产品文档
Citrix Cloud
查看 PDF

将 Okta 配置为工作区身份验证的 SAML 提供程序

November 12, 2024
Author:  Mark Dear

本文介绍配置 Okta SAML 应用程序以及 Citrix Cloud 与 SAML 提供商之间的连接所需的步骤。 其中一些步骤描述了您在 SAML 提供商的管理控制台中执行的操作。

必备条件

在完成本文中的任务之前,请确保您已满足以下先决条件:

  • Citrix 支持已在 Citrix Cloud 中启用 SendNameIDPolicyInSAMLRequest 功能。 该功能可根据请求启用。 有关这些功能的更多信息,请参阅 使用 Okta 的 SAML 所需的云功能
  • 您有一个 Okta 组织,它使用以下 Okta 域之一:
    • okta.com
    • okta-eu.com
    • oktapreview.com
  • 您已将您的 Active Directory (AD) 与您的 Okta 组织同步。
  • 签名身份验证请求 已在您的 Okta 组织中启用。
  • 身份提供者单点注销 (SLO) 在 Citrix Cloud 和 Okta SAML 应用程序中进行配置。 配置 SLO 后,最终用户退出 Citrix Workspace,他们也会退出 Okta 和共享 Okta SAML 应用程序的所有其他服务提供商。
  • 身份提供者签名注销 (SLO) 请求 在 Citrix Cloud 中启用。
  • 身份提供者注销绑定 (SLO) 是 Citrix Cloud 内的 HTTPPost。

注销绑定签名设置

使用 Okta 的 SAML 所需的云功能

在完成本文中的任务之前,您必须联系 Citrix 支持以启用 SendNameIDPolicyInSAMLRequest 功能。 此功能使 Citrix Cloud 能够将 NameID 策略作为 未指定 在 SAML 请求中提供给您的 SAML 提供商。 此功能仅适用于 Okta。

您可以通过登录您的 Citrix 帐户并通过 Citrix 支持网站开立票据来请求这些功能。

要求

本文包括一项任务,您 在 Okta 管理控制台中创建一个 SAML 应用程序。 此应用程序需要您所在 Citrix Cloud 区域的 SAML 签名证书。

重要:

签名证书必须采用 PEM 格式编码。 Citrix Cloud 不接受其他编码格式的签名证书。

您可以使用提取工具(例如位于 https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract的提取工具)从您所在地区的 Citrix Cloud SAML 元数据中提取此证书。 Citrix 建议事先获取 Citrix Cloud SAML 证书,以便在需要时提供它。

本节中的步骤介绍了如何使用 https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract处的提取工具获取签名证书。

要获取您所在地区的 Citrix Cloud 元数据:

  1. 在您选择的提取工具中,输入 Citrix Cloud 区域的元数据 URL:

    • 对于欧盟、美国和亚太南部地区,输入 https://saml.cloud.com/saml/metadata
    • 对于日本地区,输入 https://saml.citrixcloud.jp/saml/metadata
    • 对于 Citrix Cloud Government 区域,输入 https://saml.cloud.us/saml/metadata
  2. 点击 加载。 提取的证书出现在您输入的 URL 下方。
  3. 点击 下载 下载 PEM 格式的证书。

与 Okta AD 代理同步账户

要使用 Okta 作为 SAML 提供商,您必须首先将您的本地 AD 与 Okta 集成。 为此,您可以在域中安装 Okta AD 代理并将您的 AD 添加到您的 Okta 组织。 有关部署 Okta AD 代理的指导,请参阅 Okta 网站上的 开始使用 Active Directory 集成

之后,将您的 AD 用户和组导入 Okta。 导入时,请包括与您的 AD 帐户关联的以下值:

  • 电子邮件
  • SID
  • 联合网络通信公司
  • 对象标识符

要将您的 AD 用户和组与 Okta 组织同步:

  1. 安装并配置 Okta AD 代理。 有关完整说明,请参阅 Okta 网站上的以下文章:
  2. 通过执行手动导入或自动导入将您的 AD 用户和组添加到 Okta。 有关 Okta 导入方法和说明的更多信息,请参阅 Okta 网站上的 管理 Active Directory 用户和组

