相关的自适应身份验证配置
编辑 FQDN
如果在 Workspace 配置中选择了 自适应身份验证 作为身份验证方法,则无法编辑 FQDN。必须切换到其他身份验证方法才能编辑 FQDN。但是,如有必要,您可以编辑证书。
重要:
- 在修改 FQDN 之前,请确保新 FQDN 已映射到 IdP 虚拟服务器公有 IP 地址。
- 使用 OAuth 策略连接到 Citrix Gateway 的现有用户必须将身份验证方法迁移到自适应身份验证。有关详细信息,请参阅将身份验证方法迁移到自适应身份验证。
要编辑 FQDN,请执行以下操作:
-
切换到与自适应身份验证不同的身份验证方法。
-
选择“我了解对订阅者体验的影响”,然后单击“确认”。
单击“确认”后,工作区对最终用户的登录将受到影响,并且在再次启用自适应身份验证之前,不会使用自适应身份验证进行身份验证。因此,建议您在维护时段内修改 FQDN。
-
在“上载证书”屏幕中,修改 FQDN。
-
单击保存更改。
重要信息:
如果编辑 FQDN,则还必须再次上载证书。
-
单击自适应身份验证主页中的启用(步骤 3),再次启用自适应身份验证方法。
-
单击 刷新。
自定义 Workspace URL 或虚名 URL
自定义 Workspace URL 允许您使用自己选择的域来访问您的 Citrix Workspace 应用商店。 用户可以使用默认 Workspace URL 或自定义 Workspace URL 或两者访问 Workspace。
要配置自定义 Workspace URL 或虚 URL,必须执行以下操作:
- 配置您的自定义域名。有关详细信息,请参阅配置您的自定义域名。
-
使用与当前或默认配置文件 (AAuthAutoConfig_oauthIdpProf) 相同的客户端 ID、密钥和受众配置新的 OAuthIDP 配置文件,但重定向 URL 不同。有关详细信息,请参阅配置 OAuth 策略和配置文件。
示例:
当前配置文件:
-
add authentication OAuthIDPProfile AAuthAutoConfig_oauthIdpProf -clientID xxxx -clientSecret yyyy -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_07_09_20_09_30 -redirectURL "https://accounts-internal.cloud.com/core/login-cip" -audience zzzz -sendPassword ON
add authentication OAuthIdPPolicy AAuthAutoConfig_oauthIdpPol -rule true -action AAuthAutoConfig_oauthIdpProf
bind authentication vserver auth_vs -policy AAuthAutoConfig_oauthIdpPol -priority 100 -gotoPriorityExpression NEXT
新配置文件:
add authentication OAuthIDPProfile AAuthAutoConfig_oauthIdpProf_Custom1 -clientID xxxx -clientSecret yyyy -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_07_09_20_09_30 -redirectURL "https://custom_domain/core/login-cip" -audience zzzz -sendPassword ON
add authentication OAuthIdPPolicy AAuthAutoConfig_oauthIdpPol_Custom1 -rule true -action AAuthAutoConfig_oauthIdpProf_Custom1
bind authentication vserver auth_vs -policy AAuthAutoConfig_oauthIdpPol_Custom1 -priority 101 -gotoPriorityExpression NEXT
重要:
