Citrix Cloud

将作为身份提供商的 Google Cloud Identity 连接到 Citrix Cloud

Citrix Cloud 支持使用 Google Cloud Identity 作为身份提供商对登录其工作区的订阅者进行身份验证。 通过将组织的 Google 帐户关联到 Citrix Cloud,您可以为访问 Citrix Workspace 和 Google 资源提供统一的登录体验。

加入域和未加入域配置的要求

可以使用已加入域或未加入域的计算机在 Citrix Cloud 中将 Google Cloud Identity 配置为身份提供商。

  • 加入域意味着计算机加入到本地 Active Directory (AD) 中的域,身份验证使用存储在该域中的用户配置文件。
  • 未加入域意味着计算机未加入到 AD 域,并且身份验证使用存储在您的 Google Workspace 目录中的用户配置文件(也称为 Google 本地用户)。

下表列出了每种配置类型的要求。

要求 已加入域 未加入域 更多信息
本地 AD 请参阅本文中的 准备Active Directory 和 Citrix Cloud 连接器
在您的资源位置部署了 Citrix Cloud 连接器 否;无需 Cloud Connector 即可访问未加入域的计算机。 在本文中@@准备Active Directory 和 Citrix Cloud 连接器
AD 与 Google Cloud 同步 仅在使用 Gateway 服务且不使用其他服务时才可选。 否则,此任务是必需的。 请参阅本文中的将 Active Directory 与 Google Cloud Identity 同步
具有 Google Cloud Platform 控制台访问权限的开发者帐号。 用于创建服务帐号和密钥,以及启用管理员 SDK API。 请参阅本文中的 创建服务帐号、创建服务帐号密钥配置域范围委 派。
具有 Google Workspace 管理员控制台访问权限的管理员帐号。 用于配置域范围的委派和只读 API 用户帐户。 请参阅本文中的 配置域范围委派添加只读 API 用户帐户

使用多个 Citrix Cloud 帐户进行身份验证

本文介绍如何将作为身份提供商的 Google Cloud Identity 连接到单个 Citrix Cloud 帐户。 如果您有多个 Citrix Cloud 帐户,则可以使用相同的服务帐户和只读 API 用户帐户将每个帐户连接到同一 Google Cloud 帐户。 只需登录 Citrix Cloud 并从客户选取器中选择相应的客户 ID 即可。

准备Active Directory 和 Citrix Cloud 连接器

如果您使用的是加入了域的带 Google Cloud Identity 的计算机,请使用此部分来准备您的本地 AD。 如果您使用的是未加入域的计算机,请跳过此任务并继续本文中的 创建服务帐户

您的 Active Directory 域中至少需要两 (2) 台服务器才能安装 Citrix Cloud Connector 软件。 要启用 Citrix Cloud 与您的 资源位置之间的通信,需要使用 Cloud Connector。 至少需要两个 Cloud Connector 才能确保与 Citrix Cloud 的高可用连接。 这些服务器必须满足以下要求:

  • 符合 Cloud Connector 技术详情中描述的要求。
  • 未安装任何其他 Citrix 组件,不是 Active Directory 域控制器,也不是对您的资源位置基础结构至关重要的计算机。
  • 已加入您的Active Directory (AD) 域。 如果您的工作空间资源和用户位于多个域中,则必须在每个域中至少安装两个 Cloud Connector。 有关更多信息,请参阅 Active Directory 中 Cloud Connector 的部署方案
  • 已连接到可以联系用户通过 Citrix Workspace 访问的资源的网络。
  • 已连接到 Internet。 有关详细信息,请参阅系统和连接要求

有关安装 Cloud Connector 的详细信息,请参阅 Cloud Connector 安装

将 Active Directory 与 Google Cloud Identity 同步

如果您使用的是加入了域的带 Google Cloud Identity 的计算机,请使用此部分来准备您的本地 AD。 如果您使用的是未加入域的计算机,请跳过此任务并继续本文中的 创建服务帐户

