Citrix Cloud

SAML unter Verwendung von Azure AD- und AAD-Identitäten für die Workspace-Authentifizierung

In diesem Artikel wird beschrieben, wie Sie SAML für die Workspace-Authentifizierung mit Azure AD-Identitäten anstelle von AD-Identitäten konfigurieren können. Verwenden Sie diese Konfiguration, wenn Azure AD-Benutzer Windows 365-Cloud-PC oder in Azure AD-Domänen eingebundene VDAs nicht anzeigen können, nachdem sie sich bei Citrix Workspace mit Standard-SAML-Verhalten angemeldet haben. Nach Abschluss der Konfiguration können sich die Benutzer mit der SAML-Authentifizierung bei Citrix Workspace anmelden, um über Citrix DaaS auf HDX-Apps und -Desktops und über Azure auf Windows 365 Cloud-PC zuzugreifen.

Das Standardverhalten bei der Citrix Cloud- und SAML-Authentifizierung bei Citrix Workspace besteht in der Bestätigung einer AD-Benutzeridentität. Für die in diesem Artikel beschriebene Konfiguration ist die Verwendung von Azure AD Connect zum Importieren der AD-Identitäten in Azure AD erforderlich. Die AD-Identitäten enthalten die Benutzer-SIDs, die Citrix Workspace an Citrix DaaS senden kann und die die Anzeige und den Start der HDX-Ressourcen ermöglichen. Da die Azure AD-Version der Benutzeridentitäten verwendet wird, können die Benutzer auch Azure-Ressourcen wie Windows 365 Cloud-PC von Citrix Workspace aus anzeigen und starten.

Wichtig:

“Anzeigen” bezieht sich auf die Liste der Ressourcen, die Benutzer nach der Anmeldung bei Citrix Workspace anzeigen können. Auf welche Ressourcen ein Benutzer zugreifen darf, hängt von seiner Benutzeridentität und den ihr in Citrix DaaS zugeordneten Ressourcen ab. Es gibt einen zugehörigen Artikel, der Anweisungen zur Verwendung von Azure AD- und AD-Identitäten als SAML-Anbieter für die Authentifizierung bei Workspace enthält. Eine detaillierte Anleitung finden Sie unter SAML unter Verwendung von Azure AD- und AD-Identitäten für die Workspace-Authentifizierung

Featureumfang

Dieser Artikel bezieht sich auf Benutzer, die die folgende Kombination aus Citrix Cloud- und Azure-Features verwenden:

  • SAML zur Workspace-Authentifizierung
  • Citrix DaaS- und HDX-Anzeige von Ressourcen, die mit in AD-Domänen eingebundenen VDAs veröffentlicht wurden
  • Ressourcenanzeige von in Azure AD-Domänen eingebundenen VDAs
  • Ressourcenanzeige von in Azure Hybrid-Domänen eingebundenen VDAs
  • W365 Cloud PC-Enumerierung und Start

Wichtig:

Verwenden Sie diesen AAD-SAML-Flow nicht für die SAML-Anmeldung bei Citrix Cloud, da der Citrix Cloud-Admin-Benutzer Mitglied einer AD-Gruppe sein muss und daher eine AD-Benutzeridentität obligatorisch ist. Eine detaillierte Anleitung finden Sie unter SAML unter Verwendung von Azure AD- und AD-Identitäten für die Workspace-Authentifizierung

Sind AD-Identitäten oder Azure AD-Identitäten vorzuziehen?

Zur Entscheidung darüber, ob Workspace-Benutzer sich mit SAML AD- oder SAML Azure AD-Identitäten authentifizieren sollen, gehen Sie folgendermaßen vor:

  1. Überlegen Sie, welche Kombination von Ressourcen Sie den Benutzern in Citrix Workspace zur Verfügung stellen möchten.
  2. Ermitteln Sie anhand der folgenden Tabelle, welcher Benutzeridentitätstyp für die jeweiligen Ressourcentypen geeignet ist.

