条件认证
条件身份验证是一项新的安全功能,可帮助进一步增强您的零信任框架。 条件身份验证允许 Citrix Cloud 管理员根据您设置的策略条件在 Workspace 登录流程中将最终用户引导至不同的 IdP。 因此,不同的最终用户将根据管理员设定的风险因素拥有不同级别的访问验证。
在撰写本文时,支持五种不同的切换条件,这些条件将根据您定义的策略将您的最终用户引导至不同的 IdP 实例。
常见用例
- 并购,其中一个大型母公司正在合并多个较小的公司。
- 通过将第三方用户和承包商引导至专用的 IdP、OIDC 应用程序或 SAML 应用程序来授予他们 Workspace 访问权限,这与您组织内的全职员工通常被授权使用的应用程序不同。
- 大型组织具有多个分支机构或部门,需要不同的身份验证机制。
必备条件
- 在 Citrix Cloud 身份和访问管理页面中创建两个或更多身份提供者
多 IdP
到目前为止,只允许一个身份类型实例。 Citrix 现在支持添加同一身份提供程序类型的多个实例(例如,现在可以在“身份和访问管理”选项卡下添加多个 Azure AD)。
重要:
虽然 DaaS 和 SPA 目前支持多个 IdP,但一些服务仍在努力实现此功能并将很快推出。
配置条件身份验证
-
单击 创建条件身份验证配置文件。
-
输入您的配置文件名称,然后单击 创建身份验证策略。
-
根据需要选择适用于策略的条件,然后单击 保存。
-
导航到 工作区配置 并单击 身份验证 以选择您的身份提供者或条件身份验证配置文件。
条件身份验证概念
条件身份验证配置文件
条件身份验证配置文件由几个条件身份验证策略组成,这些策略根据您定义的条件控制最终用户如何向 Workspace 进行身份验证。 此配置文件允许对策略进行优先排序和重新排序,使您能够指定评估策略的顺序。
条件身份验证策略
条件身份验证策略是包含一个或多个条件的策略。 当使用 AND 逻辑满足这些条件时,它们会将最终用户的登录过程引导至特定的目标 IdP 实例,例如 Okta OIDC、SAML 或 Gateway IDP 连接。 可以克隆单个策略,以便根据需要进行修改和重命名。
每项政策包含以下数据:
- 策略规则是将最终用户引导至特定 IdP 实例所必须满足的一个或多个条件。 例如,使用工作区 URL 1 并且用户是 AD 组 1 的成员。
- 策略结果是用户在登录过程中被定向到的目标 IdP 实例。 例如,使用工作区 URL 1 并且用户是 AD 组 1 → AAD SAML IDP 实例的成员。
- 策略名称 - 这是用于识别和描述策略的管理员友好名称。 例如,
工作区 URL 1 和组 1 - AAD SAML。 - 策略优先级决定了策略的评估顺序。 优先级按降序排列。 例如:优先级 1 高于优先级 2。
条件身份验证预身份验证页面
根据您的工作区配置方式和条件身份验证配置文件中设置的条件,您的工作区用户可能会在登录过程中遇到预身份验证页面。 此页面对于捕获 Workspace 用户的用户名格式至关重要,这对于根据条件身份验证策略做出决策至关重要。 它确保用户的登录流被定向到适当的 IdP 实例。
登录自动填充
当需要预认证页面时,我们引入了登录自动填充功能,该功能会使用用户在预认证页面中的输入自动填充登录页面上的用户名字段。 这样就无需用户输入两次用户名。
登录自动填充功能由管理员在条件身份验证配置文件设置中管理和配置,如下所示:
-
单击条件身份验证配置文件页面中的 管理设置 。
-
点击 编辑
-
选择您想要启用登录自动填充功能的 IdP。
重要:
登录自动填充仅适用于支持它的 IdP,并且将默认为 AD & AD+TOTP 启用和强制执行(请参阅上面的屏幕截图了解默认设置)。
某些 IdP 需要特定的登录格式,有些 IdP 可以支持多种类型的用户名格式。 例如,Google CIoud Identity 要求用户使用他们的电子邮件地址 (
user.name@domain.com) 登录,该地址有时可能与他们的 UPN (username@domain.com) 不同。 如果 Workspace 最终用户在预身份验证页面中输入了下级登录名(域\用户名),则下级登录名将预先填充在 IdP 登录页面用户名字段中,并在用户尝试登录时导致错误。 在配置登录自动填充功能之前,管理员应该考虑最合适的 IdP 切换策略条件以及特定 IdP 在登录过程中期望接收的用户名格式。
政策条件类型
注意:
