概念:Accès sécurisé aux applications SaaS avec Microsoft Azure SSO et Citrix Secure Workspace Access

摘要

Comme les utilisateurs accèdent au contu confidential dans les applications SaaS, les organizations doivent être en mesure de simplified les opérations de connections des utilisateurs tout en appliquant les normald’authentication。Les enterprises doivent être en mesure de sécuriser Les applications SaaS même si elles exist au-delà des limits du datacenter。Citrix Workspace fournit aux enterprises des contrôles de sécurité améliorés pour les applications SaaS。

Dans ce scénario, un utilisateurs ' authenticate auprès de Citrix Workspace à l 'aide d 'Active Directory com ' utiisateurs principal et an application SaaS gérée par Azure。

Si le service Citrix Secure Workspace Access est affecté à l ' abonnement Citrix, des stratégies de sécurité améliorées, allant de l ' application de filigranes basés sur l ' écran, la actions d ' impression et de téléchargement, les restrictions d ' accapared ' écran，对键盘的混淆和对留置权的保护在appliquées上。en plus des应用程序即服务。

L 'animation suivante un utilisateur accédant à une application SaaS avec L ' authentication SSO fournie par Azure et sécurisé avec Citrix Secure Workspace Access。

celette démonstration montre un flux SSO initié par ID dans lequel l 'utilisateur lance l 'application à partir de Citrix Workspace。该指南可以预见également en charge un flux SSO initié par SP où l’utilisateur tente d 'accéder à l’application SaaS directive à partir de son navigateur préféré。

假设:

• Azure est déjà configuré pour fournir l ' authentication SSO à une application SaaS
• 用户可以使用Azure和SaaS连接应用程序

《概念验证指南》评论:

1. 配置Citrix工作区
2. Intégrer本金年度报告
3. Intégrer l '身份验证唯一的应用程序SaaS
4. Définir des stratégies de filter du site
5. 有效的la配置

配置Citrix工作区

première étape环境配置包含à préparer Citrix组织工作空间

1. 构造空间的url
2. 激活des服务appropriés

Définir l 'URL d 'espace de travail

1. Connectez-vous一Citrix云把你和管理员联系起来
2. Dans Citrix Workspace, accédez à la工作空间的构型à partir du menu supérieur gauche
3. 在l 'ongletacc， entrez une URL unique pour l 'organisation et sélectionnez Activé

活跃les服务

Dans l’onglet Intégration de services, activez les services suivants pour predre en charge l 'accès sécurisé aux applications SaaS

1. Passerelle
2. 安全浏览器

d空间de ![服务]阵痛(/ en - us / tech-zone /学习/媒体/ poc - guides_access控制- azuresso saas_workspace -配置- 002. - png)

验证器

Citrix Workspace prend quelques instantpour mettre à jour les services和les paramètres d’url。在一个导航器里，vérifiez这个空间的url personnalisée是活动的。当然，会议的内容并不重要我们可以在répertoire中使用主要内容也不需要在défini和configuré中使用。

Intégrer un annuaire d’utilisateurs principaux

请使用您的授权人auprès de Workspace, unannuaire d 'utilisateur主要doit可能配置。L 'annuaire d ' utiisateurs principal est la seule identité don ' L utiisateur a besoin, car toutes les demand d 'applications在工作区中使用唯一的认证，identités secondaires。

一个组织可以使用répertoires d ' utiisateurs principaux suivants

• 活动目录: pour Active l ' authentication Active Directory, un connecteur de nuage doit être déployé dans le même centre de données qu 'un contrôleur de domaine Active Directory en suivant le guide云连接器安装．
• 活动目录是唯一的basé sur le temps: l ' authentication basée sur Active Directory peut également include l ' authentication multifactor avec un mot de passe unique basé sur le temps (TOTP)。Ce指南Détaille les étapes要求对激活者进行身份验证。
• Azure活动目录: les utilisateurs peuvent s’s 'authentifier auprès de Citrix Workspace avec une identité Azure Active Directory。Ce指南我们可以从这个选项的配置中找到答案。
• Citrix网关:所有组织都喜欢使用Citrix门户，并将其用于'identité Citrix工作空间。Ce指南Fournit des détails sur l 'intégration。
• Okta: les organizations peuvent utiliser Okta comme répertoire d’utilisateurs principal pour Citrix Workspace。Ce指南提供配置器选项的说明。