    Ressourcentyp (VDA) Benutzeridentität bei der Anmeldung bei Citrix Workspace SAML-Identität mit Azure AD erforderlich? FAS bietet Single Sign-On für VDA?
    AD-Einbindung AD, Azure AD aus AD importiert (enthält SID) Nein. Verwenden Sie Standard-SAML. Ja
    Hybrid-Einbindung AD, Azure AD aus AD importiert (enthält SID) Nein. Verwenden Sie Standard-SAML. Ja, für AD als Identitätsanbieter. FAS ist nicht erforderlich, wenn Azure AD für den VDA ausgewählt ist.
    In Azure AD eingebunden Azure AD-Nativbenutzer, aus Azure AD importiert (enthält SID) Ja, verwenden Sie SAML über Azure AD. SSO funktioniert mit der modernen Azure AD-Authentifizierung. FAS ist nicht erforderlich.
    Windows 365-Cloud-PC Azure AD-Nativbenutzer, aus Azure AD importiert (enthält SID) Ja, verwenden Sie SAML über Azure AD. SSO funktioniert mit der modernen Azure AD-Authentifizierung. FAS ist nicht erforderlich.
    AD-Einbindung, Azure AD-Einbindung, Windows 365 Cloud PC Azure AD aus AD importiert (enthält SID) Ja, verwenden Sie SAML über Azure AD. Ja, für AD-Einbindung. Nein, für Azure AD-Einbindung und Windows 365 Cloud PC

Weitere Informationen

Anforderungen

  • Der Azure AD-Mandant muss mit dem Citrix Cloud-Mandanten verbunden sein. In der Citrix Cloud-Konsole finden Sie Ihre Azure AD-Verbindung durch Auswahl von Identitäts- und Zugriffsverwaltung > Authentifizierung.

    Azure Active Directory-Anbieter mit hervorgehobenem Verbindungsstatus

  • Die Workspace-Authentifizierungsmethode muss auf SAML 2.0 festgelegt sein. Verwenden Sie nicht Azure AD als Authentifizierungsmethode. Um die Workspace-Authentifizierungsmethode zu ändern, gehen Sie in der Citrix Cloud-Konsole zu Workspace-Konfiguration > Authentifizierung.
  • Das UPN-Suffix @yourdomain.com muss importiert und in Azure AD als benutzerdefinierter Domänenname verifiziert werden. Im Azure-Portal befindet sich dies unter Azure Active Directory > Benutzerdefinierte Domänennamen.
  • Azure AD-Benutzeridentitäten müssen mithilfe von Microsoft Azure AD Connect aus AD importiert werden. Dadurch wird sichergestellt, dass die Benutzeridentitäten einwandfrei importiert werden und das richtige UPN-Suffix haben. Azure AD-Benutzer mit UPN-Suffix @yourtenant.onmicrosoft.com werden nicht unterstützt.
  • Citrix FAS muss bereitgestellt und mit dem Citrix Cloud-Mandanten und dem Ressourcenstandort verbunden sein. FAS bietet Single Sign-On für HDX-Desktops und -Anwendungen, die von Citrix Workspace aus gestartet werden. Sie müssen keine AD-Schattenkonten konfigurieren, da der UPN user@customerdomain für die AD- und die Azure AD-Benutzeridentität identisch sein muss. FAS generiert die erforderlichen Benutzerzertifikate mit dem richtigen UPN und führt eine Smartcard-Anmeldung durch, wenn HDX-Ressourcen gestartet werden.

Benutzerdefinierte Azure AD Enterprise SAML-Anwendung konfigurieren

Standardmäßig erfolgt die SAML-Anmeldung bei Workspaces anhand der Bestätigung einer AD-Benutzeridentität. Das SAML-Attribut cip_directory ist ein hartcodierter Zeichenkettenwert, der für alle Abonnenten gleich ist und als Switch fungiert. Citrix Cloud und Citrix Workspace ermitteln dieses Attribut bei der Anmeldung und lösen die SAML-Assertion der Azure AD-Version der Benutzeridentität aus. Die Verwendung des Parameters azuread mit diesem Attribut setzt das Standard-SAML-Verhalten außer Kraft und löst stattdessen die Verwendung von SAML in Azure AD aus.

