Citrix Cloud

ADFS als SAML-Anbieter für die Workspace-Authentifizierung konfigurieren

In diesem Artikel wird beschrieben, wie Sie die von Citrix Cloud für die Anmeldung bei Citrix Workspace oder Citrix Cloud mit SAML benötigte Vertrauensstellung zwischen vertrauenden Seiten konfigurieren.

Wenn Sie die Schritte in diesem Artikel ausgeführt haben, können Sie die SAML-Verbindung zwischen Ihrem AD FS-Server und Citrix Cloud gemäß den Anweisungen unter Connect SAML as an identity provider in Citrix Cloud konfigurieren. Informationen zur Eingabe der richtigen AD FS-Werte für Ihre SAML-Verbindung finden Sie in diesem Artikel unter SAML-Konfiguration in Citrix Cloud.

Voraussetzungen

Bei den Anweisungen in diesem Artikel wird davon ausgegangen, dass Sie über eine funktionierende AD FS-Serverbereitstellung mit Citrix FAS verfügen. Citrix FAS ist für das Single Sign-On bei VDAs während des Sitzungsstarts erforderlich.

Weitere Informationen hierzu finden Sie in den folgenden Artikeln:

Vertrauensstellung für vertrauende Seite für Citrix Cloud konfigurieren

  1. Erweitern Sie in der AD FS-Verwaltungskonsole den Knoten AD FS im linken Bereich.
  2. Klicken Sie mit der rechten Maustaste auf Vertrauensstellung der vertrauenden Seite und wählen Vertrauensstellung der vertrauenden Seite hinzufügen.

    Menüoption "Vertrauensstellung der vertrauenden Seite hinzufügen"

    Der Assistent zum Hinzufügen vertrauender Seiten wird angezeigt.

  3. Wählen Sie Ansprüche unterstützend und dann Weiter.

    AD FS-Assistent mit ausgewählter Option "Ansprüche unterstützend"

  4. Geben Sie im Feld Verbundmetadaten-Adresse den Wert https://saml.cloud.com/saml/metadata.xml ein. Wählen Sie Weiter.

    AD FS-Assistent mit eingegebener Verbundmetadatenadresse

  5. Geben Sie als Anzeigenamen CitrixCloudProd ein. Wählen Sie Weiter.

    AD FS-Assistent mit eingegebenem Anzeigenamen

  6. Wählen Sie als Zugriffssteuerungsrichtlinie Alle zulassen. Wählen Sie Weiter.

    AD FS-Assistent mit hervorgehobener Zugriffssteuerungsrichtlinie

  7. Wählen Sie auf der Seite Bereit zum Hinzufügen der Vertrauensstellung die Option Weiter.
  8. Wählen Sie auf der Seite Fertig stellen die Option Configure claims issuance policy for this application. Wählen Sie Weiter.

    AD FS-Konsole mit ausgewählter Menüoption "Configure claims issuance policy for this application"

  9. Klicken Sie mit der rechten Maustaste auf die neue Vertrauensstellung und wählen Sie Edit Claim Issuance Policy.
  10. Klicken Sie auf Regel hinzufügen und wählen Sie Send LDAP Attributes as Claims. Wählen Sie Weiter.
  11. Geben Sie im Feld Claim rule name den Wert CitrixCloud ein.
  12. Wählen Sie für Attributspeicher die Option Active Directory.
  13. Fügen Sie unter Mapping of LDAP attributes to outgoing claim types die folgenden LDAP-Attribute genau wie hier gezeigt hinzu:

    LDAP-Attribut Art des ausgehenden Anspruchs
    User-Principal-Name Name ID
    User-Principal-Name cip_upn
    E-Mail-Addresses cip_email
    objectSID cip_sid
    objectGUID cip_oid
    Display-Name displayName
    givenname firstName
    Nachname lastName

    Konfigurierte Anspruchsregel

  14. Wählen Sie Fertig stellen.

Vertrauensstellung einer vertrauenden Citrix Cloud-Seite mit PowerShell ändern

Wenn Sie Ihren AD FS-Server mit der Standardkonfiguration konfiguriert haben, können Sie ihn anhand der Schritte in diesem Abschnitt aktualisieren, sodass er der von Citrix empfohlenen Konfiguration entspricht. Dieser Arbeitsgang ist erforderlich, um das Problem des Fehlschlagens des SAML-SLO von Citrix Cloud oder Citrix Workspace zu lösen, wenn das Attribut nameidentifier nicht im Anspruchsregelsatz enthalten ist oder nicht das erste SAML-Attribut im Anspruchsregelsatz ist.

Hinweis:

Sie müssen diese Schritte nicht ausführen, wenn Sie Ihren Anspruchsregelsatz wie unter Vertrauensstellung für vertrauende Seite für Citrix Cloud konfigurieren in diesem Artikel erstellt haben.

