使用本地Citrix网关作为Citrix Cloud的身份提供者

Citrix Cloud支持使用本地Citrix Gateway作为身份提供者，对登录到其工作区的订阅者进行身份验证。

通过使用Citrix网关身份验证，您可以:

• 继续通过现有的Citrix网关对用户进行身份验证，以便他们可以通过Citrix工作区访问本地虚拟应用程序和桌面部署中的资源。
• 在Citrix Workspace中使用Citrix Gateway身份验证、授权和审计功能。
• 使用诸如直通身份验证、智能卡、安全令牌、有条件访问策略、联邦等特性，同时通过Citrix Workspace向用户提供他们所需的资源访问。

Citrix Gateway认证支持以下产品版本:

• Citrix Gateway 13.0 41.20高级版或更高版本
• Citrix Gateway 12.1 54.13高级版及以上版本

先决条件

• 云连接器—您至少需要两台服务器来安装Citrix云连接器软件。

• 活动目录-执行必要的检查。

• Citrix网关的需求

  • 在本地网关上使用高级策略，因为传统策略已弃用。

  • 在配置网关以对Citrix工作区的订阅者进行身份验证时，网关充当OpenID连接提供程序。Citrix Cloud和Gateway之间的消息遵循OIDC协议，该协议涉及数字签名令牌。因此，您必须配置一个证书来对这些令牌进行签名。

  • 时钟同步—网关必须与NTP时间同步。

有关详细信息,请参见先决条件．

在本地Citrix Gateway上创建OAuth IdP策略

重要的是:

中的客户端ID、secret和重定向URL必须已生成Citrix Cloud >身份与访问管理>认证选项卡。有关详细信息,请参见将本地Citrix网关连接到Citrix Cloud．

创建OAuth IdP认证策略的主要任务如下:

1. 创建OAuth IdP配置文件。

2. 添加OAuth IdP策略。

3. 配置认证虚拟服务器绑定OAuth IdP策略。

4. 全局绑定证书。

使用CLI创建OAuth IdP配置文件

在命令提示符处，输入;

add认证OAuthIDPProfile  [-clientID ][-clientSecret][-redirectURL ][-issuer ][-audience ][-skewTime ] [-defaultAuthenticationGroup ] add认证OAuthIdPPolicy  -rule  [-action  [-undefAction ][-comment ][-logAction ] add认证OAuthIdPPolicy  -rule  [-action  [-undefAction authentication ldapAction  -serverIP  -ldapBase "dc=aaa,dc=local" ldapBindDn  -ldapBindDnPassword  - ldapploginname sAMAccountName add authentication policy  -rule  -action  bind authentication vserver auth_vs -policy  -priority  -gotoPriorityExpressionNEXT绑定认证vserver auth_vs -policy  -priority  - gotopriityexpression结束绑定vpn global -certkey <> 

通过使用GUI创建OAuth IdP配置文件

1. 导航到安全> AAA -应用流量>策略>认证>高级策略> OAuth IDP．

2. 在OAuth国内流离失所者页面,选择配置文件选项卡并单击添加．

3. 配置OAuth IdP配置文件。

   注意:

   • 属性复制并粘贴客户端ID、secret和Redirect URL值Citrix Cloud >身份与访问管理>认证选项卡建立到Citrix Cloud的连接。

   • 输入正确的网关URL发行人的名字例子:https://GatewayFQDN.com

   • 中的客户端ID也复制并粘贴观众字段。

   • 发送密码:启用此选项以支持单点登录。默认情况下，该选项是禁用的。

4. 在创建认证OAuth IDP配置文件界面中，设置如下参数，单击创建．

   • 的名字-认证配置文件的名称。必须以字母、数字或下划线(_)开头，且只能包含字母、数字、连字符(-)、点(.)、磅(#)、空格、at(@)、等号(=)、冒号(:)和下划线。不能在配置文件创建后更改。

