Benutzerdefinierte Domäne konfigurieren
Wenn Sie eine benutzerdefinierte Domäne für Ihren Workspace konfigurieren, können Sie eine Domäne Ihrer Wahl für den Zugriff auf Ihren Citrix Workspace-Store verwenden. Sie können dann diese Domäne anstelle der zugewiesenen cloud.com-Domäne für den Zugriff über einen Webbrowser oder über Citrix Workspace-Anwendungen verwenden.
Eine benutzerdefinierte Domäne kann nicht für andere Citrix Workspace-Kunden freigegeben werden. Jede benutzerdefinierte Domäne kann nur von diesem Kunden verwendet werden. Wählen Sie stets eine benutzerdefinierte Domäne, die Sie keinem anderen Kunden zuweisen möchten, es sei denn, Sie sind bereit, die benutzerdefinierte Domäne später zu entfernen.
Das Deaktivieren der Workspace-URL in Citrix Cloud deaktiviert nicht den Zugriff auf Citrix Workspace über die benutzerdefinierte Domäne. Um bei einer benutzerdefinierten Domäne den Zugriff auf Citrix Workspace zu deaktivieren, müssen Sie auch die benutzerdefinierte Domäne deaktivieren.
Unterstützte Szenarios
Szenarios | Unterstützt | Nicht unterstützt |
---|---|---|
Identitätsanbieter | AD (+Token), Azure AD, Citrix Gateway, Okta und SAML | |
Ressourcentypen | Virtual Apps and Desktops | SaaS-Apps |
Zugriffsmethoden | Browser (ohne Internet Explorer), Citrix Workspace-App für Windows, Mac, Linux und iOS-Apps | - |
Verwendung | Workspace | Cloud Connector und Cloudadministratorkonsole |
Unterschiede zur aktuellen benutzerdefinierten Workspace-URL
Wenn Sie bereits eine benutzerdefinierte Workspace-URL für Ihren Kunden aktiviert haben, wird Ihnen die folgende Ansicht angezeigt.
Sie können diese URL vorerst verwenden und mit den Schritten in diesem Dokument fortfahren, um eine andere benutzerdefinierte Workspace-URL zu integrieren. Diese Funktion ist zukünftig nicht mehr verfügbar.
Wenn Sie dieselbe URL verwenden möchten, entfernen Sie zunächst die vorherige benutzerdefinierte Workspace-URL und alle DNS-Einträge.
Voraussetzungen
-
Sie können entweder eine neu registrierte Domäne oder eine bestehende Domäne wählen. Die Domäne muss im Format mit Unterdomäne (your.company.com) vorliegen. Die Verwendung einer Stammdomäne (company.com) wird von Citrix nicht unterstützt.
-
Citrix empfiehlt, eine dedizierte Domäne als benutzerdefinierte Domäne für den Zugriff auf Citrix Workspace verwenden. Dann können Sie dies bei Bedarf problemlos ändern.
- Benutzerdefinierte Domänen dürfen keine Marken von Citrix enthalten. Eine Liste aller Citrix-Marken finden Sie hier.
- Die von Ihnen gewählte Domäne muss im öffentlichen DNS konfiguriert sein. Alle CNAME-Datensatznamen und -werte in Ihrer Domänenkonfiguration müssen für Citrix auflösbar sein.
Hinweis:
Konfigurationen mit privatem DNS werden nicht unterstützt.
- Die Länge des Domänennamens darf 64 Zeichen nicht überschreiten.
Benutzerdefinierte Domäne konfigurieren
Sobald eine benutzerdefinierte Domäne eingerichtet ist, können Sie die URL oder den Zertifikattyp nicht mehr ändern. Sie können sie nur löschen. Stellen Sie sicher, dass die gewählte Domäne nicht bereits in DNS konfiguriert ist. Entfernen Sie alle vorhandenen CNAME-Datensätze, bevor Sie versuchen, Ihre benutzerdefinierte Domain zu konfigurieren.
Wenn Sie mit SAML eine Verbindung zu Ihrem Identitätsanbieter herstellen, müssen Sie einen zusätzlichen Schritt zur SAML-Konfiguration ausführen. Weitere Informationen finden Sie unter SAML.
