Citrix Cloud

将 Okta 配置为 SAML 提供商以进行 Workspace 身份验证

本文介绍了配置 Okta SAML 应用程序所需的步骤以及 Citrix Cloud 与您的 SAML 提供商之间的连接。其中一些步骤描述了您在 SAML 提供商的管理控制台中执行的操作。

必备条件

在完成本文中的任务之前,请确保满足以下必备条件:

  • Citrix 支持已在 Citrix Cloud 中启用了 SendNameIDPolicyInSAMLRequest 功能。此功能可应要求启用。有关这些功能的详细信息,请参阅使用 Okta 的 SAML 所需的云功能
  • 您有一个使用下面其中一个 Okta 域的 Okta 组织:
    • okta.com
    • okta-eu.com
    • oktapreview.com
  • 您已将 Active Directory (AD) 与 Okta 组织同步。
  • 您的 Okta 组织已启用签名身份验证请求
  • 身份提供程序单点注销 (SLO) 是在 Citrix Cloud 和 Okta SAML 应用程序中配置的。配置 SLO 后,最终用户注销 Citrix Workspace 时,他们也会注销 Okta 和共享 Okta SAML 应用程序的所有其他服务提供商。
  • 在 Citrix Cloud 中启用了身份提供程序登录注销 (SLO) 请求
  • 身份提供程序注销绑定 (SLO) 是 Citrix Cloud 中的 HTTPPost。

注销绑定签名设置

使用 Okta 的 SAML 所需的云功能

在完成本文中的任务之前,必须联系 Citrix 支持部门以启用 SendNameIDPolicyInSAMLRequest 功能。此功能使 Citrix Cloud 能够在 SAML 请求中将 NameID 策略作为“未指定”提供给您的 SAML 提供程序。启用此功能仅适用于 Okta。

可以通过登录您的 Citrix 帐户并通过 Citrix 技术支持 Web 站点开立票据来请求这些功能。

要求

本文包括在 Okta 管理控制台中创建 SAML 应用程序的任务。此应用程序需要您的 Citrix Cloud 区域的 SAML 签名证书。

重要提示:

签名证书必须以 PEM 格式编码。Citrix Cloud 不接受其他编码格式的签名证书。

您可以使用提取工具(例如位于 https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract 的提取工具)从您所在地区的 Citrix Cloud SAML 元数据中提取此证书。Citrix 建议您事先获取 Citrix Cloud SAML 证书,以便在需要时提供该证书。

本部分中的步骤描述了如何使用提取工具获取签名证书,网址为 https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract

要获取您所在地区的 Citrix Cloud 元数据,请执行以下操作:

  1. 在您选择的提取工具中,输入您的 Citrix Cloud 区域的元数据 URL:

    • 对于欧盟、美国和亚太南部区域,请输入 https://saml.cloud.com/saml/metadata
    • 对于日本区域,请输入 https://saml.citrixcloud.jp/saml/metadata
    • 对于 Citrix Cloud Government 区域,请输入 https://saml.cloud.us/saml/metadata
  2. 单击加载。提取的证书显示在您输入的 URL 下方。
  3. 单击下载下载 PEM 格式的证书。

与 Okta AD 代理同步帐户

要使用 Okta 作为 SAML 提供商,您必须先将本地 AD 与 Okta 集成。为此,您需要在域中安装 Okta AD 代理,然后将您的 AD 添加到您的 Okta 组织。有关部署 Okta AD 代理的指导,请参阅 Okta Web 站点上的 Active Directory 集成入门

之后,将您的 AD 用户和组导入 Okta。导入时,请包括以下与您的 AD 帐户关联的值:

  • 电子邮件
  • SID
  • UPN
  • OID

要将 AD 用户和组与 Okta 组织同步,请执行以下操作:

  1. 安装和配置 Okta AD 代理。有关完整说明,请参阅 Okta 网站上的以下文章:
  2. 通过执行手动导入或自动导入,将您的 AD 用户和组添加到 Okta。有关 Okta 导入方法和说明的详细信息,请参阅 Okta 网站上的 管理 Active Directory 用户和组

配置 Okta SAML 应用程序以进行 Workspace 身份验证

  1. 使用具有添加和配置 SAML 应用程序权限的管理员帐户登录您的 Okta 组织。
  2. 在管理员控制台中,选择应用程序 > 应用程序 > 创建应用程序集成,然后选择 SAML 2.0。选择下一步

