Citrix Cloud

将本地 PingFederate 服务器配置为工作区和 Citrix Cloud 的 SAML 提供商

本文由 Citrix 和 Ping 的两位工程师合作撰写,经过双方审查,以确保撰写本文时技术准确无误。有关如何预置、配置和许可本地 PingFederate 服务器用作 SAML 提供商的说明,请参阅 Ping 文档,因为这超出了本文的范围。

本文档使用 PingFederate 版本 11.3 和 12 撰写。

必备条件

本文专门介绍了 SAML 配置,并确保满足以下条件。

  • 您已经在组织内部配置了本地 PingFederate 服务器并获得了必要的许可证。有关更多信息,请参阅 PingFederate 安装
  • 您需要在 PingFederate 服务器上安装支持的 Java 版本。有关支持的 Java 版本,请参阅 Ping 身份文档。有关更多信息,请参阅 Java PingFederate 要求
  • 您已经配置了所需的网络和防火墙规则,以允许 Citrix Cloud 和 Workspace 在 Workspace/Citrix Cloud 管理控制台 SAML 登录过程中重定向到本地 PingFederate 服务器。有关更多信息,请参阅 PingFederate 网络要求
  • 您已经将公开签名的 x509 证书导入到您的 PingFederate 服务器上,该证书可以用作 PingFederate 服务器的服务器证书。
  • 您已将公开签名的 x509 证书导入到您的 PingFederate 服务器上,该证书可以用作 IdP 的 SAML 签名证书。在 SAML 连接过程中,必须将此证书上载到 Citrix Cloud。
  • 您已将本地 Active Directory 连接到 PingFederate。有关更多信息,请参阅 PingFederate LDAP 数据存储

注意:

在配置 PingFederate 以与 Citrix Cloud 和 Workspace 配合使用时,请参阅 PingFederate 文档,了解各个 SAML 设置的作用并帮助补充此处提供的说明。

使用 PingFederate 中的数据存储配置与您的 AD 域的 Active Directory 连接

  1. 在数据存储中配置 Active Directory 连接。

    配置 Active Director 连接

  2. 选择“键入为目录 (LDAP)”。

    选择目录

  3. 为 LDAPS 连接配置域控制器,并在主机名字段中添加域控制器 FQDN 列表。然后单击“测试连接”。

    配置域控制器

  4. 配置完成后,Active Directory 连接应与以下示例类似:

    Active Director

上载 Citrix Cloud SAML 签名证书

  1. 单击“安全”选项卡
  2. 签名和解密密钥和证书中上载您希望 PingFederate 使用的 SAML 签名证书。

    签名和解密密钥和证书

    注意:

    在本示例中,使用的证书是公开签名的 Digicert pingfederateserver.domain.com 证书。

  3. 上载用于签署您的 PingFederate 服务器 SAML 签名证书的所有 CA 证书。

    SAML 签名证书

注意:

PingFederate 服务器证书和 SAML 签名证书可以是相同的 SSL 证书,也可以使用不同的 SSL 证书。配置 SAML 连接时,需要向 Citrix Cloud 提供 SAML 签名证书的副本。

SSL 服务器证书

上载 Citrix Cloud 元数据

  1. 提供 Citrix Cloud 元数据的名称,然后输入与您的 Citrix Cloud 租户所在的 Citrix Cloud 区域相对应的元数据 URL。

    合作伙伴媒体 URL

  2. 配置完成后,Citrix Cloud 元数据配置应与以下示例类似。

    已配置合作伙伴 Metada URL

在 PingFederate 中配置密码凭据验证器

有关更多信息,请参阅 PingFederate 密码凭据验证器

  1. 将密码凭据验证器类型配置为 LDAP 用户名和密码。

    密码凭据验证器

  2. 配置实例配置。选择您在使用 PingFederate 中的数据存储配置与您的 AD 域的 Active Directory 连接之前配置的 AD 域连接和数据存储。输入合适的 LDAP 过滤器,如示例所示。 (((sAMAccountName=${username})(userPrincipalName=${username}))

    配置实例配置

    注意: 示例筛选器匹配 sAMAccountName 和 userPrincipalName AD 用户名格式,使最终用户能够使用这两种格式登录 Workspace 或 Citrix Cloud。示例筛选器支持 sAMAccountName 和 userPrincipalName AD 用户名格式,使最终用户能够使用这两种格式登录 Workspace 或 Citrix Cloud。

  3. 配置延期合约

    延期合约

  4. 密码凭据验证器摘要应类似于此示例。

    密码凭据验证器

在 PingFederate 中配置 IDP 适配器

有关更多信息,请参阅 PingFederate HTML 表单适配器

  1. 创建类型为 HTML 表单 IdP 适配器的新 IDP 适配器。

    创建适配器实例

  2. 选择您之前配置的现有密码凭据验证器并配置 IDP 适配器。有关更多信息,请参阅在 PingFederate 中配置密码凭据验证器

    密码凭据验证器

  3. 使用在 SAML 登录期间传递给 Citrix Cloud 或 Workspaces 的 SAML 属性配置延期合约

    配置延期合约

  4. 配置适配器属性

    配置适配器属性

  5. 配置适配器合约映射,其中 SAML 属性映射到来自 AD 身份的 LDAP 用户属性。单击“配置适配器合约”。
  6. 配置属性来源和用户查询

    属性来源和用户查询

  7. 配置适配器合约履行。选择 LDAP 和 Active Directory 数据存储的名称作为用户属性数据的来源。值是用户的 Active Directory 属性,例如 objectGUIDobjectSid