Die Schritte in diesem Abschnitt beziehen sich zwar auf Azure AD, Sie können jedoch eine ähnliche SAML-Anwendung mit einem anderen SAML 2.0-Anbieter (z. B. ADFS, Duo, Okta, OneLogin, PingOneSSO) erstellen, vorausgesetzt Sie führen dieselben Aufgaben aus. Der verwendete SAML-Anbieter muss das Konfigurieren eines fest codierten SAML-Attributs (cip_directory = azuread) innerhalb der SAML-Anwendung ermöglichen. Erstellen Sie einfach dieselben SAML-Attributzuordnungen wie in diesem Abschnitt beschrieben.

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie im Portalmenü Azure Active Directory.
  3. Wählen Sie im linken Bereich unter Verwalten die Option Unternehmensanwendungen.
  4. Wählen Sie in der Befehlsleiste im Arbeitsbereich Neue Anwendung.
  5. Wählen Sie in der Befehlsleiste Eigene Anwendung erstellen. Verwenden Sie nicht die Citrix Cloud SAML SSO-Unternehmensanwendungsvorlage. Die Vorlage gestattet keine Änderungen an der Liste der Ansprüche und SAML-Attribute.
  6. Geben Sie einen Namen für die Anwendung ein und wählen Sie dann Beliebige andere, nicht im Katalog gefundene Anwendung integrieren. Klicken Sie auf Erstellen. Die Anwendungsübersicht wird angezeigt.
  7. Wählen Sie links Single Sign-On. Wählen Sie im Arbeitsbereich SAML.
  8. Wählen Sie im Abschnitt Grundlegende SAML-Konfiguration die Option Bearbeiten und konfigurieren Sie die folgenden Einstellungen:
    1. Wählen Sie im Abschnitt Bezeichner (Entitäts-ID) die Option Bezeichner hinzufügen und geben Sie dann den Wert für die Region ein, in der sich der Citrix Cloud-Mandant befindet:
      • Geben Sie für die Regionen Europäische Union, USA und Asien-Pazifik Süd https://saml.cloud.com ein.
      • Geben Sie für die Region Japan https://saml.citrixcloud.jp ein.
      • Geben Sie für die Region Citrix Cloud Government https://saml.cloud.us ein.
    2. Wählen Sie im Abschnitt Antwort-URL (Assertionsverbraucherdienst-URL) die Option Antwort-URL hinzufügen und geben Sie dann den Wert für die Region ein, in der sich der Citrix Cloud-Mandant befindet:
      • Geben Sie für die Regionen Europäische Union, USA und Asien-Pazifik Süd https://saml.cloud.com/saml/acs ein.
      • Geben Sie für die Region Japan https://saml.citrixcloud.jp/saml/acs ein.
      • Geben Sie für die Region Citrix Cloud Government https://saml.cloud.us/saml/acs ein.
    3. Geben Sie im Abschnitt Abmelde-URL (optional) den Wert für die Region ein, in der sich der Citrix Cloud-Mandant befindet:
      • Geben Sie für die Regionen Europäische Union, USA und Asien-Pazifik Süd https://saml.cloud.com/saml/logout/callback ein.
      • Geben Sie für die Region Japan https://saml.citrixcloud.jp/saml/logout/callback ein.
      • Geben Sie für die Region Citrix Cloud Government https://saml.cloud.us/saml/logout/callback ein.
    4. Wählen Sie in der Befehlsleiste Speichern.
  9. Wählen Sie im Abschnitt Attribute und Ansprüche die Option Bearbeiten, um die folgenden Ansprüche zu konfigurieren. Diese Ansprüche erscheinen in der SAML-Assertion der SAML-Antwort.
    1. Übernehmen Sie für den Anspruch Eindeutiger Benutzerbezeichner (Namens-ID) den Standardwert user.userprincipalname.
    2. Wählen Sie in der Befehlsleiste Neuen Anspruch hinzufügen.
    3. Geben Sie im Feld Name den Namen cip_directory ein.
    4. Übernehmen Sie unter Quelle die Auswahl Attribut.
    5. Geben Sie im Feld Quellattribut den Wert azuread ein. Der Wert wird nach der Eingabe in Anführungszeichen angezeigt.

