微软Azure单点登录。Citrix安全工作空间接入

概述

当用户访问SaaS应用程序中的机密内容时,组织必须能够在实施身份验证标准的同时简化用户登录操作。笨笨笨笨，笨笨笨笨，笨笨笨笨。思杰工作空间

在这种情况下,用户使用Active Directory作为主用户目录向Citrix工作区进行身份验证,然后启动由Azure管理的SaaS应用程序。

如果将Citrix安全工作区访问服务分配给Citrix订阅,将应用增强的安全策略,从应用基于屏幕的水印,限制打印/下载操作,屏幕抓取限制,键盘模糊处理和保护用户免受不可信链接的侵害在SaaS应用程序之上。

以下动画显示了使用Azure提供的SSO且受Citrix安全工作区访问问保护的SaaS应用程序的用户。

此演示显示了一个IDP启动的SSO流程,用户可在其中从Citrix工作区中启动应用程序。本PoC指南还支持SP启动的SSO流程,用户尝试直接从首选浏览器访问SaaS应用程序。

假设：

• Azure单点登录Azure单点登录
• Azure、云、云、云、云、云、云、云、云、云、云

本概念验证指南演示了如何：

1. Citrix工作空间
2. 集成主用户目录
3. / / / / / / / / / / / / / /
4. 定义网站过滤策略
5. 验证配置

Citrix工作空间

Citrix工作空间

1. url
2. 启用适当的服务

url

1. 以管理员帐户身份连接到Citrix云并登录
2. Citrix工作空间工作区配置
3. 在访问http://www.tingclass.com/ http://www.tingclass.com/ http://www.tingclass.com/ http://www.tingclass.com/

启用服务

“”“”“”“”“”“”“”“

1. 网关
2. 安全浏览器

验证

思杰工作空间工作空间URL:但是，在定义和配置主用户目录之前，登录才可用。

集成主用户目录

工作空间http://www.tingclass.com/主用户目录。主用户目录是用户需要的唯一身份,因为工作区中的所有应用程序请求都使用单点登录到辅助身份。

组织可以使用以下任何一个主用户目录

• 活动目录:活动目录(Active Directory云连接器指南将云连接器部署在与活动目录域控制器相同的数据中心内。
• 活动目录:基于Active Directory的身份验证还可以包括使用基于时间的一次性密码(你觉得)的多因素身份验证。此指南详细说明了启用此身份验证选项所需的步骤。
• Azure Active DirectoryAzure Active Directory: Azure Active Directory: Azure Active Directory: Azure Active Directory: Azure Active Directory此指南提供了配置此选项的详细信息。
• Citrix网关:组织可以利用本地Citrix网关充当Citrix工作区的身份提供商。此指南提供了有关集成的详细信息。
• OktaOkta、Citrix、Citrix、Citrix、Citrix、Citrix此指南提供了配置此选项的说明。

【翻译

Citrix工作空间、桌面空间、桌面空间、桌面空间、桌面空间

• SaaS软件
• 你觉得怎么样

SaaS软件

使用Azure中配置的SaaS应用程序,SaaS应用程序可以在Citrix工作区中进行配置。

• Azure, AzureAzure Active Directory
• 选择企业应用

• “”，“”，“”，“
• 选择属性

• 复制用热线电话并记住以备以后使用
• 雷思云，雷思云管理。

• 选择Web/SaaS
• 在选择模板向导中，找到正确的模板。在此示例中，选择人类

• 选择下一步
• 在应用程序详细信息屏幕中，将URLAzure Azure Azure好吧。
• 在URL末尾，添加以下内容：whr = federated_domain使用与用户的身份关联的 域（在用户的电子邮件中 @ 登录后的信息）替换federated_domain。联合域条目通知 Azure 重定向到正确的联合域配置。联合域信息将在即将到来的部分在 Azure 中进行配置。

• “中文翻译”:“中文翻译”这句话的意思是:。
• 选择下一步
• 在增强安全性窗口中，为环境选择适当的安全策略

• 在单点登录窗口中，将网址:设置为https://login.microsoftonline.com/login.srf
• 将受众设置为URN:中国化:微软线
• 设置名没有和“活动目录GUID”
• 选中标有使用(sp)的框。SaaS、Azure、Azure、Azure、Azure、Azure。
• 在高级属性下，添加idpeMail、属性格式 = 未指定和属性值 = 电子邮件
• 注意：只需为第一个应用程序完成。选择下载以获取阴极射线管的证书。
• 注意：只需为第一个应用程序完成。在http://www.qqqq.com旁边，选择复制■■■■■■url。
• 注意：只需为第一个应用程序完成。选择【例链接

• 【中文译文EntityId。。【中文译文】

• 选择保存
• 选择完成对，对，对。

你觉得怎么样

• Citrix云计算，techintechintechsp资料库

• 【中文翻译管理订阅者
• 添加有权启动应用程序的适应用户/组

Citrix工作空间

思杰工作空间(Citrix Workspace

• 验证身份验证域
• 配置域联合

验证身份验证域

Citrix Workspace,AzureAzure, Azure, Azure, Azure

• Azure活动目录
• 在导航窗口中选择自定义域名
• 选择添加自定义域
• 输入完全限定的域名

• 选择添加域
• Azure。完成后，选择验证。

• 完成后，域名将包含经过验证的标记

配置域联合

Citrix工作空间PowerShell。

• huawei PowerShell
• 使用以下命令添加适当的模块

Install-ModuleAzureADforceImport-ModuleAzureADforceInstall-ModuleMSOnlineforceImport-moduleMSOnlineforce<！——NeedCopy-->

