SAML unter Verwendung von Azure AD- und AD-Identitäten für die Workspace-Authentifizierung
In diesem Artikel wird beschrieben, wie Sie SAML für die Workspace-Authentifizierung mit AD-Identitäten konfigurieren können. Das Standardverhalten bei der Citrix Cloud- und SAML-Authentifizierung bei Citrix Workspace oder Citrix Cloud besteht unabhängig vom verwendeten SAML-Anbieter in der Bestätigung einer AD-Benutzeridentität. Für die in diesem Artikel beschriebene Konfiguration ist die Verwendung von Azure AD Connect zum Importieren der AD-Identitäten in Azure AD erforderlich.
Wichtig:
Es ist wichtig, den geeigneten SAML-Flow für Ihre Workspace-Endbenutzer zu ermitteln, da er sich direkt auf ihren Anmeldevorgang und die Sichtbarkeit der Ressourcen auswirkt. Die gewählte Identität beeinflusst die Arten von Ressourcen, auf die ein Workspace-Endbenutzer zugreifen kann. Es gibt einen diesbezüglichen Artikel, der Anweisungen zur Verwendung von Azure AD-Identitäten als SAML-Anbieter für die Authentifizierung bei Workspace mit AAD-Identitäten enthält. Eine detaillierte Anleitung finden Sie unter SAML unter Verwendung von Azure AD- und AAD-Identitäten für die Workspace-Authentifizierung. In der Regel müssen Workspace-Endbenutzer Apps und Desktops öffnen, die von in die AD-Domäne eingebundenen VDAs bereitgestellt werden. Es ist wichtig, die in beiden Artikeln beschriebenen Anwendungsfälle sorgfältig zu prüfen, bevor Sie sich für den für Ihr Unternehmen am besten geeigneten SAML-Flow entscheiden. Wenn Sie sich nicht sicher sind, empfiehlt Citrix, den AD SAML-Flow zu verwenden und die Anweisungen in diesem Artikel zu befolgen, da dies dem gängigsten DaaS-Szenario entspricht.
Featureumfang
Dieser Artikel bezieht sich auf Benutzer, die die folgende Kombination aus Citrix Cloud- und Azure-Features verwenden:
- SAML für Workspace-Authentifizierung mit AD-Identitäten
- SAML für Citrix Cloud-Administratoranmeldung mit AD-Identitäten
- Citrix DaaS- und HDX-Anzeige von Ressourcen, die mit in AD-Domänen eingebundenen VDAs veröffentlicht wurden
- Ressourcenenumerierung von in AD-Domänen eingebundenen VDAs
Sind AD-Identitäten oder Azure AD-Identitäten vorzuziehen?
Zur Entscheidung darüber, ob Workspace-Benutzer sich mit SAML AD- oder SAML Azure AD-Identitäten authentifizieren sollen, gehen Sie folgendermaßen vor:
- Überlegen Sie, welche Kombination von Ressourcen Sie den Benutzern in Citrix Workspace zur Verfügung stellen möchten.
-
Ermitteln Sie anhand der folgenden Tabelle, welcher Benutzeridentitätstyp für die jeweiligen Ressourcentypen geeignet ist.
Ressourcentyp (VDA) Benutzeridentität bei der Anmeldung bei Citrix Workspace SAML-Identität mit Azure AD erforderlich? FAS bietet Single Sign-On für VDA? AD-Einbindung AD, Azure AD aus AD importiert (enthält SID) Nein. Verwenden Sie Standard-SAML. Ja
Benutzerdefinierte Azure AD Enterprise SAML-Anwendung konfigurieren
Standardmäßig erfolgt die SAML-Anmeldung bei Workspaces anhand der Bestätigung einer AD-Benutzeridentität.
- Melden Sie sich beim Azure-Portal an.
- Wählen Sie im Portalmenü Azure Active Directory.
- Wählen Sie im linken Bereich unter Verwalten die Option Unternehmensanwendungen.
-
Geben Sie
Citrix Cloud SAML SSO
in das Suchfeld ein, um die Citrix SAML-Anwendungsvorlage zu suchen. -
Geben Sie einen geeigneten Namen für die SAML-Anwendung ein, z. B.
Citrix Cloud SAML SSO Production
- Wählen Sie im linken Navigationsbereich Single Sign-On aus und klicken Sie im Arbeitsbereich auf SAML.
- Klicken Sie im Abschnitt Grundlegende SAML-Konfiguration auf die Option Bearbeiten und konfigurieren Sie die folgenden Einstellungen:
- Wählen Sie im Abschnitt Bezeichner (Entitäts-ID) die Option Bezeichner hinzufügen und geben Sie dann den Wert für die Region ein, in der sich der Citrix Cloud-Mandant befindet:
- Geben Sie für die Regionen Europäische Union, USA und Asien-Pazifik Süd
https://saml.cloud.com
ein. - Geben Sie für die Region Japan
https://saml.citrixcloud.jp
ein. - Geben Sie für die Region Citrix Cloud Government
https://saml.cloud.us
ein.