如果您仅使用 Citrix Gateway 服务,而未启用其他服务,则可以选择将 AD 与 Google Cloud Identity 同步。 仅针对这些服务,您可以使用 Google 本地用户,而无需与 AD 同步。

如果您使用的是其他 Citrix Cloud 服务,则需要将您的 AD 与 Google Cloud Identity 同步。 Google Cloud 必须将以下 AD 用户属性传递给 Citrix Cloud:

  • SecurityIDentifier (SID)
  • objectGUID
  • userPrincipalName (UPN)

将您的 AD 与 Google Cloud 同步

  1. 从谷歌网站下载并安装 谷歌云目录同步实用程序 。 有关此实用程序的 更多信息,请参阅 Google 网站上的 Google Cloud 目录同步 文档。
  2. 安装该实用程序后,启动 Configuration Manager(开始 > Configuration Manager)。
  3. 指定 Google 域名设置和 LDAP 设置,如实用程序文档中的设置与 Configuration Manager 的同步中所述。
  4. 常规设置中,选择 自定义架构。 保持默认选择不变。
  5. 配置自定义架构以应用于所有用户帐户。 使用本节中指定的精确大小写和拼写输入所需信息。
    1. 选择“自定义架构”选项卡,然后选择“添加架构”。
    2. 选择 使用“用户帐户”中定义的规则
    3. 架构名称中,输入 citrix-schema
    4. 选择添加字段,然后输入以下信息:
      • 架构字段模板下的架构字段中,选择 userPrincipalName
      • Google 字段详细信息下的 字段名称中,输入 UPN
    5. 重复步骤 4 以创建以下字段:
      • objectGUID:在架构字段模板下,选择 objectGUID。 在 Google 字段详细信息下,输入 objectGUID
      • SID:在 架构字段模板下,选择 自定义。 在 Google 字段详细信息下,输入 SID
      • objectSID:在架构字段模板下,选择自定义。 在 Google 字段详细信息下,输入 objectSID
    6. 选择“确定”保存您输入的内容。
  6. 按照实用程序文档的“设置与 Configuration Manager 的同步”中所述完成组织的所有剩余设置配置并验证同步设置。
  7. 选择“同步并应用更改”,将您的 Active Directory 与您的 Google 帐户同步。

同步完成后,Google Cloud 中的用户信息部分会显示用户的Active Directory 信息。

创建一个服务帐户

要完成此任务,您需要一个 Google Cloud Platform 开发者帐户。

  1. 登录 https://console.cloud.google.com
  2. 从控制面板侧边栏中,选择 IAM 和管理员 ,然后选择 服务帐户
  3. 选择创建服务帐户
  4. 服务帐户详细信息下,输入服务帐户名称和服务帐户 ID。
  5. 选择完成

创建服务帐户密钥

  1. 在“服务帐户”页面上,选择您刚刚创建的服务帐户。
  2. 选择密钥选项卡,然后选择添加密钥 > 创建新密钥
  3. 将默认 JSON 密钥类型选项保留为选中状态。
  4. 选择创建。 将密钥保存到稍后可以访问的安全位置。 当您以身份提供商的身份连接 Google Cloud Identity 时,可以在 Citrix Cloud 控制台中输入私钥。

