汉译英:Citrix Workspace; CSP; CSP
简介
本文档的目的是指导Citrix服务提供商(CSP)通过Citrix工作区和多个身份提供商(IdP)实施Citrix虚拟应用程序和桌面服务(CVADS)。Citrix ADC nFactor
本文档无意提供有关如何为CSP部署Citrix虚拟应用程序和桌面服务的分步指导。它假定了解面向虚拟应用和桌面2、CSP (CSP) CSP (CSP)
另一方面,它假定了解Citrix ADC,单点登录(SSO)和Citrix联合身份验证服务。http://www.docs.citrix.com。
思杰(Citrix) ADC nFactor接下来,它将查看构成此解决方案的组件的身份验证流程。
最后,它介绍了使用多个IdP部署Citrix ADC nFactor身份验证所需的步骤,以及如何将其与Citrix工作区集成。
概述
思杰虚拟应用和桌面
Citrix虚拟应用程序和桌面服务提供从任何设备或网络对集中管理的桌面和应用程序的安全访问。通过联合身份验证服务(FAS)和Citrix云之间的集成,CSP可以向虚拟应用程序和桌面工作负载提供SSO,同时支持外部SAML国内流离失所者。
CVADS支持在多个资源位置托管的工作负载,包括传统的虚拟机管理程序和微软Azure, GCP和AWS等公有云平台。Windows或Linux,
用户可以通过基于Windows、Mac和Linux的客户端,iOS和Android手机等访问其虚拟资源。思杰网关。它通过遍布全球的多个接入点提供高可用性。内部连接可以使用新的直接工作负载连接功能。
CSP应用程序和桌面【中文译文】
Citrix ADC nFactor
思杰(Citrix) ADC nFactor:二位,二位,二位,二位,二位。“”“”“”“”“”“”“”“”“”
n因子(factor), CSP (CSP)nFactor(因子)此功能基于不同的详细信息,例如用户或连接属性。
对于此架构,OAUTH IDP策略配置为允许Citrix ADC处理Citrix工作区的身份验证。(英文),SAML(英文)(英文)。
思杰工作空间
店面(店面)通过工作经验,通信服务提供商可以交付虚拟应用程序和桌面,SSO到SaaS和本地网络应用程序,微应用集成和操作,内容协作,端点管理功能和分析。【中文译文】:CSP, CSP, CSP, CSP, CSP, CSP。
思杰工作空间但是,许多CSP需要提供多个IDP支持,同时保持Citrix工作区提供的高级功能。
[au:
可以使用开放ID连接(OIDC)协议将Citrix ADC配置为OAUTH身份提供程序(IDP)。“”“”“”“”“”“”OIDC 在典型的 OAUTH 2.0 流程中添加了用户身份验证部分。在此架构中,Citrix Workspace 充当信任 Citrix ADC(OAUTH IDP)的 OAUTH 服务提供商 (SP)。
对于此配置,Citrix工作区要求Active Directory影子帐户通过一组“声明”,身份验证过程才能成功。思杰云计算技术。如果未填充这些属性,则订阅者将无法登录其工作区。索赔清单将在本文件后面的章节中进行审查。
Saml
在此架构环境中,Citrix ADC将成为服务提供商(SP),每个客户的身份验证解决方案都充当身份提供商(IDP)。p / p / p / p / p / p / p“”“”“”“”
(1)、(1)、(1)、(2)、(3)、(3)Web http://gege.cn/cn/ / http://www.gege.cn/cn/中文:Web
概念与术语
Citrix ADC nFactor齐格,齐格,齐格,齐格。
- 身份验证服务器(操作):身份验证服务器(操作)定义给定IDP的特定配置,无论是本地Active Directory, Azure广告,Okta ADFS等。齐格思(Citrix)
- 身份验证策略:身份验证策略允许用户根据设备进行身份验证。策略使用应用策略的表达式。“”“”“”“”“”。身份验证策略必须链接到身份验证服务器(操作)。
- 在这些情况下最常用的表达式是AAA.USER.NAME。SET_TEXT_MODE (IGNORECASE) .AFTER_STR (" @ ") .EQ (" domain.com ")。此表达式在“@”符号后计算用户的隐喻后缀,如果它与策略匹配,则应用配置的SAML服务器(操作)进行身份验证。