Benutzerdefinierte Domäne hinzufügen
-
Melden Sie sich bei Citrix Cloud an unter https://citrix.cloud.com.
-
Wählen Sie im Citrix Cloud-Menü zunächst Workspacekonfiguration und dann Zugriff.
-
Wählen Sie auf der Registerkarte Zugriff unter Benutzerdefinierte Workspace-URL die Option Fügen Sie Ihre eigene Domäne hinzu.
-
Lesen Sie die Informationen auf der Seite Übersicht und wählen Sie Weiter.
-
Geben Sie Ihre gewählte Domäne auf der Seite URL angeben ein. Aktivieren Sie Bestätigen Sie, dass Sie oder Ihr Unternehmen Eigentümer der angegebenen URL sind, um zu bestätigen, dass Ihnen die Domäne gehört, und wählen Sie die gewünschte TLS-Zertifikatsverwaltung. Citrix empfiehlt die Option mit Verwaltung, da die Zertifikatsverlängerungen für Sie erledigt werden. Weitere Informationen finden Sie unter Verlängertes Zertifikat bereitstellen. Klicken Sie auf Weiter.
Wenn auf dieser Seite Warnungen angezeigt werden, beheben Sie zuerst das hervorgehobene Problem, bevor Sie fortfahren.
Wenn Sie ein eigenes Zertifikat bereitstellen, müssen Sie einen zusätzlichen Schritt ausführen.
Die Provisioning der von Ihnen ausgewählten Domäne kann etwas dauern. Sie können die Seite während des Provisionings offen lassen oder schließen.
-
Wenn beim Provisioning die Seite URL angeben geöffnet ist, wird automatisch die Seite DNS konfigurieren geöffnet. Wenn Sie die Seite geschlossen haben, klicken Sie auf der Registerkarte Zugriff für Ihre benutzerdefinierte Domäne auf Weiter.
-
Führen Sie diesen Schritt im Verwaltungsportal durch, das vom DNS-Registrar bereitgestellt wird. Fügen Sie Ihrer gewählten benutzerdefinierten Domäne einen CNAME-Eintrag hinzu, der auf den Ihnen zugewiesenen Azure Traffic Manager verweist.
Kopieren Sie die Adresse des Traffic Managers von der Seite DNS konfigurieren. Die Adresse im Beispiel lautet:
wsp-cd-eastus2-production-traffic-manager-profile-1-52183.trafficmanager.net
Wenn Sie im DNS CAA-Einträge (Certificate Authority Authorization) konfiguriert haben, fügen Sie einen Eintrag hinzu, mit dem Let’s Encrypt Zertifikate für Ihre Domäne generieren kann. Let’s Encrypt ist die Zertifizierungsstelle (ZS), mit der Citrix ein Zertifikat für Ihre benutzerdefinierte Domäne generiert. Der Wert für den CAA-Eintrag muss wie folgt lauten: 0 issue “letsencrypt.org”
-
Nachdem Sie den CNAME-Eintrag beim DNS-Anbieter konfiguriert haben, wählen Sie CNAME-Eintrag erkennen, um Ihre DNS-Konfiguration zu überprüfen. Wenn der CNAME-Eintrag korrekt konfiguriert wurde, erscheint neben dem Abschnitt CNAME-Konfiguration ein grünes Häkchen.
Wenn auf dieser Seite Warnungen angezeigt werden, beheben Sie zuerst das hervorgehobene Problem, bevor Sie fortfahren.
Wenn Sie beim DNS-Anbieter CAA-Einträge konfiguriert haben, wird eine separate CAA-Konfiguration angezeigt. Wählen Sie Auf CAA-Eintrag prüfen, um Ihre DNS-Konfiguration zu überprüfen. Bei korrekter CAA-Datensatzkonfiguration wird neben dem Abschnitt CAA-Konfiguration ein grünes Häkchen angezeigt.
Wenn Ihre DNS-Konfiguration verifiziert ist, klicken Sie auf Weiter.
-
Dieser Schritt ist optional. Wenn Sie Ihr eigenes Zertifikat hinzufügen möchten, geben Sie die erforderlichen Informationen auf der Seite Eigenes Zertifikat hinzufügen ein.
