Citrix Cloud

Connecter SAML en tant que fournisseur d’identité à Citrix Cloud

Citrix Cloud prend en charge l’utilisation de SAML (Security Assertion Markup Language) en tant que fournisseur d’identité pour authentifier les administrateurs Citrix Cloud et les abonnés qui se connectent à leurs espaces de travail. Vous pouvez utiliser le fournisseur SAML 2.0 de votre choix avec votre répertoire Active Directory (AD) local.

À propos de cet article

Cet article décrit les étapes requises pour configurer une connexion entre Citrix Cloud et votre fournisseur SAML. Certaines de ces étapes décrivent les actions que vous effectuez dans la console d’administration de votre fournisseur SAML. Les commandes spécifiques que vous utilisez pour effectuer ces actions peuvent varier des commandes décrites dans l’article, en fonction du fournisseur SAML choisi. Ces commandes du fournisseur SAML ne sont fournies qu’à titre d’exemple. Reportez-vous à la documentation de votre fournisseur SAML pour plus d’informations sur les commandes correspondantes de votre fournisseur SAML.

Configurations des fournisseurs SAML

Citrix propose les guides de configuration suivants pour garantir une interaction fluide entre votre fournisseur SAML et Citrix Cloud :

Fournisseurs SAML pris en charge

Les fournisseurs SAML qui prennent en charge la spécification officielle SAML 2.0 sont compatibles avec Citrix Cloud.

Citrix a testé les fournisseurs SAML suivants pour l’authentification des administrateurs Citrix Cloud et pour l’authentification des abonnés Citrix Workspace à l’aide de l’authentification unique (SSO) et de la déconnexion unique (SLO). Les fournisseurs SAML qui ne figurent pas dans cette liste sont également pris en charge.

  • Microsoft ADFS
  • Microsoft Azure AD
  • Duo
  • Okta
  • OneLogin
  • PingOne SSO
  • PingFederate

Lors du test de ces fournisseurs, Citrix a utilisé les paramètres suivants pour configurer la connexion SAML dans la console Citrix Cloud :

  • Mécanisme de liaison : HTTP Post
  • Réponse SAML : Signer la réponse ou l’assertion
  • Contexte d’authentification : Non spécifié, Exact

Les valeurs de ces paramètres sont configurées par défaut lorsque vous configurez votre connexion SAML dans Citrix Cloud. Citrix recommande d’utiliser ces paramètres lors de la configuration de la connexion avec le fournisseur SAML que vous avez choisi.

Pour plus d’informations sur ces paramètres, consultez la section Ajouter des métadonnées du fournisseur SAML à Citrix Cloud dans cet article.

Prise en charge des ID d’entité étendue

Cet article explique comment configurer l’authentification SAML à l’aide d’une seule application SAML et de l’ID d’entité générique par défaut de Citrix Cloud.

Si vos exigences en matière d’authentification SAML incluent la nécessité de disposer de plusieurs applications SAML au sein d’un même fournisseur SAML, reportez-vous à la section Configurer une application SAML avec un ID d’entité étendue dans Citrix Cloud.

Logiciels requis

L’utilisation de l’authentification SAML avec Citrix Cloud exige les conditions suivantes :

  • Fournisseur SAML prenant en charge SAML 2.0
  • Domaine AD local
  • Deux Cloud Connector déployés sur un emplacement de ressources et associés à votre domaine AD local Les Cloud Connector sont utilisés pour garantir que Citrix Cloud peut communiquer avec votre emplacement de ressources.
  • Intégration AD avec votre fournisseur SAML

Cloud Connector

Vous devez disposer d’au moins deux (2) serveurs sur lesquels installer le logiciel Citrix Cloud Connector. Citrix recommande au moins deux serveurs pour garantir la haute disponibilité de Cloud Connector. Ces serveurs doivent satisfaire aux exigences suivantes :

  • Répondre aux exigences système décrites dans Détails techniques sur Cloud Connector.
  • Aucun autre composant Citrix ne doit être installé sur ces serveurs, ils ne doivent pas être un contrôleur de domaine AD ou une machine critique à votre infrastructure d’emplacement de ressources.
  • Les serveurs doivent être associés au domaine sur lequel résident vos ressources. Si les utilisateurs accèdent aux ressources dans plusieurs domaines, vous devez installer au moins deux Cloud Connector dans chaque domaine.
  • Les serveurs doivent être connectés à un réseau pouvant contacter les ressources auxquelles les utilisateurs accèdent via Citrix Workspace.
  • Être connectés à Internet. Pour plus d’informations, consultez la section Configuration requise pour le système et la connectivité.

