ADC

Use an on-premises NetScaler Gateway as the identity provider for Citrix Cloud

Citrix Cloud unterstützt die Verwendung eines on-premises Citrix Gateway als Identitätsanbieter für die Authentifizierung von Abonnenten, wenn diese sich bei ihrem Workspace anmelden.

Vorteile der Authentifizierung mit Citrix Gateway:

  • Fortdauernde Authentifizierung von Benutzern über das vorhandene Citrix Gateway, damit sie über Citrix Workspace auf die Ressourcen in der On-Premises-Bereitstellung von Virtual Apps and Desktops zugreifen können.
  • Verwenden Sie die NetScaler Gateway-Authentifizierungs-, Autorisierungs- und Überwachungsfunktionen mit Citrix Workspace.
  • Verwendung von Features wie Passthrough-Authentifizierung, Smartcards, Sicherheitstoken, Richtlinien für bedingten Zugriff, Verbund usw. für den Benutzerzugriff auf erforderliche Ressourcen über Citrix Workspace.

Die Authentifizierung mit Citrix Gateway wird für folgende Produktversionen unterstützt:

  • Citrix Gateway 13.0 41.20 Advanced Edition oder höher
  • Citrix Gateway 12.1 54.13 Advanced Edition oder höher

Voraussetzungen

  • Cloud Connectors - Sie benötigen mindestens zwei Server, auf denen Sie die Citrix Cloud Connector-Software installieren können.

  • Active Directory - Führen Sie die erforderlichen Prüfungen durch.

  • Anforderungen für Citrix Gateway

    • Verwenden Sie erweiterte Richtlinien auf dem on-premises Gateway aufgrund der Veraltung klassischer Richtlinien.

    • Bei der Konfiguration des Gateway für die Authentifizierung von Abonnenten von Citrix Workspace fungiert das Gateway als OpenID Connect-Anbieter. Nachrichten zwischen Citrix Cloud und Gateway entsprechen dem OIDC-Protokoll, was auch die digitale Signatur von Token umfasst. Daher müssen Sie ein Zertifikat zur Signatur dieser Token konfigurieren.

    • Taktsynchronisation - Das Gateway muss mit der NTP-Zeit synchronisiert sein.

Details finden Sie unter Voraussetzungen.

Erstellen einer OAuth IdP-Richtlinie auf dem lokalen NetScaler Gateway

Wichtig:

Sie müssen die Client-ID, die geheime und die Umleitungs-URL auf der Registerkarte Citrix Cloud > Identitäts- und Zugriffsmanagement > Authentifizierung generiert haben. Weitere Informationen finden Sie unter Verbinden eines on-premises NetScaler Gateway mit Citrix Cloud.

Das Erstellen einer OAuth IdP-Authentifizierungsrichtlinie umfasst die folgenden Aufgaben:

  1. Erstellen eines OAuth-IdP-Profils

  2. Fügen Sie eine OAuth IdP-Richtlinie hinzu.

  3. Binden Sie die OAuth IdP-Richtlinie an einen virtuellen Authentifizierungsserver.

  4. Binden Sie das Zertifikat global.

Erstellen eines OAuth IdP-Profils mit der CLI

Geben Sie an der Eingabeaufforderung;

add authentication OAuthIDPProfile <name> [-clientID <string>][-clientSecret ][-redirectURL <URL>][-issuer <string>][-audience <string>][-skewTime <mins>] [-defaultAuthenticationGroup <string>]

add authentication OAuthIdPPolicy <name> -rule <expression> [-action <string> [-undefAction <string>] [-comment <string>][-logAction <string>]

add authentication ldapAction <name> -serverIP <IP> -ldapBase "dc=aaa,dc=local"

ldapBindDn <administrator@aaa.local> -ldapBindDnPassword <password> -ldapLoginName sAMAccountName

add authentication policy <name> -rule <expression> -action <string>

bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <integer> -gotoPriorityExpression NEXT

bind authentication vserver auth_vs -policy <OAuthIDPPolicyName> -priority <integer> -gotoPriorityExpression END

bind vpn global -certkeyName <>
<!--NeedCopy-->

Erstellen eines OAuth IdP-Profils mit der GUI

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > OAuth IDP.

