将本地 PingFederate 服务器配置为工作区和 Citrix Cloud 的 SAML 提供商
本文由 Citrix 和 Ping 的两位工程师合作撰写,经过双方审查,以确保撰写本文时技术准确无误。有关如何预置、配置和许可本地 PingFederate 服务器用作 SAML 提供商的说明,请参阅 Ping 文档,因为这超出了本文的范围。
本文档使用 PingFederate 版本 11.3 和 12 撰写。
必备条件
本文专门介绍了 SAML 配置,并确保满足以下条件。
- 您已经在组织内部配置了本地 PingFederate 服务器并获得了必要的许可证。有关更多信息,请参阅 PingFederate 安装。
- 您需要在 PingFederate 服务器上安装支持的 Java 版本。有关支持的 Java 版本,请参阅 Ping 身份文档。有关更多信息,请参阅 Java PingFederate 要求。
- 您已经配置了所需的网络和防火墙规则,以允许 Citrix Cloud 和 Workspace 在 Workspace/Citrix Cloud 管理控制台 SAML 登录过程中重定向到本地 PingFederate 服务器。有关更多信息,请参阅 PingFederate 网络要求。
- 您已经将公开签名的 x509 证书导入到您的 PingFederate 服务器上,该证书可以用作 PingFederate 服务器的服务器证书。
- 您已将公开签名的 x509 证书导入到您的 PingFederate 服务器上,该证书可以用作 IdP 的 SAML 签名证书。在 SAML 连接过程中,必须将此证书上载到 Citrix Cloud。
- 您已将本地 Active Directory 连接到 PingFederate。有关更多信息,请参阅 PingFederate LDAP 数据存储
注意:
在配置 PingFederate 以与 Citrix Cloud 和 Workspace 配合使用时,请参阅 PingFederate 文档,了解各个 SAML 设置的作用并帮助补充此处提供的说明。
使用 PingFederate 中的数据存储配置与您的 AD 域的 Active Directory 连接
-
在数据存储中配置 Active Directory 连接。
-
选择“键入为目录 (LDAP)”。
-
为 LDAPS 连接配置域控制器,并在主机名字段中添加域控制器 FQDN 列表。然后单击“测试连接”。
-
配置完成后,Active Directory 连接应与以下示例类似:
上载 Citrix Cloud SAML 签名证书
- 单击“安全”选项卡
-
在签名和解密密钥和证书中上载您希望 PingFederate 使用的 SAML 签名证书。
注意:
在本示例中,使用的证书是公开签名的 Digicert
pingfederateserver.domain.com
证书。 -
上载用于签署您的 PingFederate 服务器 SAML 签名证书的所有 CA 证书。
注意:
PingFederate 服务器证书和 SAML 签名证书可以是相同的 SSL 证书,也可以使用不同的 SSL 证书。配置 SAML 连接时,需要向 Citrix Cloud 提供 SAML 签名证书的副本。
上载 Citrix Cloud 元数据
-
提供 Citrix Cloud 元数据的名称,然后输入与您的 Citrix Cloud 租户所在的 Citrix Cloud 区域相对应的元数据 URL。
-
配置完成后,Citrix Cloud 元数据配置应与以下示例类似。
在 PingFederate 中配置密码凭据验证器
有关更多信息,请参阅 PingFederate 密码凭据验证器
-
将密码凭据验证器类型配置为 LDAP 用户名和密码。
-
配置实例配置。选择您在使用 PingFederate 中的数据存储配置与您的 AD 域的 Active Directory 连接之前配置的 AD 域连接和数据存储。输入合适的 LDAP 过滤器,如示例所示。
(((sAMAccountName=${username})(userPrincipalName=${username}))
注意: 示例筛选器匹配 sAMAccountName 和 userPrincipalName AD 用户名格式,使最终用户能够使用这两种格式登录 Workspace 或 Citrix Cloud。示例筛选器支持 sAMAccountName 和 userPrincipalName AD 用户名格式,使最终用户能够使用这两种格式登录 Workspace 或 Citrix Cloud。
-
配置延期合约。
-
密码凭据验证器摘要应类似于此示例。
在 PingFederate 中配置 IDP 适配器
有关更多信息,请参阅 PingFederate HTML 表单适配器
-
创建类型为 HTML 表单 IdP 适配器的新 IDP 适配器。
-
选择您之前配置的现有密码凭据验证器并配置 IDP 适配器。有关更多信息,请参阅在 PingFederate 中配置密码凭据验证器。
-
使用在 SAML 登录期间传递给 Citrix Cloud 或 Workspaces 的 SAML 属性配置延期合约。
