Citrix Cloud

Anmeldung bei Workspace mit SAML unter Verwendung benutzerdefinierter Domänen

Wenn Sie eine benutzerdefinierte Domäne in Citrix Workspace konfiguriert haben (z. B. https://workspaces.yourdomain.com), ist abhängig von den SAML-Anmeldeszenarien, die Sie in Citrix Cloud unterstützen möchten, evtl. eine zusätzliche Konfiguration in Citrix Cloud und Ihrem SAML-Anbieter erforderlich.

Für diese Konfiguration benötigen Sie möglicherweise ein Paar SAML-Anwendungen. Citrix Cloud erfordert unterschiedliche SAML-Dienstanbieter-Endpunkte, je nachdem, ob die SAML-Anwendung die cloud.com- oder workspaces.yourdomain.com-URLs für die Anmeldung verwendet.

Informationen zur Konfiguration benutzerdefinierter Domänen in Citrix Workspace finden Sie unter Benutzerdefinierte Domäne konfigurieren in der Citrix Workspace-Produktdokumentation.

Überlegungen zur Bereitstellung einer oder zweier SAML-Anwendungen

Um festzustellen, ob Sie eine SAML-Lösung mit einer oder dualen Anwendungen benötigen, betrachten Sie die Kombination von SAML-Anmeldeszenarien, die Ihr SAML-Anbieter unterstützen muss.

Die folgenden Anmeldeszenarien verwenden standardmäßig dieselbe SAML-Anwendung (SAML-App 1):

  • SAML-Authentifizierung für Citrix Workspace, bei der die Workspace-Anmelde-URL für Ihre Region (cloud.com, citrixcloud.jp, cloud.us) in Ihrem SAML-Anbieter als Anbieter-Entitäts-ID konfiguriert ist.
  • SAML-Authentifizierung für Citrix Cloud unter Verwendung Ihrer eigenen Anmelde-URL (z. B. https://citrix.cloud.com/go/mycompany). In diesem Szenario werden Administratoren basierend auf ihrer Active Directory-Gruppenmitgliedschaft mithilfe von SAML bei Citrix Cloud authentifiziert.

Das Hinzufügen der SAML-Authentifizierung für Benutzer über eine benutzerdefinierte Domäne (z. B. https://workspaces.mycompany.com), die Sie in der Workspacekonfiguration festlegen, erfordert eine zweite SAML-Anwendung (SAML-App 2).

Hinweis:

Das Hinzufügen einer benutzerdefinierten URL und die Konfiguration von SAML dauern bis zu 24 Stunden für die Bereitstellung in Citrix Cloud.

In der folgenden Tabelle werden die unterstützten Kombinationen von SAML-Anmeldeszenarien und die erforderlichen SAML-Apps aufgeführt.

Anmeldung mit der Workspace-URL bei Workspace Anmeldung bei Workspace unter Verwendung einer benutzerdefinierten Domänen-URL Anmeldung bei bei Citrix Cloud mit der SAML-Anmelde-URL SAML-App 1 erforderlich? SAML-App 2 erforderlich?
Ja Nein Nein Ja: SAML-Endpunkte von cloud.com verwenden Nein
Nein Ja Nein Ja: SAML-Endpunkte von benutzerdefinierter Domäne verwenden Nein
Nein Nein Ja Ja: SAML-Endpunkte von cloud.com verwenden Nein
Ja Nein Ja Ja: SAML-Endpunkte von cloud.com verwenden Nein
Nein Nein Ja Ja: SAML-Endpunkte von cloud.com verwenden Ja: SAML-Endpunkte von benutzerdefinierter Domäne verwenden
Ja Ja Ja Ja: SAML-Endpunkte von cloud.com verwenden Ja: SAML-Endpunkte von benutzerdefinierter Domäne verwenden