    配置适配器合约履行

为 Citrix Cloud 或 Workspaces 配置服务提供商连接(SAML 应用程序)

下面提供的示例 PingFederate 配置假设您的组织内满足以下 SAML 身份验证要求。

  • 从 Workspace/Citrix Cloud 管理员控制台发送的 SAML 身份验证请求必须经过签名。
  • SAML HTTP POST 绑定将用于 SSO 和 SLO 请求。
  • 单点注销 (SLO) 是组织内部的一项要求。 当最终用户退出 Workspace 或 Citrix Cloud 管理控制台时,Citrix Cloud 会向 SAML 提供商 (IdP) 发送 SAML SLO 请求,要求该用户注销。
  • PingFederate 需要签名的 HTTP POST 请求才能启动注销。SAML 提供商需要签名的 SLO 请求。

    SLO 绑定机制

有关更多信息,请参阅 PingFederate SP 管理

过程

  1. 配置连接模板

    配置连接模板

  2. 配置连接类型并选择浏览器 SSO 配置文件和 SAML 2.0

    配置连接类型

  3. 配置连接选项

    配置连接选项

  4. 导入 Citrix Cloud 元数据。选择 URL 和您之前创建的 CitrixCloudProdMetadata URL,然后单击“加载元数据

    导入 Citrix Cloud 元数据

  5. 配置常规信息。将服务提供商连接实体 ID、基本 URL 和连接名称设置为 Citrix Cloud 客户区域的 Citrix Cloud SAML 端点。

    配置常规信息

  6. 配置协议设置

    配置协议设置

  7. 使用默认的断言生命周期设置。

    断言生命周期设置

  8. 配置 SAML 断言创建。
    1. 单击“配置断言创建”

      配置断言创建

    2. 选择“标准”。

      选择标准

  9. 配置属性合约

    配置属性合约

  10. 配置适配器实例

    配置适配器实例

  11. 配置映射方法

    配置映射方法

  12. 配置属性合约履行

    配置属性合约履行

  13. 颁发标准配置为默认值,不带任何条件。

    配置发放标准

  14. 完成的 IDP 适配器映射如下所示:

    完成的 IDP 适配器映射

  15. 配置协议设置。Citrix Cloud 所需的 SAML 路径将附加到您的 PingFederate 服务器基本 URL 中。可以通过在端点 URL 字段中输入完整路径来覆盖基本 URL,但这通常是不必要和不可取的。 基本 URL - https://youpingfederateserver.domain.com
    1. 配置将 SAML 路径附加到 PingFederate 服务器基本 URL 的声明使用者服务 URL。EndpointURL - /saml/acs

      配置声明使用者服务 URL

    2. 配置 SLO 服务 URL。EndpointURL - /saml/logout/callback

      配置 SLO 服务 URL

    重要:

    如果您希望在退出 Workspace 或 Citrix Cloud 时执行 SLO,Citrix Cloud SAML 连接需要将 PingFederate 注销 URL 配置为与此相匹配。未能在 SAML 连接中配置注销 URL 将导致最终用户只注销 Workspace 而不是 PingFederate。

    1. 配置允许的 SAML 绑定

      配置允许的 SAML 绑定

    2. 配置签名策略

      配置签名策略

    重要:

    必须在 SAML 连接的两端统一配置 SAML 签名设置。必须将 Workspace 或 Citrix Cloud (SP) 配置为发送签名的 SSO 和 SLO 请求。

    1. 必须将 PingFederate (IDP) 配置为使用 Citrix Cloud SAML 签名验证证书强制执行签名请求。

      执行已签署的请求

    2. 配置加密策略

      配置加密策略

      注意:

      建议在初始设置和测试期间将“加密”设置为“”,这样您就可以调试断言中缺少 SAML 属性或不正确的任何问题。如果您需要加密断言,建议您在证明成功登录到 Workspace 或 Citrix Cloud 且所有资源均已成功枚举并可以启动后启用加密。如果您无法查看 SAML 断言的纯文本内容,则无法在启用加密的情况下调试 SAML 问题。

    3. 查看“摘要”选项卡。

      摘要选项卡

    4. 查看 Citrix Cloud 服务提供商 (SP) 连接。配置 Citrix Cloud SP 连接后,应如下所示:

      摘要 摘要 摘要 摘要

      有用的提示:

      使用 SP 连接激活和摘要页面查看您的 SAML 应用程序并用于调试,因为它允许快速轻松地进行配置更改。SP 连接激活和摘要页面允许您通过单击任何 SAML 配置子部分的标题来导航到该部分的标题。点击任何以红色突出显示的标题来更新这些设置。

    协议设置

  16. 完成的 Citrix Cloud SP 连接应如下所示出现在列表中。

    Citrix Cloud SP 连接

  17. 可以以 XML 文件的形式导出 SP 连接。Citrix 建议在使用 Citrix Cloud 和 Workspace 测试后,对 SP 连接进行备份。

    导出 SP 连接

将本地 PingFederate 服务器配置为工作区和 Citrix Cloud 的 SAML 提供商