-
配置适配器属性。
- 配置适配器合约映射,其中 SAML 属性映射到来自 AD 身份的 LDAP 用户属性。单击“配置适配器合约”。
-
配置属性来源和用户查询。
-
配置适配器合约履行。选择 LDAP 和 Active Directory 数据存储的名称作为用户属性数据的来源。值是用户的 Active Directory 属性,例如
objectGUID
或objectSid
。
为 Citrix Cloud 或 Workspaces 配置服务提供商连接(SAML 应用程序)
下面提供的示例 PingFederate 配置假设您的组织内满足以下 SAML 身份验证要求。
- 从 Workspace/Citrix Cloud 管理员控制台发送的 SAML 身份验证请求必须经过签名。
- SAML HTTP POST 绑定将用于 SSO 和 SLO 请求。
- 单点注销 (SLO) 是组织内部的一项要求。 当最终用户退出 Workspace 或 Citrix Cloud 管理控制台时,Citrix Cloud 会向 SAML 提供商 (IdP) 发送 SAML SLO 请求,要求该用户注销。
-
PingFederate 需要签名的 HTTP POST 请求才能启动注销。SAML 提供商需要签名的 SLO 请求。
有关更多信息,请参阅 PingFederate SP 管理
过程
-
配置连接模板。
-
配置连接类型并选择浏览器 SSO 配置文件和 SAML 2.0。
-
配置连接选项。
-
导入 Citrix Cloud 元数据。选择 URL 和您之前创建的
CitrixCloudProdMetadata
URL,然后单击“加载元数据” -
配置常规信息。将服务提供商连接实体 ID、基本 URL 和连接名称设置为 Citrix Cloud 客户区域的 Citrix Cloud SAML 端点。
- https://saml.cloud.com - 商用,欧盟、美国和亚太地区
- https://saml.citrixcloud.jp - 日本
- https://saml.cloud.us - 政府
-
配置协议设置。
-
使用默认的断言生命周期设置。
- 配置 SAML 断言创建。
-
单击“配置断言创建”
-
选择“标准”。
-
-
配置属性合约。
-
配置适配器实例。
-
配置映射方法。
-
配置属性合约履行。
-
将颁发标准配置为默认值,不带任何条件。
-
完成的 IDP 适配器映射如下所示:
- 配置协议设置。Citrix Cloud 所需的 SAML 路径将附加到您的 PingFederate 服务器基本 URL 中。可以通过在端点 URL 字段中输入完整路径来覆盖基本 URL,但这通常是不必要和不可取的。
基本 URL - https://youpingfederateserver.domain.com
-
配置将 SAML 路径附加到 PingFederate 服务器基本 URL 的声明使用者服务 URL。EndpointURL -
/saml/acs
-
配置 SLO 服务 URL。EndpointURL -
/saml/logout/callback
重要:
如果您希望在退出 Workspace 或 Citrix Cloud 时执行 SLO,Citrix Cloud SAML 连接需要将 PingFederate 注销 URL 配置为与此相匹配。未能在 SAML 连接中配置注销 URL 将导致最终用户只注销 Workspace 而不是 PingFederate。
-
配置允许的 SAML 绑定。
-
配置签名策略。
重要:
必须在 SAML 连接的两端统一配置 SAML 签名设置。必须将 Workspace 或 Citrix Cloud (SP) 配置为发送签名的 SSO 和 SLO 请求。
-
必须将 PingFederate (IDP) 配置为使用 Citrix Cloud SAML 签名验证证书强制执行签名请求。
-
配置加密策略。
注意:
建议在初始设置和测试期间将“加密”设置为“无”,这样您就可以调试断言中缺少 SAML 属性或不正确的任何问题。如果您需要加密断言,建议您在证明成功登录到 Workspace 或 Citrix Cloud 且所有资源均已成功枚举并可以启动后启用加密。如果您无法查看 SAML 断言的纯文本内容,则无法在启用加密的情况下调试 SAML 问题。
-
查看“摘要”选项卡。
-
查看 Citrix Cloud 服务提供商 (SP) 连接。配置 Citrix Cloud SP 连接后,应如下所示:
有用的提示:
使用 SP 连接激活和摘要页面查看您的 SAML 应用程序并用于调试,因为它允许快速轻松地进行配置更改。SP 连接激活和摘要页面允许您通过单击任何 SAML 配置子部分的标题来导航到该部分的标题。点击任何以红色突出显示的标题来更新这些设置。
-
-
完成的 Citrix Cloud SP 连接应如下所示出现在列表中。
-
可以以 XML 文件的形式导出 SP 连接。Citrix 建议在使用 Citrix Cloud 和 Workspace 测试后,对 SP 连接进行备份。