将Okta作为身份提供者连接到Citrix Cloud
Citrix Cloud支持使用Okta作为身份提供程序对登录到其工作区的订阅者进行身份验证。通过将您的Okta组织连接到Citrix Cloud,您可以为订阅者提供一种通用的登录体验,以访问Citrix Workspace中的资源。
在Workspace Configuration中启用Okta身份验证后,订阅者将获得不同的登录体验。选择Okta身份验证提供联合登录,而不是单点登录。订阅者从Okta登录页面登录到工作区,但是当从Citrix DaaS(以前的Citrix虚拟应用程序和桌面服务)打开应用程序或桌面时,他们可能必须进行第二次身份验证。要启用单点登录并防止第二次登录提示,您需要使用Citrix Cloud中的Citrix联邦身份验证服务。有关更多信息,请参见连接Citrix联邦身份验证服务到Citrix Cloud.
提示:
控件了解受支持的身份提供程序的详细信息Citrix身份和身份验证介绍教育课程。“规划Citrix身份和访问管理”模块包括一些短视频,指导您将此身份提供程序连接到Citrix Cloud,并为Citrix Workspace启用身份验证。
先决条件
云连接器
您的Active Directory域中至少需要两(2)台服务器来安装Citrix Cloud Connector软件。需要云连接器才能在Citrix Cloud和您的资源位置.至少需要两个云连接器来确保与Citrix Cloud的高可用性连接。这些服务器必须满足以下要求:
- 满足中描述的要求云连接器技术细节.
- 没有安装任何其他Citrix组件,不是Active Directory域控制器,也不是对资源位置基础结构至关重要的机器。
- 已加入Active Directory (AD)域。如果您的工作空间资源和用户位于多个域中,则必须在每个域中至少安装两个Cloud connector。有关更多信息,请参见Active Directory中云连接器的部署场景.
- 连接到可以联系用户通过Citrix Workspace访问的资源的网络。
- 连接到互联网。有关更多信息,请参见系统及连通性要求.
有关安装云连接器的详细信息,请参见云连接器安装.
Okta域
当将Okta连接到Citrix Cloud时,必须为您的组织提供Okta域。Citrix支持以下Okta域:
- okta.com
- okta-eu.com
- oktapreview.com
您也可以在Citrix Cloud中使用Okta自定义域。中使用自定义域的重要注意事项自定义Okta URL域在Okta网站上。
有关定位组织的自定义域的详细信息,请参见寻找您的Okta域在Okta网站上。
Okta OIDC web应用程序
要使用Okta作为标识提供者,必须首先创建一个Okta OIDC web应用程序,其中包含可以与Citrix Cloud一起使用的客户端凭据。创建并配置应用程序后,请注意客户机ID和客户机Secret。当连接Okta组织时,将这些值提供给Citrix Cloud。
要创建和配置此应用程序,请参阅本文中的以下部分:
工作空间的URL
在创建Okta应用程序时,必须从Citrix Cloud提供您的Workspace URL。要定位工作区URL,请选择工作空间配置从Citrix Cloud菜单。工作区URL显示在访问选项卡。
重要的是:
如果你修改工作区URL稍后,您必须使用新的URL更新Okta应用程序配置。否则,您的订阅者可能会在从其工作区注销时遇到问题。
Okta API令牌
在Citrix Cloud中使用Okta作为身份提供者需要为您的Okta组织提供API令牌。在Okta组织中使用只读管理员帐户创建此令牌。这个令牌必须能够读取Okta组织中的用户和组。
要创建API令牌,请参见创建Okta API令牌在本文中。有关API令牌的更多信息,请参见创建API令牌在Okta网站上。
重要的是:
在创建API令牌时,请记录令牌值(例如,将值临时复制到纯文本文档中)。Okta只显示该值一次,因此可以在执行步骤之前创建令牌将Citrix Cloud连接到您的Okta组织.
与Okta AD代理同步帐户
要使用Okta作为身份提供者,必须首先将本地AD与Okta集成。为此,您需要在您的域中安装Okta AD代理,并将您的AD添加到Okta组织中。有关部署Okta AD代理的指导,请参见开始活动目录集成在Okta网站上。之后,将您的广告用户和组导入Okta。导入时,包括与AD帐户相关联的SID、UPN和OID值。
注意:
如果您在Workspace中使用Citrix Gateway服务,则不需要将AD帐户与Okta组织同步。
将您的AD用户和组与您的Okta组织同步:
- 安装和配置Okta AD代理。完整的说明,请参阅Okta网站上的以下文章:
- 通过执行手动导入或自动导入将您的AD用户和组添加到Okta。有关Okta导入方法和说明的更多信息,请参阅管理Active Directory用户和组在Okta网站上。
创建Okta OIDC web应用程序集成
- 从Okta管理控制台,在应用程序中,选择应用程序.