Créer une应用程序SaaS

Pour créer correct le SaaS avec Citrix Workspace, l’administrator doit efftuer les opérations suivantes

• 配置l 'application SaaS
• Autoriser l 'application SaaS

配置l 'application SaaS

Avec l 'application SaaS configurée dans Azure, l 'application SaaS peut être configurée dans Citrix Workspace。

• 在Azure, selectionnezAzure活动目录
• 选择莱斯应用商会

• 在列表中，sélectionnez应用程序SaaS，它表示应用程序的集合
• 选择Proprietes

• Copiez l 'URL d 'acces utilisateurEt mémoriser pour une utilization ultérieure
• Dans Citrix Cloud, sélectionnez蒙古包dans la vignette Gateway。

• Selectionnez一个Web/SaaS应用程序
• 当我的助理Choisir在modèle，回到modèle approprié。举个例子，sélectionnezHumanite

• 选择下一页
• 在l 'ecran细节de l 'applicationremplacez l 'URLpar l 'URL d 'acces utilisateurcopiée à partir d 'Azure。
• À la fin de l 'URL，如果你想:whr = federated_domainen remplacantfederated_domainPar le domaine associé à l 'identité de l’utilisateur(信息après la connexion @ dans l’e-mail de l’utilisateur)。L 'entrée de domaine fédéré inform Azure de reriger vers la configuration de domaine fédéré correcte。网址:fédéré sont configurées dans Azure dans une section à venir

• Les stratégies de sécurité améliorées utilisent le champ domaines associés pour déterminer Les URL à sécuriser。域名associé est automatiquement ajouté en function de l 'URL par défaut。Ajoutez un domaine supplémentaire pour l 'URL réelle de l 'application SaaS en plus de celui créé automatiquement。
• 选择下一页
• 在fenetre安全炸药renforcee， sélectionnez les stratégies de sécurité appropriées pour l ' environment

• 在fenetre单点登录, definissezl 'URL d 'assertion苏尔https://login.microsoftonline.com/login.srf
• 值l '观众把它所以urn:联盟:MicrosoftOnline
• Definissez勒format d 'ID de nom =持久化等ID de nom = GUID活动目录
• Cochez拉情况下Lancer l 'application à l 'aide de l 'URL spécifiée (SP Initié)．Une fois authentifié， l 'utilisateur est automatiquement redirigé vers l 'application SaaS au 'Azure App Portal。
• Sous attributes avancés, ajoutezNom d 'attribut = IDPemail，格式d ' attrbut = Non spécifié等电子邮件
• *标记:seuement nécessaire pour la première申请。* Selectionnez连接到倒捕获le证书阴极射线管．
• *标记:seuement nécessaire pour la première申请。* À côté de l 'URL德联系网址:sélectionnez le bouton复印机把捕获者的链接倒出来。Cette URL est utilisée plus tard。
• *标记:独特nécessaire pour la première应用。* Sélectionnez le lien demetadonnees SAML

• Dans le fichier de métadonnées SAML，重新开始EntityID．Copiez l 'URL entière和stockez pour une utilization ultérieure。Une fois capturé， le fichier de métadonnées SAML peut être fermé。

• Selectionnez记录
• Selectionnez判决为应用程序SaaS的配置服务。

Autoriser l 'application SaaS

• Dans Citrix Cloud, sélectionnez相机记录在菜单

• 应用程序SaaS和sélectionnez蒙古包les abonnes
• Ajouter les utilisateurs/ groups appropriés qui sont autorisés à lancer l 'application

Fédérer l ' authentication Azure vers Citrix Workspace

很好fédérer l 'application SaaS avec Citrix Workspace, l ' administrtor doit efftuer les opérations suivantes

• Vérifier le domaine d ' authentication
• 配置者:fédération de domaine

Vérifier le domaine d ' authentication

Pour fédérer l ' authentication vers Citrix Workspace, Azure doit vérifier le nom de domaine complete。Dans le portail Azure, procédez comme套装:

• Accès à Azure Active Directory
• Selectionnez域名personnalisésDans la fenêtre de navigation
• SelectionnezAjouter un domaine personnalisé
• 请允许我填写完整的域名

• SelectionnezAjouter联合国葡萄园
• 我们的域名注册地址为à，注册人在您的域名注册局。Une fois terminé， sélectionnez验证器．

• Une fois terminé， le domaine include一个品牌vérifiée

配置者:fédération de domaine

最终配置包括à faire en charge Azure d’utiliser Citrix Workspace en tant qu 'autorité fédérée pour le domaine vérifié。La configuration de La fédération doit être effectuée avec PowerShell。

• 枪骑兵PowerShell
• Ajoutez les modules appropriés avec les commandes suivantes

Install-ModuleAzureADforceImport-ModuleAzureADforceInstall-ModuleMSOnlineforceImport-moduleMSOnlineforce

• Connectez-vous à Microsoft Online via PowerShell et authenticfiez

Connect-MSOLService

• Vérifiez我的名字是姓défini sur管理在Azure en exécutant命令PowerShell suivante

Get-MsolDomain

• 将代码和脚本结合起来使用PowerShellfedere修改变量à对准环境

dom美元＝“workspaces.wwco.net”#在Azure中验证的完全限定域名fedBrandName美元＝“CitrixWorkspaceSAMLIdP”帮助记住配置目的的名称IssuerUri美元＝“//m.giftsix.com/fdafdjk4”#从Citrix工作区SAML元数据文件获取的entityIDlogoffuri美元＝“https://app.netscalergateway.net/cgi/logout”#所有人的标准入口。不改变美元的uri＝“https://app.netscalergateway.net/ngs/dhhn4j3mf1kc/saml/login?appid=8dd87428 - 460 b - 4358 - a3c2 - 609451 - e8f5be”# Citrix Workspace SaaS应用配置的登录URLcert美元＝新对象System.Security.Cryptography.X509Certificates.X509Certificate2（“e: \ CitrixCloud.crt”）#从Citrix Workspace下载证书文件的路径certData美元＝［系统。转换)::tobase64string（cert美元．rawdata）Set-MsolDomainAuthentication｀域名dom美元｀- - - - - -federationBrandNamefedBrandName美元｀身份验证联邦｀-PassiveLogOnUri美元的uri｀-LogOffUrilogoffuri美元｀-SigningCertificatecertData美元｀-IssuerUriIssuerUri美元｀-PreferredAuthenticationProtocolSAMLP

• Vérifiez我的名字是姓défini sur联邦在Azure en exécutant命令PowerShell suivante

Get-MsolDomain

• Vérifiez les paramètres de fédération dans Azure en exécutant la command PowerShell suivante

Get-MsolDomainFederationSettings域名dom美元

备注:Si les paramètres de fédération doivent être supprimés, exécutez la commande PowerShell suivante*

Set-MsolDomainAuthentication域名dom美元身份验证管理

有效的

验证initiée par l 'IdP

• 联系您à Citrix工作空间
• Selectionnez l 'application SaaS
• Observez l 'URL pour la voir brièvement rediriger通过Azure
• Le portail SaaS lance avec succès

验证initiée par SP

• 枪骑兵联合国navigateur
• Accédez à l 'URL définie par l ' enterprise pour l 'application SaaS
• 领航员重新使用Okta puis和Citrix工作空间进行认证
• 一个是使用者的身份验证auprès这个是使用者的年度原则，应用SaaS démarre avec Okta一个唯一的身份验证

Définir des stratégies de filter du site

服务Citrix安全工作区访问，过滤网站，应用程序，SaaS和Web afin de protéger, l’utilisateur针对hameçonnage的攻击。这段话是对网站过滤stratégies的评论。

• À partir de Citrix云，蒙古包dans la vignette安全工作区访问

• Si ce引导été suivi, les étapes配置最终使用身份验证等配置'accès des utilisateurs finaux应用程序SaaS, Web和virtuelles是terminees。Selectionnez配置器'accès au contu
• 选择修饰符
• 更主动l 'option过滤器:catégories du site
• 在区类别bloquees, selectionnezAjouter
• Sélectionnez les catégories pour empêcher les utilisateurs d 'accéder