- 登录架构:登录架构是用XML编写的登录表单的逻辑表示形式,换句话说,它们代表用户界面。它是一个定义用户看到的内容并指定如何从用户那里提取数据的实体。不同的身份验证因素可以使用不同的架构(或没有架构)。思杰(Citrix)
- 策略标签:策略标签指定特定因素的身份验证策略。每个策略标签对应一个身份验证因素。它们基本上是可以作为单个实体链接在一起的策略的集合。“”或“”。如果第一个策略指定的身份验证成功,则跳过该策略之后的其他策略。策略标签通过登录架构定义其视图。
- “不真实”这是一项特殊策略,始终返回 “成功” 作为身份验证结果。其主要目的是在通过用户身份验证流程做出逻辑决策时允许灵活性。
- 下一个因素:如果身份验证流程成功,它决定了在给定步骤之后要执行的操作。它可以是额外的策略,也可以定义身份验证流程必须停止。
- 【翻译】身份验证虚拟服务器处理关联的身份验证策略并提供对环境的访问。“”“”“”“”“”“”“”“”“”只有在将Citrix ADC用于HDX流量时才需要网关虚拟服务器,在这种情况下,AAA虚拟服务器配置为不可寻址。网关虚拟服务器集成超出了本文档的讨论范围。
- 身份验证配置文件(可选):“”“”“”“”“”“”“”齐格(Citrix)
体系结构
这是一个很好的例子。这种增长引入了这样的要求:允许最终客户自带身份解决方案并将其与Citrix工作区集成,以使用基于CVADS的工作负载。
Citrix工作区还提供高级功能,允许CSP将更多服务(例如SSO集成到SaaS和本地网络应用程序,微应用集成和操作以及内容协作)。Azure AD, Okta, SAML 2.0Citrix工作空间
从Citrix工作区启动虚拟应用程序和桌面资源时,Citrix网关服务会处理HDX代理功能。思杰(Citrix) ADC (Citrix)“”“”“”“”“”“”
本参考体系结构侧重于将多个国内流离失所者(尤其是基于SAML的)与Citrix工作区和CVADS集成时的设计决策和注意事项。这种集成是通过将Citrix工作区配置为向Citrix ADC委派用户身份验证来实现的,后者又将用户转发到各自的国内流离失所者。
注意事项和要求
在撰写本文时,在决定将多个IdP集成到CSP托管的CVADS部署之前,需要考虑以下细节。
- Citrix ADC
- 需要Citrix ADC 12.1版本54.13或更高版本,或13.0版本41.20或更高版本。
- “”“”“”“”“”“”“”
- SAML IdP:骤。本文档中没有介绍这些步骤。
- 必须为每个特定客户配置Active Directory的备用隐喻后缀和影子帐户。
- http://www.tingclass.cn/cn/ http://www.tingclass.cn/cn/
- 电子邮件地址
- 显示名称
- 常见的名字
- 山姆:http://www.qqqq.com
- 隐喻
- OID
- SID
- Active Directory活动目录
- Citrix FAS, Citrix Workspace。【翻译】
- 【中文翻译】:中文翻译:
- 网址:缀。windowsp2000 .缀,windowsp2000 .缀。
用户体验
下图从用户体验的角度展示了身份验证流程。“”“”“”“”“”“”齐泽尔,齐泽尔,齐泽尔,齐泽尔,齐泽尔,齐泽尔,齐泽尔。
- Citrix工作空间。
- Citrix ADC AAA
- 思杰ADC AAA。【中文】:
- http://www.qqqq.com http://www.qqqq.com http://www.qqqq.com http://www.qqqq.com http://www.qqqq.com
- Citrix工作空间。
- 中文名称:cad, cad, cad, cad, cad, cad, cad, cad
- 思杰网关(Citrix Gateway)
- 活动目录
- 中国科学院院士,中国科学院院士,中国科学院院士
认证流程
下图显示了此体系结构中不同协议的身份验证流程。Citrix工作区充当 OAUTH SP,Citrix ADC 既充当 OAUTH IDP 又充当 SAML SP,客户 IDP 是 SAML IDP。
