Documentation produit
Citrix ADC
Current Release 13.0 12.1 11.1
Voir PDF

Utiliser une passerelle Citrix Gateway locale en tant que fournisseur d’identité pour Citrix Cloud

January 26, 2022
Contributeur:
C

Citrix Cloud prend en charge l’utilisation de Citrix Gateway local en tant que fournisseur d’identité pour authentifier les abonnés qui se connectent à leurs espaces de travail.

En utilisant l’authentification Citrix Gateway, vous pouvez :

  • Continuer à authentifier les utilisateurs via votre Citrix Gateway existant afin qu’ils puissent accéder aux ressources de votre déploiement local d’applications et de bureaux virtuels via Citrix Workspace.
  • Utilisez les fonctions d’authentification, d’autorisation et d’audit de Citrix Gateway avec Citrix Workspace.
  • Fournissez à vos utilisateurs l’accès aux ressources dont ils ont besoin via Citrix Workspace à l’aide de fonctionnalités telles que l’authentification pass-through, les cartes à puce, les jetons sécurisés, les stratégies d’accès conditionnel et la fédération.

L’authentification Citrix Gateway est prise en charge pour une utilisation avec les versions de produit suivantes :

  • Citrix Gateway 13.0 41.20 Édition Advanced ou ultérieure
  • Citrix Gateway 12.1 54.13 Édition Advanced ou ultérieure

Conditions préalables

  • Cloud Connector : vous avez besoin d’au moins deux serveurs sur lesquels installer le logiciel Citrix Cloud Connector.

  • 活跃的导演y : effectuez les vérifications nécessaires.

  • Configuration requise pour Citrix Gateway

    • Utilisez des stratégies avancées sur la passerelle locale en raison de la dépréciation des stratégies classiques.

    • Lors de la configuration de la passerelle pour l’authentification des abonnés à Citrix Workspace, la passerelle agit en tant que fournisseur OpenID Connect. Les messages entre Citrix Cloud et Gateway sont conformes au protocole OIDC, qui inclut la signature numérique de jetons. Par conséquent, vous devez configurer un certificat pour signer ces jetons.

    • Synchronisation de l’horloge - La passerelle doit être synchronisée à l’heure NTP.

Pour plus de détails, consultez la sectionConditions préalables.

Créer une stratégie d’IdP OAuth sur le site Citrix Gateway

Important :

Vous devez avoir généré l’ID client, le code secret et l’URL de redirection dans l’ongletCitrix Cloud > Gestion des identités et des accès > Authentification. Pour plus d’informations, voirConnecter une Citrix Gateway locale à Citrix Cloud.

La création d’une stratégie d’authentification OAuth IdP implique les tâches suivantes :

  1. Créez un profil IdP OAuth.

  2. Ajoutez une stratégie IdP OAuth.

  3. Liez la stratégie IdP OAuth à un serveur virtuel d’authentification.

  4. Liez le certificat globalement.

Création d’un profil IdP OAuth à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez ;

add authentication OAuthIDPProfile  [-clientID ][-clientSecret ][-redirectURL ][-issuer ][-audience ][-skewTime ] [-defaultAuthenticationGroup ] add authentication OAuthIdPPolicy  -rule  [-action  [-undefAction ] [-comment ][-logAction ] add authentication ldapAction  -serverIP  -ldapBase "dc=aaa,dc=local" ldapBindDn  -ldapBindDnPassword  -ldapLoginName sAMAccountName add authentication policy  -rule  -action  bind authentication vserver auth_vs -policy  -priority  -gotoPriorityExpression NEXT bind authentication vserver auth_vs -policy  -priority  -gotoPriorityExpression END bind vpn global –certkey <>

Création d’un profil IdP OAuth à l’aide de l’interface graphique

  1. Accédez àSécurité > AAA — Trafic des applications > Stratégies > Authentification > Stratégies avancées > Fournisseur d’identités OAuth.

    ![Oauth-IDP-navigation](/en-us/citrix-adc/media/oauth-navigation-to-idp.png)

  2. Sur la pageIdP OAuth, sélectionnez l’ongletProfilset cliquez surAjouter.

  3. Configurez le profil IdP OAuth.

    Remarque :

    • Copiez et collez les valeurs de l’ID client, du secret et de l’URL de redirection à partir de l’ongletCitrix Cloud > Gestion des identités et des accès > Authentificationpour établir la connexion à Citrix Cloud.

    • Entrez correctement l’URL de la passerelle dans l’exemple dunom de l’émetteur:https://GatewayFQDN.com

    • Copiez et collez également l’ID client dans le champAudience.

    • Envoyer le mot de passe: activez cette option pour la prise en charge de l’authentification unique. Par défaut, cette option est désactivée.

  4. Dans l’écranCréer un profil de fournisseur d’identité OAuth d’authentification, définissez des valeurs pour les paramètres suivants, puis cliquez surCréer.

    • Nom: nom du profil d’authentification. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_). Le nom ne doit contenir que des lettres, des chiffres et le trait d’union (-), point (.) livre (#), espace (), at (@), égal à (=), deux-points (:) et des caractères de soulignement. Impossible de modifier une fois le profil créé.