• Lorsque toutes les catégories applicables sont sélectionnées, sélectionnezAjouter

• Faites de même pour les catégories autorisées
• Faites de même pour les catégories redirigées。cecatégories rerigent vers一个实例安全浏览器
• Si nécessaire, les administraturs peuvent过滤器les actions refusées, autorisées et redirigées pour des URL spécifiques suivant le même process que celui utilisé pour définir des catégories。Les URL des sites Web ont priorité sur Les catégories。

有效的la配置

验证initiée par l 'IdP

• 联系您à Citrix工作空间
• Selectionnez l 'application SaaS。Si la sécurité renforcée est désactivée, l 'application démarre dans le navigator local, sinon le navigator intégré est utilisé
• 我们使用自动化在à的应用
• Les stratégies de sécurité améliorées appropriées sont appliquées
• 如果它是configurée, sélectionnez应用程序SaaS中的一个URL，它是catégories bloquées, autorisées和redirigées
• 如果它是configurée, sélectionnez应用程序SaaS中的一个URL，那么它是URL bloquées, autorisées et redirigées
• 应用软件即服务

验证initiée par SP

• 枪骑兵联合国navigateur
• Accédez au site Web de l 'application SaaS etconnectez-vous．存在一个有效的期权，sélectionnez l 'option。
• 导航员重新安排导航员使用Citrix工作区进行身份验证
• 请允许我使用你的名字。
• 第一种情况是，效用者是authentifié auprès，效用者是répertoire，应用程序是démarre，而本地导航者是sécurité renforcée，效用者是désactivée。Si la sécurité renforcée est activée，一个安全浏览器应用SaaS的实例。

雷斯特connecte

在配置文件défaut中，Azure Active Directory affhe une boîte对话挂件le process d 'ouverture de session permeto aux utilisateurs de rester connectés。

Il s 'agit d 'un paramètre Azure qui peut être facility modifié en procédant comme suit:

• 在Azure, selectionnezAzure活动目录
• 选择企业标志
• Sélectionnez les paramètres régionaux activés
• 企业标志的修饰语，sélectionnez非在l '选择Afficher pour rester connecté

• Selectionnez记录

解决问题

效用计算在年度中不存在

应用程序SaaS的暂定性:Le compte d 'utilisateur«nom de compte»不存在于répertoire«GUID»。

建议如下:façon de résoudre ce problème:

• Vérifiez que l 'utilisateur est autorisé à l 'application SaaS dans Azure Active Directory
• Vérifiez的地址是电子邮件identifiée，错误对应于Azure Active Directory和应用软件即服务。

联邦家具葡萄园

确认的方法，我们可以用它来判断错误:

Cela est souvent dû au fait que le domaine not vérifié or correct fédéré。在《PDC指南》中，我们可以看到:

• Vérifier le domaine d ' authentication
• 配置者:fédération de domaine

Échec des stratégies de sécurité améliorées

Les utilisateurs peuvent rencontrer des stratégies de sécurité améliorées (filigrane, impression ou accès au press -papiers) échouent。Généralement，这是我们的产品，因为应用软件即服务使用的是域名。在paramètres应用程序SaaS的配置中，还有一个entrée pour而过渡群系．

Les stratégies de sécurité améliorées sont appliquées à ces domaines associés。Pour identifier les nomoms de domaine manquants, un administratorpeut accéder à l 'application SaaS à l 'aide d 'un navigateur local et efftuer les opérations suivantes:

• Accédez à应用部分où les stratégies échouent
• Dans谷歌Chrome和Microsoft Edge(版本铬)，sélectionnez les trois points en haut à droite du navigateur pour afficher un écran de menu。
• Selectionnez+ d 'outils．
• 选择莱斯outils德发展
• Dans les outils de développement, sélectionnez来源．在这个部分的应用中，我们列出一份域名列表。为这个应用程序的发起者stratégies de sécurité améliorées，为这个应用程序的发起者être为这个应用程序的发起者être为这个应用程序的发起者être而过渡群系构型应用。域名associés sont ajoutés comme* .domain.com