将SAML作为身份提供者连接到Citrix云
Citrix Cloud支持使用SAML(安全断言标记语言)作为身份提供者来验证登录到其工作区的订阅者。您可以将自己选择的SAML2.0提供程序与本地Active Directory(AD)一起使用。
对于大多数SAML提供程序,请使用本文中的信息为您的工作区订阅服务器设置SAML身份验证。如果您想在Azure广告中使用SAML身份验证,您可以选择使用Azure广告应用程序库中的Citrix Cloud SAML SSO应用程序。有关使用Citrix Cloud SAML SSO应用程序在Citrix Cloud中设置SAML身份验证的更多信息,请参阅教程:Azure Active Directory单点登录(SSO)与Citrix Cloud SAML SSO集成在Azure广告应用程序文档网站上。
先决条件
对Citrix Cloud使用SAML身份验证具有以下要求:
- 支持SAML 2.0的SAML提供程序
- 本地活动目录域
- 两个云连接器部署到资源位置并连接到本地AD域。云连接器用于确保Citrix Cloud可以与您的资源位置通信。
- 与SAML提供商的广告集成。
云连接器
您至少需要两台服务器来安装Citrix Cloud Connector软件。Citrix推荐两台服务器用于云连接器的高可用性。这些服务器必须满足以下要求:
- 满足系统需求云连接器技术细节.
- 未安装任何其他Citrix组件,不是Active Directory域控制器,也不是对资源位置基础结构至关重要的计算机。
- 加入到资源所在的域。如果用户访问多个域中的资源,则需要在每个域中安装至少两个Cloud Connectors。
- 连接到一个网络,该网络可以联系订阅者通过Citrix工作区访问的资源。
- 连接到互联网。有关更多信息,请参见系统和连通性要求.
有关安装云连接器的详细信息,请参见云连接器安装.
活动目录
在配置SAML认证之前,需要完成以下任务:
- 验证工作区订阅者在Active Directory (AD)中具有用户帐户。在配置SAML身份验证时,没有AD帐户的订阅者无法成功登录到他们的工作空间。
- 确保已填充订阅服务器广告帐户中的用户属性。Citrix Cloud要求这些属性在订阅者登录Citrix Workspace时建立用户上下文。如果未填充这些属性,订阅者将无法登录。这些财产包括:
- 电子邮件地址
- 显示名称(可选)
- 通用名
- SAM 帐户名
- 用户主体名称
- 对象GUID
- 希德
- 通过在本地AD中部署云连接器,将您的Active Directory (AD)连接到您的Citrix Cloud帐户。
- 将您的AD用户同步到SAML提供者。Citrix Cloud需要您的工作空间订阅者的AD用户属性,以便他们能够成功登录。
SAML与活动目录的集成
在启用SAML身份验证之前,必须将本地AD与SAML提供者集成。这种集成允许SAML提供者在SAML断言中将下列所需的AD用户属性传递给Citrix Cloud:
- SecurityIDentifier (SID)
- objectGUID (OID)
- userPrincipalName(隐喻)
- 邮件(邮件)
尽管精确的集成步骤在SAML提供者之间有所不同,但集成过程通常包括以下任务:
- 在AD域中安装同步代理,以在域和SAML提供者之间建立连接。
- 如果您还没有自定义属性来映射到上面描述的AD用户属性,那么创建自定义属性并将它们映射到AD。作为参考,此任务的一般步骤描述在创建并映射自定义SAML属性在这篇文章中。
- 将您的AD用户同步到SAML提供者。
注意:
如果已经创建了映射到本节前面列出的所需AD用户属性的自定义属性,则不需要创建和映射更多自定义属性。相反,您可以使用现有的自定义属性配置来自SAML提供者的元数据在Citrix云。
有关将AD与SAML提供程序集成的更多信息,请参阅SAML提供程序的产品文档。
任务概述
要为工作空间订阅者设置SAML身份验证,需要执行以下任务:
- 在身份与访问管理,将本地广告连接到Citrix Cloud,请参见连接Active Directory到Citrix Cloud.