- OAuth 策略和配置文件由自适应身份验证服务在配置阶段创建。因此,Citrix Cloud 管理员无法访问未加密的客户端密钥。您可以从 ns.conf 文件中获取加密的密钥。要创建 OAuth 配置文件,必须使用加密密钥并仅使用 CLI 命令创建配置文件。
- 您无法使用 NetScaler 用户界面创建 OAuth 配置文件。
安排自适应身份验证实例的升级
对于当前站点或部署,可以选择升级的维护时段。
重要:
请勿将自适应身份验证实例升级为随机 RTM 构建。所有升级均由 Citrix Cloud 管理。
-
在自适应身份验证 UI 的预配自适应身份验证实例部分中,单击省略号按钮。
- 单击“计划升级”。
- 选择升级的日期和时间。
取消预配您的自适应身份验证实例
在以下情况下,根据 Citrix 支持的建议,客户可以取消预配自适应身份验证实例。
- 自适应身份验证实例不可访问(尤其是在计划升级之后),尽管这种情况可能不会发生。
- 如果客户必须从 VNet 对等模式切换到连接器模式或相反。
- 如果客户在预配 VNet 对等模式时选择了错误的子网(子网与其数据中心或 Azure VNet 中的其他子网冲突)。
注意:
取消预配也会删除实例的配置备份。因此,在取消预配自适应身份验证实例之前,您必须下载并保存备份文件。
要取消预配自适应身份验证实例,请执行以下操作:
-
在自适应身份验证 UI 的预配自适应身份验证实例部分中,单击省略号按钮。
-
单击“取消预配”。
注意:
在取消预配之前,必须断开 Citrix Gateway 与 Workspace 配置的连接。
-
输入客户 ID 以取消配置自适应身份验证实例。
启用对网关的安全访问
- 在自适应身份验证 UI 的预配自适应身份验证实例部分中,单击省略号按钮。
-
单击“安全管理访问”。
- 在 密钥应过期时间中,选择新 SSH 密钥的过期持续时间。
-
单击“生成并下载密钥”。 复制或下载 SSH 私钥供以后使用,因为该密钥在页面关闭后不会显示。此密钥可用于使用用户名
authadmin
登录自适应身份验证实例。如果较早的 密钥对过期,您可以单击生成并下载 密钥来创建新的密钥对。但是,只能有一个密钥对处于活动状态。
- 单击 Done(完成)。
重要:
如果您在 Windows 上使用 PuTTY 连接到自适应身份验证实例,则必须将下载的私有密钥转换为 PEM。有关详细信息,请参阅 https://www.puttygen.com/convert-pem-to-ppk。
- 建议使用以下命令通过 MAC 终端或从 Windows(版本 10)的 PowerShell/命令提示符下通过终端连接到自适应身份验证实例。
ssh -i <path-to-private-key> authadmin@<ip address of ADC>
- 如果希望 AD 用户访问自适应身份验证 GUI,则必须将他们作为新管理员添加到 LDAP 组。有关详细信息,请参阅 https://support.citrix.com/article/CTX123782。 对于所有其他配置,Citrix 建议您使用自适应身份验证 GUI 而不是 CLI 命令。
使用 Azure VNet 对等互连设置与本地身份验证服务器的连接
只有将连接类型选择为 Azure VNet 对等互连时,才必须设置此配置。
注意:
如果您使用的是第三方 IDP,如 Okta、Azure AD、Ping,则不需要执行此步骤。
-
在“连接自适应身份验证 UI”上,单击“预配”,然后单击“Azure VNet 对等”。
Citrix 托管服务主体 字段包含 Citrix 为您的客户创建的 Azure 服务主体的应用程序 ID。此服务主体是允许 Citrix 将 VNet 对等项添加到订阅和租户中的 VNet 所必需的。
要允许此服务主体登录到客户租户,客户站点的管理员(租户的全局管理员)必须运行以下 PowerShell 命令将 SPN 添加到租户。也可以使用 CloudShell。
Connect-AzureAD
New-AzureADServicePrincipal -AppId $App_ID
其中$App_ID
是 Citrix 共享的 SPN 应用程序 ID。注意:
- 前面提到的命令输出一个必须用于角色分配的服务主体名称。
- 要允许此服务主体添加 Azure VNet 对等互连,客户站点的管理员(不限于全局管理员)必须向 VNet 添加“网络参与者”角色,该角色必须链接到 Citrix 托管 VNet。