- 最终用户通过网页浏览器或Citrix工作区应用程序访问Citrix工作区(SP)。
- tecrix Workspace (OAUTH SP)、tecrix ADC AAA (OAUTH IDP)。
- 用户在AAA虚拟服务器(SAML SP)登录提示符下输入隐喻,然后重定向到身份验证服务(SAML IDP)。
- Saml idp (xhtml)。
- Citrix工作空间
- Citrix工作区应用程序将SAML断言重定向到Citrix ADC AAA虚拟服务器。
- Citrix ADC AAA
- Citrix Workspace。
- Citrix ADC AAA虚拟服务器对用户进行身份验证,并将声明发送到Citrix工作区。
- 思杰工作空间
| 注意: |
|---|
| 在SAML流程中,网页浏览器或工作区应用程序被称为“用户代理”,它是HTTP请求标头的一部分。 |
保单流程
“因子”。因子;因子;因子;【中文译文】“”“”“”“”“”。
- 用户通过网络浏览器或Citrix工作区应用程序访问Citrix工作区。Citrix AAA在Citrix ADC上配置了表达式“真正”的OAUTH IDP策略,这意味着此策略将应用于所有请求。
- “no_authn”,“”,“”。No_authn。NO_AUTHN策略始终返回 “成功” 作为身份验证结果。
- 当用户以UPN格式输入其用户名时,隐喻后缀将决定评估哪个身份验证策略。在此架构中,domain1.com被转发到LDAP服务器,domain2.com被重定向到Azure广告租户,domain3.com被重定向到另一个Azure广告租户。所有这些功能都基于每个策略使用的表达式。另请注意,这些身份验证策略绑定到 “无架构” 登录架构。Web prepre。
- 如果用户在domain1.com下输入用户名,他们将被重定向到LDAP策略(传统LDAP策略)。“真实”,“真实”,“真实”,“真实”,“真实”,“真实”。“”。他们的用户名在前面的因素中被捕获。
- 另一方面,如果用户在domain2.com或domain3.com下输入用户名,他们将被重定向到各自的Azure广告租户进行登录。在这种情况下,Azure会处理所有身份验证,这不在Citrix ADC nFactor引擎的范围之内。Citrix ADC AAA
- 身份验证请求重定向回Citrix网关后,它将通过另一个与LDAP策略绑定的身份验证因子。但是,此策略不执行身份验证。此策略的目的是将用户身份验证回到Citrix工作区所需的声明提取回Citrix工作区。(1)、(1)、(1)、(1)、(2)、(2)、(3)、(3)。此时不会向用户显示登录架构,也不需要输入任何信息,此过程会自动进行。
- Citrix ADC, Citrix Workspace。Citrix工作区接受来自 Citrix ADC 的身份验证需要这些声明。
- Citrix工作空间,
| 注意: |
|---|
| Ldap“,”,“,”,“,”它总是评估为 “成功” 作为身份验证结果。 |
扩展注意事项
随着新客户的加入,能够以敏捷的方式扩展此解决方案对通信服务提供商来说非常重要。这种架构允许在加入新客户时遵循无中断的步骤。新客户加入此解决方案的主要步骤如下所示。
- 李海涛:“”“”“”“”“”“”【中文译文】
- 整整整整缀:活动目录、MMC、MMC、MMC、MMC、MMC、MMC、MMC、MMC、MMC、MMC、MMC、MMC、MMC。Upn .缀。此外,尽管共享广告环境中每个客户的隐喻不同,但所有卷影帐户都具有相同的NetBIOS后缀名称。
- 添加影子帐户:手动创建影子帐户可能是一项繁琐的任务,建议使用脚本来自动执行此过程。最终用户无需知道这些账户的密码。
- 【翻译】【翻译】(1)、(2)、(3)、(3)、(3)
- 绑定SAML策略:这是一个非常简单的例子。由于所有这些策略都是互斥的,因此向策略标签添加新策略不会对当前客户造成任何干扰。
| 注意: |
|---|
| 网址:缀。缀,Windows 2000,Windows 2000,Windows 2000,Windows 2000。 |