   • 客户机ID-标识SP的唯一字符串。授权服务器使用这个ID推断客户端配置。最大长度:127。
   • 客户的秘密—用户和授权服务器建立的秘密字符串。最大长度:239。
   • 重定向URL- SP上的端点必须发布代码/令牌。
   • 发行人的名字—要接受令牌的服务器的身份。最大长度:127。例子:https://GatewayFQDN.com
   • 观众—IdP发送令牌的目标接收方。这可能会被收件人检查。
   • 扭曲的时间-此选项指定Citrix ADC允许传入令牌的时钟偏差(以分钟为单位)。例如，如果skewTime是10，那么令牌从(当前时间- 10)分钟到(当前时间+ 10)分钟有效，总共是20分钟。默认值:5。
   • 默认的身份验证组—当IdP选择该配置文件时，添加到会话内部组列表中的组，可以在nFactor流中使用。它可以在表达式(AAA.USER.IS_MEMBER_OF(" xxx "))中用于身份验证策略，以识别依赖方相关的nFactor流。最大长度:63

   将此概要文件的组添加到会话中，以简化策略评估并帮助定制策略。这是身份验证成功时选择的默认组，以及提取的组。最大长度:63。

5. 点击政策并点击添加。

6. 在创建认证OAuth IDP策略界面中，设置如下参数，单击创建．

   • 的名字—认证策略的名称。
   • 行动—之前创建的策略的名称。
   • 日志操作-当请求匹配此策略时使用的消息日志动作的名称。这不是强制文件。
   • Undefined-Result行动-政策评价结果不确定时应采取的行动(联合国艾滋病规划署)。这不是一个强制性的领域。
   • 表达式—策略响应特定请求的默认语法表达式。例如,真的。
   • 评论-对政策有任何意见。

注意:

当sendPassword设置为ON(默认为OFF)，用户凭证被加密并通过安全通道传递到Citrix Cloud。通过安全通道传递用户凭证允许您在启动时启用SSO到Citrix虚拟应用程序和桌面。

配置认证虚拟服务器绑定OAuthIDP策略和LDAP策略

1. 导航到>安全> aaa -应用流量>策略>认证>高级策略>动作> LDAP．

2. 在LDAP操作屏幕上,单击添加．

3. 在创建认证LDAP服务器界面中，设置以下参数值，单击创建．

   • 的名字,LDAP操作的名称
   • ServerName / ServerIP -提供LDAP服务器的FQDN或IP
   • 选择适当的值安全类型，端口，服务器类型，超时
   • 确保身份验证检查
   • 基本DN -从这里开始LDAP搜索。例如,dc = aaa, dc =当地．
   • 管理员DN绑定:绑定LDAP服务器的用户名。例如,admin@aaa.local。
   • “管理员密码/确认密码”:绑定LDAP的密码
   • 点击测试连接测试您的设置。
   • 服务器登录名属性:选择“sAMAccountName”
   • 其他字段不是强制性的，因此可以根据需要进行配置。

4. 导航到配置>安全> aaa应用流量>策略>认证>高级策略>策略。

5. 在身份验证策略屏幕上,单击添加．

6. 在创建身份验证策略界面中，设置以下参数值，单击创造。

   • 的名字,LDAP认证策略名称。
   • 动作类型,选择LDAP。
   • 行动——选择LDAP动作。
   • 表达-策略用于响应特定请求的默认语法表达式。例如,真正的* *。

在Citrix Gateway上支持双活GSLB部署

通过OIDC协议配置为IdP (Identity Provider)的Citrix网关可以支持GSLB的双活部署。在Citrix Gateway IdP上的双-双GSLB部署提供了跨多个地理位置负载平衡传入用户登录请求的能力。

重要的

Citrix建议您将CA证书绑定到SSL服务，并在SSL服务上启用证书验证，以增强安全性。

有关配置GSLB设置的更多信息，请参见GSLB设置和配置的示例．