配置 Okta SAML 应用程序以进行工作区身份验证

  1. 使用具有添加和配置 SAML 应用程序权限的管理员账户登录您的 Okta 组织。

  2. 在管理控制台中,选择 应用程序 > 应用程序 > 创建应用程序集成 然后选择 SAML 2.0。 选择下一步

    选择 SAML 作为登录方法的 Okta 控制台

  3. 应用程序名称中,输入应用程序的友好名称。 选择下一步

    创建 SAML 集成配置屏幕并突出显示应用程序名称字段

  4. SAML 设置 部分中,配置 Citrix Cloud 服务提供商 (SP) 连接:
    1. 单点登录 URL中,输入与您的 Citrix Cloud 客户的 Citrix Cloud 区域相对应的 URL:
      • 如果您的客户 ID 位于欧盟、美国或亚太南部地区,请输入 https://saml.cloud.com/saml/acs
      • 如果您的客户 ID 在日本地区,请输入 https://saml.citrixcloud.jp/saml/acs
      • 如果您的客户 ID 位于 Citrix Cloud Government 区域,请输入 https://saml.cloud.us/saml/acs
    2. 选择 将其用于收件人和目标网址
    3. Audience URI (SP Entity ID)中,输入与您的 Citrix Cloud 客户的 Citrix Cloud 区域相对应的 URL:
      • 如果您的客户 ID 位于欧盟、美国或亚太南部地区,请输入 https://saml.cloud.com
      • 如果您的客户 ID 在日本地区,请输入 https://saml.citrixcloud.jp
      • 如果您的客户 ID 位于 Citrix Cloud 政府区域,请输入 https://saml.cloud.us
    4. 名称 ID 格式中,选择 未指定。 Citrix Cloud 在 SAML 请求中发送的 NameID 策略必须与 Okta SAML 应用程序中指定的 NameID 格式相匹配。 如果这些项目不匹配,启用 签名认证请求 会导致 Okta 出现错误。

    5. 应用程序用户名中,选择 Okta 用户名

      作为此配置的示例,下图说明了美国、欧盟和亚太南部地区的正确配置:

      Okta 控制台中的 SAML 设置(已配置设置)

      重要:

      名称 ID 设置必须配置为 未指定。 对此设置使用不同的值会导致 SAML 登录失败。

    6. 单击 显示高级设置 并配置以下设置:
      • Response中,选择 Signed
      • 断言签名中,选择 签名
      • 签名算法中,选择 RSA-SHA256
      • 断言加密中,选择 未加密
    7. 签名证书中,以 PEM 格式上传 Citrix Cloud 区域的 SAML 签名证书。 有关获取 SAML 签名证书的说明,请参阅本文中的 要求
    8. 启用单一注销中,选择 允许应用程序启动单一注销
    9. 单点注销 URL中,输入与您的 Citrix Cloud 区域相对应的 URL:
      • 对于欧盟、美国和亚太南部地区,输入 https://saml.cloud.com/saml/logout/callback
      • 对于日本地区,输入 https://saml.citrixcloud.jp/saml/saml/logout/callback
      • 对于 Citrix Cloud Government,输入 https://saml.cloud.us/saml/logout/callback
    10. SP Issuer中,输入您之前在 Audience URI (SP Entity ID) 中输入的值(此任务的步骤 4c)。

    11. 签名请求中,选择 使用签名证书验证 SAML 请求

      下图说明了美国、欧盟和亚太南部地区的正确配置:

      Okta 控制台中已配置的高级 SAML 设置

    12. 对于所有剩余的高级设置,接受默认值。

      Okta 控制台中的具有默认值的高级设置

  5. 属性语句(可选)下,输入 名称名称格式 的值,如下表所示:

    姓名 名称格式 价值
    cip_email 未指定 用户电子邮件
    cip_upn 未指定 用户.cip_upn
    cip_oid 未指定 用户.cip_oid
    cip_sid 未指定 用户.cip_sid
    displayName 未指定 用户显示名称
    firstName 未指定 用户名字
    lastName 未指定 用户姓氏

    具有配置属性的 Okta 控制台

  6. 选择下一步。 出现 Okta 配置语句。

    Okta 配置语句

  7. 您是客户还是合作伙伴?,选择 我是 Okta 客户,正在添加内部应用程序
  8. 应用程序类型中,选择 这是我们创建的内部应用程序
  9. 选择 完成 保存您的配置。 您的 SAML 应用程序的配置文件页面将会出现,并显示 登录 选项卡的内容。

配置后,选择 Assignments 选项卡并将用户和组分配给 SAML 应用程序。

配置 Citrix Cloud SAML 连接

所有 Citrix 登录流程都需要由服务提供商使用 Workspace URL 或 Citrix Cloud GO URL 发起。

获取 Okta SAML 应用程序 SAML 端点以从您的 Okta 门户进入 Citrix Cloud。

登录选项卡

Okta 端点

可在 Citrix Cloud SAML 连接中使用的 Okta SAML 端点示例如下:

  • 身份提供者实体 ID: http://www.okta.com/<oktaSAMLappID>
  • 身份提供者 SSO 服务 URL: https://<youroktatenant>.okta.com/app/<oktatenantname>_<samlappname>/<samlappID>/sso/saml
  • 身份提供者注销 URL: https://<youroktatenant>.okta.com/app/<oktatenantname>_<samlappname>/<samlappID>/slo/saml
将 Okta 配置为工作区身份验证的 SAML 提供程序
November 12, 2024
Author:  Mark Dear
November 12, 2024
Author:  Mark Dear

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.