如果条件身份验证配置文件仅包含工作区 URL 条件类型或网络位置名称条件类型的策略,则不会显示预身份验证页面,并且用户将直接重定向到 IdP。 如果配置文件包含任何其他策略条件类型,则将向最终用户显示预身份验证页面。 即使匹配策略是工作区 URL 或网络位置名称类型,也是如此。
工作区 URL
在 工作区配置 > 访问中,每个工作区 URL 都可以链接到不同的 IdP 实例。 此外,多个工作区 URL 可以与同一个策略关联,将您的最终用户引导至同一个 IdP 实例。
AD 用户组成员
AD 用户组成员资格允许您根据组成员资格为特定 Active Directory 用户组指定 IdP 实例。
UPN 后缀或域下级登录名是两个互斥的策略条件。 这些决定了您的最终用户必须输入到预身份验证页面所需的用户名格式。 您不能在同一政策中同时使用这两个条件。
UPN 后缀
为一个或多个 UPN 后缀配置 IdP 实例,例如 username1@domain.com 或 username2@domain.net。
域下级登录名
将 IdP 实例分配给一个或多个域名,如 DOMAIN1\username1 或 DOMAIN1.COM\username1。
当选择两个互斥条件之一时,另一个条件的下拉菜单选项将被禁用,以防止将其添加到同一策略中。
网络位置名称
根据客户端公共出口 IP 和网络位置名称分配 IdP 实例。
-
在网络位置下创建您的公共 IP 地址范围。
-
点击“添加网络位置”,输入名称和公共 IP 地址范围(CIDR 表示法)
或者,在 Citrix Cloud 租户上启用智能访问标记时
-
确认网络位置已正确添加。
-
在您的条件身份验证配置文件中,位置名称将被预先填充。 选择所需的位置名称并分配目标 IdP。
重要:
任何未在网络位置站点内明确定义且未被网络位置名称策略引用的客户端出口 IP 都被归类为“未定义”。
常见的 NLS 用例/配置:
-
NLS 场景 1:阻止外部(未定义)IP 进行身份验证和访问工作区。
策略 1:只有在 AllInternalIPs NLS 站点内定义了出口 IP 的内部客户端才能使用 AD 登录工作区。
-
NLS 场景 2:将所有“未定义”的出口 IP 定向到“捕获所有 Idp 实例”,并附加额外的身份验证因素和/或增强的安全性。 使用“不匹配任何”和所有内部 NLS 站点的列表定义“捕获所有未定义的出口 IP”策略。
策略 1:只有在 AllInternalIPs NLS 站点内定义了出口 IP 的内部客户端才能使用 AD 登录工作区。
策略 2:任何未在 AllInternalIPs NLS 站点内定义的外部出口 IP 都必须使用 TOTP 登录到工作区。
为条件身份验证配置文件设置自定义错误消息
可以配置用户友好的错误消息,当您的所有策略条件都不符合用户输入的内容时,这些消息会显示给工作区最终用户。
-
在您的条件身份验证配置文件中,选择 管理设置。
-
编辑要显示给最终用户的默认错误消息。
使用 Citrix 监视器集成进行故障排除
如果由于缺乏匹配策略而导致用户登录尝试失败,则会显示错误页面,并显示交易 ID。 然后,用户可以将此交易 ID 提供给他们的 Citrix Cloud 管理员以获得进一步帮助。
Citrix Cloud 管理员可以将 Workspace 最终用户提供的交易 ID 粘贴到 Citrix Monitor 中,以访问有关策略、输入的用户名以及相关的条件身份验证策略的详细信息。 此信息可帮助管理员更有效地排除故障并解决条件身份验证问题。
-
选择 监视器 ,然后单击右上角的搜索框。
-
从下拉列表中选择交易 ID。 仅提供过去 3 天的交易。
-
查看最终用户的失败交易以及已评估的条件身份验证策略的详细信息。 您可以单击 V 形按钮浏览所有已评估的政策,例如 <Policy 1 of 3> 对于最终用户来说。
云原生条件身份验证与基于 Netscaler 的自适应身份验证的比较
云原生条件身份验证功能旨在涵盖大多数条件身份验证用例。 但是,对于更高级的身份验证功能,可以使用基于 NetScaler 的自适应身份验证。
要使用基于 NetScaler 的自适应身份验证,请通过 Citrix Cloud 身份和访问管理 页面 > 条件身份验证配置文件 部分提交请求。
已知问题和限制
- 自定义域目前不支持条件身份验证。 这是未来更新的路线图项目。
- 为策略设置负优先级并不会按预期运行。 将在未来的更新中解决。
- 目前,仅 Active Directory 支持组条件。 未来将会添加原生的Entra Id组条件。