Citrix Cloud

SAML à l’aide des identités Azure AD et AD pour l’authentification de Workspace

Cet article décrit comment configurer SAML pour l’authentification de Workspace à l’aide des identités Active Directory (AD). Le comportement par défaut pour l’authentification Citrix Cloud et SAML auprès de Citrix Workspace ou de Citrix Cloud, quel que soit le fournisseur SAML utilisé, consiste à affirmer l’identité d’un utilisateur AD. Pour la configuration décrite dans cet article, il est nécessaire d’utiliser Azure AD Connect pour importer vos identités AD dans votre instance Azure AD.

Important :

Il est essentiel de déterminer le flux SAML approprié pour les utilisateurs finaux de votre espace de travail, car cela a un impact direct sur leur processus de connexion et la visibilité des ressources. L’identité choisie influence les types de ressources accessibles à un utilisateur de Workspace. Un article connexe fournit des instructions sur l’utilisation d’Azure AD en tant que fournisseur SAML pour l’authentification dans Workspace à l’aide d’identités AAD. Vous trouverez des instructions détaillées dans SAML à l’aide des identités Azure AD et AAD pour l’authentification de Workspace. En général, les utilisateurs de Workspace doivent généralement ouvrir des applications et des bureaux fournis par des VDA joints au domaine AD. Il est essentiel d’examiner attentivement les cas d’utilisation décrits dans les deux articles avant de choisir le flux SAML le plus adapté à votre organisation. En cas de doute, Citrix recommande d’utiliser le flux AD SAML et de suivre les instructions de cet article, car il correspond au scénario DaaS le plus courant.

Étendue des fonctionnalités

Cet article s’adresse aux utilisateurs qui utilisent la combinaison suivante de fonctionnalités Citrix Cloud et Azure :

  • SAML pour l’authentification de Workspace à l’aide des identités AD
  • SAML pour la connexion administrateur Citrix Cloud à l’aide d’identités AD
  • Énumération des ressources Citrix DaaS et HDX publiées à l’aide de VDA joints à un domaine AD
  • Énumération des ressources de VDA joints à un domaine AD

Qu’est-ce qui est le mieux : les identités AD ou les identités Azure AD ?

Pour déterminer si les utilisateurs de votre espace de travail doivent s’authentifier à l’aide des identités SAML AD ou SAML Azure AD :

  1. Décidez de la combinaison de ressources que vous souhaitez mettre à la disposition de vos utilisateurs dans Citrix Workspace.
  2. Utilisez le tableau suivant pour déterminer le type d’identité utilisateur approprié pour chaque type de ressource.

    Type de ressource (VDA) Identité de l’utilisateur lors de la connexion à Citrix Workspace Une identité SAML avec Azure AD est-elle requise ? Le FAS fournit-il une authentification unique (SSO) au VDA ?
    Joint à AD AD, Azure AD importé depuis AD (contient le SID) Non. Utilisez le protocole SAML par défaut. Oui

Configurer l’application Azure AD Enterprise SAML personnalisée

Par défaut, le comportement de la connexion SAML aux espaces de travail consiste à confirmer l’identité d’un utilisateur AD.

  1. Connectez-vous au portail Azure.
  2. Dans le menu du portail, sélectionnez Azure Active Directory.
  3. Dans le volet de gauche, sous Gérer, sélectionnez Applications d’entreprise.
  4. Dans la zone de recherche, entrez Citrix Cloud SAML SSO pour localiser le modèle d’application Citrix SAML.

    Modèles d'application SAML

  5. Entrez un nom approprié pour l’application SAML, comme Citrix Cloud SAML SSO Production

    Nom de l'application SAML

  6. Dans le volet de navigation de gauche, sélectionnez Authentification unique, puis, dans le volet de travail, cliquez sur SAML.
  7. Dans la section Configuration SAML de base, sélectionnez Modifier et configurez les paramètres suivants :
    1. Dans la section Identifiant (ID d’entité), sélectionnez Ajouter un identifiant, puis entrez la valeur associée à la région dans laquelle se trouve votre client Citrix Cloud :
      • Pour les régions de l’Europe, des États-Unis et du sud de l’Asie-Pacifique, entrez https://saml.cloud.com.
      • Pour la région du Japon, entrez https://saml.citrixcloud.jp.
      • Pour la région Citrix Cloud Government, entrez https://saml.cloud.us.
    2. Dans la section URL de réponse (URL du service consommateur d’assertion), sélectionnez Ajouter une URL de réponse, puis entrez la valeur associée à la région dans laquelle se trouve votre client Citrix Cloud :
      • Pour les régions de l’Europe, des États-Unis et du sud de l’Asie-Pacifique, entrez https://saml.cloud.com/saml/acs.
      • Pour la région du Japon, entrez https://saml.citrixcloud.jp/saml/acs.
      • Pour la région Citrix Cloud Government, entrez https://saml.cloud.us/saml/acs.
    3. Dans la section URL de connexion, entrez votre URL Workspace.
    4. Dans la section URL de déconnexion (facultatif), entrez la valeur associée à la région dans laquelle se trouve votre client Citrix Cloud :
      • Pour les régions de l’Europe, des États-Unis et du sud de l’Asie-Pacifique, entrez https://saml.cloud.com/saml/logout/callback.
      • Pour la région du Japon, entrez https://saml.citrixcloud.jp/saml/logout/callback.
      • Pour la région Citrix Cloud Government, entrez https://saml.cloud.us/saml/logout/callback.
    5. Dans la barre de commandes, cliquez sur Enregistrer. La section Configuration SAML de base apparaît comme suit :