  2. Wählen Sie auf der OAuth IDP-Seite die Registerkarte Profile aus und klicken Sie auf Hinzufügen.

  3. Konfigurieren Sie das OAuth IdP-Profil.

    Hinweis:

    • Kopieren Sie die Werte für Client-ID, Secret und Redirect URL aus der Registerkarte Citrix Cloud > Identitäts- und Zugriffsmanagement > Authentifizierung und fügen Sie sie ein, um die Verbindung zu Citrix Cloud herzustellen.

    • Geben Sie die Gateway-URL im Beispiel für den Ausstellernamen korrekt ein: https://GatewayFQDN.com

    • Kopieren Sie auch die Client-ID und fügen Sie sie auch in das Feld Zielgruppe ein.

    • Kennwort senden: Aktivieren Sie diese Option für Single-Sign-On-Unterstützung. Standardmäßig ist diese Option deaktiviert.

  4. Legen Sie im Bildschirm Authentifizierung erstellen OAuth IDP-Profil Werte für die folgenden Parameter fest und klicken Sie auf Erstellen.

    • Name — Name des Authentifizierungsprofils. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und darf nur Buchstaben, Zahlen und Bindestrich (-), Punkt (.), Pfund (#), Leerzeichen (), At (@), Gleichheitszeichen (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem das Profil erstellt wurde.

    • Client-ID — Eindeutige Zeichenfolge, die SP identifiziert. Der Autorisierungsserver leitet die Clientkonfiguration von dieser ID ab. Maximale Länge: 127.
    • Client Secret: Geheime Zeichenfolge, die vom Benutzer und Autorisierungsserver erstellt wird. Maximale Länge: 239.
    • URL umleiten — Endpunkt für SP, an dem Code/Token gepostet werden muss.
    • Name des Ausstellers — Identität des Servers, dessen Token akzeptiert werden sollen. Maximale Länge: 127. Beispiel:https://GatewayFQDN.com
    • Zielgruppe — Zielempfänger für das Token, das vom IdP gesendet wird. Dies könnte vom Empfänger überprüft werden.
    • Skew Time — Diese Option gibt die zulässige Taktverzerrung in Minuten an, die NetScaler ADC für ein eingehendes Token zulässt. Wenn skewTime beispielsweise 10 ist, dann wäre das Token von (aktuelle Zeit — 10) Minuten bis (aktuelle Zeit + 10) Minuten gültig, also insgesamt 20 Minuten. Standardwert: 5.
    • Standard-Authentifizierungsgruppe — Eine Gruppe, die der internen Gruppenliste der Sitzung hinzugefügt wurde, wenn dieses Profil von IdP ausgewählt wird, das im nFactor Flow verwendet werden kann. Es kann im Ausdruck (AAA.USER.IS_MEMBER_OF (“xxx”)) für Authentifizierungsrichtlinien verwendet werden, um den zugehörigen nFactor-Flow zu identifizieren. Maximale Länge: 63

    Der Sitzung für dieses Profil wird eine Gruppe hinzugefügt, um die Richtlinienbewertung zu vereinfachen und beim Anpassen von Richtlinien zu helfen. Dies ist die Standardgruppe, die ausgewählt wird, wenn die Authentifizierung zusätzlich zu den extrahierten Gruppen erfolgreich ist.

    • Metadaten-URL der vertrauenden Partei: Endpunkt, an dem der Citrix ADC IdP Details über die konfigurierte vertrauende Partei abrufen kann. Die Metadatenantwort muss Endpunkte für die öffentlichen RP-Schlüssel jwks_uri enthalten. Die maximale Länge beträgt 255.
    • Aktualisierungsintervall: Das Intervall, in dem die Metadaten der vertrauenden Partei aktualisiert werden. Das Standardintervall ist 50.
    • Token verschlüsseln: Wenn Sie diese Option auswählen, wird das von Citrix ADC gesendete Token verschlüsselt.
    • Signature Service: Name des Cloud-Dienstes, der zum Signieren der Daten verwendet wird. Dies gilt nur, wenn die Signatur in die Cloud ausgelagert wird.
    • Attribute: Name-Wert-Paare der Attribute, die in das ID-Token eingefügt werden sollen. Die maximale Länge beträgt 1047 Zeichen.
    • Kennwort senden: Wählen Sie diese Option, um das verschlüsselte Kennwort im ID-Token zu senden.
  5. Klicken Sie auf Richtlinien, und klicken Sie auf Hinzufügen.

