Produktdokumentation
NetScaler Console-Dienst
PDF anzeigen

SAML als Identitätsanbieter mit NetScaler Console verbinden

January 26, 2024
Beitrag von: 
C

NetScaler Console unterstützt die Verwendung von SAML (Security Assertion Markup Language) als Identitätsanbieter zur Authentifizierung von Administratoren und Abonnenten, die sich bei ihrer NetScaler Console anmelden. Sie können den SAML 2.0-Anbieter Ihrer Wahl mit Ihrem On-Premises-Active Directory (AD) verwenden.

Bei den meisten SAML-Anbietern können Sie die SAML-Authentifizierung gemäß den Informationen in diesem Artikel einrichten. Wenn Sie die SAML-Authentifizierung mit Ihrem Azure AD verwenden möchten, können Sie die Citrix Cloud-SAML-SSO-App aus der Azure AD-App-Galerie verwenden.

Voraussetzungen

Für die SAML-Authentifizierung mit NetScaler Console gelten die folgenden Anforderungen:

  • SAML-Anbieter, der SAML 2.0 unterstützt

  • On-Premises-AD-Domäne

  • Zwei Cloud Connectors, an einem Ressourcenstandort bereitgestellt und mit Ihrer On-Premises-AD-Domäne verbunden. Die Cloud Connectors werden verwendet, um sicherzustellen, dass Citrix Cloud mit Ihrem Ressourcenstandort kommunizieren kann.

  • AD-Integration mit Ihrem SAML-Anbieter.

Cloud Connectors

Sie benötigen mindestens zwei (2) Server, auf denen Sie die Citrix Cloud Connector-Software installieren können. Es wird empfohlen, mindestens zwei Server für die hohe Verfügbarkeit von Cloud Connector zu haben. Die Server müssen die folgenden Anforderungen erfüllen:

  • Die unter Technische Daten zu Citrix Cloud Connector beschriebenen Systemanforderungen müssen erfüllt sein.

  • Es dürfen keine anderen Komponenten von Citrix installiert sein. Die Server dürfen keine AD-Domänencontroller oder Maschinen sein, die für Ihre Ressourcenstandortinfrastruktur kritisch sind.

  • Sie müssen mit der Domäne verbunden sein, in der sich Ihre Ressourcen befinden. Wenn Benutzer auf Ressourcen in mehreren Domänen zugreifen, müssen Sie in jeder Domäne mindestens zwei Cloud Connectors installieren.

  • Es muss eine Verbindung zum Netzwerk bestehen, das die Ressourcen abrufen kann, auf die Abonnenten über Citrix Workspace zugreifen.

  • Mit dem Internet verbunden.

Active Directory

Führen Sie vor dem Konfigurieren der SAML-Authentifizierung die folgenden Aufgaben aus:

  • Die Felder Vorname, Nachname und E-Mail sind für die Benutzer in Active Directory erforderlich, um Benutzer in Okta Instance zu importieren.

  • Stellen Sie sicher, dass Ihre Workspace-Abonnenten über Benutzerkonten in Active Directory (AD) verfügen. Abonnenten ohne AD-Konten können sich nicht erfolgreich in ihren Workspaces anmelden, wenn die SAML-Authentifizierung konfiguriert ist.

  • Stellen Sie sicher, dass die Benutzereigenschaften in den AD-Konten Ihrer Abonnenten gefüllt sind. Citrix Cloud benötigt diese Eigenschaften, um den Benutzerkontext bei der Anmeldung von Abonnenten bei Citrix Workspace zu erfassen. Wenn diese Eigenschaften nicht ausgefüllt sind, können sich Abonnenten nicht anmelden. Zu diesen Eigenschaften gehören:

    • E-Mail-Adresse

    • Anzeigename (optional)

    • Allgemeiner Name

    • SAM-Kontoname

    • Benutzerprinzipalname

    • Objekt-GUID

    • SID

  • Verbinden Sie Ihr Active Directory (AD) mit Ihrem Citrix Cloud-Konto, indem Sie Cloud Connectors in Ihrem On-Premises-AD bereitstellen.

  • Synchronisieren Sie Ihre AD-Benutzer mit dem SAML-Anbieter. Citrix Cloud benötigt die AD-Benutzerattribute Ihrer Workspace-Abonnenten, damit diese sich erfolgreich anmelden können.

SAML SSO-Konfiguration

Navigieren Sie in einer Okta-Instanz zu Verzeichnisintegrationen > Active Directory hinzufügen.

