ADF与安全工作区访问的集成

索赔规则对于控制通过索赔管道的索赔流是必要的。索赔规则还可用于在索赔规则执行过程中自定义索赔流。有关索赔的更多信息，请参见Microsoft文档.

要设置ADF从Citrix安全工作区访问中接受索赔，您必须执行以下步骤：

1. 在ADF中添加索赔提供商信任。
2. 完成Citrix安全工作区访问的应用配置。

在ADF中添加索赔提供商信任

1. 打开ADFS管理控制台。去ADFS>信任关系>索赔提供者信任.

   1. 右键单击并选择添加索赔提供商信任.

   2. 在安全工作区访问中添加用于联合到ADF的应用程序。详情见，Citrix安全工作区访问上的应用程序配置.

   注:

   首先添加应用程序和“应用程序的”SSO配置“部分，可以下载SAML元数据文件，然后将元数据文件导入ADF。

   1. 完成添加索赔提供程序信任的步骤。完成添加索赔提供者信任后，将显示一个编辑索赔规则的窗口。
   2. 添加一个索赔规则转换传入的索赔.
   3. 完成如下图所示的设置。如果您的ADFS接受其他索赔，则使用这些索赔并在安全工作区访问中配置SSO。

您现在已配置声明提供程序信任，以确认ADFS现在信任SAML的Citrix安全工作区访问。

索赔提供者信任ID

记下您添加的索赔提供者信任id。在Citrix Secure Workspace Access中配置应用程序时，您需要此ID。

中继方标识符

如果您的SaaS应用程序已使用ADF进行身份验证，那么您必须已经为该应用程序添加了中继方信任。在Citrix安全工作区访问中配置应用程序时需要此ID。

启用IdP启动流中的继电器状态

RelayState是SAML协议的一个参数，用于标识用户在登录并定向到依赖方的联合服务器后访问的特定资源。如果ADFS中未启用RelayState，则用户在向需要它的资源提供程序进行身份验证后会看到错误。

对于ADFS 2.0，必须安装更新KB2681584（更新汇总2）或KB2790338.（更新汇总3）以提供RelayState支持。ADFS 3.0内置了RelayState支持。在这两种情况下，仍然需要启用RelayState。

要在ADFS服务器上启用RelayState参数

1. 打开文件。
   • 对于ADFS 2.0，在记事本中输入以下文件：%systemroot%\inetpub\ADFS\ls\web.config
   • 对于ADFS 3.0，请在记事本中输入以下文件：％systemroot％\ adfs \ microsoft.identityserver.servicehost.exe.config
2. 在Microsoft.identityServer.Web部分中，为UselyStateStateForIdPinitiveIsionIsigationAign添加一行，如下所示，并保存更改： ... ...
   • 对于ADFS 2.0，运行Iisreset.重新启动IIS。
3. 对于这两种平台，请重新启动Active Directory联合身份验证服务（adfssrv）服务。注:如果您有Windows 2016或Windows 10，则使用以下PowerShell命令启用它。set-adfsproperties -enablerelaystateforidpinitivedsignon $ true

链接到命令 -https://docs.microsoft.com/en-us/powershell/module/adfs/set-adfsproperties?view=win10-ps

Citrix安全工作区访问上的应用程序配置

您可以配置IdP启动流或SP启动流。在Citrix Secure Workspace Access中配置IdP或SP启动的流的步骤相同，但对于SP启动的流，必须选择使用指定的URL启动应用程序（SP启动）复选框在UI中。

IdP启动流

1. 在设置IdP启动流时，配置以下内容。
   • 应用网址- 使用以下格式为应用程序URL。https:///adfs/ls/idpinitiatedsignon.aspx？LoginToRP=&重定向到dentityprovider=
   • ADFS FQDN.- 您的ADFS设置的FQDN。
   • RP ID- RP ID是您可以从中继方信任中获得的ID。它与中继方标识符相同。如果它是一个URL，则会发生URL编码。

   • IDP ID.- IDP ID与索赔提供商信任ID相同。如果它是一个URL，则会发生URL编码。

     例子：https://adfs1.workspacesecurity.com/adfs/ls/idpinitiatedsignon.aspx?LoginToRP=https%3A%2F%2Fdev98714.service-now.com&RedirectToIdentityProvider=https%3A%2F%2fctrix.com%2F9a9sx0ijvihq

2. SAML SSO配置。

   以下是ADFS服务器的默认值。如果更改了任何值，请从ADFS服务器的元数据中获取正确的值。ADFS服务器的联合元数据可以从其联合元数据端点下载，其端点可以从ADFS>服务>端点。

   • 断言URL.–https：// / ADFS / LS /

   • 继电器状态–继电器状态对于IdP启动的流量非常重要。按照此链接正确构建它-https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-ands_2008/jj127245(v=ws.10）

     例子：Rpid = https％3a％2f％2fdev98714.service-now.com＆relaystate = https％3a％2f％2fdev98714.service-now.com％2f

   • 观众–http:///adfs/services/trust
   • 有关其他SAML SSO配置设置，请参阅下面的图像。有关更多详细信息，请参阅https://docs.citrix.com/en-us/citrix-gateway-service/support-saas-apps.html.

3. 将应用程序保存并订阅给用户。

SP启动流

对于SP启动的流，请配置中捕获的设置IDP发起流程部分此外，启用使用指定的URL启动应用程序（SP启动）复选框。