This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
条件认证
条件身份验证是一项新的安全功能,可帮助进一步增强您的零信任框架。 条件身份验证允许 Citrix Cloud 管理员根据您设置的策略条件在 Workspace 登录流程中将最终用户引导至不同的 IdP。 因此,不同的最终用户将根据管理员设定的风险因素拥有不同级别的访问验证。
在撰写本文时,支持四种不同的切换条件,这些条件将根据您定义的策略将您的最终用户引导至不同的 IdP 实例。
常见用例
- 并购,其中一个大型母公司正在合并多个较小的公司。
- 通过将第三方用户和承包商引导至专用的 IdP、OIDC 应用程序或 SAML 应用程序来授予他们 Workspace 访问权限,这与您组织内的全职员工通常被授权使用的应用程序不同。
- 大型组织具有多个分支机构或部门,需要不同的身份验证机制。
必备条件
- 在 Citrix Cloud 身份和访问管理页面中创建两个或更多身份提供者
多 IdP
到目前为止,只允许一个身份类型实例。 Citrix 现在支持添加同一身份提供程序类型的多个实例(例如,现在可以在“身份和访问管理”选项卡下添加多个 Azure AD)。
重要:
虽然 DaaS 和 SPA 目前支持多个 IdP,但一些服务仍在努力实现此功能并将很快推出。
配置条件身份验证
-
单击 创建条件身份验证配置文件。
-
输入您的配置文件名称,然后单击 创建身份验证策略。
-
根据需要选择适用于策略的条件,然后单击 保存。
-
导航到 工作区配置 并单击 身份验证 以选择您的身份提供者或条件身份验证配置文件。
条件身份验证概念
条件身份验证配置文件
条件身份验证配置文件由几个条件身份验证策略组成,这些策略根据您定义的条件控制最终用户如何向 Workspace 进行身份验证。 此配置文件允许对策略进行优先排序和重新排序,使您能够指定评估策略的顺序。
条件身份验证策略
条件身份验证策略是包含一个或多个条件的策略。 当使用 AND 逻辑满足这些条件时,它们会将最终用户的登录过程引导至特定的目标 IdP 实例,例如 Okta OIDC、SAML 或 Gateway IDP 连接。 可以克隆单个策略,以便根据需要进行修改和重命名。
每项政策包含以下数据:
- 策略规则是将最终用户引导至特定 IdP 实例所必须满足的一个或多个条件。 例如,使用工作区 URL 1 并且用户是 AD 组 1 的成员。
- 策略结果是用户在登录过程中被定向到的目标 IdP 实例。 例如,使用工作区 URL 1 并且用户是 AD 组 1 → AAD SAML IDP 实例的成员。
- 策略名称 - 这是用于识别和描述策略的管理员友好名称。 例如,
工作区 URL 1 和组 1 - AAD SAML。 - 策略优先级决定了策略的评估顺序。 优先级按降序排列。 例如:优先级 1 高于优先级 2。
条件身份验证预身份验证页面
根据您的工作区配置方式和条件身份验证配置文件中设置的条件,您的工作区用户可能会在登录过程中遇到预身份验证页面。 此页面对于捕获 Workspace 用户的用户名格式至关重要,这对于根据条件身份验证策略做出决策至关重要。 它确保用户的登录流被定向到适当的 IdP 实例。
登录自动填充
当需要预认证页面时,我们引入了登录自动填充功能,该功能会使用用户在预认证页面中的输入自动填充登录页面上的用户名字段。 这样就无需用户输入两次用户名。
登录自动填充功能由管理员在条件身份验证配置文件设置中管理和配置,如下所示:
-
单击条件身份验证配置文件页面中的 管理设置 。
-
点击 编辑
-
选择您想要启用登录自动填充功能的 IdP。
重要:
登录自动填充仅适用于支持它的 IdP,并且将默认为 AD & AD+TOTP 启用和强制执行(请参阅上面的屏幕截图了解默认设置)。
某些 IdP 需要特定的登录格式,有些 IdP 可以支持多种类型的用户名格式。 例如,Google CIoud Identity 要求用户使用他们的电子邮件地址 (
user.name@domain.com) 登录,该地址有时可能与他们的 UPN (username@domain.com) 不同。 如果 Workspace 最终用户在预身份验证页面中输入了下级登录名(域\用户名),则下级登录名将预先填充在 IdP 登录页面用户名字段中,并在用户尝试登录时导致错误。 在配置登录自动填充功能之前,管理员应该考虑最合适的 IdP 切换策略条件以及特定 IdP 在登录过程中期望接收的用户名格式。
政策条件类型
工作区 URL
在 工作区配置 > 访问中,每个工作区 URL 都可以链接到不同的 IdP 实例。 此外,多个工作区 URL 可以与同一个策略关联,将您的最终用户引导至同一个 IdP 实例。
注意:
如果配置文件仅由具有工作区 URL 条件的策略组成,则用户将跳过预身份验证页面并直接重定向到 IdP。 但是,如果配置文件包含任何具有除工作区 URL 之外的条件的策略,则无论匹配的策略是否为工作区 URL 类型,都会向最终用户显示预身份验证页面。
AD 用户组成员
AD 用户组成员资格允许您根据组成员资格为特定 Active Directory 用户组指定 IdP 实例。
UPN 后缀或域下级登录名是两个互斥的策略条件。 这些决定了您的最终用户必须输入到预身份验证页面所需的用户名格式。 您不能在同一政策中同时使用这两个条件。
UPN 后缀
为一个或多个 UPN 后缀配置 IdP 实例,例如 username1@domain.com 或 username2@domain.net。
域下级登录名
将 IdP 实例分配给一个或多个域名,如 DOMAIN1\username1 或 DOMAIN1.COM\username1。
当选择两个互斥条件之一时,另一个条件的下拉菜单选项将被禁用,以防止将其添加到同一策略中。
使用 Citrix 监视器集成进行故障排除
如果由于缺乏匹配策略而导致用户登录尝试失败,则会显示错误页面,并显示交易 ID。 然后,用户可以将此交易 ID 提供给他们的 Citrix Cloud 管理员以获得进一步帮助。
Citrix Cloud 管理员可以将 Workspace 最终用户提供的交易 ID 粘贴到 Citrix Monitor 中,以访问有关策略、输入的用户名以及相关的条件身份验证策略的详细信息。 此信息可帮助管理员更有效地排除故障并解决条件身份验证问题。
-
选择 监视器 ,然后单击右上角的搜索框。
-
从下拉列表中选择交易 ID。 仅提供过去 3 天的交易。
-
查看最终用户的失败交易以及已评估的条件身份验证策略的详细信息。 您可以单击 V 形按钮浏览所有已评估的政策,例如 <Policy 1 of 3> 对于最终用户来说。
云原生条件身份验证与基于 Netscaler 的自适应身份验证的比较
云原生条件身份验证功能旨在涵盖大多数条件身份验证用例。 但是,对于更高级的身份验证功能,可以使用基于 NetScaler 的自适应身份验证。
要使用基于 NetScaler 的自适应身份验证,请通过 Citrix Cloud 身份和访问管理 页面 > 条件身份验证配置文件 部分提交请求。
已知问题和限制
- 自定义域目前不支持条件身份验证。 这是未来更新的路线图项目。
- 为策略设置负优先级并不会按预期运行。 将在未来的更新中解决。
- 目前,仅 Active Directory 支持组条件。 未来将会添加原生的Entra Id组条件。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.