- Geben Sie für die Regionen Europäische Union, USA und Asien-Pazifik Süd
- Wählen Sie im Abschnitt Antwort-URL (Assertionsverbraucherdienst-URL) die Option Antwort-URL hinzufügen und geben Sie dann den Wert für die Region ein, in der sich der Citrix Cloud-Mandant befindet:
- Geben Sie für die Regionen Europäische Union, USA und Asien-Pazifik Süd
https://saml.cloud.com/saml/acs
ein. - Geben Sie für die Region Japan
https://saml.citrixcloud.jp/saml/acs
ein. - Geben Sie für die Region Citrix Cloud Government
https://saml.cloud.us/saml/acs
ein.
- Geben Sie für die Regionen Europäische Union, USA und Asien-Pazifik Süd
- Geben Sie im Abschnitt Anmelde-URL Ihre Workspace-URL ein.
- Geben Sie im Abschnitt Abmelde-URL (optional) den Wert für die Region ein, in der sich der Citrix Cloud-Mandant befindet:
- Geben Sie für die Regionen Europäische Union, USA und Asien-Pazifik Süd
https://saml.cloud.com/saml/logout/callback
ein. - Geben Sie für die Region Japan
https://saml.citrixcloud.jp/saml/logout/callback
ein. - Geben Sie für die Region Citrix Cloud Government
https://saml.cloud.us/saml/logout/callback
ein.
- Geben Sie für die Regionen Europäische Union, USA und Asien-Pazifik Süd
- Klicken Sie in der Befehlsleiste auf Speichern. Der Abschnitt Grundlegende SAML-Konfiguration sieht wie folgt aus:
- Wählen Sie im Abschnitt Bezeichner (Entitäts-ID) die Option Bezeichner hinzufügen und geben Sie dann den Wert für die Region ein, in der sich der Citrix Cloud-Mandant befindet:
-
Wählen Sie im Abschnitt Attribute und Ansprüche die Option Bearbeiten, um die folgenden Ansprüche zu konfigurieren. Diese Ansprüche erscheinen in der SAML-Assertion der SAML-Antwort. Konfigurieren Sie nach der Erstellung der SAML-App die folgenden Attribute.
- Übernehmen Sie für den Anspruch Eindeutiger Benutzerbezeichner (Namens-ID) den Standardwert
user.userprincipalname
. - Lassen Sie für den Anspruch cip_upn den Standardwert
user.userprincipalname
. - Lassen Sie für den Anspruch cip_email den Standardwert
user.mail
. - Lassen Sie für den Anspruch cip_sid den Standardwert
user.onpremisesecurityidentitier
. - Für den Anspruch cip_oid bearbeiten Sie den vorhandenen Anspruch und wählen Sie Quellattribut aus. Suchen Sie nach der Zeichenfolge
object
und wählen Sieuser.onpremisesimmutableid
aus.
- Lassen Sie für displayName den Standardwert
user.displayname
. - Klicken Sie im Abschnitt Zusätzliche Ansprüche für alle verbleibenden Ansprüche mit dem Namespace
http://schemas.xmlsoap.org/ws/2005/05/identity/claims
auf das Menü (…) und dann auf Löschen. Diese Ansprüche müssen nicht aufgenommen werden, da es sich um Duplikate der oben genannten Benutzerattribute handelt.
Wenn Sie fertig sind, wird der Abschnitt Attribute und Ansprüche wie unten dargestellt angezeigt:
- Besorgen Sie sich mit diesem Online-Tool eines Drittanbieters eine Kopie des Citrix Cloud SAML-Signaturzertifikats.
- Geben Sie
https://saml.cloud.com/saml/metadata
in das URL-Feld ein und klicken Sie auf Laden.
- Übernehmen Sie für den Anspruch Eindeutiger Benutzerbezeichner (Namens-ID) den Standardwert
-
Scrollen Sie zum Ende der Seite und klicken Sie auf Download.
- Konfigurieren Sie die Signatureinstellungen der Azure Active Directory-SAML-Anwendung.
- Laden Sie das in Schritt 10 erhaltene SAML-Signaturzertifikat für die Produktion in die SAML-Anwendung von Azure Active Directory hoch
- Aktivieren Sie die Option Verifizierungszertifikate erforderlich.
Problembehandlung
- Stellen Sie mithilfe eines SAML-Netzwerktools wie der Browsererweiterung SAML-tracer sicher, dass die SAML-Assertions die richtigen Benutzerattribute enthalten.
-
Suchen Sie die gelb dargestellte SAML-Antwort und vergleichen Sie sie mit diesem Beispiel:
- Klicken Sie im unteren Bereich auf die Registerkarte SAML, um die SAML-Antwort zu decodieren und als XML anzuzeigen.
-
Scrollen Sie zum Ende der Antwort und überprüfen Sie, ob die SAML-Assertion die richtigen SAML-Attribute und Benutzerwerte enthält.
Können sich die Abonnenten weiterhin nicht bei ihrem Workspace anmelden oder ihre Citrix HDX Plus für Windows 365-Desktops anzeigen, wenden Sie sich mit folgenden Informationen an den Citrix Support:
- SAML-tracer-Aufzeichnung
- Datum und Uhrzeit der fehlgeschlagenen Anmeldung bei Citrix Workspace
- Betroffener Benutzername
- Aufrufer-IP-Adresse des Clientcomputers, der für die Anmeldung bei Citrix Workspace verwendet wurde. Sie die IP-Adresse mithilfe eines Tools wie https://whatismyip.com ermitteln.