Einzelne SAML-Anwendung konfigurieren

  1. Gehen Sie in Citrix Cloud zu Workspacekonfiguration > Zugriff und konfigurieren Sie eine benutzerdefinierte Domäne. Weitere Informationen finden Sie unter Benutzerdefinierte Domäne konfigurieren.
  2. Konfigurieren Sie in der Verwaltungskonsole des SAML-Anbieters eine SAML-Anwendung mit Verwendung der benutzerdefinierten Domäne als Anbieterendpunkte.
  3. Laden Sie das SAML-Signaturzertifikat für die SAML-Anwendung herunter. In einem späteren Schritt laden Sie dieses Zertifikat an Citrix Cloud hoch.
  4. Vergewissern Sie sich, dass https://saml.cloud.com als Entitäts-ID eingegeben wurde. Abhängig von Ihrem SAML-Anbieter kann diese Einstellung stattdessen Audience heißen. Ersetzen Sie für alle anderen Endpunkte https://saml.cloud.com durch die benutzerdefinierte Workspace-Domäne, die Sie in Schritt 1 konfiguriert haben.

    Das folgende Beispiel zeigt die Endpunktkonfiguration für Okta, wobei Audience Restriction den Entitäts-ID-Wert enthält:

    Okta-Konsole mit hervorgehobenen Feldern für Endpunkte und Zielgruppe

    Das folgende Beispiel zeigt die Endpunktkonfiguration für OneLogin, wobei Audience den Entitäts-ID-Wert enthält:

    OneLogin-Konsole mit hervorgehobenen Feldern für Endpunkte und Zielgruppe

  5. Gehen Sie in Citrix Cloud zu Identitäts- und Zugriffsverwaltung > Authentifizierung und konfigurieren Sie die SAML-Verbindung.
  6. Gehen Sie zu Workspacekonfiguration > Authentifizierung und wählen Sie SAML 2.0.
  7. Gehen Sie zu Workspacekonfiguration > Benutzerdefinierte Workspace-URL > Bearbeiten und wählen Sie Nur die URL der benutzerdefinierten Domäne verwenden.
  8. Wählen Sie Speichern, um Ihre Änderungen zu speichern.
  9. Um die Konfiguration zu testen, melden Sie sich mit Ihrer benutzerdefinierten Workspace-URL (https://workspaces.mycompany.com) bei Citrix Workspace an.

Duale SAML-Anwendungen konfigurieren

  1. Gehen Sie in Citrix Cloud zu Workspacekonfiguration > Zugriff und konfigurieren Sie eine benutzerdefinierte Domäne. Weitere Informationen finden Sie unter Benutzerdefinierte Domäne konfigurieren.
  2. Konfigurieren Sie in der Verwaltungskonsole Ihres SAML-Anbieters zwei SAML-Anwendungen. Konfigurieren Sie diese identisch, einschließlich identischer Signatureinstellungen für SSO- und SLO-Anfragen, Bindungstyp und Abmeldeeinstellungen. Wenn die Konfigurationen dieser SAML-Anwendungen nicht übereinstimmen, kann es zu Unterschieden im An- und Abmeldeverhalten kommen, wenn Sie zwischen Ihrer Workspace-URL und Ihrer benutzerdefinierten Workspace-Domäne wechseln.
  3. Konfigurieren Sie für die erste SAML-Anwendung die folgenden Anbieter-Endpunkte:
    • Entitäts-ID: https://saml.cloud.com
    • Assertion Consumer Service: https://saml.cloud.com/saml/acs
    • Abmelden: https://saml.cloud.com/saml/logout/callback

    Das folgende Beispiel zeigt diese Endpunktkonfiguration in der Okta-Verwaltungskonsole:

    Okta-Konsole mit konfigurierten Endpunkten

  4. Konfigurieren Sie für die zweite SAML-Anwendung die folgenden Anbieter-Endpunkte: Verwenden Sie die benutzerdefinierte Workspace-Domäne nur für die Assertion Consumer Service- und Logout-Endpunkte.
    • Entitäts-ID: https://saml.cloud.com
    • Assertion Consumer Service: https://workspaces.mycompany.com/saml/acs
    • Abmelden: https://workspaces.mycompany.com/saml/logout/callback

    Das folgende Beispiel zeigt diese Endpunktkonfiguration in der Okta-Verwaltungskonsole: Beachten Sie, dass Audience Restriction den Entitäts-ID-Wert enthält.