- 如中所述,将SAML提供商与本地广告集成SAML与活动目录的集成在这篇文章中。
- 在身份与访问管理,配置SAML验证在Citrix云中。此任务涉及使用来自Citrix Cloud的SAML元数据配置SAML提供程序,然后使用来自SAML提供程序的元数据配置Citrix Cloud以创建SAML连接。
- 在工作区配置,选择SAML身份验证方法.
创建并映射自定义SAML属性
如果您已经在SAML提供程序中配置了SID、UPN、OID和电子邮件属性的自定义属性,则不必执行此任务。继续创建一个SAML连接器应用程序并在步骤8中使用现有的自定义SAML属性。
注意:
本节中的步骤描述了在SAML提供程序的管理控制台中执行的操作。用于执行这些操作的特定命令可能与本节中描述的命令不同,这取决于您所选择的SAML提供程序。本节中的SAML提供程序命令仅作为示例提供。有关SAML提供程序的相应命令的更多信息,请参阅SAML提供程序的文档。
- 登录SAML提供程序的管理控制台,并选择用于创建自定义用户属性的选项。例如,根据SAML提供程序的控制台,您可以选择用户>自定义用户字段>新用户字段.
- 添加以下属性:
- cip_sid
- 总督察
- cip_oid
- cip_email
- 选择与Citrix Cloud连接的AD。例如,根据SAML提供程序的控制台,您可以选择用户>目录.
- 选择添加目录属性的选项。例如,根据SAML提供程序的控制台,您可以选择目录属性.
- 选择添加属性的选项,并将以下AD属性映射到您在步骤2中创建的自定义用户属性:
- 选择
objectSid
然后映射到cip_sid
属性。 - 选择
用户名
然后映射到总督察
属性。 - 选择
ObjectGUID
然后映射到cip_oid
属性。 - 选择
邮件
然后映射到cip_email
属性。
- 选择
配置SAML提供程序元数据
在本任务中,使用来自Citrix Cloud的SAML元数据创建连接器应用程序。配置SAML应用程序后,使用连接器应用程序中的SAML元数据配置到Citrix Cloud的SAML连接。
注意:
本节中的一些步骤描述了在SAML提供程序的管理控制台中执行的操作。根据您选择的SAML提供程序,用于执行这些操作的特定命令可能与本节中描述的命令有所不同。本节中的SAML提供程序命令仅作为示例提供。有关SAML提供程序的相应命令的更多信息,请参阅SAML提供程序的文档。
创建一个SAML连接器应用程序
- 登录到Citrix云https://citrix.cloud.com.
- 从Citrix Cloud菜单中,选择身份与访问管理.
- 定位SAML 2.0选择连接从省略号菜单。的配置SAML屏幕上出现了。
- 从SAML提供程序的管理控制台,为具有属性和签名响应的身份提供程序添加一个应用程序。例如,根据您的提供者的控制台,您可以选择应用>应用>添加应用然后选择SAML测试连接器(IdP带/属性带/符号响应).
- 如果可以,输入显示名称并保存应用程序。
- 从配置SAMLCitrix云中的屏幕,在SAML的元数据中,选择下载.元数据XML文件出现在另一个浏览器选项卡中。
- 输入连接器应用程序的以下详细信息:
- 在观众字段,输入
https://saml.cloud.com
. - 在收件人字段,输入
https://saml.cloud.com/saml/acs
. - 在ACS URL验证器的字段中,输入
https://saml.cloud.com/saml/acs
. - 在ACS URL字段中输入
https://saml.cloud.com/saml/acs
. - 在单个注销URL的字段中,输入
https://saml.cloud.com/saml/logout/callback
.
- 在观众字段,输入
将自定义SAML属性添加为应用程序中的参数值:
创建这个领域 分配此自定义属性 cip_sid cip_sid或现有的SID属性 总督察 cip_upn或您现有的upn属性 cip_oid cip_oid或已有的OID属性 cip_email cip_电子邮件或您现有的电子邮件属性 - 将工作区订阅者添加为用户,以允许他们访问应用程序。
将SAML提供商元数据添加到Citrix Cloud
- 从SAML提供程序获取SAML元数据。下图是此文件的示例:
- 在配置SAML屏幕中,从SAML提供程序的元数据文件中输入以下值:
在实体的ID,输入实体ID价值的EntityDescriptor元素。
- 在签名身份验证请求中,选择对允许Citrix Cloud签署身份验证请求,证明它们来自Citrix Cloud,而不是恶意参与者。选择不如果您愿意将Citrix ACS URL添加到SAML提供程序用于安全发布SAML响应的允许列表中。
在SSO服务URL,输入要使用的绑定机制的URL。您可以使用HTTP-POST或HTTP-Redirect绑定。在元数据文件中,找到SingleSignOnService元素的绑定值为http - post或http重定向.
