使用本地Citrix Gateway作为Citrix Cloud的身份提供程序
Citrix云支持使用本地Citrix网关作为身份提供程序对登录到其工作区的订阅者进行身份验证。
通过使用Citrix Gateway身份验证,您可以:
- 继续通过现有Citrix网关对用户进行身份验证,以便其能够通过Citrix工作区访问本地虚拟应用程序和桌面部署中的资源。
- 将Citrix网关身份验证,授权和审核功能与Citrix工作区结合使用。
- 使用直通身份验证,智能卡,安全令牌,条件访问策略,联合等功能,为用户提供通过Citrix工作区访问所需资源的权限。
支持Citrix Gateway身份验证与以下产品版本结合使用:
- Citrix Gateway 13.0 41.20高级版或更高版本
- Citrix Gateway 12.1 54.13高级版或更高版本
必备条件
云连接器-至少需要两台服务器来安装Citrix云连接器软件。
Active Directory -执行必要的检查。
Citrix Gateway要求
由于已弃用经典策略,请在本地网关上使用高级策略。
配置网关以对Citrix工作区的订阅者进行身份验证时,网关将充当OpenID连接提供商。Citrix Cloud与网关之间的消息符合OIDC协议,该协议涉及对令牌进行数字签名。因此,您必须配置证书以对这些令牌进行签名。
时钟同步-必须将网关同步到NTP时间。
有关详细信息,请参阅必备条件。
在本地Citrix Gateway上创建OAuth IdP策略
重要提示:
您必须已在Citrix Cloud >身份和访问管理>身份验证选项卡中生成了客户端ID,加密和重定向url。有关详细信息,请参阅将本地Citrix Gateway连接到Citrix Cloud。
创建OAuth IdP身份验证策略涉及以下任务:
创建OAuth IdP配置文件。
添加OAuth IdP策略。
将OAuth IdP策略绑定到身份验证虚拟服务器。
全局绑定证书。
使用CLI创建OAuth IdP配置文件
在命令提示窗口中,键入:
add authentication OAuthIDPProfile [-clientID ][-clientSecret][-redirectURL ][-issuer ][-audience ][-skewTime ] [-defaultAuthenticationGroup ] add authentication OAuthIdPPolicy -rule [-action [-undefAction ][-comment ][-logAction ] add authentication ldapAction -serverIP " ldapBindDn -ldapBindDnPassword - ldploginnamesAMAccountName add authentication policy -rule -action bind authentication vserver auth_vs -policy -priority -gotoPriorityExpression NEXT bind authentication vserver auth_vs -policy -priority -gotoPriorityExpression END bind vpn global -certkey <>
使用GUI创建OAuth IdP配置文件
导航到安全> AAA -应用程序流量>策略>身份验证>高级策略> OAuth IDP。
!
Oauth-IDP-navigation
) (/ en - us / citrix-adc /媒体/ oauth-navigation-to-idp.png)在OAuth国内流离失所者页面中,选择配置文件(配置文件)选项卡,然后单击添加(添加)。
配置OAuth IdP配置文件。
注意:
从Citrix Cloud >身份和访问管理>身份验证选项卡中复制并粘贴客户端ID,密钥和重定向URL值,以建立与Citrix Cloud的连接。
在发行人的名字(发行者名称)示例中正确输入网关网址:https://GatewayFQDN.com
还可以在观众(受众)字段中复制并粘贴客户端id。
发送密码(发送密码):启用此选项以获得单点登录支持。默认情况下,此选项处于禁用状态。
在创建认证OAuth IDP配置文件(创建身份验证OAuth IDP配置文件)页面上,设置以下参数的值,然后单击创建(创建)。
名字(名称)- 身份验证配置文件的名称。必须以字母、数字或下划线字符 (_) 开头。名称只能包含字母、数字以及连字符 (-)、句点 (.) 磅 (#)、空格 ()、at (@)、等于 (=)、冒号 (:) 和下划线字符。创建配置文件后无法更改。
- 客户机ID(客户端id)-标识sp的唯一字符串。授权服务器使用此id推断客户端配置。最大长度:127。
- 客户端密钥-由用户和授权服务器建立的密钥字符串。最大长度:239。
- 重定向URL(重定向url)-必须向其发布代码/令牌的sp上的端点。
- 颁发者名称-要接受其令牌的服务器的标识。最大长度:127。示例:https://GatewayFQDN.com
- 受众- IdP发送的令牌的目标收件人。此令牌由收件人检查。
- 偏斜时间-此选项指定Citrix ADC在传入令牌上允许的时钟偏差(以分钟为单位)。例如,如果 skewTime 为 10,那么令牌的有效期为(当前时间 - 10)分钟至(当前时间 + 10)分钟,也就是 20 分钟。默认值:5。
- 默认身份验证组- IdP选择此配置文件时添加到会话内部组列表中的组,可在nFactor流程中使用。它可以在表达式(AAA.USER.IS_MEMBER_OF(“xxx”))中用于身份验证策略,以识别与依赖方相关的nFactor流。最大长度:63
此配置文件的会话中添加了一个组,以简化策略评估并帮助自定义策略。除了提取的组外,此组是身份验证成功时选择的默认组。最大长度:63。
!