Pour de plus amples informations sur l’installation du Cloud Connector, consultez la section Installation de Cloud Connector.

Active Directory

Avant de configurer l’authentification SAML, effectuez les tâches suivantes :

  • Vérifiez que les abonnés à votre espace de travail possèdent des comptes utilisateur dans votre AD. Les abonnés sans compte AD ne peuvent pas se connecter à leurs espaces de travail lorsque l’authentification SAML est configurée.
  • Connectez votre AD à votre compte Citrix Cloud en déployant des Cloud Connector dans votre AD local.
  • Synchronisez vos utilisateurs AD avec le fournisseur SAML. Citrix Cloud a besoin des attributs d’utilisateur AD pour vos abonnés à un espace de travail afin qu’ils puissent se connecter correctement.

Attributs utilisateur AD

Les attributs suivants sont obligatoires pour tous les objets utilisateur Active Directory et doivent être renseignés :

  • Nom commun
  • Nom du compte SAM
  • User Principal Name (UPN)
  • GUID d’objet
  • SID

Citrix Cloud utilise les attributs GUID d’objet et SID de votre AD pour établir le contexte utilisateur lorsque les abonnés se connectent à Citrix Workspace. Si l’une ou l’autre de ces propriétés n’est pas renseignée, les abonnés ne peuvent pas se connecter.

Les attributs suivants ne sont pas obligatoires pour utiliser l’authentification SAML avec Citrix Cloud, mais Citrix recommande de les renseigner pour garantir une expérience utilisateur optimale :

  • Adresse e-mail
  • Nom d’affichage

Citrix Cloud utilise l’attribut Nom d’affichage pour afficher correctement les noms des abonnés dans Citrix Workspace. Si cet attribut n’est pas renseigné, les abonnés peuvent toujours se connecter, mais leur nom risque de ne pas s’afficher comme prévu.

Intégration SAML avec Active Directory

Avant d’activer l’authentification SAML, vous devez intégrer votre répertoire AD local à votre fournisseur SAML. Cette intégration permet au fournisseur SAML de transmettre les attributs utilisateur AD requis suivants à Citrix Cloud dans l’assertion SAML :

  • objectSID (SID)
  • objectGUID (OID)
  • userPrincipalName (UPN)
  • Mail (adresse e-mail)
  • Display Name (displayName)

Vous pouvez configurer un sous-ensemble de ces attributs, à condition que les attributs SID ou UPN soient inclus dans l’assertion SAML. Citrix Cloud récupère les autres attributs de votre AD selon les besoins.

Remarque :

Pour garantir des performances optimales, Citrix recommande de configurer tous les attributs mentionnés dans cette section.

Bien que les étapes d’intégration spécifiques varient d’un fournisseur SAML à l’autre, le processus d’intégration comprend généralement les tâches suivantes :

  1. Installez un agent de synchronisation dans votre domaine AD pour établir une connexion entre votre domaine et votre fournisseur SAML. Si vous utilisez ADFS comme fournisseur SAML, cette étape n’est pas obligatoire.
  2. Créez des attributs personnalisés et associez-les aux attributs utilisateur AD requis mentionnés plus haut dans cette section. Pour référence, les étapes générales de cette tâche sont décrites dans la section Créer et mapper des attributs SAML personnalisés de cet article.
  3. Synchronisez vos utilisateurs AD avec votre fournisseur SAML.

Pour plus d’informations sur l’intégration de votre répertoire AD avec votre fournisseur SAML, consultez la documentation produit de votre fournisseur SAML.

Authentification de l’administrateur avec SAML 2.0

Citrix Cloud prend en charge l’utilisation de SAML 2.0 pour authentifier les membres des groupes d’administrateurs dans AD. Pour plus d’informations sur l’ajout de groupes d’administrateurs à Citrix Cloud, consultez Gérer les groupes d’administrateurs.