Wenn auf dieser Seite Warnungen angezeigt werden, beheben Sie zuerst das hervorgehobene Problem, bevor Sie fortfahren. Stellen Sie sicher, dass das Zertifikat die folgenden Bedingungen erfüllt.
- Es muss PEM-codiert sein.
- Es muss mindestens für die nächsten 30 Tage gültig bleiben.
- Es darf ausschließlich für benutzerdefinierte Workspace-URLs verwendet werden. Platzhalterzertifikate sind nicht zulässig.
- Der allgemeine Name des Zertifikats muss mit der benutzerdefinierten Domäne übereinstimmen.
- SANs auf dem Zertifikat müssen für die benutzerdefinierte Domain sein. Zusätzliche SANs sind nicht zulässig.
- Die Gültigkeitsdauer des Zertifikats darf 10 Jahre nicht überschreiten.
Hinweis:
Citrix empfiehlt, dass Sie ein Zertifikat mit einer sicheren kryptographischen Hashfunktion (SHA 256 oder höher) verwenden. Sie sind für die Verlängerung des Zertifikats verantwortlich. Wenn Ihr Zertifikat abgelaufen ist oder bald abläuft, konsultieren Sie den Abschnitt “Verlängertes Zertifikat bereitstellen”.
-
Dieser Schritt ist optional. Wenn Sie SAML als Identitätsanbieter verwenden, geben Sie die entsprechende Konfiguration an. Geben Sie die erforderlichen Daten auf der Seite Für SAML konfigurieren ein.
Verwenden Sie die folgenden Details, wenn Sie die Anwendung im Identitätsanbieter konfigurieren:
Eigenschaft Value Zielgruppe https://saml.cloud.com
Empfänger https://<your custom domain>/saml/acs
ACS-URL-Validator https://<your custom domain>/saml/acs
ACS-Verbraucher-URL https://<your custom domain>/saml/acs
Single-Logout-URL https://<your custom domain>/saml/logout/callback
-
Lesen Sie die Informationen auf der Seite Provisioning Ihrer Domäne durchführen und bestätigen Sie die Anweisungen. Wenn Sie bereit sind fortzufahren, wählen Sie Zustimmen und fortfahren.
Dieser letzte Provisioningschritt kann einige Zeit in Anspruch nehmen. Sie können bei geöffneter Seite warten, bis der Vorgang abgeschlossen ist, oder die Seite schließen.
Benutzerdefinierte Domäne löschen
Wenn Sie eine benutzerdefinierte Domäne vom Kunden löschen, können Sie nicht mehr über eine benutzerdefinierte Domäne auf Citrix Workspace zugreifen. Nach dem Löschen der benutzerdefinierten Domäne können Sie nur über die cloud.com-Adresse auf Citrix Workspace zugreifen.
Wenn Sie eine benutzerdefinierte Domäne löschen, müssen Sie sicherstellen, dass der CNAME-Eintrag vom DNS-Anbieter entfernt wurde.
Schritte zum Löschen einer benutzerdefinierten Domäne:
-
Melden Sie sich bei Citrix Cloud an unter https://citrix.cloud.com.
-
Wählen Sie im Citrix Cloud-Menü Workspacekonfiguration > Zugriff.
-
Erweitern Sie das Kontextmenü (…) für die benutzerdefinierte Domäne auf der Registerkarte Zugriff und wählen Sie Löschen.
-
Lesen Sie die Informationen auf der Seite Benutzerdefinierte Domäne löschen, und bestätigen Sie die vorliegenden Anweisungen. Wenn Sie bereit sind, wählen Sie Löschen.
Das Löschen einer benutzerdefinierten Domäne nimmt einige Zeit in Anspruch. Sie können bei geöffneter Seite warten, bis der Vorgang abgeschlossen ist, oder die Seite schließen.
Verlängertes Zertifikat bereitstellen
-
Melden Sie sich bei Citrix Cloud an.
-
Wählen Sie im Citrix Cloud-Menü Workspacekonfiguration > Zugriff.
-
Das Ablaufdatum des Zertifikats wird neben der benutzerdefinierten Domäne angezeigt, der es zugewiesen ist.