- SPN 是用于关联 Azure 中的 Citrix 虚拟网络的唯一标识符。将 SPN 与 VNet 关联可使 Citrix 虚拟网络通过 Azure 的 VNet 连接到客户的本地网络。
-
创建 VNet 对等互连。
- 输入运行前面步骤的租户 ID,然后单击 Fetch(提取)。
这将使用为 SPN 添加网络贡献者角色的候选 VNet 填充客户管理的 VNet 资源 ID。如果看不到 VNet,请确保前面的步骤正确运行或重复这些步骤。
注意:
有关如何查找租户 ID 的详细信息,请参阅 https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-how-to-find-tenant。
- 选择 使用 Azure VPN 网关 将本地网络连接到 Azure。
- 在 客户托管 VNet 资源 ID中,选择标识为对等互连的 VNet,然后单击 添加。 VNet 将添加到表中,最初的状态为“进行中”。成功完成对等互连后,状态将变为“完成”。
- 单击 Done(完成)。
-
继续进行配置,请参阅 步骤 1:设置自适应身份验证。
重要:
- 为了使流量在 Citrix 托管 VNet 和本地网络之间流动,可能会更改内部部署的防火墙和路由规则,以将流量定向到 Citrix 托管 VNet。
- 一次只能添加一个 VNet 对等项。目前不允许多个 VNet 对等。您可以删除 VNet 对等互连或根据需要创建一个。
配置备份和还原
Application Delivery Management 服务对自适应身份验证实例执行备份管理。有关详细信息,请参阅 备份和还原 NetScaler 实例。
- 在“Application Delivery Management”图块上,单击管理。
- 导航到 基础架构 > 实例 并访问备份。
注意:
如果您没有看到已载入的服务,请登录 Application Delivery Management 服务。有关详细信息,请参阅 入门。
LDAP 和 LDAPS 负载平衡配置示例
Citrix 自适应身份验证实例使用负载平衡虚拟服务器提供 LDAP/LDAPS 支持。
注意:
- 如果您没有为 LDAP/LDAPS 使用负载平衡,请避免为 LDAP 服务器创建服务或服务器,因为这可能会中断自适应身份验证通道。
- 如果您在 LDAP 中使用负载平衡,请创建一个服务组并将其绑定到负载平衡服务而不是独立服务。
- 使用负载平衡虚拟服务器进行身份验证时,请确保在 LDAP 操作中添加负载平衡虚拟服务器 IP 地址,而不是实际的 LDAP 服务器 IP 地址。
- 默认情况下,TCP 监视器绑定到您创建的服务。在自适应身份验证 NetScaler 实例上,如果使用 TCP 监视器,则该服务默认标记为 UP。
- 要进行监视,建议您使用自定义监视器。
必备条件
负载平衡虚拟服务器的私有 IP 地址(RFC1918 地址)。它可以是虚拟 IP 地址,因为此地址用于内部配置。
负载平衡 LDAP 服务器
对于负载平衡 LDAP 服务器,创建服务组并将其绑定到负载平衡虚拟服务器。不要为负载平衡 LDAP 服务器创建服务。
使用 NetScaler CLI 配置 LDAP:
您可以使用以下 CLI 命令作为配置 LDAP 的参考。
add serviceGroup <serviceGroupName> <serviceType>
bind servicegroup <serviceGroupName> (<IP> | <serverName>) <port>
-
add lb vserver <name> <serviceType> <ip> <port>
-端口必须为 389。此端口用于内部通信,根据为服务组配置的端口,通过 SSL 连接到本地服务器。 bind lb vserver <name> <serviceGroupName>
add authentication ldapAction <name> {-serverIP} <ip_addr> | {-serverName <string>}} <lb vserver ip>
add authentication policy <ldap_policy_name> -rule <expression> -action <string>
bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <ldap_policy_priority> -gotoPriorityExpression NEXT
使用 NetScaler GUI 配置 LDAP:
- 导航到“流量管理”>“负载平衡”,然后单击“虚拟服务器”。
-
创建 TCP 类型和端口 389 的虚拟服务器。
不要创建类型为 SSL/SSL_TCP 的负载平衡虚拟服务器。
- 导航到“流量管理”>“负载平衡”,然后单击“服务组”。
- 创建 TCP 类型和端口 389 的服务组。
- 将服务组绑定到您在步骤 1 中创建的虚拟服务器。
有关过程的详细信息,请参阅设置基本负载平衡。
负载平衡 LDAPS 服务器
对于负载平衡 LDAPS 服务器,必须创建 TCP 类型的负载平衡虚拟服务器,以避免对自适应身份验证实例进行内部 SSL 加密或解密。在这种情况下,负载平衡虚拟服务器处理 TLS 加密/解密。不要创建 SSL 类型的负载平衡虚拟服务器。
使用 NetScaler CLI 配置 LDAPS:
您可以使用以下 CLI 命令作为配置 LDAPS 的参考。
-
add lb vserver <name> <serviceType> <ip> <port>
-端口必须为 636。 bind lb vserver <name> <serviceGroupName>
add authentication ldapAction <name> {-serverIP} <ip_addr> | {-serverName <string>}} <lb vserver ip>
add authentication policy <ldap_policy_name> -rule <expression> -action <string>
bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <ldap_policy_priority> -gotoPriorityExpression NEXT
使用 NetScaler GUI 配置 LDAPS:
- 导航到“流量管理”>“负载平衡”,然后单击“虚拟服务器”。
-
创建 TCP 类型和端口 636 的虚拟服务器。
不要创建类型为 SSL/SSL_TCP 的负载平衡虚拟服务器。
- 导航到“流量管理”>“负载平衡”,然后单击“服务”。
- 创建 SSL_TCP 类型和端口 636 的服务。
- 将服务绑定到您在步骤 1 中创建的虚拟服务器。
有关过程的详细信息,请参阅设置基本负载平衡。
创建自定义监视器
使用 NetScaler GUI 创建自定义监视器:
- 导航到流量管理 > 负载平衡 > 监视器。
- 创建 LDAP 类型的监视器。确保将监视器探测间隔设置为 15 秒,将响应超时设置为 10 秒。
- 将此显示器绑定到您的服务。
有关更多详细信息,请参阅 自定义显示器。
最多可添加 15 个管理员 IP 地址
自适应身份验证服务允许您输入多达 15 个公共 IP 子网和单个 IP 地址来访问自适应身份验证管理控制台。
输入 IP 地址/子网时的注意事项:
- 确保公有 IP 子网的 CIDR 介于 /20 到 /32.B 之间
- 确保条目之间没有重叠。
示例:
- 192.0.2.0/24 和 192.0.2.8 不被接受,因为 192.0.2.8 位于 192.0.5.0/24 内。
- 不接受重叠子网:192.0.2.0/24 和 192.0.0.0/20,因为子网重叠。
-
输入网络子网值时,输入网络 IP 地址作为 IP 地址值。
示例:
- 192.0.2.2/24 不正确,改用 191.0.2.0/24
- 192.0.2.0/20 不正确,改用 192.0.0.0/20
要启用此功能,请联系 Citrix 支持部门。
将身份验证方法迁移到自适应身份验证
已经使用带身份验证方法的自适应身份验证作为 Citrix Gateway 的客户必须迁移自适应身份验证,然后从自适应身份验证实例中删除 OAuth 配置。
- 切换到 Citrix Gateway 以外的其他身份验证方法。
-
在 Citrix Cloud > 身份和访问管理中,单击与 Citrix Gateway 对应的省略号按钮,然后单击 断开连接。
-
选择我了解对订阅者体验的影响,然后单击确认。