Utilisation d’une connexion SAML existante pour l’authentification des administrateurs

Si vous disposez déjà d’une connexion SAML 2.0 dans Citrix Cloud et que vous souhaitez l’utiliser pour authentifier les administrateurs, vous devez d’abord déconnecter SAML 2.0 dans Gestion des identités et des accès, puis reconfigurer la connexion. Si vous utilisez votre connexion SAML pour authentifier les abonnés à Citrix Workspace, vous devez également désactiver la méthode d’authentification SAML dans Configuration de l’espace de travail. Après avoir reconfiguré la connexion SAML, vous pouvez ajouter des groupes d’administrateurs à Citrix Cloud.

Si vous essayez d’ajouter des groupes d’administrateurs sans avoir préalablement déconnecté et reconnecté SAML 2.0, l’option d’identité Active Directory décrite dans Ajouter un groupe d’administrateurs à Citrix Cloud n’apparaît pas.

Vue d’ensemble des tâches relatives à la configuration d’une nouvelle connexion SAML

Pour configurer une nouvelle connexion SAML 2.0 dans Citrix Cloud, vous devez effectuer les tâches suivantes :

  1. Dans Gestion des identités et des accès, connectez votre répertoire AD local à Citrix Cloud comme décrit à la section Connecter Active Directory à Citrix Cloud.
  2. Intégrez votre fournisseur SAML à votre répertoire AD local comme décrit à la section Intégration SAML avec Active Directory de cet article.
  3. Configurez l’URL de connexion que les administrateurs peuvent utiliser pour se connecter à Citrix Cloud.
  4. Dans Gestion des identités et des accès, configurez l’authentification SAML dans Citrix Cloud. Cette tâche consiste à configurer les métadonnées SAML de Citrix Cloud dans votre fournisseur SAML, puis à configurer les métadonnées de votre fournisseur SAML dans Citrix Cloud pour créer la connexion SAML.

Vue d’ensemble des tâches relatives à l’utilisation d’une connexion SAML existante pour les administrateurs Citrix Cloud

Si vous disposez déjà d’une connexion SAML 2.0 dans Citrix Cloud et que vous souhaitez l’utiliser pour l’authentification des administrateurs, effectuez les tâches suivantes :

  1. Le cas échéant, désactivez l’authentification SAML 2.0 Workspace : Dans Configuration de l’espace de travail > Authentification, sélectionnez une autre méthode d’authentification, puis sélectionnez Confirmer lorsque vous y êtes invité.
  2. Déconnectez votre connexion SAML 2.0 existante : dans Gestion des identités et des accès > Authentification, localisez la connexion SAML. Dans le menu de points de suspension tout à droite, sélectionnez Déconnecter. Sélectionnez Oui, déconnecter pour confirmer l’action.
  3. Reconnectez SAML 2.0 et configurez la connexion : dans le menu de points de suspension pour SAML 2.0, sélectionnez Connecter.
  4. Lorsque vous y êtes invité, entrez un identifiant unique pour l’URL de connexion que les administrateurs utiliseront pour se connecter.
  5. Configurez la connexion SAML comme décrit dans la section Configurer les métadonnées du fournisseur SAML de cet article.

Après avoir configuré votre connexion SAML, vous pouvez ajouter vos groupes d’administrateurs AD à Citrix Cloud comme décrit dans Gérer les groupes d’administrateurs. Vous pouvez également réactiver SAML pour les abonnés à Workspace comme décrit dans cet article.

Créer et mapper des attributs SAML personnalisés

Si vous disposez déjà d’attributs personnalisés pour les attributs SID, UPN, OID, email et displayName configurés dans votre fournisseur SAML, vous n’avez pas à effectuer cette tâche. Passez à l’étape Créer une application de connecteur SAML et utilisez vos attributs SAML personnalisés existants à l’étape 5.

Remarque :

Les étapes de cette section décrivent les actions que vous effectuez dans la console d’administration de votre fournisseur SAML. Les commandes spécifiques que vous utilisez pour effectuer ces actions peuvent varier des commandes décrites dans cette section, en fonction du fournisseur SAML choisi. Les commandes du fournisseur SAML de cette section ne sont fournies qu’à titre d’exemples. Reportez-vous à la documentation de votre fournisseur SAML pour plus d’informations sur les commandes correspondantes de votre fournisseur SAML.

