。
添加OAuth IdP策略。
配置认证虚拟服务器绑定OAuth IdP策略。
全局绑定证书。
使用CLI创建OAuth IdP配置文件
在命令提示符处,输入;
add认证OAuthIDPProfile [-clientID ][-clientSecret][-redirectURL ][-issuer ][-audience ][-skewTime ] [-defaultAuthenticationGroup ] add认证OAuthIdPPolicy -rule [-action [-undefAction ][-comment ][-logAction ] add认证OAuthIdPPolicy -rule [-action [-undefAction authentication ldapAction -serverIP -ldapBase "dc=aaa,dc=local" ldapBindDn -ldapBindDnPassword - ldapploginname sAMAccountName add authentication policy -rule -action bind authentication vserver auth_vs -policy -priority -gotoPriorityExpressionNEXT绑定认证vserver auth_vs -policy -priority - gotopriityexpression结束绑定vpn global -certkey <>
通过使用GUI创建OAuth IdP配置文件
导航到安全> AAA -应用流量>策略>认证>高级策略> OAuth IDP.
在OAuth国内流离失所者页面,选择配置文件选项卡并单击添加.
配置OAuth IdP配置文件。
注意:
属性复制并粘贴客户端ID、secret和Redirect URL值Citrix Cloud >身份与访问管理>认证选项卡建立到Citrix Cloud的连接。
输入正确的网关URL发行人的名字例子:https://GatewayFQDN.com
中的客户端ID也复制并粘贴观众字段。
发送密码:启用此选项以支持单点登录。默认情况下,该选项是禁用的。
在创建认证OAuth IDP配置文件界面中,设置如下参数,单击创建.
的名字-认证配置文件的名称。必须以字母、数字或下划线(_)开头,且只能包含字母、数字、连字符(-)、点(.)、磅(#)、空格、at(@)、等号(=)、冒号(:)和下划线。不能在配置文件创建后更改。
- 客户机ID-标识SP的唯一字符串。授权服务器使用这个ID推断客户端配置。最大长度:127。
- 客户的秘密—用户和授权服务器建立的秘密字符串。最大长度:239。
- 重定向URL- SP上的端点必须发布代码/令牌。
- 发行人的名字—要接受令牌的服务器的身份。最大长度:127。例子:https://GatewayFQDN.com
- 观众—IdP发送令牌的目标接收方。这可能会被收件人检查。
- 扭曲的时间-此选项指定Citrix ADC允许传入令牌的时钟偏差(以分钟为单位)。例如,如果skewTime是10,那么令牌从(当前时间- 10)分钟到(当前时间+ 10)分钟有效,总共是20分钟。默认值:5。
- 默认的身份验证组—当IdP选择该配置文件时,添加到会话内部组列表中的组,可以在nFactor流中使用。它可以在表达式(AAA.USER.IS_MEMBER_OF(" xxx "))中用于身份验证策略,以识别依赖方相关的nFactor流。最大长度:63
将此概要文件的组添加到会话中,以简化策略评估并帮助定制策略。这是身份验证成功时选择的默认组,以及提取的组。最大长度:63。
点击政策并点击添加。
在创建认证OAuth IDP策略界面中,设置如下参数,单击创建.
- 的名字—认证策略的名称。
- 行动—之前创建的策略的名称。
- 日志操作-当请求匹配此策略时使用的消息日志动作的名称。这不是强制文件。
- Undefined-Result行动-政策评价结果不确定时应采取的行动(联合国艾滋病规划署)。这不是一个强制性的领域。
- 表达式—策略响应特定请求的默认语法表达式。例如,真的。
- 评论-对政策有任何意见。
注意:
当sendPassword设置为ON(默认为OFF),用户凭证被加密并通过安全通道传递到Citrix Cloud。通过安全通道传递用户凭证允许您在启动时启用SSO到Citrix虚拟应用程序和桌面。
配置认证虚拟服务器绑定OAuthIDP策略和LDAP策略
导航到>安全> aaa -应用流量>策略>认证>高级策略>动作> LDAP.
在LDAP操作屏幕上,单击添加.
在创建认证LDAP服务器界面中,设置以下参数值,单击创建.
- 的名字,LDAP操作的名称
- ServerName / ServerIP -提供LDAP服务器的FQDN或IP
- 选择适当的值安全类型,端口,服务器类型,超时
- 确保身份验证检查
- 基本DN -从这里开始LDAP搜索。例如,
dc = aaa, dc =当地
. - 管理员DN绑定:绑定LDAP服务器的用户名。例如,admin@aaa.local。
- “管理员密码/确认密码”:绑定LDAP的密码
- 点击测试连接测试您的设置。
- 服务器登录名属性:选择“sAMAccountName”
- 其他字段不是强制性的,因此可以根据需要进行配置。
导航到配置>安全> aaa应用流量>策略>认证>高级策略>策略。
在身份验证策略屏幕上,单击添加.
在创建身份验证策略界面中,设置以下参数值,单击创造。
- 的名字,LDAP认证策略名称。
- 动作类型,选择LDAP。
- 行动——选择LDAP动作。
- 表达-策略用于响应特定请求的默认语法表达式。例如,真正的* *。
在Citrix Gateway上支持双活GSLB部署
通过OIDC协议配置为IdP (Identity Provider)的Citrix网关可以支持GSLB的双活部署。在Citrix Gateway IdP上的双-双GSLB部署提供了跨多个地理位置负载平衡传入用户登录请求的能力。
重要的
Citrix建议您将CA证书绑定到SSL服务,并在SSL服务上启用证书验证,以增强安全性。
有关配置GSLB设置的更多信息,请参见GSLB设置和配置的示例.