实现
本文档介绍了将Citrix工作区与Citrix ADC AAA虚拟服务器和多个SAML IdP集成所需的步骤。云连接器配置,计算机目录/交付组创建和FAS实施不在本文档的讨论范围之内。
通过遵循标准安装实践,可以成功配置前面提到的组件。无需自定义配置步骤即可将它们与该架构集成。有关配置步骤,请访问本文档的其他配置资源部分。
身份验证策略
Ldap(英文)
1- Citrix ADC“a”-“a”-“a”-“a”-“a”-“a”-“a”-“a”,然后单击添加。
2-在 “【翻译” 页面上,输入以下信息。
- 这句话的意思是
- “”“”“”“”
- 【翻译】:()
- 端口:389 或 636(基于安全类型)。
- 好吧
- 身份验证:已选中
- 中文名称:http://www.jinjinjinjinjinjincom/
- http://www.cncn.cn/cn/cn/
- 管理员密码:广告服务帐户密码
- 中文:对,对,对
- 服务器登录名属性:用户主体名称
- 的成员
- cn
- 单点登录
- 电子邮件:邮件
3-单击 “确定”。
| 注意: |
|---|
| 此步骤是可选的,但出于支持目的,强烈建议您执行此步骤。这是一个很好的例子。 |
Ldap
1-在 “Ldap” 页面上,单击 “添加“中文翻译”。使用与上一个相同的信息,但这一次,取消选中 “身份验证” 框。
2-单击 “确定”。
| 注意: |
|---|
| 此步骤不是可选的。“”“”“”“”“”“”“”“”“”“”“”Citrix工作空间 |
小男孩
1-导航到 “安全”>“AAA——应用程序流量”>“策略”>“身份验证”>“高级策略”>“操作“>”SAML”,然后单击 “添加”。
2-在 “【翻译” 页面上,输入以下信息。
- 这是一个很好的例子
- 笨笨,笨笨,笨笨
- 笨笨笨笨:idp
- i / i / i / i / i / i / i
- 注销绑定:开机自检/重定向
- 【中文译文】:【中文译文
- Citrix ADC AAA
- 这是一个很好的例子
- 拒绝无符号断言:开
- 1 .使用rsa-sha256
- [中文]:sha256
3-单击 “确定”。
| 注意: |
|---|
| http://www.santai.com/ http://www.santai.com/ http://www.santai.com/ http://www.santai.com/ http://www.santai.com/ |
| “”“”“”“”“”有关其他信息,请参阅特定的 SAML IDP 文档。 |
登录模式
登录架构配置文件
1-导航到 “" aaa -英文" > " aaa -英文" > "英文" > "英文" > "英文" > "英文"”,然后单击 “添加”。
2-在 “创建身份验证登录架构” 页上,输入以下信息。
- 名称:登录架构配置文件实体名称
- 身份验证架构:无架构
3-单击 “创建”。
| 注意: |
|---|
| 重复这些步骤,使用OnlyUsername.xml和OnlyPassword.xml文件创建剩余的 2 个架构配置文件。 |
登录架构策略
1-导航到 “" aaa - " > " aaa - " > " aaa - " > " aaa -”,然后单击 “添加”。
2-在 “创建身份验证登录架构策略” 页上,输入以下信息。
- 名称:登录架构策略实体名称
- 无图式
- 真的
3-单击 “创建”。
| 注意: |
|---|
| 重复这些步骤以创建剩余的 2 个架构策略,方法是将它们与“仅用户名” 和 “仅密码”架构配置文件关联起来。 |
身份验证策略
基准 “无身份验证” 策略
1-导航到 “" aaa - " > " a - " > " a - " > " a - " > " a - " > " a - " > " a - " > " a - " > " a - " > " a - " > " a - " > " a -”,然后单击 “添加”。
2-在 “创建身份验证策略” 页面上,输入以下信息。
- 名称:身份验证策略实体名称
- 1 . no_authn
- http://req.url。包含(“/ nf /认证/ doAuthentication.do”)