  1. Connectez-vous à la console d’administration de votre fournisseur SAML et sélectionnez l’option permettant de créer des attributs utilisateur personnalisés. Par exemple, en fonction de la console de votre fournisseur SAML, vous pouvez sélectionner Users > Custom User Fields > New User Field.
  2. Ajoutez des attributs pour les propriétés AD suivantes. Nommez les attributs en utilisant les valeurs par défaut affichées.

    Propriété AD Requis ou facultatif Valeur par défaut
    userPrincipalName Obligatoire si vous n’ajoutez pas d’attribut pour SID (recommandé). cip_upn
    objectSID Obligatoire si vous n’ajoutez pas d’attribut pour UPN. cip_sid
    objectGUID Facultatif pour l’authentification cip_oid
    mail Facultatif pour l’authentification cip_email
    displayName Requis par l’interface utilisateur de Workspace displayName
    givenName Requis par l’interface utilisateur de Workspace firstName
    sn Requis par l’interface utilisateur de Workspace lastName
    AD Forest Facultatif pour l’authentification cip_forest
    AD Domain Facultatif pour l’authentification cip_domain
  3. Sélectionnez le répertoire AD que vous avez connecté à Citrix Cloud. Par exemple, en fonction de la console de votre fournisseur SAML, vous pouvez sélectionner Users > Directories.
  4. Sélectionnez l’option permettant d’ajouter des attributs de répertoire. Par exemple, en fonction de la console de votre fournisseur SAML, vous pouvez sélectionner Directory Attributes.
  5. Sélectionnez l’option permettant d’ajouter des attributs et mappez les attributs AD suivants aux attributs utilisateur personnalisés que vous avez créés à l’étape 2 :
    • Si vous avez ajouté l’attribut pour SID à l’étape 2 (par exemple cip_sid), sélectionnez objectSid et associez-le à l’attribut que vous avez créé.
    • Si vous avez ajouté l’attribut pour UPN à l’étape 2 (par exemple cip_upn), sélectionnez UserPrincipalName et associez-le à l’attribut que vous avez créé.
    • Si vous avez ajouté l’attribut ObjectGUID à l’étape 2 (par exemple cip_oid), sélectionnez ObjectGUID et associez-le à l’attribut que vous avez créé.
    • Si vous avez ajouté l’attribut Mail à l’étape 2 (par exemple cip_email), sélectionnez mail et associez-le à l’attribut que vous avez créé.
    • Si vous avez ajouté l’attribut Display Name à l’étape 2 (par exemple, displayName), sélectionnez displayName et associez-le à l’attribut que vous avez créé.

Configurer l’URL de connexion de l’administrateur

  1. Connectez-vous à Citrix Cloud sur https://citrix.cloud.com.
  2. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès.
  3. Localisez SAML 2.0 et sélectionnez Connecter dans le menu de points de suspension.
  4. Lorsque vous y êtes invité, saisissez un identifiant court et descriptif pour votre entreprise et sélectionnez Enregistrer et continuer. La page Configurer SAML s’affiche.
  5. Passez à la section suivante pour configurer la connexion SAML à Citrix Cloud.

Configurer les métadonnées du fournisseur SAML

Dans cette tâche, vous créez une application de connecteur à l’aide des métadonnées SAML de Citrix Cloud. Après avoir configuré l’application SAML, vous utilisez les métadonnées SAML de votre application connecteur pour configurer la connexion SAML à Citrix Cloud.

Remarque :

Certaines étapes de cette section décrivent les actions que vous effectuez dans la console d’administration de votre fournisseur SAML. Les commandes spécifiques que vous utilisez pour effectuer ces actions peuvent varier des commandes décrites dans cette section, en fonction du fournisseur SAML choisi. Les commandes du fournisseur SAML de cette section ne sont fournies qu’à titre d’exemples. Reportez-vous à la documentation de votre fournisseur SAML pour plus d’informations sur les commandes correspondantes de votre fournisseur SAML.