Wenn Ihr Zertifikat in 30 Tagen oder weniger abläuft, wird für die benutzerdefinierte Domäne eine Warnung angezeigt.
-
Erweitern Sie das Kontextmenü (…) für die benutzerdefinierte Domäne auf der Registerkarte Zugriff. Wählen Sie Zertifikat aktualisieren.
-
Geben Sie die erforderlichen Informationen auf der Seite Zertifikat aktualisieren ein und klicken Sie auf Speichern.
Wenn auf dieser Seite Warnungen angezeigt werden, beheben Sie zuerst das hervorgehobene Problem, bevor Sie fortfahren.
Das Zertifikat muss dieselben Anforderungen erfüllen wie bei der Erstellung der benutzerdefinierten Domäne (siehe Benutzerdefinierte Domäne hinzufügen).
Konfiguration Ihres Identitätsanbieters
Okta konfigurieren
Führen Sie die folgenden Schritte aus, wenn Sie Okta als Identitätsanbieter für den Zugriff auf Citrix Workspace verwenden.
-
Melden Sie sich beim Administratorportal für Ihre Okta-Instanz an. Diese Instanz enthält die Anwendung, die von Citrix Cloud verwendet wird.
-
Erweitern Sie Applications und wählen Sie Applications im Menü.
- Öffnen Sie die mit Citrix Cloud verknüpfte Anwendung.
-
Wählen Sie im Abschnitt General Settings die Option Edit.
-
Fügen Sie unter General Settingsim Abschnitt LOGIN einen neuen Wert für Sign-in redirect URIs hinzu. Fügen Sie den neuen Wert zusätzlich hinzu, ohne vorhandene Werte zu ersetzen. Der neue Wert muss das folgende Format haben: https://your.company.com/core/login-okta
-
Fügen Sie in demselben Abschnitt einen neuen Wert für Sign-out redirect URIs hinzu. Fügen Sie den neuen Wert zusätzlich hinzu, ohne vorhandene Werte zu ersetzen. Der neue Wert muss das folgende Format haben: https://your.company.com
- Klicken Sie zum Speichern der neuen Konfiguration auf Speichern.
Konfiguration von OAuth-Richtlinien und -Profilen
Wichtig
Die bestehende OAuth-Richtlinie und das OAuth-Profil, die Citrix Cloud mit Citrix Gateway oder dem Hochverfügbarkeitspaar für adaptive Authentifizierung verknüpft, dürfen nur bei Verlust der OAuth-Anmeldeinformationen aktualisiert werden. Wenn Sie diese Richtlinie ändern, kann dadurch die Verbindung zwischen Citrix Cloud und Workspaces unterbrochen werden. Dies kann Ihre Fähigkeit beeinträchtigen, sich bei Workspaces anzumelden.
Citrix Gateway konfigurieren
Der Citrix Cloud-Administrator hat Zugriff auf den unverschlüsselten geheimen Clientschlüssel. Diese Anmeldeinformationen werden von Citrix Cloud beim Verknüpfen mit Citrix Gateway unter Identitäts- und Zugriffsverwaltung > Authentifizierung bereitgestellt. OAuth-Profil und OAuth-Richtlinie wurden beim Herstellen der Verbindung manuell vom Citrix-Administrator auf dem Citrix Gateway erstellt.
Sie benötigen die Client-ID und den unverschlüsselten geheimen Clientschlüssel, die beim Verbinden mit Citrix Gateway bereitgestellt wurden. Diese Anmeldeinformationen werden von Citrix Cloud bereitgestellt und sind sicher gespeichert. Der unverschlüsselte geheime Schlüssel wird benötigt, um über die Citrix ADC-Schnittstelle oder die Befehlszeilenschnittstelle (CLI) eine OAuth-Richtlinie und ein OAuth-Profil zu erstellen.
Dies ist ein Beispiel für die Benutzeroberfläche, wenn Client-ID und geheimer Schlüssel dem Citrix-Administrator zur Verfügung gestellt werden. Wenn der Citrix-Administrator die Anmeldeinformationen nicht beim Verbindungsprozess speichert, kann er keine Kopie des unverschlüsselten geheimen Schlüssels abrufen, nachdem die Verbindung zum Citrix Gateway hergestellt ist.
