Citrix Cloud

SAML 使用 Azure AD 和 AD 身份进行 Workspace 身份验证

本文介绍如何使用 Active Directory (AD) 身份为工作区身份验证配置 SAML。无论使用哪个 SAML 提供商,Citrix Cloud 和 SAML 向 Citrix Workspace 或 Citrix Cloud 进行身份验证的默认行为都是断言 AD 用户身份。对于本文中描述的配置,需要使用 Azure AD Connect 将您的 AD 身份导入 Azure AD。

重要:

为 Workspace 最终用户确定适当的 SAML 流程至关重要,因为这会直接影响他们的登录流程和资源可见性。所选身份会影响 Workspace 最终用户可访问的资源类型。 有一篇相关文章提供了有关使用 Azure AD 作为 SAML 提供者使用 AAD 身份在 Workspace 中进行身份验证的说明。您可以在 SAML 中找到使用 Azure AD 和 AAD 身份进行工作区身份验证的详细说明。 通常,Workspace 最终用户通常需要打开加入 AD 域的 VDA 提供的应用程序和桌面。在决定最适合贵组织的 SAML 流程之前,必须仔细阅读两篇文章中概述的用例。如果不确定,Citrix 建议使用 AD SAML 流程并按照本文中的说明进行操作,因为它符合最常见的 DaaS 方案。

功能范围

本文适用于使用以下 Citrix Cloud 和 Azure 功能组合的用户:

  • 使用 AD 身份进行工作区身份验证的 SAML
  • 使用 AD 身份登录 Citrix Cloud 管理员时使用 SAML
  • 使用加入了 AD 域的 VDA 发布的 Citrix DaaS 和 HDX 资源枚举
  • 加入 AD 域的 VDA 资源枚举

哪个最好:AD 身份还是 Azure AD 身份

要确定您的工作区用户应该使用 SAML AD 还是 SAML Azure AD 身份进行身份验证,请执行以下操作:

  1. 决定您打算在 Citrix Workspace 中向用户提供哪种资源组合。
  2. 使用下表来确定哪种类型的用户身份适合每种资源类型。

    资源类型 (VDA) 登录 Citrix Workspace 时的用户身份 需要使用 Azure AD 的 SAML 身份吗? FAS 提供对 VDA 的单点登录 (SSO) 吗?
    已加入 AD AD,从 AD 导入的 Azure AD(包含 SID) 否。使用默认 SAML。

配置自定义 Azure AD Enterprise SAML 应用程序

默认情况下,SAML 登录工作区的行为是根据 AD 用户身份进行断言。

  1. 登录 Azure 门户。
  2. 从门户菜单中选择 Azure Active Directory
  3. 在左侧窗格的“管理”下,选择“企业应用程序”。
  4. 在搜索框中,输入 Citrix Cloud SAML SSO 以找到 Citrix SAML 应用程序模板。

    SAML 应用程序模板

  5. 为 SAML 应用程序输入合适的名称,例如 Citrix Cloud SAML SSO Production

    SAML 应用程序名称

  6. 在左侧导航窗格中,选择单点登录,然后在工作窗格中单击 SAML
  7. 在“基本 SAML 配置”部分中,单击“编辑”并配置以下设置:
    1. 标识符(实体 ID) 部分,选择 添加标识符 ,然后输入与您的 Citrix Cloud 租户所在区域关联的值:
      • 对于欧洲、美国和亚太南部地区,请输入 https://saml.cloud.com
      • 对于日本区域,请输入 https://saml.citrixcloud.jp
      • 对于 Citrix Cloud Government 区域,请输入 https://saml.cloud.us
    2. 在“回复 URL(断言消费者服务 URL)”部分,选择“添加回复 URL”,然后输入与 Citrix Cloud 租户所在区域关联的值:
      • 对于欧洲、美国和亚太南部地区,请输入 https://saml.cloud.com/saml/acs
      • 对于日本区域,请输入 https://saml.citrixcloud.jp/saml/acs
      • 对于 Citrix Cloud Government 区域,请输入 https://saml.cloud.us/saml/acs
    3. 在“登录 URL”部分,输入您的 Workspace URL。
    4. 注销 URL(可选)部分,输入与您的 Citrix Cloud 租户所在区域关联的值:
      • 对于欧洲、美国和亚太南部地区,请输入 https://saml.cloud.com/saml/logout/callback
      • 对于日本区域,请输入 https://saml.citrixcloud.jp/saml/logout/callback
      • 对于 Citrix Cloud Government 区域,请输入 https://saml.cloud.us/saml/logout/callback
    5. 在命令栏上,单击“保存”。“基本 SAML 配置”部分显示如下:

    基本 SAML 配置

  8. 在“属性和声明”部分,单击“编辑”以配置以下声明。这些声明出现在 SAML 响应中的 SAML 断言中。创建 SAML 应用程序后,配置以下属性。

    属性和声明

    1. 对于 唯一用户标识符(姓名 ID) 声明,请保留默认值 user.userprincipalname
    2. 对于 cip_upn 声明,请保留 user.userprincipalname 的默认值。
    3. 对于 cip_email 声明,请保留 user.mail 的默认值。
    4. 对于 cip_sid 声明,请保留 user.onpremisesecurityidentitier 的默认值。
    5. 对于 cip_oid 声明,请编辑现有声明并选择来源属性。搜索字符串 object 并选择 user.onpremisesimmutableid

    管理声明

    1. 对于 displayName,请保留 user.displayname 的默认值。
    2. 在“其他声明”部分中,对于 http://schemas.xmlsoap.org/ws/2005/05/identity/claims 命名空间的所有剩余声明,请单击省略号 (…) 按钮,然后单击“删除”。无需包含这些声明,因为它们是上述用户属性的重复。

    “删除”菜单突出显示

    完成后,“属性和声明”部分将显示如下所示:

    Azure AD 已完成属性和声明

    1. 使用此第三方在线工具获取 Citrix Cloud SAML 签名证书的副本。
    2. 在 URL 字段中输入 https://saml.cloud.com/saml/metadata 并单击“加载”。

    “删除”菜单突出显示

  9. 滚动到页面底部,然后单击“下载”。

    下载元数据证书

    下载证书

  10. 配置 Azure Active Directory SAML 应用程序签名设置。
  11. 在 Azure Active Directory SAML 应用程序中上载步骤 10 中获得的生产 SAML 签名证书
    1. 启用“需要验证证书”。

    验证证书

    验证证书

故障排除

  1. 使用 SAML 网络工具(例如 SAML-tracer browser extension)验证您的 SAML 断言包含正确的用户属性。

SAML-tracer 浏览器扩展程序

  1. 找到黄色显示的 SAML 响应并与以下示例进行比较:

    来自网络工具的 SAML 响应示例

  2. 单击底部窗格中的 SAML 选项卡,解码 SAML 响应并以 XML 格式查看。
  3. 滚动到响应底部,验证 SAML 断言是否包含正确的 SAML 属性和用户值。

    突出显示了 SAML 断言值的 XML 文件

如果您的订阅者仍然无法登录其工作区或无法看到适用于 Windows 365 桌面的 Citrix HDX Plus,请联系 Citrix 支持部门并提供以下信息:

  • SAML-tracer 捕获
  • 登录 Citrix Workspace 失败的日期和时间
  • 受影响的用户名
  • 您用于登录 Citrix Workspace 的客户端计算机的主叫方 IP 地址。您可以使用像 https://whatismyip.com 这样的工具来获取这个 IP 地址。
SAML 使用 Azure AD 和 AD 身份进行 Workspace 身份验证