将 Azure Active Directory 连接到 Citrix Cloud
Citrix Cloud 支持使用 Azure Active Directory (AD) 对 Citrix Cloud 管理员和工作区订阅者进行身份验证。
在 Citrix Cloud 中使用 Azure AD 时,可以执行以下操作:
- 利用自己的 Active Directory,以便能够控制审核和密码策略,以及在需要时轻松禁用帐户。
- 配置多因素身份验证以提高安全级别,防止出现被盗登录凭据的可能性。
- 使用带标志的登录页面,以便您的用户知晓自己正在正确的位置登录。
- 使用您选择的身份提供程序的联合,其中包括 ADFS、Okta 和 Ping。
Azure AD 应用程序和权限
Citrix Cloud 包含一个 Azure AD 应用程序,该应用程序允许 Citrix Cloud 无需登录活动的 Azure AD 会话即可与 Azure AD 进行连接。自此应用程序推出以来,Citrix 发布了可提高性能并支持新功能和权限的更新。
如果您有与 Citrix Cloud 的现有 Azure AD 连接,并且想要使用最新更新的应用程序,则需要在 Citrix Cloud 中更新您的 Azure AD 连接。有关详细信息,请参阅本文中的 已更新应用程序的重新连接到 Azure AD 。如果您选择不更新应用程序,则现有连接将继续正常运行。
有关 Citrix Cloud 用于连接您的 Azure AD 的 Azure AD 应用程序和权限的详细信息,请参阅适用于 Citrix Cloud 的 Azure Active Directory 权限。
提示:
通过 Citrix 身份和身份验证简介教育课程,详细了解受支持的身份 提供商。“规划 Citrix 身份和访问管理”模块包括一些简短的视频,这些视频将引导您完成将此身份提供商连接到 Citrix Cloud 以及为 Citrix Workspace 启用身份验证的过程。
使用多个 Citrix Cloud 帐户进行身份验证
本文介绍如何将作为身份提供者的 Azure AD 连接到单个 Citrix Cloud 帐户。如果您有多个 Citrix Cloud 帐户,则可以将每个帐户连接到同一 Azure AD 租户。请执行以下任务:
- 登录您的 Citrix Cloud 帐户,然后从客户选择器中选择相应的客户 ID。
- 如果所选客户是您第一个连接到 Azure AD 的客户,请按照本文中的所有步骤同步您的 AD 和 Azure AD、将客户连接到 Citrix Cloud 以及添加管理员。
- 要连接其他客户,请单击 Citrix Cloud 控制台右上角的用户菜单,选择更改客户,然后选择要连接的下一个客户 ID。
- 按照本文将 Citrix Cloud 连接到 Azure AD 中所述,将客户连接到您的 Azure AD。
- 对每个客户 ID 重复步骤 3 和 4。
准备您的 Active Directory 和 Azure AD
请务必满足以下要求,以便能够使用 Azure AD:
- 您有一个 Microsoft Azure 帐户。每个 Azure 帐户都随附免费的 Azure AD。如果您没有 Azure 帐户,请 通过 https://azure.microsoft.com/en-us/free/?v=17.36注册。
- 您在 Azure AD 中拥有全局管理员角色。要允许 Citrix Cloud 连接 Azure AD,必须使用此角色。
- 管理员帐户具有在 Azure AD 中配置的“mail”属性。为此,您可以使用 Microsoft 的 Azure AD Connect 工具将帐户从本地 Active Directory 同步到 Azure AD 中。或者,可以通过 Office 365 电子邮件配置未同步的 Azure AD 帐户。
通过 Azure AD Connect 同步帐户
- 确保 Active Directory 帐户配置了电子邮件用户属性:
- 打开 Active Directory 用户和计算机。
- 在 用户 文件夹中,找到要检查的帐户,右键单击并选择 属性。在“常规”选项卡上,验证“电子邮件”字段的条目有效。Citrix Cloud 要求从 Azure AD 添加的管理员具有的电子邮件地址与使用 Citrix 托管的身份登录的管理员的电子邮件地址不同。
- 安装并配置 Azure AD Connect。有关完整说明,请参阅 Microsoft Azure 网站上使用快速设置开始使用 Azure AD Connect。
将 Citrix Cloud 连接到 Azure AD
将 Citrix Cloud 帐户连接到您的 Azure AD 时,Citrix Cloud 除了需要访问您的 Azure AD 中用户的基本配置文件外,还需要访问您的用户配置文件(或登录用户的配置文件)的权限。Citrix 申请此权限,以便能够获取您的姓名和电子邮件地址(以用户身份)并使您能够浏览其他用户并在以后将其添加为管理员。有关 Citrix Cloud 请求的应用程序权限的更多信息,请参阅适用于 Citrix Cloud 的 Azure Active Directory 权限。
重要:
在登录 Citrix Cloud 之前,您必须是 Azure AD 的全局管理员才能完成此任务,或者要求任何全局管理员执行必备条件。
- 单击页面左上角的“菜单”,然后选择“身份识别和访问管理”。
- 找到 Azure Active Directory 并从省略号菜单中选择“连接”。
- 出现提示时,为贵公司输入一个简短的 URL 友好型标识符,然后单击“连接”。所选标识符必须在 Citrix Cloud 中具有全局唯一性。
- 系统提示时,登录要用于建立连接的 Azure 帐户。Azure 向您显示 Citrix Cloud 访问帐户以及获取连接所需的信息需要的权限。这些权限中的大多数都是只读的,允许 Citrix Cloud 从您的 Microsoft Graph 中收集基本信息,例如组和用户配置文件。如果您Citrix Endpoint Management 或 XenMobile Server 与Microsoft Intune 集成在一起,则必须授予与Microsoft Intune 相关的读写权限。有关详细信息,请参阅适用于 Citrix Cloud 的 Azure Active Directory 权限。