• PowerShell

Connect-MSOLService<！——NeedCopy-->

• PowerShell (Azure托管

Get-MsolDomain<！——NeedCopy-->

• http://www.powershell . http://www.powershell联合

dom美元＝“workspaces.wwco.net”#在Azure中验证的完全限定域名fedBrandName美元＝“CitrixWorkspaceSAMLIdP”一个有助于记住配置目的的名称IssuerUri美元＝“//m.giftsix.com/fdafdjk4”从Citrix workspace SAML元数据文件中获取的entityIDlogoffuri美元＝“https://app.netscalergateway.net/cgi/logout”#所有人的标准入口。不要改变美元的uri＝“https://app.netscalergateway.net/ngs/dhhn4j3mf1kc/saml/login?appid=8dd87428 - 460 b - 4358 - a3c2 - 609451 - e8f5be”# Citrix Workspace SaaS应用配置中的登录URLcert美元＝新对象System.Security.Cryptography.X509Certificates.X509Certificate2（“e: \ CitrixCloud.crt”）#从Citrix Workspace下载的证书文件路径certData美元＝(系统。转换)::tobase64string（cert美元。rawdata）Set-MsolDomainAuthentication｀域名dom美元｀- - - - - -federationBrandNamefedBrandName美元｀身份验证联邦｀-PassiveLogOnUri美元的uri｀-LogOffUrilogoffuri美元｀-SigningCertificatecertData美元｀-IssuerUriIssuerUri美元｀-PreferredAuthenticationProtocolSAMLP<！——NeedCopy-->

• PowerShell: Azure联合

Get-MsolDomain<！——NeedCopy-->

• PowerShell: Azure

Get-MsolDomainFederationSettings域名dom美元<！——NeedCopy-->

注意：例如，PowerShell

Set-MsolDomainAuthentication域名dom美元身份验证管理<！——NeedCopy-->

验证

我的意思是

• 思杰工作空间
• 【中文翻译
• Azure http://www.azaz.cn/cn/cn/
• SaaS

这是我的最爱

• 启动浏览器
• SaaS软件
• 思杰工作空间
• 软件、软件、软件、软件、软件、软件、软件、软件、软件

定义网站过滤策略

Citrix安全工作区访问服务在SaaS和网络应用程序中提供网站过滤,以帮助保护用户免受网络钓鱼攻击。下面显示了如何设置网站过滤策略。

• 齐睿云、齐睿云、齐睿云、齐睿云管理

• 如果遵循本指南，则完成设置最终用户身份验证步骤和SaaS, Web步骤。选择配置内容访问
• 选择编辑
• 启用筛选网站类别选项
• 在 “阻止的类别” 框中，选择添加
• 选择要阻止用户访问的类别

• 选择所有适用的类别后，选择添加

• 对允许的类别执行同样操作
• 对重定向的类别执行同样的操作。这些类别重定向到安全浏览器实例
• http://www.tingclass.cn/cn/或http://www.tingclass.cn/cn/[au:]

验证配置

我的意思是

• 思杰工作空间
• 【中文翻译】如果禁用增强的安全性，应用程序将在本地浏览器中启动，否则将使用嵌入式浏览器
• 用户自动登录应用
• 应用适当的增强安全策略
• 笨笨笨笨，笨笨笨笨，笨笨笨笨
• 笨笨，笨笨，笨笨，笨笨，笨笨，笨笨
• SaaS技术

这是我的最爱

• 启动浏览器
• 【中文翻译登录。【中文翻译】
• 思杰工作空间
• 输入用户名。
• “SaaS”，“SaaS”，“SaaS”，“SaaS”，“SaaS”。“SaaS”，“SaaS”，“SaaS”。

保持登录

在默认配置中,Azure活动目录会在登录过程中显示一个对话框,允许用户保持登录状态。

Azure、Azure、Azure、Azure、Azure、Azure、Azure、Azure

• Azure, AzureAzure Active Directory
• 选择公司品牌
• 选择已启用的语言环境
• 在“编辑公司品牌”窗格中，在显示选项中选择否以保持登录状态

• 选择保存

故障排除

目录中不存在用户帐户

尝试启动SaaS应用程序时,用户可能会收到以下错误:“GUID”目录中不存在用户帐户”帐户名称”。

以下是关于如何解决此问题的建议：

• Azure Active Directory (Azure Active Directory
• 验证主用户目录,Azure Active Directory和SaaS应用程序之间错误中标识的电子邮件地址是否匹配。

联邦领域对象

在验证期间，用户可能会收到以下错误：

这通常是由于域未经验证或正确联合而导致的。【翻译】:

• 验证身份验证域
• 配置域联合

增强的安全策略失败

用户可能会遇到增强的安全策略（水印、打印或剪贴板访问）失败。SaaS的英文:SaaS的英文:SaaS【中文翻译相关域的条目。

增强的安全策略将应用于这些相关域。SaaS、;

• 导航到策略失败的应用程序部分
• 在谷歌Chrome和微软边缘(铬版)中,选择浏览器右上角的三个点以显示菜单屏幕。
• 选择 “更多工具”。
• 选择开发者工具
• 在开发人员工具中，选择 “来源”。这为应用程序的该部分提供了访问域名列表。要为应用程序的这一部分启用增强安全策略，必须将这些域名输入到应用程序配置的相关域字段中。添加相关域名，例如下面的* .domain.com