Documentation produit
Citrix Cloud™
Voir PDF

SAML avec Entra ID et identités Entra ID pour l’authentification de l’espace de travail

April 2, 2026
Author:  Mark Dear

Cet article explique comment configurer SAML pour l’authentification de l’espace de travail en utilisant des identités Entra ID au lieu d’identités AD. Utilisez cette configuration si vos utilisateurs Entra ID ne peuvent pas énumérer les PC cloud Windows 365 ou les VDA joints au domaine Entra ID après s’être connectés à Citrix Workspace™ avec le comportement SAML par défaut. Une fois la configuration terminée, vos utilisateurs peuvent se connecter à Citrix Workspace en utilisant l’authentification SAML pour accéder aux applications et bureaux HDX via Citrix DaaS™ et aux PC cloud Windows 365 via Azure.

Le comportement par défaut pour Citrix Cloud™ et l’authentification SAML à Citrix Workspace est de s’appuyer sur une identité d’utilisateur AD. Pour la configuration décrite dans cet article, l’utilisation d’Entra ID Connect pour importer vos identités AD vers votre Entra ID est requise. Les identités AD contiennent le SID de l’utilisateur, que Citrix Workspace peut envoyer à Citrix DaaS et qui permet l’énumération et le lancement des ressources HDX. Étant donné que la version Entra ID des identités des utilisateurs est utilisée, les utilisateurs peuvent également énumérer et lancer des ressources Azure comme les PC cloud Windows 365 depuis Citrix Workspace.

Important :

  • L’énumération fait référence à la liste des ressources que les utilisateurs voient après s’être connectés à Citrix Workspace. Les ressources auxquelles un utilisateur donné est autorisé à accéder dépendent de son identité d’utilisateur et des ressources associées à cette identité dans Citrix DaaS. Un article associé fournit des instructions sur l’utilisation des identités Entra ID et AD comme fournisseur SAML pour l’authentification dans Workspace. Vous trouverez des instructions détaillées dans SAML utilisant Entra ID et les identités AD pour l’authentification Workspace

  • Portée des fonctionnalités

Cet article s’applique aux utilisateurs qui utilisent la combinaison suivante de fonctionnalités Citrix Cloud et Azure :

  • SAML pour l’authentification de l’espace de travail
  • Énumération des ressources Citrix DaaS et HDX™ publiées à l’aide de VDA joints au domaine AD
  • Énumération des ressources VDA jointes au domaine Entra ID
    • Énumération des ressources VDA jointes au domaine hybride Azure
    • Énumération et lancement des PC cloud W365

Important :

N’utilisez pas ce flux SAML AAD pour la connexion SAML à Citrix Cloud, car cela nécessite que l’utilisateur administrateur de Citrix Cloud soit membre d’un groupe AD et, par conséquent, une identité d’utilisateur AD doit être utilisée. Vous trouverez des instructions détaillées dans SAML utilisant Entra ID et les identités AD pour l’authentification Workspace

Qu’est-ce qui est le mieux : identités AD ou identités Entra ID ?

Pour déterminer si vos utilisateurs d’espace de travail doivent s’authentifier à l’aide d’identités SAML AD ou SAML Entra ID :

-  1.  Décidez quelle combinaison de ressources vous avez l'intention de mettre à la disposition de vos utilisateurs dans Citrix Workspace.
-  1.  Utilisez le tableau suivant pour déterminer le type d'identité d'utilisateur approprié pour chaque type de ressource.

  • |Type de ressource (VDA)|Identité de l’utilisateur lors de la connexion à Citrix Workspace|Nécessite une identité SAML utilisant Entra ID ?|FAS fournit-il l’authentification unique (SSO) au VDA ?| |—|—|—|—|

  • Joint à AD AD, Entra ID importé d’AD (contient le SID) Non. Utilisez le SAML par défaut. Oui
    Joint hybride AD, Entra ID importé d’AD (contient le SID) Non. Utilisez le SAML par défaut. Oui, pour AD en tant que fournisseur d’identité. FAS n’est pas requis si Entra ID est sélectionné pour le VDA.
    Joint à Entra ID Utilisateur natif Entra ID, Entra ID importé d’AD (contient le SID) Oui, utilisez SAML via Entra ID. Non
    PC cloud Windows 365 Utilisateur natif Entra ID, Entra ID importé d’AD (contient le SID) Oui, utilisez SAML via Entra ID. Non
    Joint à AD, joint à Entra ID, PC cloud Windows 365 Entra ID importé d’AD (contient le SID) Oui, utilisez SAML via Entra ID. Oui, pour les VDA joints à AD. Non, pour les VDA joints à Entra ID et les PC cloud Windows 365.