Créer une application de connecteur SAML

  1. À partir de la console d’administration de votre fournisseur SAML, ajoutez une application pour un fournisseur d’identité en incluant des attributs et une réponse signée. Par exemple, en fonction de la console de votre fournisseur, vous pouvez sélectionner Applications > Applications > Add App, puis sélectionner SAML Test Connector (IdP w/ attr w/ sign response).
  2. Le cas échéant, entrez un nom complet et enregistrez l’application.
  3. Dans l’écran Configurer SAML dans Citrix Cloud, dans le champ Métadonnées SAML, sélectionnez Télécharger. Le fichier XML de métadonnées apparaît dans un autre onglet du navigateur.

    Remarque :

    Si nécessaire, vous pouvez également télécharger ce fichier depuis https://saml.cloud.com/saml/metadata.xml. Ce point de terminaison peut être plus facile d’accès pour certains fournisseurs d’identité lors de l’importation et du monitoring des métadonnées du fournisseur SAML.

  4. Entrez les détails suivants pour l’application de connecteur :
    • Dans le champ Audience, entrez https://saml.cloud.com.
    • Dans le champ Destinataire, entrez https://saml.cloud.com/saml/acs.
    • Dans le champ Validateur URL ACS, entrez https://saml.cloud.com/saml/acs.
    • Dans le champ URL ACS, entrez https://saml.cloud.com/saml/acs.
  5. Ajoutez vos attributs SAML personnalisés en tant que valeurs de paramètre dans l’application :

    Créer ce champ Attribuer cet attribut personnalisé
    cip_sid L’attribut personnalisé que vous avez créé pour SID. Exemple : cip_sid
    cip_upn L’attribut personnalisé que vous avez créé pour UPN. Exemple : cip_upn
    cip_oid L’attribut personnalisé que vous avez créé pour ObjectGUID. Exemple : cip_oid
    cip_email L’attribut personnalisé que vous avez créé pour Mail. Exemple : cip_email
    displayName L’attribut personnalisé que vous avez créé pour Display Name. Exemple : displayName
  6. Ajoutez vos abonnés Workspace en tant qu’utilisateurs pour leur permettre d’accéder à l’application.

Ajouter des métadonnées du fournisseur SAML à Citrix Cloud

  1. Obtenez les métadonnées SAML auprès de votre fournisseur SAML. L’image suivante montre à quoi ce fichier peut ressembler :

    Fichier de métadonnées SAML

  2. Sur l’écran Configurer SAML dans Citrix Cloud, entrez les valeurs suivantes à partir du fichier de métadonnées de votre fournisseur SAML :
    • Sous ID d’entité du fournisseur d’identité, entrez la valeur entityID de l’élément EntityDescriptor dans les métadonnées.

      ID de l'entité provenant du fichier de métadonnées SAML

    • Sous Signer demande d’authentification, sélectionnez Oui pour autoriser Citrix Cloud à signer les demandes d’authentification, certifiant qu’elles proviennent de Citrix Cloud et non d’un acteur malveillant. Sélectionnez Non si vous préférez ajouter l’URL Citrix ACS à une liste d’autorisation utilisée par votre fournisseur SAML pour publier des réponses SAML en toute sécurité.
    • Dans URL du service SSO, entrez l’URL du mécanisme de liaison que vous souhaitez utiliser. Vous pouvez utiliser la liaison HTTP-POST ou HTTP-Redirect. Dans le fichier de métadonnées, recherchez les éléments SingleSignOnService dont les valeurs de liaison sont HTTP-POST ou HTTP-Redirect.

