Voraussetzungen
-
Die Verwendung der SAML-Authentifizierung mit Citrix Cloud hat die folgenden Anforderungen:
- SAML-Anbieter, der SAML 2.0 unterstützt.
- Lokale AD-Domäne.
- Zwei Cloud Connectors, die an einem Ressourcenstandort bereitgestellt und Ihrer lokalen AD-Domäne beigetreten sind. Die Cloud Connectors stellen sicher, dass Citrix Cloud mit Ihrem Ressourcenstandort kommunizieren kann.
-
AD-Integration mit Ihrem SAML-Anbieter.
-
Cloud Connectors
-
Sie benötigen mindestens zwei (2) Server, auf denen die Citrix Cloud Connector™-Software installiert werden soll. Citrix empfiehlt mindestens zwei Server für die Hochverfügbarkeit des Cloud Connectors. Diese Server müssen die folgenden Anforderungen erfüllen:
- Erfüllt die Systemanforderungen, die in den Technischen Details des Cloud Connectors beschrieben sind.
- Es sind keine anderen Citrix®-Komponenten installiert, es ist kein AD-Domänencontroller und es ist keine Maschine, die für Ihre Ressourcenstandortinfrastruktur kritisch ist.
-
Der AD-Domäne beigetreten, in der sich Ihre AD-Benutzer und -Ressourcen befinden. Wenn Benutzer auf Ressourcen in mehreren Domänen zugreifen, müssen Sie in jeder Domäne mindestens zwei Cloud Connectors installieren.
-
- Mit einem Netzwerk verbunden, das die Ressourcen kontaktieren kann, auf die Abonnenten über Citrix Workspace zugreifen.
-
Mit dem Internet verbunden. Weitere Informationen finden Sie unter System- und Konnektivitätsanforderungen.
- Weitere Informationen zur Installation des Cloud Connectors finden Sie unter Cloud Connector-Installation.
Active Directory (Standard-SAML-Flow für AD-Identitäten)
-
Stellen Sie sicher, dass Ihre Workspace-Abonnenten Benutzerkonten in Ihrem AD haben. Abonnenten ohne AD-Konten können sich nicht erfolgreich bei ihren Workspaces anmelden, wenn die SAML-Authentifizierung konfiguriert ist.
-
Verbinden Sie Ihr AD mit Ihrem Citrix Cloud-Konto, indem Sie Cloud Connectors in Ihrem lokalen AD bereitstellen.
-
Synchronisieren Sie Ihre AD-Benutzer mit dem SAML-Anbieter. Citrix Cloud benötigt die AD-Benutzerattribute für Ihre Workspace-Abonnenten, damit diese sich erfolgreich anmelden können.
-
Es sollten nur universelle AD-Gruppen verwendet werden.
-
Sie MÜSSEN alle UPN-Suffixe in Active Directory definieren, die Ihre SAML-Benutzer verwenden sollen. Citrix Cloud Connectors können undefinierte oder mehrdeutige UPN-Suffixe nicht verwenden, um den Active Directory-Domänenkontext zu bestimmen.
-
Eine EntraID OIDC IdP-Verbindung ist für den Standard-SAML-Flow nicht erforderlich, da dieser AD-Identitäten verwendet.
EntraID-Verzeichnis (SAML-Flow für EntraID-Identitäten)
- EntraID B2B und die Unterstützung externer Benutzer erfordern AD-Shadow-Konten mit UPNs, die den FrontEnd-Benutzern in EntraID entsprechen.
-
Wenn Sie den SAML-Flow mit Entra ID-Identitäten verwenden, wie in SAML mit Entra ID-Identitäten dokumentiert, müssen Sie auch den korrekten EntraID-Mandanten unter Identitäts- und Zugriffsverwaltung > Authentifizierung verbinden.
AD-Benutzerattribute
Die folgenden Attribute sind für alle Active Directory-Benutzerobjekte erforderlich und müssen ausgefüllt werden:
- Allgemeiner Name
- SAM-Kontoname
- Benutzerprinzipalname (UPN)
- Objekt-GUID
- SID
Citrix Cloud verwendet die Attribute Objekt-GUID und SID aus Ihrem AD, um den Benutzerkontext herzustellen, wenn sich Abonnenten bei Citrix Workspace anmelden. Wenn eine dieser Eigenschaften nicht ausgefüllt ist, können sich Abonnenten nicht anmelden.
Die folgenden Attribute sind für die Verwendung der SAML-Authentifizierung mit Citrix Cloud nicht erforderlich, aber Citrix empfiehlt, sie auszufüllen, um die beste Benutzererfahrung zu gewährleisten:
- E-Mail-Adresse
- Anzeigename
Citrix Cloud verwendet das Attribut Anzeigename, um die Namen der Abonnenten in Citrix Workspace korrekt anzuzeigen. Wenn dieses Attribut nicht ausgefüllt ist, können sich Abonnenten weiterhin anmelden, aber ihre Namen werden möglicherweise nicht wie erwartet angezeigt.
SAML-Integration mit Active Directory
Bevor Sie die SAML-Authentifizierung aktivieren, müssen Sie Ihr lokales AD in Ihren SAML-Anbieter integrieren. Diese Integration ermöglicht es dem SAML-Anbieter, die folgenden erforderlichen AD-Benutzerattribute in der SAML-Assertion an Citrix Cloud zu übergeben:
- objectSID (SID)
- objectGUID (OID)
- userPrincipalName (UPN)
- Mail (E-Mail)
- Anzeigename (displayName)
Sie können eine Untermenge dieser Attribute konfigurieren, vorausgesetzt, die Attribute SID oder UPN sind in der SAML-Assertion enthalten. Citrix Cloud ruft die anderen Attribute bei Bedarf aus Ihrem AD ab.
Hinweis:
Um die beste Leistung zu gewährleisten, empfiehlt Citrix, alle in diesem Abschnitt genannten Attribute zu konfigurieren.
Obwohl die genauen Integrationsschritte je nach SAML-Anbieter variieren, umfasst der Integrationsprozess typischerweise die folgenden Aufgaben:
- Installieren Sie einen Synchronisierungsagenten in Ihrer AD-Domäne, um eine Verbindung zwischen Ihrer Domäne und Ihrem SAML-Anbieter herzustellen. Wenn Sie ADFS als SAML-Anbieter verwenden, ist dieser Schritt nicht erforderlich.
- Erstellen Sie benutzerdefinierte Attribute und ordnen Sie diese den erforderlichen AD-Benutzerattributen zu, die weiter oben in diesem Abschnitt erwähnt wurden. Als Referenz sind die allgemeinen Schritte für diese Aufgabe in Benutzerdefinierte SAML-Attribute erstellen und zuordnen in diesem Artikel beschrieben.
- Synchronisieren Sie Ihre AD-Benutzer mit Ihrem SAML-Anbieter.
Weitere Informationen zur Integration Ihres AD mit Ihrem SAML-Anbieter finden Sie in der Produktdokumentation Ihres SAML-Anbieters.