Plus d’informations

Exigences

    -  Votre locataire Entra ID doit être connecté à votre locataire Citrix Cloud. Dans la console Citrix Cloud, vous pouvez trouver votre connexion Entra ID existante en sélectionnant **Gestion des identités et des accès > Authentification**.

Ou,

Vous pouvez créer une nouvelle connexion de répertoire Entra ID en sélectionnant Gestion des identités et des accès > Authentification –> Ajouter un fournisseur d’identité –> Sélectionner Entra ID.

Fournisseur Entra ID avec l'état de la connexion mis en évidence

    -  > **Important :**
    -  > > Vous devez vous connecter au même locataire Entra ID où vous avez l'intention de créer la nouvelle application SAML qui utilisera les identités AAD.

    -  La méthode d'authentification de l'espace de travail doit être définie sur **SAML 2.0**. N'utilisez pas Entra ID comme méthode d'authentification. Pour modifier la méthode d'authentification de l'espace de travail, accédez à **Configuration de l'espace de travail > Authentification** dans la console Citrix Cloud.
    -  Le suffixe UPN `@yourdomain.com` doit être importé et vérifié dans Entra ID en tant que nom de domaine personnalisé. Dans le portail Azure, cela se trouve sous **Entra ID > Noms de domaine personnalisés**.
    -  Les identités d'utilisateur Entra ID doivent être importées depuis AD à l'aide de Microsoft Entra ID Connect. Cela garantit que les identités d'utilisateur sont correctement importées et ont le suffixe UPN correct. Les utilisateurs Entra ID avec des suffixes UPN `@yourtenant.onmicrosoft.com` ne sont pas pris en charge.
    -  Citrix FAS doit être déployé et connecté au locataire Citrix Cloud et à l'emplacement des ressources. FAS fournit une authentification unique aux bureaux et applications HDX lancés depuis Citrix Workspace. Vous n'avez pas besoin de configurer des comptes fantômes AD car l'UPN `user@customerdomain` pour les identités d'utilisateur AD et Entra ID doit correspondre. FAS génère les certificats utilisateur nécessaires avec l'UPN correct et effectue une connexion par carte à puce lorsque les ressources HDX sont lancées.

    -  ## Configurer l'application SAML d'entreprise Entra ID personnalisée

Par défaut, le comportement de la connexion SAML aux espaces de travail est de s’authentifier par rapport à une identité d’utilisateur AD. L’attribut SAML cip_directory est une valeur de chaîne codée en dur qui est la même pour tous les abonnés et agit comme un commutateur. Citrix Cloud et Citrix Workspace détectent cet attribut lors de la connexion et déclenchent SAML pour s’authentifier par rapport à la version Entra ID de l’identité de l’utilisateur. L’utilisation du paramètre azuread avec cet attribut remplace le comportement SAML par défaut, ce qui entraîne l’authentification de l’utilisateur Workspace à l’aide de son identité Entra ID au lieu de son identité AD.

Bien que les étapes de cette section concernent Entra ID, vous pouvez créer une application SAML similaire à l’aide d’un autre fournisseur SAML 2.0 (par exemple, ADFS, Duo, Okta, OneLogin, PingOneSSO, etc.), à condition d’effectuer les mêmes tâches. Votre fournisseur SAML doit vous permettre de configurer un attribut SAML codé en dur (cip_directory = azuread) au sein de l’application SAML. Créez simplement les mêmes mappages d’attributs SAML que ceux décrits dans cette section.