Zum Erledigen der Aufgabe ersetzen Sie den vorhandenen Regelsatz mithilfe von PowerShell durch einen neuen Anspruchsregelsatz. Die AD FS-Verwaltungskonsole unterstützt diese Art von Vorgang nicht.

  1. Suchen Sie auf dem AD FS-Server das PowerShell ISE. Klicken Sie mit der rechten Maustaste darauf und wählen Sie Als Administrator ausführen.
  2. Sichern Sie Ihre AD FS-Anspruchsregeln in einer Textdatei:

    Get-ADFSRelyingPartyTrust -name "CitrixCloudStaging" | Select-Object -ExpandProperty IssuanceTransformRules | Out-File "$env:USERPROFILE\desktop\claimrulesbackup.txt"
    <!--NeedCopy-->
    
  3. Laden Sie die Datei claimrules.txt herunter, die Citrix unter https://github.com/citrix/sample-scripts/tree/master/citrix-cloud bereitstellt.
  4. Kopieren Sie die Datei claimrules.txt auf Ihren Desktop.
  5. Importieren Sie die erforderlichen Anspruchsregeln mithilfe der Datei claimrules.txt:

    Set-ADFSRelyingPartyTrust -Name "CitrixCloudProd" `
                          -MetadataUrl "https://saml.cloud.com/saml/metadata" `
                          -AutoUpdateEnabled $True `
                          -IssuanceTransformRulesFile "$env:USERPROFILE\desktop\claimrules.txt" `
                          -SignedSamlRequestsRequired $True `
                          -SamlResponseSignature "MessageAndAssertion" `
                          -Enabled $True
    <!--NeedCopy-->
    

Aktualisieren Sie die SAML-Signatureinstellungen für die Vertrauensstellung der vertrauenden Seite mithilfe von PowerShell

Standardmäßig haben Vertrauensstellungen der vertrauenden Seite bei AD FS die folgenden Einstellungen:

  • EncryptClaims: True
  • SignedSamlRequestsRequired: False
  • SamlResponseSignature: AssertionOnly

Zur Erhöhung der Sicherheit empfiehlt Citrix, sowohl für Single Sign-On als auch für Single Logout signierte SAML-Anforderungen zu verwenden. In diesem Abschnitt wird beschrieben, wie Sie die Signatureinstellungen für die Vertrauensstellung einer vertrauenden Seite mit PowerShell aktualisieren, sodass sie der von Citrix empfohlenen Konfiguration entsprechen.

  1. Rufen Sie die aktuelle RelyingPartyTrust-Konfiguration auf Ihrem AD FS-Server auf.

    Get-ADFSRelyingPartyTrust -TargetName "CitrixCloudProd"
    <!--NeedCopy-->
    
  2. Aktualisieren Sie die Einstellungen der Vertrauensstellungen der vertrauenden Seite CitrixCloudProd.

    Set-ADFSRelyingPartyTrust -Name "CitrixCloudProd" `
                          -SignedSamlRequestsRequired $True `
                          -SamlResponseSignature "MessageAndAssertion"
    <!--NeedCopy-->
    
  3. Bitten Sie den Citrix Support um Aktivierung des Authentifizierungsfeatures EnableSamlLogoutSigningAndPost für Ihren Citrix Cloud-Kunden. Dadurch sendet Citrix Cloud SAML Single Logout-Anforderungen als signierte POST-Anforderungen anstelle unsignierter Redirect-Anforderungen, wenn sich Benutzer von Citrix Workspace oder Citrix Cloud abmelden. Das Senden signierter POST-Anforderungen ist erforderlich, wenn der SAML-Anbieter signierte Anforderungen für Single Logout verlangt und unsignierte Weiterleitungen ablehnt.

SAML-Konfiguration in Citrix Cloud

Wenn Sie die SAML-Verbindung in Citrix Cloud konfigurieren (siehe SAML-Anbietermetadaten zu Citrix Cloud hinzufügen), geben Sie die Werte für AD FS wie folgt ein:

Feld in Citrix Cloud Wert
Entitäts-ID https://adfs.YourDomain.com/adfs/services/trust, wobei YourDomain.com Ihre AD FS-Serverdomäne ist.
Authentifizierungsanforderung signieren Ja
SSO-Dienst-URL https://adfs.YourDomain.com/adfs/ls, wobei YourDomain.com Ihre AD FS-Serverdomäne ist.
Bindungsmechanismus HTTP-Post
SAML-Antwort Antwort oder Assertion signieren
Authentifizierungskontext Keine Angabe, exakt
Abmelde-URL https://adfs.YourDomain.com/adfs/ls, wobei YourDomain.com Ihre AD FS-Serverdomäne ist.

Exportieren Sie das ADFS-Signaturzertifikat von der MMC ADFS-Managementkonsole aus. Sehen Sie im Screenshot unten an, welches der 3 Zertifikate das richtige ist, um es innerhalb der SAML-Verbindung in Citrix Cloud hochzuladen.

ADFS exportieren

ADFS als SAML-Anbieter für die Workspace-Authentifizierung konfigurieren