      Seite "Ansprüche verwalten" mit Eingabe des Quellattributs

    6. Wählen Sie in der Befehlsleiste Speichern.
    7. Erstellen Sie weitere Ansprüche mit den folgenden Werten in den Feldern Name und Quellattribut:

      Name Quellattribut
      cip_fed_upn user.userprincipalname
      displayName user.displayname
      firstName user.givenname
      lastName user.surname

      Seite "Ansprüche verwalten" mit UPN-Wert

      Wichtig:

      Sie können diese zusätzlichen Ansprüche erstellen, indem Sie entweder die Schritte b bis f jeweils wiederholen oder indem Sie die Standardansprüche im Abschnitt Zusätzliche Ansprüche ändern, die bereits die in der Tabelle oben aufgeführten Quellattribute besitzen. Die Standardansprüche umfassen den Namespace http://schemas.xmlsoap.org/ws/2005/05/identity/claims.

      Wenn Sie die Standardansprüche ändern, müssen Sie den Namespace aus jedem Anspruch entfernen. Wenn Sie neue Ansprüche erstellen, müssen Sie die Ansprüche löschen, die den Namespace enthalten. Enthält die resultierende SAML-Assertion Ansprüche mit dem Namespace, ist sie ungültig und enthält falsche SAML-Attributnamen.

    8. Klicken Sie im Abschnitt Zusätzliche Ansprüche für alle verbleibenden Ansprüche mit dem Namespace http://schemas.xmlsoap.org/ws/2005/05/identity/claims auf das Menü (…) und dann auf Löschen.

      Hervorgehobene Option "Löschen"

    Wenn Sie fertig sind, wird der Abschnitt Attribute und Ansprüche wie unten dargestellt angezeigt:

    Azure AD – Attribute und Ansprüche

  10. Besorgen Sie sich mit diesem Online-Tool eines Drittanbieters eine Kopie des Citrix Cloud SAML-Signaturzertifikats.
  11. Geben Sie https://saml.cloud.com/saml/metadata in das URL-Feld ein und klicken Sie auf Laden.

    Auszug aus Metadatenzertifikat

  12. Scrollen Sie zum Ende der Seite und klicken Sie auf Download.

    Download

    Heruntergeladene Datei

  13. Konfigurieren Sie die Signatureinstellungen der Azure Active Directory-SAML-Anwendung.
  14. Laden Sie das in Schritt 10 erhaltene SAML-Signaturzertifikat für die Produktion in die SAML-Anwendung von Azure Active Directory hoch.
    • Aktivieren Sie die Option Verifizierungszertifikate erforderlich.

    Verifizierungszertifikat

    SAML-Zertifikat

Problembehandlung

  1. Stellen Sie mithilfe eines SAML-Netzwerktools wie der Browsererweiterung SAML-tracer sicher, dass die SAML-Assertions die richtigen Benutzerattribute enthalten.
  2. Suchen Sie die gelb dargestellte SAML-Antwort und vergleichen Sie sie mit diesem Beispiel:

    Beispiel einer SAML-Antwort vom Netzwerktool

  3. Klicken Sie im unteren Bereich auf die Registerkarte SAML, um die SAML-Antwort zu decodieren und als XML anzuzeigen.
  4. Scrollen Sie zum Ende der Antwort und überprüfen Sie, ob die SAML-Assertion die richtigen SAML-Attribute und Benutzerwerte enthält.

    XML-Datei mit hervorgehobenem SAML-Assertion-Wert

Wenn sich Ihre Abonnenten immer noch nicht in ihrem Workspace anmelden können, wenden Sie sich an den Citrix Support und geben Sie die folgenden Informationen an:

  • SAML-tracer-Aufzeichnung
  • Datum und Uhrzeit der fehlgeschlagenen Anmeldung bei Citrix Workspace
  • Betroffener Benutzername
  • Aufrufer-IP-Adresse des Clientcomputers, der für die Anmeldung bei Citrix Workspace verwendet wurde. Sie die IP-Adresse mithilfe eines Tools wie https://whatismyip.com ermitteln.
SAML unter Verwendung von Azure AD- und AAD-Identitäten für die Workspace-Authentifizierung