  1. Connectez-vous au portail Azure.
  2. Dans le menu du portail, sélectionnez Entra ID.
  3. Dans le volet gauche, sous Gérer, sélectionnez Applications d’entreprise.
  4. Dans la barre de commandes du volet de travail, sélectionnez Nouvelle application.
  5. Dans la barre de commandes, sélectionnez Créer votre propre application. N’utilisez pas le modèle d’application d’entreprise Citrix Cloud SAML SSO. Le modèle ne vous permet pas de modifier la liste des revendications et des attributs SAML.
  6. Saisissez un nom pour l’application, puis sélectionnez Intégrer toute autre application que vous ne trouvez pas dans la galerie (Non-galerie). Cliquez sur Créer. La page de présentation de l’application apparaît.
  7. Dans le volet gauche, sélectionnez Authentification unique. Dans le volet de travail, sélectionnez SAML.
  8. Dans la section Configuration SAML de base, sélectionnez Modifier et configurez les paramètres suivants :
    1. Dans la section Identificateur (ID d’entité), sélectionnez Ajouter un identificateur, puis saisissez la valeur associée à la région dans laquelle se trouve votre locataire Citrix Cloud :
      • Pour les régions Union européenne, États-Unis et Asie-Pacifique Sud, saisissez https://saml.cloud.com.
      • Pour la région Japon, saisissez https://saml.citrixcloud.jp.
      • Pour la région Citrix Cloud Government, saisissez https://saml.cloud.us.
    2. Dans la section URL de réponse (URL du service consommateur d’assertions), sélectionnez Ajouter une URL de réponse, puis saisissez la valeur associée à la région dans laquelle se trouve votre locataire Citrix Cloud :
      • Pour les régions Union européenne, États-Unis et Asie-Pacifique Sud, saisissez https://saml.cloud.com/saml/acs.
      • Pour la région Japon, saisissez https://saml.citrixcloud.jp/saml/acs.
      • Pour la région Citrix Cloud Government, saisissez https://saml.cloud.us/saml/acs.
    3. Dans la section URL de déconnexion (facultatif), saisissez la valeur associée à la région dans laquelle se trouve votre locataire Citrix Cloud :
      • Pour les régions Union européenne, États-Unis et Asie-Pacifique Sud, saisissez https://saml.cloud.com/saml/logout/callback.
      • Pour la région Japon, saisissez https://saml.citrixcloud.jp/saml/logout/callback.
      • Pour la région Citrix Cloud Government, saisissez https://saml.cloud.us/saml/logout/callback.
    4. Dans la barre de commandes, sélectionnez Enregistrer.
  9. Dans la section Attributs et revendications, sélectionnez Modifier pour configurer les revendications suivantes. Ces revendications apparaissent dans l’assertion SAML au sein de la réponse SAML.
    1. Pour la revendication Identificateur unique de l’utilisateur (ID de nom), mettez à jour la valeur par défaut pour qu’elle soit user.localuserprincipalname.
    2. Dans la barre de commandes, sélectionnez Ajouter une nouvelle revendication.
    3. Dans Nom, saisissez cip_directory.
    4. Dans Source, laissez Attribut sélectionné.

    5. Dans Attribut source, saisissez azuread. Cette valeur apparaît entre guillemets après que vous l’ayez saisie.

      Manage Claims screen with source attribute entry

    6. Dans la barre de commandes, sélectionnez Enregistrer.

    7. Créez des revendications supplémentaires avec les valeurs suivantes dans les champs Nom et Attribut source :

      Nom Attribut source
      cip_fed_upn user.localuserprincipalname
      displayName user.displayname
      givenName user.givenname
      familyName user.surname

  • Manage Claims screen with UPN value

  • Important :

  •  > Vous pouvez créer ces revendications supplémentaires en répétant les étapes b à f pour chaque revendication ou en modifiant les revendications par défaut dans la section **Revendications supplémentaires** qui ont déjà les attributs source listés dans le tableau ci-dessus. Les revendications par défaut incluent l'espace de noms `http://schemas.xmlsoap.org/ws/2005/05/identity/claims`.
 >
 > Si vous modifiez les revendications par défaut, vous devez supprimer l'espace de noms de chaque revendication. Si vous créez de nouvelles revendications, vous devez supprimer les revendications qui incluent l'espace de noms. Si des revendications avec cet espace de noms sont incluses dans l'assertion SAML résultante, l'assertion sera invalide et inclura des noms d'attributs SAML incorrects.