Oauth-IDP-profile-parameters
) (/ en - us / citrix-adc /媒体/ oauth-idp-profile.png)单击政策(策略),然后单击添加(添加)。
在创建认证OAuth IDP策略(创建身份验证OAuth IDP策略)页面上,设置以下参数的值,然后单击创建(创建)。
- 名称-身份验证策略的名称。
- 行动(操作)- 之前创建的配置文件的名称。
- 日志操作-请求与此策略匹配时要使用的消息日志操作的名称。非强制性提交。
- Undefined-Result行动(未定义的结果操作)-策略评估结果未定义(undef)时应执行的操作。非必填字段。
- 表达式(表达式)- 策略用于响应特定请求的默认语法表达式。例如,没错。
- 评论(评论)- 对策略的任何评论。
!
Oauth-IDP-policy
) (/ en - us / citrix-adc /媒体/ oauth-idp-policy.png)
注意:
当sendPassword设置为开(默认情况下关闭)时,用户凭据将被加密并通过安全渠道传递给Citrix Cloud。通过安全通道传递用户凭据允许您在启动时为Citrix虚拟应用程序和桌面启用SSO。
将OAuthIDP策略和LDAP策略绑定到身份验证虚拟服务器
导航到配置(配置)>安全(安全)> AAA -应用流量(AAA -应用程序流量)>高级策略(高级策略)>动作(操作)> LDAP。
在LDAP行动(ldap操作)屏幕上,单击添加(添加)。
在创建身份验证ldap服务器屏幕上,设置以下参数的值,然后单击创建。
- 名称(名称)-Ldap服务器操作的名称
- ServerName / ServerIP服务器名称/服务器ip -提供ldap服务器的FQDN或ip
- 为安全类型,端口,服务器类型,超时(安全类型、端口、服务器类型、超时)选择适当的值
- 确保已选中身份验证(身份验证)
- 基本DN(基础dn)-开始ldap搜索的基础。例如,
dc = aaa, dc =当地
。 - 管理员绑定DN(管理员绑定dn):绑定到ldap服务器的用户名。例如,admin@aaa.local。
- 管理员密码/确认密码(管理员密码/确认密码):用于绑定LDAP的密码
- 单击测试连接(测试连接)测试您的设置。
- 服务器登录名属性(服务器登录名属性):选择sAMAccountName
- 其他字段不是必填字段,因此可以根据需要进行配置。
导航到配置(配置)>安全(安全)> AAA -应用程序流量(AAA -应用程序流量)>政策(策略)>认证(身份验证)>先进政策(高级策略)>政策(策略)。
在身份验证策略屏幕上,单击添加。
在创建身份验证策略页面上,为以下参数设置值,然后单击创建。
- 名字(名称)- ldap身份验证策略的名称。
- 动作类型(操作类型)- 选择LDAP。
- 行动(操作)-选择ldap操作。
- 表达式-策略用于响应特定请求的默认语法表达式。例如,真**。