Verwendung von Citrix Cloud
Führen Sie folgende Schritte aus, um mit der Citrix Gateway-Schnittstelle ein zusätzliches OAuth-Profil samt OAuth-Richtlinie hinzuzufügen:
-
Wählen Sie im Menü Sicherheit > AAA — Anwendungsverkehr > OAuth IdP. Wählen Sie die vorhandene OAuth-Richtlinie aus und klicken Sie auf Hinzufügen
-
Ändern Sie nach Aufforderung den Namen der neuen OAuth-Richtlinie. Er muss sich von der vorhandenen Richtlinie unterscheiden, die Sie im vorherigen Schritt ausgewählt haben. Citrix empfiehlt, custom-url zum Namen hinzuzufügen.
- Erstellen Sie in der Citrix Gateway-GUI Ihr vorhandenes OAuth-Profil.
-
Klicken Sie in demselben GUI-Menü neben Aktion auf Hinzufügen.
-
Binden Sie in der Citrix Gateway-GUI die neue OAuth-Richtlinie in den vorhandenen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver ein.
-
Gehen Sie zu Sicherheit > Virtuelle Server > Bearbeiten.
Verwendung der Befehlszeilenschnittstelle (CLI)
Wichtig
Wenn keine gespeicherte Kopie der OAuth-Anmeldeinformationen vorliegt, müssen Sie Ihr Citrix Gateway trennen und erneut verbinden und Ihr bestehendes OAuth-Profil mit neuen OAuth-Anmeldeinformationen aktualisieren, die von der Identitäts- und Zugriffsverwaltung von Citrix Cloud bereitgestellt werden. Aktualisieren Sie Ihr bestehendes OAuth-Profil nur dann mit neuen Anmeldeinformationen, wenn die alten Anmeldeinformationen nicht wiederhergestellt werden können. Dies wird nur dann empfohlen, wenn Sie keine andere Wahl haben.
-
Verwenden Sie ein SSH-Tool wie PuTTY, um sich mit Ihrer Citrix Gateway-Instanz zu verbinden.
-
Erstellen Sie OAuthProfile und OAuthPolicy. Fügen Sie OAuthIDPProfile Authentifizierung hinzu.
"CustomDomain-OAuthProfile" -clientID "<clientID>" -clientSecret "<unencrypted client secret>" -redirectURL "https://hostname.domain.com/core/login-cip" -audience "<clientID>" -sendPassword ON
add authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile"
-
Binden Sie die OAuthPolicy in den zugehörigen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver mit weniger Priorität als die bestehende Richtlinie ein. Diese Instanz geht davon aus, dass die bestehende Richtlinie eine Priorität von 10 hat. Für die neue Richtlinie wird daher eine Priorität von 20 verwendet. Binden Sie den virtuellen Authentifizierungsserver ein.
"CitrixGatewayAAAvServer" -policy "CustomDomain-OAuthPol" -priority 20
Adaptive Authentifizierung konfigurieren
Wichtig
Das verschlüsselte Geheimnis und die Verschlüsselungsparameter für das OAuth-Profil unterscheiden sich auf den primären und sekundären Hochverfügbarkeitsgateways für die Adaptive Authentifizierung. Stellen Sie sicher, dass Sie das verschlüsselte Geheimnis vom primären Hochverfügbarkeitsgateway empfangen, und führen Sie diese Befehle auch auf dem primären HA-Gateway aus.
Der Citrix Cloud-Administrator hat keinen Zugriff auf den unverschlüsselten geheimen Clientschlüssel. OAuth-Richtlinie und OAuth-Profil werden beim Provisioning vom Citrix-Dienst “Adaptive Authentifizierung” erstellt. Es ist notwendig, beim Erstellen der OAuth-Profile das verschlüsselte Geheimnis und die CLI-Befehle aus der Datei ns.conf zu verwenden. Dies kann nicht mit der Citrix ADC-Benutzeroberfläche durchgeführt werden. Binden Sie die neue OAuthPolicy in den bestehenden virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver ein. Verwenden Sie dabei eine höhere Prioritätszahl als für die bestehende Richtlinie, die mit dem Server verbunden ist. Beachten Sie, dass niedrigere Prioritätszahlen zuerst ausgewertet werden. Legen Sie für die bestehende Richtlinie eine Priorität von 10 und für die neue Richtlinie eine Priorität von 20 fest, damit sie in der richtigen Reihenfolge ausgewertet werden.