3-单击 “确定”。
Ldap(英文)
1-在 “身份验证策略” 页面上,单击 “添加” 以创建其他策略。
2-在 “创建身份验证策略” 页面上,输入以下信息。
- 名称:身份验证策略实体名称
- 1 . no_authn
- : aaa.user.login_name。SET_TEXT_MODE (IGNORECASE) .AFTER_STR (" @ ") .EQ (" domain1.com ")
3-单击 “确定”。
| 注意: |
|---|
| 此步骤是可选的,但出于支持目的,强烈建议您执行此步骤。这是一个很好的例子。 |
| 将表达式中的“domain1.com”替换为内部广告域隐喻后缀的名称。 |
| NO_AUTHN身份验证类型用作占位符,将用户重定向到下一个身份验证因子,即通过另一个LDAP策略处理的广告密码。 |
Ldap(英文)
1-在 “身份验证策略” 页面上,单击 “添加” 以创建其他策略。
2-在 “创建身份验证策略” 页面上,输入以下信息。
- 名称:身份验证策略实体名称
- ldap
- 【中文翻译
- 真的
3-单击 “确定”。
| 注意: |
|---|
| 此步骤是可选的,但出于支持目的,强烈建议您执行此步骤。这是一个很好的例子。 |
| 此策略中的真正的表达式表示将针对重定向到此身份验证因素的每个用户评估此策略。 |
| 此策略附加到先前创建的仅密码登录架构。 |
Ldap
1-在 “身份验证策略” 页面上,单击 “添加” 以创建其他策略。
2-在 “创建身份验证策略” 页面上,输入以下信息。
- 名称:身份验证策略实体名称
- ldap
- 【中文翻译】:中文翻译
- 真的
3-单击 “确定”。
| 注意: |
|---|
| 此步骤不是可选的。http://www.tingclass.com/ http://www.tingclass.com/ http://www.tingclass.com/ http://www.tingclass.com/ http://www.tingclass.com/ http://www.tingclass.com/ http://www.tingclass.com/Citrix工作空间 |
| 此策略中的真正的表达式表示将针对重定向到此身份验证因素的每个用户评估此策略。 |
| 此策略附加到NO_SCHEMA:好。 |
Saml
1-在 “身份验证策略” 页面上,单击 “添加” 以创建其他策略。
2-在 “创建身份验证策略” 页面上,输入以下信息。
- 名称:身份验证策略实体名称
- 【中文译文
- 【翻译】
- : aaa.user.login_name。SET_TEXT_MODE (IGNORECASE) .AFTER_STR (" @ ") .EQ (" domain2.com ")
3-单击 “确定”。
| 注意: |
|---|
| “domain2.com” |
| 为之前创建的每个SAML身份验证操作创建一个SAML身份验证策略,并将它们与表达式中的相应域名进行匹配1:1。 |
身份验证策略标签
Ldap
1-导航到 “安全”>“AAA——应用程序流量”>“策略”>“身份验证”>“高级策略”>“策略标签”,然后单击 “添加”。
2-在 “创建身份验证策略” 页面上,输入以下信息。
- 名称:身份验证策略标签实体名称
- 登录架构:“仅限密码” 登录架构配置文件
- aaatm_req
- 点击继续
3-使用以下详细信息绑定身份验证策略。
- 策略 1
- a . ldap
- 优先级:100
- 结束
- 无。无
4-单击 “完成”。
Ldap (Ldap
1-在 “身份验证策略标签” 页上,单击 “添加” 以创建其他策略。
2-在 “创建身份验证策略” 页面上,输入以下信息。
- 名称:身份验证策略标签实体名称
- “no_schema”
- aaatm_req
- 点击继续
3-使用以下详细信息绑定身份验证策略。
- 策略 1
- 【翻译】:ldap
- 优先级:100
- 结束
- 无。无
4-单击 “完成”。
主保单标签
1-在 “身份验证策略标签” 页上,单击 “添加” 以创建其他策略。
2-在 “创建身份验证策略” 页面上,输入以下信息。