配置域范围的委派

  1. 启用管理员 SDK API:
    1. 从 Google Cloud Platform 菜单中选择 API 和服务 > 已启用 API 和服务
    2. 选择控制台顶部附近的 启用 API 和服务 。 此时将显示 API 库主页。
    3. 搜索 管理员 SDK API ,然后从结果列表中选择它。
    4. 选择“启用”。
  2. 为服务帐户创建 API 客户端:
    1. 从 Google Cloud Platform 菜单中选择 IAM 和管理员 > 服务帐户,然后选择您之前创建的服务帐户。
    2. 在服务帐户的 详细信息 选项卡中,展开 高级设置
    3. 在“全域委派”下,复制客户端 ID,然后选择“查看 Google Workspace 管理员控制台”。
    4. 如果适用,请选择要使用的 Google Workspace 管理员帐户。 此时将显示 Google 管理控制台。
    5. 在 Google 管理员侧栏中,选择 安全 > 访问和数据控制 > API 控制
    6. 在“域范围委派”下,单击“管理全域委派”。
    7. 选择“新增”。
    8. 客户端 ID 中,粘贴您在步骤 C 中复制的服务帐户的客户端 ID。
    9. OAuth 作用域中,在以逗号分隔的单行中输入以下范围:

        https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.domain.readonly
      <!--NeedCopy-->
      
    10. 选择 授权

添加只读 API 用户帐户

在此任务中,您将创建一个具有 Citrix Cloud 只读 API 访问权限的 Google Workspace 用户帐户。 此帐户不用于任何其他目的,也没有其他权限。

  1. 从 Google 管理员菜单中,选择 目录 > 用户
  2. 选择 添加新用户 并输入相应的用户信息。
  3. 选择 添加新用户 以保存帐户信息。
  4. 为只读用户帐户创建自定义角色:
    1. 在 Google 管理员菜单中,选择 帐户 > 管理员角色
    2. 选择 创建新角色
    3. 输入新角色的名称。 示例:API-ReadOnly
    4. 选择继续
    5. 管理员 API 权限下,选择以下权限:
      • 用户 > 读取
      • 组 > 读取
      • 域管理
    6. 选择 继续 ,然后选择 创建角色
  5. 将自定义角色分配给您之前创建的只读用户帐户:
    1. 在自定义角色详细信息页面的 管理员 窗格中,选择 分配用户
    2. 开始键入只读用户帐户的名称,然后从用户列表中选择它。
    3. 选择 分配角色
    4. 要验证角色分配,请返回用户页面(目录 > 用户),然后选择只读用户帐户。 自定义角色分配显示在 管理员角色和权限下。

将 Google Cloud Identity 连接到 Citrix Cloud

  1. 通过 https://citrix.cloud.com登录 Citrix Cloud。
  2. 在 Citrix Cloud 菜单中,选择 Identity and Access Management(身份识别和访问管理)。
  3. 找到 Google Cloud Identity,然后从省略号菜单中选择“连接”。
  4. 出现提示时,为贵公司输入一个简短的 URL 友好标识符,然后选择“保存并继续”。 所选标识符必须在 Citrix Cloud 中具有全局唯一性。
  5. 选择 导入文件 ,然后选择您在 为服务帐户创建密钥时保存的JSON 文件。 此操作会导入您的私钥和您创建的 Google Cloud 服务帐户的电子邮件地址。
  6. 模拟用户中,输入只读 API 用户帐户的名称。
  7. 选择下一步。 Citrix Cloud 会验证您的 Google 帐户详细信息并测试连接。
  8. 查看列出的关联域。 如果正确,请选择确认以保存您的配置。

向 Citrix Cloud 添加管理员

您可以通过 Google Cloud 添加单个 Citrix Cloud 管理员和管理员组。 有关详细信息,请参阅以下文章:

将管理员添加到 Citrix Cloud 后,他们可以使用以下方法之一登录:

  • 导航到您在最初将 Google Cloud 配置为身份提供商时配置的管理员登录 URL。 示例:https://citrix.cloud.com/go/mycompany
  • 在 Citrix Cloud 登录页面上,选择使用我的公司凭据登录,输入贵公司的唯一标识符(例如 “mycompany”),然后单击继续

启用 Google Cloud Identity 进行工作区身份验证

  1. 在 Citrix Cloud 菜单中,选择 Workspace 配置 > 身份验证
  2. 选择 Google Cloud Identity。 出现提示时,选择“我了解对订阅者体验的影响”,然后单击“保存”。