Citrix Cloud

Configurer ADFS en tant que fournisseur SAML pour l’authentification de Workspace

Cet article explique comment configurer l’approbation de partie de confiance requise par Citrix Cloud pour se connecter à Citrix Workspace ou Citrix Cloud à l’aide de SAML.

Une fois que vous avez suivi les étapes décrites dans cet article, vous pouvez configurer la connexion SAML entre votre serveur ADFS et Citrix Cloud comme décrit dans Connecter SAML en tant que fournisseur d’identité dans Citrix Cloud. Pour obtenir des conseils sur la saisie des valeurs ADFS correctes pour votre connexion SAML, consultez la section Configuration SAML dans Citrix Cloud dans cet article.

Logiciels requis

Les instructions de cet article supposent que vous disposez d’un déploiement de serveur ADFS opérationnel avec Citrix FAS dans votre environnement. Citrix FAS doit fournir une authentification unique (Single Sign-On) aux VDA lors du lancement de la session.

Pour plus d’informations, consultez les articles suivants :

Configurer une approbation de partie de confiance pour Citrix Cloud

  1. À partir de la console de gestion AD FS, développez le nœud AD FS dans le volet de gauche.
  2. Cliquez avec le bouton droit de la souris sur Relying Party Trust et sélectionnez Add Relying Party Trust.

    Option de menu Add Relying Party Trust

    L’assistant Add Relying Party Trust apparaît.

  3. Sélectionnez Claims aware, puis cliquez sur Next.

    Assistant ADFS Trust avec option Claims aware sélectionnée

  4. Dans Federation metadata address, entrez https://saml.cloud.com/saml/metadata.xml. Sélectionnez Suivant.

    Assistant ADFS Trust avec adresse Federation metadata saisie

  5. Pour le nom d’affichage (Display Name), entrez CitrixCloudProd. Sélectionnez Suivant.

    Assistance ADFS Trust avec nom d'affichage saisi

  6. Pour la stratégie de contrôle d’accès (Access Control Policy), sélectionnez Permit everyone. Sélectionnez Suivant.

    Assistant ADFS Trust avec stratégie de contrôle d'accès mise en évidence

  7. Sur l’écran Ready to Add Trust, sélectionnez Next.
  8. Sur l’écran Finish, sélectionnez Configure claims issuance policy for this application. Sélectionnez Suivant.

    Console ADFS avec option de menu Edit Claim Issuance Policy sélectionnée

  9. Cliquez avec le bouton droit sur la nouvelle approbation de partie de confiance et sélectionnez Edit Claim Issuance Policy.
  10. Cliquez sur Add Rule, puis sélectionnez Send LDAP Attributes as Claims. Sélectionnez Suivant.
  11. Dans Claim rule name, entrez CitrixCloud.
  12. Dans Attribute store, sélectionnez Active Directory.
  13. Sous Mapping of LDAP attributes to outgoing claim types, ajoutez les attributs LDAP suivants, exactement comme indiqué :

    Attribut LDAP Type de revendication sortante
    User-Principal-Name Name ID
    User-Principal-Name cip_upn
    E-Mail-Addresses cip_email
    objectSID cip_sid
    objectGUID cip_oid
    Display-Name displayName
    Given-Name firstName
    Surname lastName

    Règle de revendication configurée

  14. Sélectionnez Terminer.

Modifier une approbation de partie de confiance Citrix Cloud à l’aide de PowerShell

Si vous avez configuré votre serveur ADFS en utilisant la configuration « prête à l’emploi » par défaut, les étapes décrites dans cette section vous permettent de le mettre à jour afin qu’il réponde à la configuration recommandée par Citrix. Cette tâche est nécessaire pour résoudre ce problème : la déconnexion unique SAML depuis Citrix Cloud ou Citrix Workspace échoue si l’attribut nameidentifier n’est pas inclus dans le jeu de règles de revendication ou n’est pas le premier attribut SAML du jeu de règles de revendication.

Remarque :

Vous n’avez pas besoin d’effectuer cette tâche si vous avez créé votre jeu de règles de revendication en suivant les étapes décrites dans Configurer une approbation de partie de confiance pour Citrix Cloud dans cet article.

Pour effectuer cette tâche, vous devez remplacer le jeu de règles existant par un nouveau jeu de règles de revendication à l’aide de PowerShell. La console de gestion ADFS ne prend pas en charge ce type d’opération.