  6. Legen Sie im Fenster Richtlinie für OAuth IDP-Authentifizierung erstellen Werte für die folgenden Parameter fest und klicken Sie auf Erstellen.

    • Name: Name der Authentifizierungsrichtlinie.
    • Action: Name des zuvor erstellten Profils.
    • Log Action: Name der Nachrichtenprotokollaktion, die verwendet werden soll, wenn eine Anforderung mit dieser Richtlinie übereinstimmt. Keine obligatorische Einreichung.
    • Aktion mitundefiniertem Ergebnis — Aktion, die ausgeführt werden soll, wenn das Ergebnis der Richtlinienbewertung nicht bestraft wird (UNDEF). Kein Pflichtfeld.
    • Expression: Standardsyntaxausdruck, den die Richtlinie verwendet, um auf eine bestimmte Anfrage zu antworten. Beispiel: true.
    • Comments: Kommentare zu der Richtlinie.

Hinweis:

Wenn sendPassword auf ON (standardmäßig OFF) eingestellt ist, werden Benutzeranmeldeinformationen verschlüsselt und über einen sicheren Kanal an Citrix Cloud weitergeleitet. Wenn Sie Benutzeranmeldeinformationen über einen sicheren Kanal übergeben, können Sie SSO an Citrix Virtual Apps and Desktops nach dem Start aktivieren.

Binden der OAuthIDP-Richtlinie und der LDAP-Richtlinie an den virtuellen Authentifizierungsserver

  1. Navigieren Sie zu Konfiguration > Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > LDAP.

  2. Klicken Sie im Bildschirm LDAP-Aktionen auf Hinzufügen.

  3. Legen Sie im Bildschirm Authentifizierungs-LDAP-Server erstellen die Werte für die folgenden Parameter fest und klicken Sie auf Erstellen.

    • Name — Der Name der LDAP-Aktion
    • ServerName/ServerIP — Bereitstellung von FQDN oder IP des LDAP-Servers
    • Wählen Sie geeignete Werte für Sicherheitstyp, Port, Servertyp, Timeout
    • Stellen Sie sicher, dass Authentifizierung aktiviert ist
    • Basis-DN — Basis, von der aus die LDAP-Suche gestartet werden soll. Beispiel: dc=aaa,dc=local.
    • Administrator Bind DN: Benutzername der Bindung an den LDAP-Server. Beispiel: admin@aaa.local.
    • Administratorkennwort/Kennwort bestätigen: Kennwort zum Binden von LDAP
    • Klicken Sie auf Verbindung testen, um Ihre Einstellungen zu testen.
    • Attribut für Server-Anmeldename: Wählen Sie “sAMAccountName”
    • Andere Felder sind nicht Pflichtfelder und können daher nach Bedarf konfiguriert werden.
  4. Navigieren Sie zu Konfiguration > Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie.

  5. Klicken Sie im Bildschirm Authentifizierungsrichtlinien auf Hinzufügen.

  6. Legen Sie auf der Seite Authentifizierungsrichtlinie erstellen die Werte für die folgenden Parameter fest und klicken Sie auf Erstellen.

    • Name — Name der LDAP-Authentifizierungsrichtlinie.
    • Aktionstyp — Wählen Sie LDAP aus.
    • Aktion — Wählen Sie die LDAP-Aktion aus.
    • Ausdruck — Standard-Syntaxausdruck, den die Richtlinie verwendet, um auf bestimmte Anforderungen zu antworten. Beispiel: true**.

Unterstützung für aktiv-aktive GSLB-Bereitstellungen auf Citrix Gateway

Citrix Gateway, das mit dem OIDC-Protokoll als Identity Provider (IdP) konfiguriert ist, kann aktiv-aktive GSLB-Bereitstellungen unterstützen. Die aktiv-aktive GSLB-Bereitstellung auf dem Citrix Gateway IdP ermöglicht den Lastausgleich einer eingehenden Benutzeranmeldeanforderung an mehreren geografischen Standorten.

Wichtig

Citrix empfiehlt, Zertifizierungsstellenzertifikate an den SSL-Dienst zu binden und die Zertifikatvalidierung für den SSL-Dienst zu aktivieren, um die Sicherheit zu erhöhen.

Weitere Informationen zur Konfiguration des GSLB-Setups finden Sie unter Beispiel für ein GSLB-Setup und eineKonfiguration.

Use an on-premises NetScaler Gateway as the identity provider for Citrix Cloud