    选择 SAML 作为登录方法的 Okta 主机

  3. 应用程序名称中,输入应用程序的友好名称。选择下一步

    创建 SAML 集成配置屏幕,突出显示应用程序名称字段

  4. SAML 设置部分中,配置 Citrix Cloud 服务提供商 (SP) 连接:
    1. 单点登录 URL 中,输入与您的 Citrix Cloud 客户的 Citrix Cloud 区域对应的 URL:
      • 如果您的客户 ID 位于欧盟、美国或亚太南部地区,请输入 https://saml.cloud.com/saml/acs
      • 如果您的客户 ID 位于日本地区,请输入 https://saml.citrixcloud.jp/saml/acs
      • 如果您的客户 ID 位于 Citrix Cloud Government 区域,请输入 https://saml.cloud.us/saml/acs
    2. 选择使用此 URL 作为收件人和目标 URL
    3. 受众 URI (SP 实体 ID) 中,输入与您的 Citrix Cloud 客户的 Citrix Cloud 区域对应的 URL:
      • 如果您的客户 ID 位于欧盟、美国或亚太南部地区,请输入 https://saml.cloud.com
      • 如果您的客户 ID 位于日本地区,请输入 https://saml.citrixcloud.jp
      • 如果您的客户 ID 位于 Citrix Cloud Government 区域,请输入 https://saml.cloud.us
    4. 名称 ID 格式中,选择未指定。Citrix Cloud 在 SAML 请求中发送的 NameID 策略必须与 Okta SAML 应用程序中指定的 NameID 格式相匹配。如果这些项目不匹配,则启用签名身份验证请求会导致 Okta 出错。
    5. 应用程序用户名中,选择 Okta 用户名

      作为此配置的示例,下图说明了美国、欧盟和亚太南部地区的正确配置:

      Okta 控制台中配置了设置的 SAML 设置

      重要提示:

      必须将名称 ID 设置配置为未指定。为此设置使用不同的值会导致 SAML 登录失败。

    6. 单击显示高级设置并配置以下设置:
      • 响应中,选择已签名
      • 断言签名中,选择已签名
      • 签名算法中,选择 RSA-SHA256
      • 断言加密中,选择未加密
    7. 签名证书中,以 PEM 格式上载您的 Citrix Cloud 区域的 SAML 签名证书。有关获取 SAML 签名证书的说明,请参阅本文中的要求
    8. 启用单点注销中,选择允许应用程序启动单点注销
    9. 单点注销 URL 中,输入与您的 Citrix Cloud 区域对应的 URL:
      • 对于欧盟、美国和亚太南部区域,请输入 https://saml.cloud.com/saml/logout/callback
      • 对于日本区域,请输入 https://saml.citrixcloud.jp/saml/saml/logout/callback
      • 对于 Citrix Cloud Government,请输入 https://saml.cloud.us/saml/logout/callback
    10. SP 发行者中,输入您之前在受众 URI (SP 实体 ID)(此任务的步骤 4c)中输入的值。
    11. 签名请求中,选择使用签名证书验证 SAML 请求

      下图说明了美国、欧盟和亚太南部地区的正确配置:

      Okta 控制台中配置了设置的高级 SAML 设置

    12. 对于所有剩余的高级设置,请接受默认值。

      Okta 控制台中带有默认值的高级设置

  5. 属性语句(可选) 下,输入名称名称格式的值,如下表所示:

    名称 名称格式
    cip_email 未指定 user.email
    cip_upn 未指定 user.cip_upn
    cip_oid 未指定 user.cip_oid
    cip_sid 未指定 user.cip_sid
    displayName 未指定 user.displayName
    firstName 未指定 user.firstName
    lastName 未指定 user.lastName

    带有已配置属性的 Okta 控制台

  6. 选择下一步。此时将出现 Okta 配置语句。

    Okta 配置声明

  7. 您是客户还是合作伙伴? 中,选择我是添加内部应用程序的 Okta 客户
  8. 应用程序类型中,选择这是我们创建的内部应用程序
  9. 选择完成保存您的配置。此时将显示您的 SAML 应用程序的配置文件页面,并显示登录选项卡的内容。

配置完成后,选择分配选项卡,然后将用户和组分配给 SAML 应用程序。

将 Okta 配置为 SAML 提供商以进行 Workspace 身份验证