将Azure Active Directory连接到Citrix云
Citrix Cloud支持使用Azure Active Directory (AD)对Citrix Cloud管理员和工作区订阅者进行身份验证。
通过将Azure AD与Citrix Cloud结合使用,您可以:
- 利用您自己的Active Directory,因此您可以在需要时控制审核,密码策略,轻松禁用帐户。
- 为更高级别的安全性配置多因素身份验证,以防止被盗登录凭据的可能性。
- 使用品牌登录页面,这样用户就知道他们在正确的地方登录。
- 使用联合会到您选择的身份提供者,包括ADF,OKTA和Ping等。
Azure广告应用程序和权限
Citrix Cloud包括一个Azure AD应用程序,它允许Citrix Cloud连接到Azure AD,而不需要你登录到一个活跃的Azure AD会话。截至2018年8月,该应用程序已升级,以提高性能,让您准备好迎接未来的发布。如果您以前将Azure AD连接到Citrix Cloud(2018年8月之前),您可能需要在Citrix Cloud更新您的Azure AD连接。有关更多信息,请参阅重新连接到升级应用程序的Azure广告在这篇文章中。
有关Citrix Cloud用于连接Azure广告的Azure广告应用程序和权限的更多信息,请参阅针对Citrix云的Azure Active Directory权限.
提示:
了解有关支持的身份提供商的更多信息Citrix身份与认证简介教育课程。“规划Citrix身份和访问管理”模块包括简短视频,引导您完成将此身份提供商连接到Citrix云以及为Citrix Workspace启用身份验证的过程。
准备您的Active Directory和Azure广告
在使用Azure广告之前,请确保您满足以下要求:
- 您有一个Microsoft Azure帐户。每个Azure帐户都配有Azure广告广告。如果您没有Azure帐户,请注册https://azure.microsoft.com/en-us/free/?v=17.36.
- 您在Azure AD中有全局管理角色。这个角色需要您同意Citrix Cloud连接Azure AD。
- 管理员帐户在Azure AD中配置了其“邮件”属性。为此,您可以使用Microsoft的Azure广告连接工具。或者,您可以在Office 365电子邮件中配置不同步的Azure AD帐户。
使用Azure AD Connect同步帐户
- 确保Active Directory帐户配置了“Email user”属性:
- 打开Active Directory用户和计算机。
- 在用户文件夹,找到要检查的帐户,右键单击并选择属性.在一般选项卡,验证电子邮件字段有一个有效的条目。Citrix Cloud要求从Azure广告添加的管理员提供不同的电子邮件地址,而不是登录使用Citrix托管身份的管理员。
- 安装和配置Azure AD Connect。有关完整的说明,请参见使用Express设置开始使用Azure AD连接在Microsoft Azure网站上。
连接Citrix Cloud到Azure AD
将您的Citrix Cloud帐户连接到Azure广告时,Citrix Cloud除了需要访问Azure广告中用户的基本配置文件外,还需要访问您的用户配置文件(或登录用户的配置文件)的权限。Citrix请求此权限,以便获得您的姓名和电子邮件地址(作为管理员)并使您能够浏览其他用户,并在以后将其添加为管理员。有关Citrix Cloud请求的应用程序权限的更多信息,请参阅针对Citrix云的Azure Active Directory权限.
重要的是:
您必须是Azure AD中的全球管理员,以完成此任务。
- 登录到Citrix云https://citrix.cloud.com.
- 单击页面左上角的菜单按钮并选择身份和访问管理.
- 找到Azure Active Directory并选择连接从省略号菜单。
- 出现提示时,为您的公司输入一个简短、URL友好的标识符,然后单击连接.您选择的标识符必须在Citrix Cloud中全局唯一。
- 出现提示时,请登录您要连接的Azure帐户。Azure向您展示Citrix Cloud需要访问该帐户并获取连接所需的信息的权限。大多数这些权限都是只读的,允许Citrix Cloud从Microsoft图形中收集基本信息,例如组和用户配置文件。如果使用Microsoft Intune集成Citrix Endpoint Management或XenMobile Server,则必须授予与Microsoft Intune相关的读写权限。有关更多信息,请参阅针对Citrix云的Azure Active Directory权限.
- 点击接受接受权限请求。
从Azure AD添加管理员到Citrix Cloud
- 在Citrix云中,从身份和访问管理页面,点击管理人员选项卡。
- 来自添加管理员菜单,选择Azure AD选项。
- 在搜索框中,开始键入要添加的用户的名称,并邀请他们加入帐户,如中所述管理Citrix Cloud Administrators.Citrix Cloud向用户发送一封电子邮件,其中包含接受邀请的链接。
单击电子邮件链接后,用户登录到公司的Azure Active Directory。这将验证用户的电子邮件地址,并完成Azure AD用户帐户与Citrix云之间的连接。
使用Azure AD登录Citrix云
连接Azure AD用户帐户后,用户可以使用以下方法之一登录Citrix Cloud:
- 导航到您在最初连接贵公司的Azure AD身份提供程序时配置的管理员登录URL。例子:
https://citrix.cloud.com/go/mycompany.
- 在Citrix云登录页面中,单击使用我的公司凭据登录,输入最初连接Azure AD时创建的标识符(例如,“我的公司”),然后单击继续.
为工作空间启用Azure AD身份验证
将Azure AD连接到Citrix Cloud后,您可以允许您的订阅者通过Azure AD验证他们的工作空间。
重要的是:
在启用Azure AD workspace身份验证之前,请查看Azure活动目录小节,了解在工作空间中使用Azure AD的注意事项。
- 在Citrix Cloud中,单击左上角的菜单按钮并选择工作空间配置.
- 来自认证选项卡上,选择Azure活动目录.
- 点击证实接受启用Azure AD身份验证时将发生的工作区体验更改。
启用高级Azure AD功能
Azure AD提供高级多因素身份验证,世界级安全功能,联合会到20个不同的身份提供商以及许多其他功能中的自助密码更改和重置。为Azure AD用户打开这些功能,使Citrix Cloud能够自动利用这些功能。
要比较Azure AD服务级别功能和定价,请参见https://azure.microsoft.com/en-us/pricing/details/active-directory/.
重新连接到升级应用程序的Azure广告
如果你之前已经将Azure AD连接到Citrix Cloud(2019年5月之前),Citrix Cloud可能不会使用最新的应用程序连接Azure AD。因此,Citrix Cloud可能会提示您重新连接Azure AD并授予额外的权限。要将Azure AD组添加到您的库产品中,提高登录性能,并实现其他好处,您必须通过Azure AD中的Global Admin角色授予Citrix Cloud额外的权限。要做到这一点,你必须是Azure AD的全局管理员。通过重新连接Azure AD,您将向Citrix Cloud授予应用程序级权限,并允许Citrix Cloud代表您重新连接到Azure AD。
有关Citrix云请求的Azure AD权限类型的更多信息,请参阅针对Citrix云的Azure Active Directory权限.
重要的是:
将Azure AD重新连接到Citrix Cloud,要求您使用Citrix Identity提供程序下的Citrix Cloud管理员帐户登录Citrix Cloud。如果您使用Azure AD凭据登录Citrix Cloud,则重新连接失败。如果您使用Citrix Cloud使用Azure AD管理员帐户,并且您没有使用Citrix Identity Provider中的任何管理员,则可以临时添加一个来执行此重新连接并之后删除它。
要执行重新连接,请使用Citrix Cloud管理员凭据登录Citrix Cloud。提示才能重新连接,您可以使用Global Admin凭据登录Azure。