    Configuration SAML de base

  8. Dans la section Attributs et revendications, cliquez sur Modifier pour configurer les revendications suivantes. Ces revendications apparaissent dans l’assertion SAML contenue dans la réponse SAML. Après avoir créé l’application SAML, configurez les attributs suivants.

    Attributs et revendications

    1. Sous la revendication Identifiant d’utilisateur unique (ID de nom), laissez la valeur par défaut user.userprincipalname.
    2. Pour la réclamation cip_upn, laissez la valeur par défaut de user.userprincipalname.
    3. Pour la réclamation cip_email, laissez la valeur par défaut de user.mail.
    4. Pour la réclamation cip_sid, laissez la valeur par défaut de user.onpremisesecurityidentitier.
    5. Pour la revendication cip_oid, modifiez la réclamation existante et sélectionnez Attribut source. Recherchez la chaîne object et sélectionnez user.onpremisesimmutableid.

    Gérer la réclamation

    1. Pour displayName, laissez la valeur par défaut de user.displayname.
    2. Dans la section Autres revendications, pour toutes les revendications restantes avec l’espace de noms http://schemas.xmlsoap.org/ws/2005/05/identity/claims, cliquez sur le bouton représentant des points de suspension (…), puis sur Supprimer. Il n’est pas nécessaire d’inclure ces revendications car elles sont des doublons des attributs utilisateur ci-dessus.

    Menu Supprimer en surbrillance

    Lorsque vous avez terminé, la section Attributs et revendications apparaît comme illustré ci-dessous :

    Attributs et revendications complétés par Azure AD

    1. Obtenez une copie du certificat de signature SAML Citrix Cloud à l’aide de cet outil en ligne tiers.
    2. Entrez https://saml.cloud.com/saml/metadata dans le champ URL et cliquez sur Charger.

    Menu Supprimer en surbrillance

  9. Faites défiler la page vers le bas et cliquez sur Télécharger.

    Télécharger le certificat de métadonnées

    Télécharger le certificat

  10. Configurez les paramètres de signature de l’application SAML Azure Active Directory.
  11. Charger le certificat de signature SAML de production obtenu à l’étape 10 dans l’application SAML Azure Active Directory
    1. Activez Exiger des certificats de vérification.

    Certificat de vérification

    Certificat de vérification

Dépannage

  1. Vérifiez que vos assertions SAML contiennent les attributs utilisateur corrects à l’aide d’un outil réseau SAML, tel que l’extension de navigateur SAML-tracer.

Extension de navigateur SAML-tracer

  1. Localisez la réponse SAML affichée en jaune et comparez-la à cet exemple :

    Exemple de réponse SAML depuis un outil réseau

  2. Cliquez sur l’onglet SAML dans le volet inférieur pour décoder la réponse SAML et l’afficher au format XML.
  3. Faites défiler la réponse vers le bas et vérifiez que l’assertion SAML contient les attributs SAML et les valeurs utilisateur corrects.

    Fichier XML avec valeur d'assertion SAML en surbrillance

Si vos abonnés ne peuvent toujours pas se connecter à leur espace de travail ou s’ils ne peuvent pas voir leurs bureaux Citrix HDX Plus pour Windows 365, contactez le support Citrix et fournissez les informations suivantes :

  • Capture d’écran de l’extension SAML-tracer
  • Date et heure d’échec de la connexion à Citrix Workspace
  • Nom d’utilisateur concerné
  • Adresse IP de l’appelant de l’ordinateur client que vous avez utilisé pour vous connecter à Citrix Workspace. Vous pouvez utiliser un outil tel que https://whatismyip.com pour obtenir cette adresse IP.
SAML à l’aide des identités Azure AD et AD pour l’authentification de Workspace