- 单击 Accept(接受)接受权限申请。
备用连接方法
您可以将连接流分为以下两个阶段:
- 在 Azure 中创建 Azure AD (Entra ID) 应用程序。
- Citrix Cloud 连接到 Citrix Cloud 中的 Azure AD (Entra ID) 应用程序。
首先,您需要构造一个 URL,全局管理员可以使用该 URL 将企业应用程序添加到租户中。有关详细信息,请参阅构造用于授予租户范围管理员同意的 URL。
下面是对构造的 URL 的解释。
https://login.microsoftonline.com/<tenant url>/adminconsent?client_id=f9c0e999-22e7-409f-bb5e-956986abdf02&redirect_uri=https://portal.azure.com
其中:
tenant url
是您的租户 URL 或 ID。
f9c0e999-22e7-409f-bb5e-956986abdf02
是 Citrix Cloud 的客户端 ID。
从 Azure AD 将管理员添加到 Citrix Cloud
Citrix Cloud 支持单独添加管理员或作为 Azure AD 组添加管理员。
要从 Azure AD 添加个人管理员,请参阅 管理管理员访问权限。
要将 Azure AD 管理员组添加到 Citrix Cloud,请参阅 管理管理员组。
使用 Azure AD 登录 Citrix Cloud
连接 Azure AD 用户帐户后,用户可以使用以下方法之一登录 Citrix Cloud:
- 导航到您在最初连接贵公司的 Azure AD 身份提供程序时配置的管理员登录 URL。示例:
https://citrix.cloud.com/go/mycompany
- 在 Citrix Cloud 登录页面 中,单击“使用我的公司凭据登录”,键入最初连接 Azure AD 时创建的标识符(例如“mycompany”),然后单击“继续”。
为工作区启用 Azure AD 身份验证
将 Azure AD 连接到 Citrix Cloud 后,您可以允许订阅者通过 Azure AD 向其工作区进行身份验证。
重要:
在启用 Azure AD 工作区身份验证之前,请查看 Azure Active Directory 部分,了解将 Azure AD 与工作区结合使用的注意事项。
- 在 Citrix Cloud 中,单击左上角的菜单按钮,然后选择 Workspace 配置。
- 从“身份验证”选项卡中,选择“Azure Active Directory”。
- 单击“确认”接受启用 Azure AD 身份验证时将发生的工作区体验更改。
启用高级 Azure AD 功能
Azure AD 提供高级多重身份验证、世界一流的安全功能、与 20 个不同身份提供商的联合、自助服务密码更改和重置以及许多其他功能。为您的 Azure AD 用户打开这些功能将使 Citrix Cloud 能够自动使用这些功能。
要比较 Azure AD 服务级别功能和定价,请参阅 https://azure.microsoft.com/en-us/pricing/details/active-directory/。
重新连接到 Azure AD 以获取更新的应用程序
Citrix Cloud 包含一个 Azure AD 应用程序,该应用程序允许 Citrix Cloud 无需登录活动的 Azure AD 会话即可与 Azure AD 进行连接。自推出此应用程序以来,Citrix 已对应用程序进行了如下更新:
- 2018 年 8 月,该应用程序进行了更新,以提高性能,并允许您为将来的版本做好准备。
- 2019 年 5 月,该应用程序进行了更新,支持将 Azure AD 管理员组添加到 Citrix Cloud。
- 2022 年 4 月,该应用程序进行了更新,使用了 GroupMember.read.all 权限,该权限取代了 Group.Read.All 权限。
如果您在发布这些更新之前将 Azure AD 连接到 Citrix Cloud,并且想要使用最新更新的应用程序,则需要断开您的 Azure AD 与 Citrix Cloud 的连接,然后重新连接它。使用最新的应用程序是可选的。如果您选择不更新应用程序,则现有连接仍能正常运行。
要求
在重新连接 Azure AD 之前,请验证是否满足以下要求:
- 您必须是默认 Citrix 身份提供程序下具有完全访问权限的管理员。如果您使用 Azure AD 凭据登录到 Citrix Cloud,则重新连接将失败。如果您的帐户中没有任何管理员在使用 Citrix 身份提供程序,则可以在重新连接 Azure AD 后暂时添加一个管理员并将其删除。有关说明,请参阅 邀请个人管理员。
- 如果使用 Azure AD 对工作区订阅者进行身份验证,请暂时选择其他身份提供程序。如果 Azure AD 也用作 Citrix Workspace 的身份验证方法,则 Citrix Cloud 不允许您断开连接 Azure AD 的连接。有关详细信息,请参阅 Citrix Workspace 文档中的 选择或更改身份验证方法 。
重新连接 Azure AD
- 以 Citrix 身份提供商下具有完全访问权限的管理员身份登录 Citrix Cloud。
- 从 Citrix Cloud 菜单中,选择 身份识别和访问管理 ,然后选择 身份验证。
- 找到 Azure Active Directory,然后从页面最右侧的省略号菜单中选择“断开连接”。
- 从省略号菜单中,选择 连接。
注意:
如果您如步骤 3 中所述断开 Azure Active Directory 的连接,Citrix Cloud 会要求管理员删除该身份提供商下的所有管理配置文件。 要绕过这项工作,管理员可以按照以下步骤重新连接 Azure AD 身份提供商。
- 作为全局管理员,导航到 Azure 并删除应用程序。
- 登录 Citrix Cloud 并导航到“身份识别和访问管理”,然后单击“身份验证”。在“身份验证”选项卡中,您可以注意到 Azure AD 仍处于连接状态。
- 在适用于 Azure AD 的 Citrix Cloud 中添加新管理员。
这将在不删除管理员的情况下触发应用程序的重新创建和重新连接。