  1. Sur le serveur ADFS, localisez PowerShell ISE. Cliquez avec le bouton droit et sélectionnez Exécuter en tant qu’administrateur.
  2. Sauvegardez vos règles de revendication ADFS existantes dans un fichier texte :

    Get-ADFSRelyingPartyTrust -name "CitrixCloudStaging" | Select-Object -ExpandProperty IssuanceTransformRules | Out-File "$env:USERPROFILE\desktop\claimrulesbackup.txt"
    <!--NeedCopy-->
    
  3. Téléchargez le fichier claimrules.txt fourni par Citrix à l’adresse https://github.com/citrix/sample-scripts/tree/master/citrix-cloud.
  4. Copiez le fichier claimrules.txt sur votre bureau.
  5. Importez les règles de revendication requises à l’aide du fichier claimrules.txt :

    Set-ADFSRelyingPartyTrust -Name "CitrixCloudProd" `
                          -MetadataUrl "https://saml.cloud.com/saml/metadata" `
                          -AutoUpdateEnabled $True `
                          -IssuanceTransformRulesFile "$env:USERPROFILE\desktop\claimrules.txt" `
                          -SignedSamlRequestsRequired $True `
                          -SamlResponseSignature "MessageAndAssertion" `
                          -Enabled $True
    <!--NeedCopy-->
    

Mettre à jour les paramètres de signature SAML pour l’approbation de partie de confiance à l’aide de PowerShell

Par défaut, les approbations de partie de confiance ADFS ont les paramètres suivants :

  • EncryptClaims : True
  • SignedSamlRequestsRequired : False
  • SamlResponseSignature : AssertionOnly

Pour une sécurité accrue, Citrix recommande d’utiliser des requêtes SAML signées à la fois pour l’authentification unique (SSO) et la déconnexion unique. Cette section décrit comment mettre à jour les paramètres de signature d’une approbation de partie de confiance à l’aide de PowerShell afin qu’ils répondent à la configuration recommandée par Citrix.

  1. Obtenez la configuration actuelle de RelyingPartyTrust sur votre serveur ADFS.

    Get-ADFSRelyingPartyTrust -TargetName "CitrixCloudProd"
    <!--NeedCopy-->
    
  2. Mettez à jour les paramètres d’approbation de partie de confiance CitrixCloudProd.

    Set-ADFSRelyingPartyTrust -Name "CitrixCloudProd" `
                          -SignedSamlRequestsRequired $True `
                          -SamlResponseSignature "MessageAndAssertion"
    <!--NeedCopy-->
    
  3. Contactez le support Citrix et demandez à activer la fonctionnalité d’authentification EnableSamlLogoutSigningAndPost sur votre client Citrix Cloud. Citrix Cloud envoie alors des requêtes de déconnexion unique SAML sous forme de requêtes POST signées au lieu de requêtes de redirection non signées lorsque les utilisateurs se déconnectent de Citrix Workspace ou de Citrix Cloud. L’envoi de requêtes POST signées est obligatoire si le fournisseur SAML exige des requêtes signées pour une déconnexion unique et rejette les redirections non signées.

Configuration SAML dans Citrix Cloud

Lorsque vous configurez la connexion SAML dans Citrix Cloud (comme décrit dans Ajouter des métadonnées du fournisseur SAML à Citrix Cloud), vous entrez les valeurs pour ADFS comme suit :

Dans ce champ dans Citrix Cloud Entrez cette valeur
ID de l’entité https://adfs.YourDomain.com/adfs/services/trust, où YourDomain.com est le domaine de votre serveur ADFS.
Signer demande d’authentification Oui
URL du service SSO https://adfs.YourDomain.com/adfs/ls, où YourDomain.com est le domaine de votre serveur ADFS.
Mécanisme de liaison Publication HTTP
Réponse SAML Signer la réponse ou l’assertion
Contexte d’authentification Non spécifié, Exact
URL de déconnexion https://adfs.YourDomain.com/adfs/ls, où YourDomain.com est le domaine de votre serveur ADFS.

Exportez le certificat de signature ADFS à partir de la console de gestion ADFS MMC. Consultez la capture d’écran ci-dessous pour savoir lequel des 3 certificats est celui à télécharger dans Citrix Cloud via la connexion SAML.

Exporter ADFS

Configurer ADFS en tant que fournisseur SAML pour l’authentification de Workspace