      URL du service SSO provenant du fichier de métadonnées SAML

    • Dans Mécanisme de liaison, sélectionnez le mécanisme qui correspond à la liaison de l’URL du service SSO que vous avez choisie dans le fichier de métadonnées. Par défaut, HTTP Post est sélectionné.
    • Dans Réponse SAML, sélectionnez la méthode de signature utilisée par votre fournisseur SAML pour la réponse SAML et l’assertion SAML. Par défaut, l’option Signer la réponse ou l’assertion est sélectionnée. Citrix Cloud rejette toutes les réponses qui ne sont pas signées de la manière spécifiée dans ce champ.
  3. Dans la console d’administration de votre fournisseur SAML, effectuez les opérations suivantes :
    • Sélectionnez SHA-256 pour l’algorithme de signature SAML.
    • Téléchargez le certificat X.509 en tant que fichier PEM, CRT ou CER encodé au format Base 64.
  4. Sur la page Configurer SAML dans Citrix Cloud, sous Certificat X.509, sélectionnez Charger le fichier et sélectionnez le fichier de certificat que vous avez téléchargé à l’étape précédente.
  5. Sélectionnez Continuer pour terminer le chargement.
  6. Sous Contexte d’authentification, sélectionnez le contexte que vous souhaitez utiliser et le degré de rigueur avec lequel vous souhaitez que Citrix Cloud applique ce contexte. Sélectionnez Minimum pour demander l’authentification dans le contexte sélectionné sans appliquer l’authentification dans ce contexte. Sélectionnez Exact pour demander l’authentification dans le contexte sélectionné et appliquer l’authentification uniquement dans ce contexte. Si votre fournisseur SAML ne prend pas en charge les contextes d’authentification ou si vous choisissez de ne pas les utiliser, sélectionnez Non spécifié et Minimum. Par défaut, Non spécifié et Exact sont sélectionnés.
  7. Pour URL de déconnexion (facultatif), décidez si vous souhaitez que les utilisateurs qui se déconnectent de Citrix Workspace ou de Citrix Cloud se déconnectent également de toutes les applications Web auxquelles ils se sont précédemment connectés via le fournisseur SAML.
    • Si vous souhaitez que les utilisateurs restent connectés à leurs applications Web après s’être déconnectés de Citrix Workspace ou de Citrix Cloud, laissez le champ URL de déconnexion vide.
    • Si vous souhaitez que les utilisateurs se déconnectent de toutes les applications Web après s’être déconnectés de Citrix Workspace ou Citrix Cloud, entrez le point de terminaison SingleLogout (SLO) auprès de votre fournisseur SAML. Si vous utilisez Microsoft ADFS ou Azure Active Directory comme fournisseur SAML, le point de terminaison SLO est identique au point de terminaison d’authentification unique (SSO).

      Exemple d'URL de point de terminaison pour l'authentification unique et la déconnexion unique avec Microsoft Azure AD

  8. Vérifiez que les valeurs d’attribut par défaut suivantes dans Citrix Cloud correspondent aux valeurs d’attribut correspondantes configurées dans votre fournisseur SAML. Pour que Citrix Cloud puisse trouver ces attributs dans l’assertion SAML, les valeurs saisies ici doivent correspondre à celles de votre fournisseur SAML. Si vous n’avez configuré aucun attribut spécifique dans votre fournisseur SAML, vous pouvez utiliser la valeur par défaut dans Citrix Cloud ou laisser le champ vide, sauf indication contraire.

    • Nom d’attribut du nom d’affichage de l’utilisateur : la valeur par défaut est displayName.
    • Nom d’attribut du prénom de l’utilisateur : la valeur par défaut est firstName.
    • Nom d’attribut du nom de famille de l’utilisateur : la valeur par défaut est lastName.
    • Nom d’attribut de l’identificateur de sécurité (SID) : vous devez saisir ce nom d’attribut depuis votre fournisseur SAML si vous n’avez pas créé d’attribut pour UPN. La valeur par défaut est cip_sid.
    • Nom d’attribut du nom d’utilisateur principal (UPN) : vous devez saisir ce nom d’attribut depuis votre fournisseur SAML si vous n’avez pas créé d’attribut pour le SID. La valeur par défaut est cip_upn.
    • Nom d’attribut de l’e-mail : la valeur par défaut est cip_email.
    • Nom d’attribut de l’identificateur d’objet AD (OID) : la valeur par défaut est cip_oid.
    • Nom de l’attribut de la forêt AD : la valeur par défaut est cip_forest.
    • Nom d’attribut du domaine AD : la valeur par défaut est cip_domain.
  9. Sélectionnez Tester et terminer pour vérifier que vous avez correctement configuré la connexion.

Ajouter des administrateurs à Citrix Cloud depuis AD

Pour obtenir des instructions sur l’ajout et la gestion de groupes AD dans Citrix Cloud, consultez Gérer les groupes d’administrateurs.