    Okta-Konsole mit für die erste Anwendung konfigurierten Endpunkten

  5. Laden Sie die SAML-Signaturzertifikate für beide SAML-Anwendungen herunter. Sie laden diese in einem späteren Schritt in Citrix Cloud hoch.
  6. Konfigurieren Sie in der Citrix Cloud-Verwaltungskonsole eine SAML-Verbindung:
    1. Klicken Sie im Menü “Citrix Cloud” auf Identitäts- und Zugriffsverwaltung.
    2. Klicken Sie auf der Registerkarte Authentifizierung für SAML 2.0 auf die Auslassungspunkte (…) und wählen Sie Verbinden.
    3. Geben Sie auf der Seite SAML konfigurieren die Details der ersten SAML-Anwendung ein, die Sie in Schritt 2 erstellt haben.
  7. Konfigurieren Sie Citrix Workspace zur Verwendung der neuen SAML-Verbindung:
    1. Wählen Sie im Citrix Cloud-Menü Workspacekonfiguration.
    2. Wählen Sie auf der Registerkarte Authentifizierung die Option SAML 2.0.
  8. Wählen Sie auf der Registerkarte Zugriff unter Benutzerdefinierte Workspace-URL die Option Bearbeiten.
  9. Wählen Sie auf der Seite Für SAML konfigurieren die Option cloud.com-URL und URL der benutzerdefinierten Domäne verwenden.
  10. Geben Sie die folgenden Informationen ein:
    • Geben Sie im Feld Entitäts-ID des Identitätsanbieters für benutzerdefinierte Domäne die Entitäts-ID aus der zweiten SAML-Anwendung ein, die Sie in Schritt 2 erstellt haben.
    • Geben Sie im Feld SSO-Dienst-URL für benutzerdefinierte Domäne die SSO-URL aus der zweiten SAML-Anwendung ein.
    • Geben Sie im Feld Abmelde-URL für benutzerdefinierte Domäne die SLO-URL aus der zweiten SAML-Anwendung ein.
    • Laden Sie unter Signaturzertifikat des Identitätsanbieters für benutzerdefinierte Domäne das SAML-Signaturzertifikat aus der zweiten SAML-Anwendung hoch.

    SAML-Konfiguration für benutzerdefinierte Workspace-Domänen

  11. Wählen Sie Speichern, um Ihre Änderungen zu speichern.

SAML-Verbindungsdetails anzeigen

Gehen Sie nach der Konfiguration zu Identitäts- und Zugriffsverwaltung > Authentifizierung. Wählen Sie unter SAML 2.0 über die Auslassungspunkte die Option SAML-Anbieter auswählen > Ansicht. Auf der SAML-Konfigurationsseite werden SAML-Endpunktpaare angezeigt, die für Entitäts-ID, SSO-URL und Abmelde-URL konfiguriert sind.

Citrix Cloud-Konsole mit SAML-Verbindungsdetails für die Konfiguration mit zwei Anwendungen

Alle anderen SAML-Konfigurationseinstellungen gelten sowohl für die erste als auch für die zweite SAML-Anwendung.

Anmeldungen bei Citrix Workspace überprüfen

Führen Sie die folgenden Tests durch, um das von Ihnen konfigurierte An- und Abmeldeverhalten zu überprüfen:

  • Melden Sie sich mit Ihrer Workspace-URL (https://mycompany.cloud.com) und Ihrem SAML-Anbieter bei Citrix Workspace an.
  • Melden Sie sich mit Ihrer benutzerdefinierten Workspace-Domäne (https://workspace.mycompany.com) und Ihrem SAML-Anbieter bei Citrix Workspace an.
  • Melden Sie sich mit Ihrer eindeutigen Anmelde-URL (https://citrix.cloud.com/go/mycompany) und Ihrem SAML-Anbieter bei Citrix Cloud an.
Anmeldung bei Workspace mit SAML unter Verwendung benutzerdefinierter Domänen