通过Citrix Cloud使用Azure Active Directory进行身份验证

端点管理支持通过Citrix Cloud使用Azure Active Directory (Azure AD)凭据进行身份验证。这种身份验证方法仅对通过Citrix Workspace应用程序或Citrix Secure Hub注册MDM的用户可用。如果“端点管理”启用了“工作空间”，则用户可以从“Citrix工作空间”app中访问资源。如果不启用“Citrix工作空间”与“Citrix端点管理”的集成，则用户可以从“安全集线器”中访问资源。

注册MAM的设备无法通过Citrix Cloud使用Azure AD凭据进行身份验证。要将安全集线器与MDM+MAM一起使用，请配置端点管理以使用Citrix Gateway进行MAM注册。有关更多信息，请参见Citrix网关和端点管理。

端点管理使用Citrix云服务(Citrix identity)与Azure Active Directory进行联合。Citrix建议您使用Citrix标识提供程序，而不是直接连接到Azure Active Directory。

端点管理支持使用Azure AD对以下平台进行身份验证:

• 未在Apple Business Manager或Apple School Manager中注册的iOS和macOS设备
• iOS和macOS设备在Apple Business Manager中注册
• Android企业设备(预览版)，用于BYOD和完全管理模式
• 运行在传统设备管理模式下的Android设备

通过Citrix Cloud使用Azure AD进行身份验证具有以下限制:

• 端点管理本地帐户不可用。
• 不支持通过Azure AD对注册邀请进行身份验证。如果向用户发送包含注册URL的注册邀请，则用户将通过LDAP而不是Azure AD进行身份验证。

先决条件

• Azure Active Directory用户凭据
• Active Directory中的用户组必须与Azure Active Directory中的用户组匹配。
• Active Directory中的用户名和电子邮件地址必须与Azure Active Directory中的用户名和电子邮件地址匹配。
• Citrix Cloud帐户，安装了Citrix Cloud Connector用于目录服务同步。
• Citrix网关。Citrix建议您为完整的单点登录体验启用基于证书的身份验证。如果在Citrix Gateway上使用LDAP身份验证进行MAM注册，则最终用户在注册期间会遇到双重身份验证提示。有关更多信息，请参见客户端证书或证书加域认证。
• 如果端点管理未启用工作区，则使用安全集线器。
• Citrix工作空间应用程序，如果端点管理是工作空间启用。有关启用Citrix Workspace集成的信息，请参见工作空间配置。
• 在Android Enterprise的注册配置文件中，设置允许用户拒绝设备管理来从。如果用户拒绝设备管理，则无法使用身份提供程序进行身份验证。有关更多信息，请参见注册安全。

无论是否启用Workspace，您都可以配置此特性。

如果端点管理已启用工作区，则配置

如果您将端点管理与Citrix工作区集成，则通过Citrix Cloud配置Azure AD身份验证的一般步骤如下:

1. 配置Citrix Cloud以使用Azure AD作为您的身份提供者。
2. 将Azure AD配置为Citrix Workspace的身份验证方法。

如果端点管理未启用工作区，则配置

如果没有为端点管理启用Citrix工作区，则通过Citrix Cloud配置Azure AD身份验证的一般步骤如下:

1. 配置Citrix Cloud以使用Azure AD作为您的身份提供者。
2. 将Citrix标识配置为Endpoint Management的IdP类型。

配置完成后，已加入域的安全中心用户可以使用安全中心使用其Azure AD凭据进行登录。安全集线器对MAM设备使用客户端证书认证。

配置Citrix Cloud以使用Azure Active Directory作为您的身份提供者

要设置此服务，以便与Citrix Workspace应用程序和安全集线器一起使用，请在Citrix Cloud中配置Azure Active Directory。

1. 去https://citrix.cloud.com并登录您的思杰云帐户。

2. 从Citrix Cloud菜单中，转到身份和访问管理页面并连接到Azure Active Directory。

3. 键入管理员登录URL，然后单击连接。

   

4. 登录后，您的Azure Active Directory帐户连接到Citrix Cloud。的“身份与接入管理>认证管理”页面显示要使用哪些帐户登录到您的Citrix云和Azure AD帐户。

5. 为通过Citrix Workspace应用程序和Secure Hub注册的用户启用Azure AD的身份验证工作空间配置>身份验证中,选择Azure Active Directory。完成配置后，您可以通过Citrix Workspace应用程序和Secure Hub注册用户设备。

将Citrix标识配置为Endpoint Management的IdP类型

此配置仅适用于通过Secure Hub注册的用户。在Citrix Cloud中配置Azure Active Directory后，请按照如下步骤配置端点管理。

1. 在Endpoint Management控制台中，转到设置>身份提供程序(IDP)然后点击添加。

2. 在身份提供者(IDP)页面，配置如下内容:

   • 国内流离失所者的名字:键入唯一名称以标识您正在创建的IdP连接。
   • 国内流离失所者类型:选择思杰身份识别平台。
   • 认证域:选择Azure Active Directory。此域对应于Citrix Cloud上的身份提供程序域工作空间配置>身份验证页面。

3. 点击下一个。在IDP索赔使用页面，配置如下内容:

   • 用户标识符类型:缺省情况下，该字段设置为userPrincipalName。确保在本地Active Directory和Azure Active Directory中为所有用户配置相同的标识符。端点管理使用此标识符将标识提供程序上的用户与本地Active Directory用户进行映射。
   • 用户标识字符串:该字段是自动填充的。

4. 点击下一个，回顾总结页，然后单击保存。

   安全集线器用户、端点管理控制台和自助门户用户现在可以使用其Azure Active Directory凭据登录。

安全集线器认证流程

端点管理使用以下流程对使用Azure AD的用户进行身份验证，将其作为通过安全集线器注册的设备上的IdP:

1. 用户启动Secure Hub。
2. 安全集线器将身份验证请求传递给Citrix标识，后者将请求传递给Azure Active Directory。
3. 用户输入其Azure Active Directory用户名和密码。
4. Azure Active Directory验证用户并向Citrix标识发送代码。
5. Citrix身份将代码发送到Secure Hub，后者将代码发送到Endpoint Management服务器。
6. 端点管理通过使用代码和密钥获取ID令牌，然后验证ID令牌中的用户信息。端点管理返回一个会话ID。