- 选择创建应用集成.
- 在登录方法中,选择OpenID连接然后选择Web应用程序.选择下一个.
- 输入应用程序集成名称。
- 在格兰特类型,选择以下选项:
- 授权代码
- 隐式(混合)
- 在登录重定向uri,输入
https://accounts.cloud.com/core/login-okta. - 在签出重定向uri,从Citrix Cloud输入您的工作区URL。
- 在作业,选择是否将应用程序集成分配给组织中的每个人,仅分配给您指定的组,或稍后分配访问权限。
- 选择保存.
保存应用程序集成后,将显示控制台客户机ID而且客户的秘密中的值客户端凭证部分。当你将Citrix Cloud连接到您的Okta组织.
配置Okta OIDC web应用程序
在此步骤中,使用Citrix Cloud所需的设置配置Okta OIDC web应用程序。当您的订阅者登录到他们的工作区时,Citrix Cloud需要这些设置来通过Okta对其进行身份验证。
- (可选)更新隐式授权类型的客户端权限。如果您希望为此授予类型允许最少的特权,则可以选择执行此步骤。
- 在Okta应用程序配置页面中一般设置中,选择编辑.
- 在应用程序节,在客户代表自己行事,清除允许使用隐式授权类型的访问令牌.
- 选择保存.
- 添加应用程序属性。这些属性区分大小写。
- 从Okta控制台菜单中选择目录>配置文件编辑器.
- 定位Okta用户配置文件并选择配置文件.下属性中,选择添加属性.
- 输入如下信息:
- 显示名称:cip_sid
- 变量名:cip_sid
- 描述:AD用户安全标识
- 属性长度:大于1
- 属性要求:是
- 选择保存并添加另一个.
- 输入如下信息:
- 显示名称:cip_upn
- 变量名:cip_upn
- 描述:AD用户主体名
- 属性长度:大于1
- 属性要求:是
- 选择保存并添加另一个.
- 输入如下信息:
- 显示名称:cip_oid
- 变量名:cip_oid
- 描述:AD用户GUID
- 属性长度:大于1
- 属性要求:是
- 选择保存.
- 编辑应用程序的属性映射:
- 从Okta控制台选择目录>目录集成.
- 选择之前集成的AD。有关更多信息,请参见与Okta AD代理同步帐户
- 选择供应TAB,然后选择>转Okta.
- 下Okta属性映射,对应以下属性。选择保存在修改每个属性后。
- 选择
appuser.objectSid并映射到cip_sid属性。 - 选择
appuser.userName并映射到cip_upn属性。 - 选择
appuser.externalId并映射到cip_oid属性。
- 选择
- 选择力同步.
创建Okta API令牌
- 使用只读管理员帐户登录Okta控制台。
- 从Okta控制台菜单中选择安全> API.
- 选择令牌TAB,然后选择创建令牌.
- 为令牌输入一个名称。
- 选择创建令牌.
- 复制令牌值。在将Okta组织连接到Citrix Cloud时提供此值。
将Citrix Cloud连接到您的Okta组织
- 登录到Citrix Cloudhttps://citrix.cloud.com.
- 从Citrix Cloud菜单中选择身份和访问管理.
- 定位Okta并选择连接从省略号菜单。
- 在Okta URL,输入您的Okta域。
- 在Okta API令牌,为您的Okta组织输入API令牌。
- 在客户机ID而且客户的秘密,输入您之前创建的OIDC web应用程序集成的客户端ID和秘密。要从Okta控制台复制这些值,请选择应用程序并定位您的Okta应用程序。下客户端凭证,使用复制到剪贴板按钮为每个值。
- 点击测试和完成.Citrix Cloud验证您的Okta详细信息并测试连接。
为工作区启用Okta身份验证
- 从Citrix Cloud菜单中选择>认证.
- 选择Okta.当出现提示时,选择我理解这对用户体验的影响.
- 点击接受接受权限请求。