Okta-Instanz

Für eine erfolgreiche Integration muss der SAML-Identitätsanbieter Citrix Cloud bestimmte Active Directory-Attribute des Benutzers in der SAML-Assertion übergeben. Konkret

  • Sicherheitskennung (SID)
  • objectGUID (OID)
  • Benutzerprinzipalname (UPN)
  • E-Mail (E-Mail)

  1. Melden Sie sich mit Administratoranmeldedaten bei Okta an.

  2. Wählen Sie Verzeichnis > Profileditor und wählen Sie das Okta-Benutzerprofil (Standard) aus. Okta zeigt die Profilseite User an.

    Okta

  3. Wählen Sie unter Attributedie Option Attribute hinzufügen aus und fügen Sie die benutzerdefinierten Felder hinzu.

    • cip_sid
    • cip_upn
    • cip_oid

    • cip_email

      Attributes

    Klicken Sie auf Speichern und weitere hinzufügen und wiederholen Sie den Vorgang, um 4 benutzerdefinierte Attribute zu erstellen.

    Sie können die folgenden Details anzeigen, nachdem Sie 4 benutzerdefinierte Attribute erstellt haben:

    Benutzerdefinierte Attribute

  4. Ordnen Sie Active Directory-Attribute den benutzerdefinierten Attributen zu. Wählen Sie unter Benutzer > Verzeichnissedas von Ihnen verwendete Active Directory aus.

  5. Bearbeiten Sie die Attributzuordnungen:

    1. Navigieren Sie in der Okta-Konsole zu Verzeichnis > Profileditor.

    2. Suchen Sie das active_directory Profil für Ihr AD. Dieses Profil kann mit dem Format MyDomain User beschriftet werden, wobei MyDomain der Name Ihrer integrierten AD-Domain ist.

    3. Wählen Sie Mappings aus. Die Seite Benutzerprofilzuordnungen für Ihre AD-Domain wird angezeigt und die Registerkarte für die Zuordnung Ihres AD zu Okta-Benutzern wird ausgewählt.

      Profilzuordnung

    4. Ordnen Sie in der Spalte Okta-Benutzerprofil die Active Directory-Attribute den benutzerdefinierten Attributen zu, die Sie erstellt haben:**

      1. Wählen Sie für cip_emailE-Mail in der Spalte Benutzerprofil für Ihre Domain aus. Bei dieser Auswahl wird die Zuordnung als appuser.email angezeigt.

      2. Wählen Sie für cip_sidIhre Domain in der Spalte Benutzerprofil die Option objectSID aus. Bei dieser Auswahl wird die Zuordnung als appuser.objectSid angezeigt.

      3. **Wählen userNameSie aus der Spalte Benutzerprofil für Ihre Domain auscip_upn. Bei dieser Auswahl wird die Zuordnung als appuser.userName angezeigt.

      4. **Wählen externalIdSie aus der Spalte Benutzerprofil für Ihre Domain auscip_oid. Bei dieser Auswahl wird die Zuordnung als appuser.externalId angezeigt.

        Profilzuordnung

  6. Melden Sie sich bei Citrix Cloud auf https://citrix.cloud.com an.

  7. Klicken Sie im Menü “Citrix Cloud” auf Identitäts- und Zugriffsverwaltung.

  8. Suchen Sie SAML 2.0 und klicken Sie auf Verbinden.

    Die Seite SAML konfigurieren wird angezeigt.

    SAML konfigurieren

    Laden Sie die xml Datei herunter und öffnen Sie sie mit einem beliebigen Dateieditor. Nach Abschluss der weiteren Konfiguration in Okta müssen Sie erneut zu dieser Seite zurückkehren.

  9. Navigieren Sie in Okta zu Anwendung > App-Integration erstellen.

  10. Klicken Sie auf der Seite „ Anwendung hinzufügen “ auf Neue App erstellen .

  11. Wählen Sie auf der Seite „ Neue Anwendungsintegration erstellenSAML 2.0 aus und klicken Sie auf Erstellen .

  12. Geben Sie Details wie den Namen der App und das App-Logo (optional) ein, legen Sie die Sichtbarkeit der App fest und klicken Sie dann auf Weiter.

  13. Auf der Registerkarte Configuration SAML müssen Sie die Details aus der heruntergeladenen xml Datei verwenden:

    1. Geben Sie die URL-Details für Single Sign-On-URL als https://saml-internal.cloud.com/saml/acs und Zielgruppen-URI (SP-Entitäts-ID) als https://saml-internal.cloud.comein.

      Hinweis:

      Wenn es sich um eine externe Citrix Cloud handelt, muss die URL https://saml.cloud.com/saml/acs und https://saml.cloud.com anstelle von https://saml-internal.cloud.com Domain lauten.

