使用 Azure AD 和 AD 身份进行 Workspace 身份验证的 SAML
本文介绍如何使用 Active Directory (AD) 身份配置 SAML 以进行工作区身份验证。 无论使用哪个 SAML 提供程序,Citrix Cloud 和对 Citrix Workspace 或 Citrix Cloud 的 SAML 身份验证的默认行为都是针对 AD 用户身份进行断言。 对于本文所述的配置,需要使用 Azure AD Connect 将您的 AD 标识导入到 Azure AD。
重要:
确定适合您的工作区最终用户的 SAML 流程至关重要,因为它直接影响他们的登录过程和资源可见性。 所选择的身份会影响工作区最终用户可访问的资源类型。 有一篇相关文章提供了有关利用 Azure AD 作为 SAML 提供程序以使用 AAD 身份在 Workspace 中进行身份验证的说明。 您可以在 SAML 使用 Azure AD 和 AAD 身份进行工作区身份验证中找到详细说明。 通常,Workspace 最终用户通常需要打开 AD 域加入的 VDA 提供的应用程序和桌面。 在决定最适合您组织的 SAML 流程之前,务必仔细查看两篇文章中概述的用例。 如果不确定,Citrix 建议使用 AD SAML 流 并按照本文中的说明进行操作,因为它与最常见的 DaaS 场景一致。
功能范围
本文适用于使用以下 Citrix Cloud 和 Azure 功能组合的用户:
- 使用 AD 身份进行工作区身份验证的 SAML
- 使用 AD 身份进行 Citrix Cloud 管理员登录的 SAML
- 使用 AD 域加入的 VDA 发布的资源的 Citrix DaaS 和 HDX 资源枚举
- AD 域加入的 VDA 资源枚举
什么是最好的:AD 身份还是 Azure AD 身份
要确定工作区用户是否应使用 SAML AD 或 SAML Azure AD 标识进行身份验证,请执行以下操作:
- 确定您打算在 Citrix Workspace 中向用户提供哪些资源组合。
-
使用下表确定哪种用户身份适合每种资源类型。
资源类型 (VDA) 登录 Citrix Workspace 时的用户身份 需要使用 Azure AD 的 SAML 身份吗? FAS 是否为 VDA 提供单点登录 (SSO)? AD加入 AD,从 AD 导入的 Azure AD(包含 SID) 不。 使用默认 SAML。 是
配置自定义 Azure AD Enterprise SAML 应用程序
默认情况下,SAML 登录工作区的行为是针对 AD 用户身份进行断言。
- 登录 Azure 门户。
- 从门户菜单中,选择 Azure Active Directory。
- 在左侧窗格中,在 管理下,选择 企业应用程序。
-
在搜索框中,输入
Citrix Cloud SAML SSO以找到 Citrix SAML 应用程序模板。
-
为 SAML 应用程序输入合适的名称,例如
Citrix Cloud SAML SSO Production
- 从左侧导航窗格中,选择 单点登录 ,然后从工作窗格中单击 SAML。
- 在 基本 SAML 配置 部分中,单击 编辑 并配置以下设置:
- 在 标识符(实体 ID) 部分中,选择 添加标识符 ,然后输入与您的 Citrix Cloud 租户所在区域关联的值:
- 对于欧洲、美国和亚太南部地区,输入
https://saml.cloud.com。 - 对于日本地区,输入
https://saml.citrixcloud.jp。 - 对于 Citrix Cloud Government 区域,输入
https://saml.cloud.us。
- 对于欧洲、美国和亚太南部地区,输入
- 在 回复 URL(断言消费者服务 URL) 部分中,选择 添加回复 URL ,然后输入与您的 Citrix Cloud 租户所在区域关联的值:
- 对于欧洲、美国和亚太南部地区,输入
https://saml.cloud.com/saml/acs。 - 对于日本地区,输入
https://saml.citrixcloud.jp/saml/acs。 - 对于 Citrix Cloud Government 区域,输入
https://saml.cloud.us/saml/acs。
- 对于欧洲、美国和亚太南部地区,输入
- 在 登录 URL 部分,输入您的工作区 URL。
- 在 注销 URL(可选) 部分中,输入与您的 Citrix Cloud 租户所在区域关联的值:
- 对于欧洲、美国和亚太南部地区,输入
https://saml.cloud.com/saml/logout/callback。 - 对于日本地区,输入