- 名称:身份验证策略标签实体名称
- “no_schema”
- aaatm_req
- 点击继续
3-使用以下详细信息绑定身份验证策略。
- 策略 1
- 【翻译】:ldap
- 优先级:100
- 转到表达式:下一步
- “ldap”。“ldap”
- 策略 2
- 【翻译】:小的,小的
- 优先级:110
- 转到表达式:下一步
- http://www.tingclass.cn/cn/或http://www.tingclass.cn/
4-单击 “完成”。
| 注意: |
|---|
| (1)、(1)、(1)、(1)、(2)、(3)、(3)、(3) |
【中文】
1-导航到 ““a”>“a”>“a”>“a”,然后单击 “添加”。
2-在 “身份验证虚拟服务器” 页面上,输入以下信息。
- 名称:身份验证虚拟服务器实体名称
- IP:IP
- IP解析
- 端口: 443
- 单击确定。
3-在 “证书” 窗格中,单击 “无服务器证书,齐泽平,齐泽平。然后,单击 “继续”。
4-在 “高级身份验证策略” 窗格中,单击 “无身份验证策略”,然后输入以下信息。
- 选择策略:基准 “无身份验证” 策略
- 优先级:100
- 转到表达式:下一步
- 选择下一个因素:主策略标签
5-单击 “继续”。
6-在“高级设置”窗格中,单击 “登录架构”。
7-在 “登录架构” 窗格中,单击 “无登录架构”,然后输入以下信息。
- 选择策略:“仅限用户名” 架构策略
- 优先级:100
- 结束
8-单击 “绑定”。
9- 1【中文】页面,单击 “完成”。
| 注意: |
|---|
| “”“”“”“”“”“”“”“”“” |
全局证书绑定
1-通过SSHCitrix ADC
2-运行以下命令:bind vpn global-certKeyName certname。
3-保存运行配置。
| 注意: |
|---|
| ADC使用此命令对作为身份验证过程一部分发送到Citrix工作区的令牌进行签名。 |
| -certKeyName。 |
思杰工作空间
思杰网关IDP
1-在网络浏览器上,转到Citrix云齐格思技术有限公司。
2-身份验证后,导航到思杰网关,然后单击连接。
3-“”“”“”“”“”检测”。检测到后,单击 “继续”。
4-在 “创建连接” 屏幕上,复制 ““””。
| 注意: |
|---|
| 请勿关闭此页面,您必须返回以完成配置。 |
Oauth idp
1- Citrix ADC安全> AAA -应用程序流量>策略>身份验证>高级策略> OAUTH IDP >配置文件,然后单击添加。
2-在 “(1)、(2)、(3)” 页面上,输入以下信息。
- 【中文译文
- 客户端ID:粘贴来自Citrix云的值
- 客户端密钥:粘贴来自Citrix云的值
- 中文翻译:中文翻译
- “”“”“”“
- 【翻译】
- 发送密码:已选中
3-单击 “创建”。
Oauth idp
1-导航到 “安全”>“AAA——应用程序流量”>“策略”>“身份验证”>“高级策略”>“OAUTH国内流离失所者”>“策略”,然后单击 “添加”。
2-在 “(1)、(2)、(3)、(3)” 页面上,输入以下信息。
- 【中文译文
- 【中文译文
- 真的
3-单击 “创建”。
Oauth idp
1-导航到【中文翻译】,然后单击之前创建的【中文】。
2-在 “高级身份验证策略” 窗格中,单击 “[au:] [au:“? ?”
3- 1 - 1 - 2 - 1 - 2 - 1 - 2 - 3- 1 - 2 - 3- 1 - 2 - 3- 2 - 3-完成”。
工作区身份验证
1- Citrix云,http://www.citrix云,http://www.citrix云测试并完成”。
2-导航到工作区配置 > 身份验证,然后单击Citrix网关。
3-在弹出配置屏幕上,选中“我了解对订阅者体验的影响” 旁边的复选框,然后单击 “保存"。
| 注意: |
|---|
| 此时,导航到Citrix工作区URL (customer.cloud.com)会将用户重定向到ADC AAA虚拟服务器。Citrix工作空间 |
| 通过将Citrix工作区与Citrix FAS集成,可以实现对虚拟应用程序和桌面资源的单点登录。 |