    2. Wählen Sie Unspezifiziert für das Name-ID-Format aus.

    3. **Wählen Sie Okta-Benutzername als Anwendungsbenutzername aus.**

    4. Klicken Sie auf Erweiterte Einstellungen anzeigen und stellen Sie sicher, dass Antwort und Assertion mit Signiertausgewählt sind.

      Okta-URL

    5. Fügen Sie Attributanweisungen hinzu, wie in der folgenden Abbildung gezeigt.

      Attributes

    6. Sie können alle anderen Optionen standardmäßig belassen und auf Weiterklicken.

    7. Wählen Sie Ich bin Okta-Kunde und füge eine interne App hinzu und klicken Sie dann auf Fertig stellen.

  14. Die Okta-Anwendung ist jetzt erstellt und klicken Sie auf Einrichtungsanweisungen anzeigen.

    Anleitung zur Einrichtung

    Die Seite So konfigurieren Sie SAML 2.0 für Testanwendungen wird mit Informationen angezeigt, die Sie erneut in der Citrix Cloud hinzufügen müssen.

    Laden Sie das Zertifikat herunter, um es in Citrix Cloud hochzuladen.

  15. Sie müssen jetzt zur Seite SAML konfigurieren in Citrix Cloud zurückkehren und die verbleibende Konfiguration wie im Folgenden beschrieben abschließen:

    Restliche Schritte

    Verwenden Sie das heruntergeladene Zertifikat und benennen Sie die Dateinamenerweiterung von .certin um .crt, um es in Citrix Cloud hochzuladen.

  16. Nachdem Sie das Zertifikat hochgeladen haben, verwenden Sie alle anderen Optionen, die standardmäßig sind:

    SAML-Vorschau

  17. Als Nächstes müssen Sie sicherstellenappuser.userName, dass es unter Directory-Integrations > Active Directory -> Provisioning > To Okta definiert ist.

    SAML-Benutzername

    Hinweis:

    Manchmal müssen Sie user.cip_upnstattdessen verwenden appuser.cip_upn. Stellen Sie sicher, dass Sie die Definition Ihrer Anwendung in der OKTA-Integration überprüfen, wie in diesem Bild gezeigt.

  18. Sie müssen jetzt versuchen, Benutzer in Okta zu dieser SAML-Anwendung hinzuzufügen. Sie können Benutzer auf verschiedene Arten zuweisen.

    Methode 1:

    1. Melden Sie sich mit Administratoranmeldedaten bei Okta an

    2. Navigieren Sie zu Anwendungen > Anwendungen

    3. Wählen Sie die SAML-Anwendung, die Sie erstellt haben

    4. Klicken Sie auf Zuweisen > Personen zuweisen

      Nutzer hinzufügen

    5. Klicken Sie auf Zuweisen und wählen Sie dann Speichern und zurück .

    6. Klicken Sie auf Fertig.

    Methode 2:

    1. Navigieren Sie zu Anwendungen > Anwendungen.

    2. Klicken Sie auf Benutzer der App zuweisen.

      Benutzer der App zuweisen

    3. Wählen Sie die Anwendung und die Benutzer aus, und klicken Sie dann auf Weiter.

      Benutzer zuweisen

    4. Klicken Sie auf Zuweisungen bestätigen.

    Methode 3:

    1. Navigieren Sie zu Verzeichnis > Personen.

    2. Wählen Sie einen beliebigen Benutzer aus.

    3. Klicken Sie auf Anwendungen zuweisen und weisen Sie die SAML-Anwendung dem Benutzer zu.

  19. Nachdem Sie Benutzer zugewiesen haben, melden Sie sich bei Citrix Cloud an.

  20. Klicken Sie im Menü “Citrix Cloud” auf Identitäts- und Zugriffsverwaltung.

  21. Klicken Sie auf der Registerkarte Administratoren auf Administrator/Gruppe hinzufügen.

  22. Wählen Sie Active Directory — [Ihr SAML-App-Name] aus der Liste aus, wählen Sie die Domain aus und klicken Siedann auf Weiter .

    SAML UND

  23. Geben Sie die Zugriffsberechtigungen an.

  24. Prüfen Sie, ob alles korrekt ist, und klicken Sie auf Einladung senden.

  25. Auf der Registerkarte Authentifizierung können Sie die Anmelde-URL für SAML 2.0 anzeigen. Ein Beispiel:

    Beispiel SAML

SAML als Identitätsanbieter mit NetScaler Console verbinden
January 26, 2024
Beitrag von: 
C
January 26, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.