This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
条件身份验证(技术预览版)
注意:
技术预览版中的各项功能可在非生产环境或有限生产环境中使用,并为客户提供共享反馈的机会。Citrix 不接受技术预览版中各项功能的支持案例,但欢迎提供改进这些功能的反馈。您可以通过单击向我们发送您的反馈来提供有关此功能的反馈。Citrix 可能会根据反馈的严重性、紧迫性和重要性对反馈执行操作。
条件身份验证是一项新的安全功能,可帮助进一步增强您的零信任框架。条件身份验证允许 Citrix Cloud 管理员根据您设置的策略条件,在 Workspace 登录流程中将最终用户定向到不同的 IdP。因此,根据管理员确定的风险因素,不同的最终用户将获得不同级别的访问验证。
在撰写本文时,支持四种不同的切换条件,这些条件将根据您定义的策略将您的最终用户定向到不同的 IdP 实例。
常见用例
- 合并和收购,其中大型母组织包含多家正在合并的小公司。
- 通过引导第三方用户和承包商访问专用的 IdP、OIDC 应用程序或 SAML 应用程序,向他们授予 Workspace 访问权限,这与组织内全职员工通常有权使用的应用程序不同。
- 拥有多个分支机构或部门的大型组织,需要不同的身份验证机制。
必备条件
- AD 目录已同步到您的 IdP 并通过 Citrix Cloud Connector 连接到 Citrix Cloud。在 DaaS Web Studio 控制台中分配资源需要 Active Directory。
- 在 Citrix Cloud 身份和访问管理页面中创建的两个或更多身份提供程序
配置条件身份验证
-
单击“创建条件身份验证配置文件”。
-
为您的个人资料输入一个名称,然后单击“创建身份验证策略”。
-
根据需要选择要应用于策略的条件,然后单击“保存”。
-
导航到 Workspace 配置,然后单击“身份验证”以选择您的身份提供商或条件身份验证配置文件。
条件身份验证的概念
条件身份验证配置文件
条件身份验证配置文件由多个条件身份验证策略组成,这些策略控制最终用户如何根据您定义的条件向 Workspace 进行身份验证。此配置文件允许对策略进行优先级排序和重新排序,使您能够指定评估策略的顺序。
条件身份验证策略
条件身份验证策略是一种包含一个或多个条件的策略。当使用 AND 逻辑满足这些条件时,将引导最终用户登录到特定的目标 IdP 实例,例如 Okta OIDC、SAML 或网关 IDP 连接。可以克隆单个策略,允许根据需要进行修改和重命名。
每个策略都包含以下数据:
- 策略规则是将最终用户定向到特定 IdP 实例必须满足的一个或多个条件。例如,使用 Workspace URL 1,并且用户是 AD 组 1 的成员。
- 策略结果,即用户在登录过程中被定向到的目标 IdP 实例。例如,使用 Workspace URL 1,并且且用户是 AD 组 1 → AAD SAML IDP 实例的成员。
- 策略名称-这是一个管理员友好名称,用于标识和描述策略。
例如,
Workspace URL 1 AND Group1 - AAD SAML
。 - 策略优先级,它决定了策略的评估顺序。优先级按降序进行评估。例如:优先级 1 高于优先级 2。
“条件身份验证预身份验证”页面
根据您的 Workspace 的配置方式和条件身份验证配置文件中设置的条件,您的 Workspace 用户在登录过程中可能会遇到预身份验证页面。此页面对于捕获 Workspace 用户的用户名格式至关重要,这对于根据条件身份验证策略做出决策至关重要。它确保用户的登录流程被定向到相应的 IdP 实例。
登录自动填充
当需要预身份验证页面时,我们引入了登录自动填充功能,该功能使用用户从预身份验证页面输入的内容自动填充登录页面上的用户名字段。这使用户无需两次输入用户名。
登录自动填充功能由管理员在条件身份验证配置文件设置中管理和配置,如下所示:
-
在“条件身份验证”配置文件页面中单击“管理设置”。
-
单击“编辑”
-
选择您要为其启用登录自动填充功能的 IdP。
重要:
登录自动填充功能仅适用于支持它的 IdP,AD & AD+TOTP 将在默认情况下启用和强制执行(有关默认设置,请参阅上面的屏幕截图)。
某些 IdP 需要特定的登录格式,有些可以支持多种类型的用户名格式。例如,Google CIoud Identity 要求用户使用其电子邮件地址 (user.name@domain.com) 登录,该地址有时可能与他们的 UPN (username@domain.com) 不同。如果 Workspace 最终用户在预身份验证页面中输入下级登录名(域\用户名),则下级登录名将预先填充在 IdP 登录页面用户名字段中,并在用户尝试登录时导致错误。在配置登录自动填充功能之前,管理员应考虑最合适的 IdP 切换策略条件以及特定 IdP 在登录过程中期望收到的用户名格式。
保单条件类型
Workspace URL
在 Workspace 配置 > 访问中,每个 Workspace URL 可以链接到不同的 IdP 实例。此外,多个 Workspace URL 可以与同一个策略相关联,将您的最终用户定向到同一 IdP 实例。
注意:
如果配置文件仅包含具有 Workspace URL 条件的策略,则用户将跳过预身份验证页面,直接重定向到 IdP。但是,如果配置文件包含任何具有非 Workspace URL 条件的策略,则无论匹配策略是否属于 Workspace URL 类型,都将向最终用户显示预身份验证页面。
AD 用户组成员资格
AD 用户组成员资格允许您根据特定的 Active Directory 用户组成员资格为其指定 IdP 实例。
UPN 后缀或域下级登录名是两个相互排斥的政策条件。 它们决定了您的最终用户必须在身份验证前页面中输入的所需用户名格式。您不能在同一个策略中同时使用这两个条件。
UPN 后缀:为一个或多个 UPN 后缀(例如 username1@domain.com
或 username2@domain.net
)配置 IdP 实例。
域下级登录名:将 IdP 实例分配给一个或多个域名,例如 DOMAIN1\username1
或 DOMAIN1.COM\username1
。
当选择两个互斥条件中的一个时,另一个条件的下拉菜单选项将被禁用,以防止将其添加到同一个策略中。
已知问题及限制
-
条件身份验证当前支持所有先前列出的 IdP,但仅支持 AD 目录。此限制将在未来的版本中删除。因此,在 Studio 中向用户分配资源需要通过 AD 完成。
- 为策略分配负优先级无法发挥预期的作用。此问题将在以后的更新中得到解决。
- 目前,条件身份验证不支持自定义域。此功能计划包含在未来的更新中。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.