https://saml.citrixcloud.jp/saml/logout/callback。 - 对于 Citrix Cloud Government 区域,输入
https://saml.cloud.us/saml/logout/callback。
- 对于欧洲、美国和亚太南部地区,输入
- 在命令栏中,单击 保存。 基本 SAML 配置 部分如下所示:
- 在 标识符(实体 ID) 部分中,选择 添加标识符 ,然后输入与您的 Citrix Cloud 租户所在区域关联的值:
-
在 属性 & 声明 部分,单击 编辑 以配置以下声明。 这些声明出现在 SAML 响应内的 SAML 断言中。 创建 SAML 应用后,配置以下属性。
- 对于 唯一用户标识符(名称 ID) 声明,保留默认值
user.userprincipalname。 - 对于 cip_upn 声明,保留默认值
user.userprincipalname。 - 对于 cip_email 声明,保留默认值
user.mail。 - 对于 cip_sid 声明,保留默认值
user.onpreventionecurityidentitier。 - 对于 cip_oid 声明,编辑现有声明并选择 源属性。 搜索字符串
object并选择user.onprescriptionimmutableid。
- 对于 displayName,保留默认值
user.displayname。 - 在 附加声明 部分中,对于任何剩余的具有
http://schemas.xmlsoap.org/ws/2005/05/identity/claims命名空间的声明,单击省略号 (…) 按钮,然后单击 删除。 无需包含这些声明,因为它们是上述用户属性的重复。
完成后, 属性 & 声明 部分如下所示:
- 对于 唯一用户标识符(名称 ID) 声明,保留默认值
- 使用此 第三方在线工具获取 Citrix Cloud SAML 签名证书的副本。
- 在 URL 字段中输入
https://saml.cloud.com/saml/metadata,然后单击 加载。
- 滚动到页面底部并点击 下载。
- 在 URL 字段中输入
- 配置 Azure Active Directory SAML 应用程序签名设置。
- 在 Azure Active Directory SAML 应用程序中上传在步骤 9 中获得的生产 SAML 签名证书。
- 启用 要求验证证书。
故障排除
- 使用 SAML 网络工具(例如 SAML-tracer 浏览器扩展)验证您的 SAML 断言是否包含正确的用户属性。
-
找到以黄色显示的 SAML 响应并与以下示例进行比较:
- 单击底部窗格中的 SAML 选项卡以解码 SAML 响应并以 XML 形式查看。
-
滚动到响应的底部并验证 SAML 断言是否包含正确的 SAML 属性和用户值。
如果您的订阅者仍然无法登录其工作区或无法看到其 Citrix HDX Plus for Windows 365 桌面,请联系 Citrix 支持并提供以下信息:
- SAML 跟踪器捕获
- Citrix Workspace 登录失败的日期和时间
- 受影响的用户名
- 用于登录 Citrix Workspace 的客户端计算机的呼叫者 IP 地址。 您可以使用像 https://whatismyip.com 这样的工具来获取此 IP 地址。
配置 Citrix Cloud SAML 连接
所有 Citrix 登录流程都需要由服务提供商使用 Workspace URL 或 Citrix Cloud GO URL 发起。
从您的 Entra ID 门户获取 Entra ID SAML 应用程序 SAML 端点以进入 Citrix Cloud。
Citrix Cloud SAML 连接中使用的 Entra ID SAML 端点示例
重要:
EntraID SSO 和 Logout SAML 端点是相同的 URL。
可在 Citrix Cloud SAML 连接中使用的 Entra ID SAML 端点示例如下:
- 身份提供者实体 ID:
https://sts.windows.net/<yourEntraIDTenantID> - 身份提供者 SSO 服务 URL:
https://login.microsoftonline.com/<yourEntraIDTenantID>/saml2 - 身份提供者注销 URL:
https://login.microsoftonline.com/<yourEntraIDTenantID>/saml2