- 在绑定机制,选择与从元数据文件中选择的SSO服务URL的绑定匹配的机制。
- 在SAML响应,选择您的SAML提供程序为SAML响应和SAML断言使用的签名方法。默认情况下,Citrix Cloud拒绝任何未在此字段中指定的签名的响应。
- 在SAML提供程序的管理控制台中,执行以下操作:
- 选择SHA-256用于SAML签名算法。
- 将X.509证书作为PEM文件下载。
- 在配置SAML在Citrix Cloud屏幕中,选择上传文件并选择上一步下载的PEM文件。
- 选择持续完成上传。
- 在身份验证上下文,选择您想要使用的上下文以及您希望Citrix Cloud强制该上下文的严格程度。选择最低在选定的上下文中请求身份验证而不强制该上下文中的身份验证。选择准确的在选定的上下文中请求身份验证并仅在该上下文中强制身份验证。如果SAML提供程序不支持身份验证上下文,或者您选择不使用它们,请选择未指明的和最低.
- 在注销URL,定位SingleSignOnService元素,并在SAML提供程序的元数据文件中输入URL。
- 验证Citrix Cloud中的以下默认name属性值与SAML提供程序的管理控制台中相应的属性值是否匹配。如果SAML提供程序有不同的值,您可以在Citrix Cloud中更改这些值,以确保它们与SAML提供程序匹配。
- 用户显示名称的属性名称:
displayName
- 用户给定名称的属性名称:
givenName
- 用户族名的属性名称:
familyName
- 用户显示名称的属性名称:
- 在Citrix Cloud中,输入来自SAML提供者的自定义SAML属性:
- 在安全标识符(SID)的属性名称,输入您的自定义SID属性名称。默认值为
cip_sid
. - 在UPN (User Principal name)属性名称,输入自定义UPN属性名称。默认值为
总督察
. - 在电子邮件的属性名称,输入您的自定义电子邮件属性名称。默认值为
cip_email
. - 在AD对象标识符(OID)属性名,输入您的自定义OID属性名称。默认值为
cip_oid
.
- 在安全标识符(SID)的属性名称,输入您的自定义SID属性名称。默认值为
- 选择测试和完成验证已成功配置连接。
为工作空间启用SAML身份验证
- 从Citrix Cloud菜单中,选择工作区配置.
- 选择身份验证选项卡
- 选择SAML 2.0.
故障排除
属性的错误
如果没有正确编码SAML配置中所需的属性,可能会出现属性错误。当属性发生错误时,Citrix Cloud将显示错误消息,其中包括错误的属性。
要解决这种类型的错误,请确保按照下表所述对这些属性进行编码。
属性 | 编码 |
---|---|
cip_email | 必须为String格式(user@domain ) |
cip_oid | 必须是Base64或字符串格式 |
cip_sid | 必须是Base64或字符串格式 |
总督察 | 必须为字符串格式(user@domain ) |
意外错误
Citrix Cloud可能在以下情况下遇到意外错误:
- 用户使用idp发起的流发起SAML请求。例如,请求是通过身份提供者的应用程序门户选择一个平铺,而不是直接导航到工作区URL (
customer.cloud.com
). - SAML证书无效或已过期。
- 身份验证上下文无效。
- SAML断言和响应签名不匹配。
当发生此错误时,Citrix Cloud将显示一个通用错误消息。
如果这个错误是通过身份提供商的应用程序门户导航到Citrix Cloud导致的,你可以使用以下的解决方案:
- 在身份提供者的应用程序门户中创建引用您的工作区URL的书签应用程序(例如,
https://customer.cloud.com
). - 将用户分配给SAML应用程序和书签应用程序。
- 更改SAML应用程序和书签应用程序的可见性设置,使书签应用程序可见,而SAML应用程序隐藏在应用程序门户中。
- 禁用Prompt=Login参数以删除额外的密码提示。