-
Stellen Sie mithilfe eines SSH-Tools wie PuTTY eine Verbindung zum primären Knoten der Adaptiven Authentifizierung her.
show ha node
-
Suchen Sie in der ausgeführten Konfiguration des primären Hochverfügbarkeitsgateways nach der Zeile, die Ihr vorhandenes OAuth-Profil enthält.
sh runn | grep oauth
-
Kopieren Sie die Ausgabe aus der Citrix ADC-Befehlszeilenschnittstelle (CLI), einschließlich aller Verschlüsselungsparameter.
-
Ändern Sie die im vorherigen Schritt kopierte Zeile, und erstellen Sie damit einen neuen CLI-Befehl, mit dem Sie ein OAuth-Profil mit der verschlüsselten Version der Client-ID erstellen können. Dazu müssen alle Verschlüsselungsparameter enthalten sein.
- Ändern Sie den Namen des OAuth-Profils in CustomDomain-OAuthProfile.
- Aktualisieren Sie die -redirectURL auf https://hostname.domain.com/core/login-cip.
Hier sehen Sie ein Beispiel, nachdem beide Aktualisierungen vorgenommen wurden:
add authentication OAuthIDPProfile "CustomDomain-OAuthProfile" -clientID b1656835-20d1-4f6b-addd-1a531fd253f6 -clientSecret <long encrypted client Secret> -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_04_19_09_12_25 -redirectURL "https://hostname.domain.com/core/login-cip" -audience b1656835-20d1-4f6b-addd-1a531fd253f6 -sendPassword ON
add authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile"
-
Binden Sie die OAuthPolicy in den zugehörigen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver mit weniger Priorität als die bestehende Richtlinie ein. Der Name des virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsservers für alle Bereitstellungen der Adaptiven Authorisierung ist auth_vs. Diese Instanz geht davon aus, dass die bestehende Richtlinie eine Priorität von 10 hat. Für die neue Richtlinie wird daher eine Priorität von 20 verwendet.
bind authentication vserver "auth_vs" -policy "CustomDomain-OAuthPol" -priority 20
Bekannte Einschränkungen
Dies sind einige bekannte Einschränkungen der Lösung mit benutzerdefinierter Domäne:
Workspace-Plattform
- Es wird derzeit nur eine einzige benutzerdefinierte Domäne pro Kunde unterstützt.
- Eine benutzerdefinierte Domäne kann nur mit der standardmäßigen Workspace-URL verknüpft werden. Andere Workspace-URLs, die über das Mehrfach-URL-Feature hinzugefügt wurden, können keine benutzerdefinierte Domäne haben. Das Mehrfach-URL-Feature ist derzeit in der “Private Tech Preview”-Phase und möglicherweise nicht für alle Kunden verfügbar.
- Wenn Sie in der vorherigen Lösung eine benutzerdefinierte Domäne konfiguriert haben und SAML oder AzureAD zur Authentifizierung des Citrix Workspace-Zugriffs verwenden, müssen Sie in der neuen Lösung zuerst die bestehende benutzerdefinierte Domäne löschen, bevor Sie eine benutzerdefinierte Domäne konfigurieren können.
SAML
Die SAML-Unterstützung ist auf einen der folgenden Anwendungsfälle beschränkt:
- SAML kann ausschließlich für cloud.com-Domänen verwendet werden. In dieser Instanz würde die SAML-Verwendung den Zugriff auf Citrix Workspace und den Citrix Cloud-Administratorzugriff abdecken.
- SAML kann ausschließlich für eine benutzerdefinierte Domäne verwendet werden.
Citrix Workspace-App für Windows
- Das Feature wird nicht in Version 2305 und 2307 der Citrix Workspace-App für Windows unterstützt. Führen Sie ein Update auf die neueste unterstützte Version aus.