单击“确认”后,工作区对最终用户的登录将受到影响,并且在再次启用自适应身份验证之前,不会使用自适应身份验证进行身份验证。
-
在自适应身份验证实例管理控制台中,删除 OAuth 相关的配置。
通过使用 CLI:
unbind authentication vs <authvsName> -policy <oauthIdpPolName> rm authentication oauthIdpPolicy <oauthIdpPolName> rm authentication oauthIdpProfile <oauthIdpProfName> <!--NeedCopy-->
通过使用 GUI:
- 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Virtual Servers(虚拟服务器)。
- 解除 OAuth 策略的绑定。
- 导航到 安全 > AAA-应用程序流量 > 策略 > 身份验证 > 高级策略 > OAuth IDP。
- 删除 OAuth 策略和配置文件。
-
导航到 Citrix Cloud > 身份识别和访问管理。 在“身份验证”选项卡的“自适应身份验证”中,单击省略号菜单,然后选择管理。
- 单击“查看详情”。
- 在“上载证书”屏幕中,执行以下操作:
- 添加自适应身份验证 FQDN。
- 移除证书和密钥文件并重新上载。
重要:
如果您直接编辑 FQDN 或证书密钥对而不迁移到 自适应身份验证,则与身份和访问管理的连接将失败,并显示以下错误。您必须迁移到自适应身份验证方法来修复这些错误。
- ADC 命令失败,并出现错误。策略已绑定到指定的优先级。
- ADC 命令失败,并出现错误。无法解除未绑定的策略的绑定。
-
单击保存更改。
此时,身份和访问管理将自适应身份验证显示为已连接,并且自适应身份验证实例已自动配置了 OAuth 配置文件。
您可以从 GUI 中验证这一点。
- 访问您的自适应身份验证实例并使用您的凭据登录。
- 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Virtual Servers(虚拟服务器)。您必须看到 OAuth IdP 配置文件已创建。
- 导航到 Citrix Cloud > 身份识别和访问管理。自适应身份验证处于“已 连接”状态。
-
单击自适应身份验证主页中的启用(步骤 3),再次启用自适应身份验证方法。
此步骤在工作区配置中启用身份验证方法作为自适应身份验证。
- 单击“启用”后,单击步骤 3 中的工作区链接。您必须看到身份验证方法已更改为自适应身份验证。
注意:
除删除 OAuth 相关配置的步骤外,新用户必须遵循相同的步骤。
身份验证配置示例
客户可以配置自己选择的身份验证策略并将其绑定到身份验证虚拟服务器。身份验证虚拟服务器不需要身份验证配置文件绑定。只能配置身份验证策略。以下是一些用例。
重要信息:
身份验证配置只能在主节点上完成。
带条件身份验证的多因素身份验证
- 使用双因素架构使用 LDAP 和 RADIUS 进行双重身份验证(仅接受一次用户输入)
- 根据组织中用户的部门(员工、合作伙伴、供应商)的身份验证登录方法,通过下拉菜单选择部门
- 使用下拉菜单根据用户域进行身份验证登录方法
- 将电子邮件ID(或用户名)输入配置为第一因素,并根据组提取进行条件访问,第一因素是电子邮件 ID,并为每个组提供不同的登录类型
- 使用证书身份验证的多重身份验证,对拥有用户证书的用户使用证书身份验证,对非证书用户使用本机 OTP 注册
- 根据用户主机名输入使用条件身份验证的不同身份验证类型
- 使用本机 OTP 身份验证的双重身份验证
- Google Re-CAPTCHA
与多因素身份验证的第三方集成
- 将 Azure AD 配置为 SAML IdP(将下一个因素配置为 LDAP 策略-NO_AUTH 以完成 OAuth 信任)
- 使用第一因素作为 SAML 的条件身份验证,然后基于 SAML 属性自定义登录证书或 LDAP
- 第一个因素是 webauth 登录,其次是 LDAP
Device Posture 扫描 (EPA)
- 设备姿势检查,用于版本检查,然后为合规 (RADIUS) 和不合规用户 (LDAP) 进行自定义登录
- LDAP 身份验证,然后进行强制设备状态扫描
- AD 身份验证前后的设备状态检查 - EPA 之前和之后作为一个因素
- 作为 EPA 因素的设备证书