    1. Dans la section Revendications supplémentaires, pour toute revendication restante avec l’espace de noms http://schemas.xmlsoap.org/ws/2005/05/identity/claims, cliquez sur le bouton points de suspension (…) et cliquez sur Supprimer.

      Delete menu highlighted

    Une fois terminé, la section Attributs et revendications apparaît comme illustré ci-dessous :

    Entra ID completed attributes and claims

  1. Obtenez une copie du certificat de signature SAML Citrix Cloud à l’aide de cet outil en ligne tiers.

  2. Saisissez https://saml.cloud.com/saml/metadata dans le champ URL et cliquez sur Charger.

    Metadata certificate extract

  3. Faites défiler la page jusqu’en bas et cliquez sur Télécharger.

    Download

    Downloaded file

  4. Configurez les paramètres de signature de l’application SAML Entra ID.
  5. Chargez le certificat de signature SAML de production obtenu à l’étape 10 dans l’application SAML Entra ID.
    • Activez Exiger des certificats de vérification.

    Certificat de vérification

    Certificat SAML

Dépannage

  1. Vérifiez que vos assertions SAML contiennent les attributs utilisateur corrects à l’aide d’un outil de mise en réseau SAML, tel que l’extension de navigateur SAML-tracer.

  2. Localisez la réponse SAML affichée en jaune et comparez-la à cet exemple :

    Exemple de réponse SAML d'un outil de mise en réseau

  3. Cliquez sur l’onglet SAML dans le volet inférieur pour décoder la réponse SAML et l’afficher au format XML.

  4. Faites défiler jusqu’au bas de la réponse et vérifiez que l’assertion SAML contient les attributs SAML et les valeurs utilisateur corrects.

    Fichier XML avec la valeur d'assertion SAML mise en surbrillance

Si vos abonnés ne peuvent toujours pas se connecter à leur espace de travail, contactez le support Citrix et fournissez les informations suivantes :

  • Capture SAML-tracer
  • Date et heure de l’échec de la connexion à Citrix Workspace
  • Le nom d’utilisateur concerné
  • L’adresse IP de l’appelant de l’ordinateur client que vous avez utilisé pour vous connecter à Citrix Workspace. Vous pouvez utiliser un outil comme https://whatismyip.com pour obtenir cette adresse IP.

Configurer la connexion SAML Citrix Cloud

Tous les flux de connexion Citrix doivent être initiés par le fournisseur de services à l’aide d’une URL Workspace ou d’une URL Citrix Cloud GO.

Utilisez les valeurs recommandées par défaut pour la connexion SAML dans Gestion des identités et des accès > Authentification > Ajouter un fournisseur d’identité > SAML.

Obtenez les points de terminaison SAML de l’application SAML Entra ID à partir de votre portail Entra ID pour les saisir dans Citrix Cloud.

Points de terminaison SAML AAD

Exemples de points de terminaison SAML Entra ID à utiliser dans la connexion SAML Citrix Cloud

Important :

Les points de terminaison SAML SSO et de déconnexion EntraID sont la même URL.

Dans ce champ dans Citrix Cloud Saisissez cette valeur
ID d’entité `https://sts.windows.net/<yourEntraIDTenantID>`
Signer la demande d’authentification Oui
URL du service SSO `https://login.microsoftonline.com/<yourEntraIDTenantID>/saml2`
Mécanisme de liaison SSO HTTP Post
Réponse SAML Signer la réponse ou l’assertion
Contexte d’authentification Non spécifié, Exact
URL de déconnexion `https://login.microsoftonline.com/<yourEntraIDTenantID>/saml2`
Signer la demande de déconnexion Oui
Mécanisme de liaison SLO HTTP Post
SAML avec Entra ID et identités Entra ID pour l’authentification de l’espace de travail
April 2, 2026
Author:  Mark Dear
April 2, 2026
Author:  Mark Dear

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.