    • ID client: chaîne unique qui identifie le SP. Le serveur d’autorisation déduit la configuration du client à l’aide de cet ID. Longueur maximale : 127.
    • Client Secret: chaîne secrète établie par l’utilisateur et le serveur d’autorisation. Longueur maximale : 239.
    • URL de redirection: point de terminaison sur le SP auquel le code/jeton doit être publié.
    • Nom de l’émetteur: identité du serveur dont les jetons doivent être acceptés. Longueur maximale : 127. Exemple :https://GatewayFQDN.com
    • Audience: destinataire cible du jeton envoyé par l’IdP. Ce jeton est vérifié par le destinataire.
    • Temps d’inclinaison: cette option spécifie l’inclinaison d’horloge autorisée (en minutes) que Citrix ADC autorise sur un jeton entrant. Par exemple, si SkewTime est 10, le jeton sera valide de (heure actuelle - 10) min à (heure actuelle + 10) min, soit 20 min en tout. Valeur par défaut : 5.
    • Groupe d’authentification par défaut: groupe ajouté à la liste des groupes internes de session lorsque ce profil est choisi par IdP et peut être utilisé dans le flux nFactor. Il peut être utilisé dans l’expression (AAA.USER.IS_MEMBER_OF (« xxx »)) pour les stratégies d’authentification afin d’identifier le flux nFactor lié à la partie de confiance. Longueur maximale : 63

    Un groupe est ajouté à la session pour ce profil afin de simplifier l’évaluation des stratégies et de faciliter la personnalisation des stratégies. Ce groupe est le groupe par défaut qui est choisi lorsque l’authentification réussit en plus des groupes extraits. Longueur maximale : 63.

    ![Oauth-IDP-profile-parameters](/en-us/citrix-adc/media/oauth-idp-profile.png)

  5. Cliquez surStratégieset cliquez surAjouter。

  6. Dans l’écranCréer une stratégie de fournisseur d’identité OAuth d’authentification, définissez des valeurs pour les paramètres suivants, puis cliquez surCréer.

    • Nom:笔名d 'authentification选择策略。
    • Action: nom du profil créé précédemment.
    • Action du journal: nom de l’action du journal des messages à utiliser lorsqu’une demande correspond à cette stratégie. Ce n’est pas un dépôt obligatoire.
    • Actionà résultat non défini — Action一个实施si结果de l”de la politique n’est pas défini (UNDEF). Ce champ n’est pas obligatoire.
    • Expression : expressionsyntaxique par défaut utilisée par la stratégie pour répondre à une demande spécifique. Par exemple, c’est vrai.
    • Commentaires: tout commentaire concernant la stratégie.

    ![Oauth-IDP-policy](/en-us/citrix-adc/media/oauth-idp-policy.png)

Remarque :

lorsqueSendPasswordest réglé sur ON (OFF par défaut), les informations d’identification de l’utilisateur sont chiffrées et transmises via un canal sécurisé à Citrix Cloud. La transmission des informations d’identification de l’utilisateur via un canal sécurisé vous permet d’activer l’authentification unique vers Citrix Virtual Apps and Desktops lors du lancement.

Liaison de la stratégie OAuthIDP et de la stratégie LDAP au serveur virtuel d’authentification

  1. Accédez àConfiguration > Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Actions > LDAP.

  2. Dans l’écranActions LDAP, cliquez surAjouter.

  3. Dans l’écranCréer un serveur LDAP d’authentification, définissez les valeurs des paramètres suivants, puis cliquez surCréer.

    • Nom :nom de l’action LDAP
    • ServerName/ServerIP :fournit le nom de domaine complet ou l’adresse IP du serveur LDAP
    • Choisissez les valeurs appropriéespour le type de sécurité, le port, le type de serveur et le délai d’expiration
    • Assurez-vous quel’authentificationest cochée
    • DN de base :base à partir de laquelle lancer la recherche LDAP. Par exemple,dc=aaa,dc=local.
    • Administrator Bind DN :nom d’utilisateur de la liaison au serveur LDAP. Par exemple, admin@aaa.local.
    • Mot de passe administrateur/Confirmer le mot de passe : mot de passe pour lier LDAP
    • Cliquez surTester la connexionpour tester vos paramètres.
    • Attribut de nom d’ouverture de session du serveur :choisissez« SAMAccountName »
    • Les autres champs ne sont pas obligatoires et peuvent donc être configurés comme requis.

  4. Accédez àConfiguration > Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Stratégie.

  5. Dans l’écranStratégies d’authentification, cliquez surAjouter.

  6. Sur la pageCréer une stratégie d’authentification, définissez les valeurs des paramètres suivants, puis cliquez surCréer.

    • Nom :nom de la stratégie d’authentification LDAP.
    • Type d’action :choisissezLDAP.
    • Action :choisissez l’action LDAP.
    • Expression :expression syntaxique par défaut utilisée par la stratégie pour répondre à une demande spécifique. Par exemple, c’est vrai**.
Utiliser une passerelle Citrix Gateway locale en tant que fournisseur d’identité pour Citrix Cloud
January 26, 2022
Contributeur:
C
January 26, 2022
Contributeur:
C

Dans cet article

Instructions for Contributors
Commentaires sur le site | Confidentialite等条件的法律 | Préférences de cookies | Paramètres de consentement
© 1999-Citrix Systems, Inc. All rights reserved.