Activer l’authentification SAML pour les espaces de travail

  1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail.
  2. Sélectionnez l’onglet Authentification
  3. Sélectionnez SAML 2.0.

Dépannage

Erreurs d’attribut

Des erreurs d’attribut peuvent survenir dans l’une des conditions suivantes :

  • Les attributs requis dans votre configuration SAML ne sont pas correctement codés.
  • Les attributs cip_sid et cip_upn sont absents de l’assertion SAML.
  • Les attributs cip_sid ou cip_oid sont absents de l’assertion SAML et Citrix Cloud ne peut pas les récupérer depuis Active Directory en raison d’un problème de connectivité.

Lorsqu’une erreur d’attribut se produit, Citrix Cloud affiche un message d’erreur qui inclut les attributs défectueux.

Message d'erreur d'attribut avec mention de cip_oid

Pour résoudre ce type d’erreur, procédez comme suit :

  1. Assurez-vous que votre fournisseur SAML envoie les attributs requis avec le codage correct, comme indiqué dans le tableau suivant. Au minimum, l’attribut SID ou UPN doit être inclus.

    Attribut Codage Obligatoire
    cip_email Doit être au format de chaîne (user@domain)  
    cip_oid Doit être au format Base64 ou au format de chaîne  
    cip_sid Doit être au format Base64 ou au format de chaîne Oui, si vous n’utilisez pas cip_upn
    cip_upn Doit être au format de chaîne (user@domain) Oui, si vous n’utilisez pas cip_sid
  2. Vérifiez que les Cloud Connector sont en ligne et fonctionnent correctement afin que Citrix Cloud puisse récupérer les attributs manquants dont il a besoin. Pour plus d’informations, consultez la section Contrôles d’intégrité avancés de Cloud Connector.

Erreurs inattendues

Citrix Cloud peut rencontrer une erreur inattendue dans les cas suivants :

  • Un utilisateur lance une demande SAML à l’aide d’un flux initié par le fournisseur d’identité. Par exemple, la demande est effectuée en sélectionnant une vignette via le portail d’applications du fournisseur d’identité au lieu d’accéder directement à l’URL de l’espace de travail (customer.cloud.com).
  • Le certificat SAML n’est pas valide ou a expiré.
  • Le contexte d’authentification n’est pas valide.
  • L’assertion SAML et la signature de réponse ne correspondent pas.

Lorsque cette erreur se produit, Citrix Cloud affiche un message d’erreur générique.

Message d'erreur inattendu

Si cette erreur résulte de la navigation vers Citrix Cloud via le portail d’applications d’un fournisseur d’identité, vous pouvez utiliser la solution suivante :

  1. Créez une application de signet dans le portail d’applications du fournisseur d’identité qui fait référence à l’URL de votre espace de travail (par exemple, https://customer.cloud.com).
  2. Attribuez les utilisateurs à la fois à l’application SAML et à l’application de signet.
  3. Modifiez les paramètres de visibilité de l’application SAML et de l’application de signet afin que l’application de signet soit visible et que l’application SAML soit masquée dans le portail d’applications.
  4. Désactivez le paramètre Sessions de fournisseur d’identité fédéré dans la configuration de l’espace de travail pour supprimer les demandes de mot de passe supplémentaires. Pour obtenir des instructions, consultez la section Sessions de fournisseur d’identité fédéré dans la documentation du produit Citrix Workspace.

Recommandations de débogage

Citrix recommande d’utiliser l’extension de navigateur SAML-tracer pour tous les débogages SAML. Cette extension est disponible pour la plupart des navigateurs Web courants. L’extension décode les requêtes et les réponses codées en Base64 en langage XML SAML, et les fournit donc en dans un format intelligible.

Liste des extensions du navigateur Firefox avec extension SAML-tracer en surbrillance

Cet outil vous permet, en tant qu’administrateur, de vérifier la valeur des attributs SAML envoyés à l’utilisateur et de rechercher la présence de signatures dans les requêtes et réponses SAML. Si vous avez besoin d’aide pour résoudre un problème lié à SAML, le support Citrix vous demandera de fournir le fichier de suivi SAML afin de comprendre le problème et de vous aider à le résoudre.

Sortie de fichier SAML-tracer

Informations supplémentaires