-
将 SAML 作为身份提供者连接到 NetScaler 控制台
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
将 SAML 作为身份提供者连接到 NetScaler 控制台
NetScaler 控制台支持使用 SAML(安全断言标记语言)作为身份提供者对登录其 NetScaler 控制台的管理员和订阅者进行身份验证。您可以将自己选择的 SAML 2.0 提供程序与本地Active Directory (AD) 配合使用。
对于大多数 SAML 提供商,请使用本文中的信息设置 SAML 身份验证。如果您想在 Azure AD 中使用 SAML 身份验证,您可以选择使用 Azure AD 应用程序库中的 Citrix Cloud SAML SSO 应用程序。
必备条件
使用 NetScaler 控制台进行 SAML 身份验证具有以下要求:
-
支持 SAML 2.0 的 SAML 提供商
-
本地 AD 域
-
两个 Cloud Connector 部署到资源位置并加入到您的本地 AD 域。Cloud Connector 用于确保 Citrix Cloud 可以与您的资源位置进行通信。
-
与您的 SAML 提供商的 AD 集成。
Cloud Connector
您必须至少有两 (2) 台服务器才能安装 Citrix Cloud Connector 软件。建议至少有两台服务器以实现 Cloud Connector 的高可用性。这些服务器必须满足以下要求:
-
符合 Cloud Connector 技术详情中描述的系统要求。
-
未安装任何其他 Citrix 组件,不是 AD 域控制器,也不是对资源位置基础架构至关重要的计算机。
-
已加入您的资源所在的域。如果用户访问多个域中的资源,则必须在每个域中至少安装两个 Cloud Connector。
-
已连接到可以联系订阅者通过 Citrix Workspace 访问的资源的网络。
-
已连接到 Internet。
Active Directory
在配置 SAML 身份验证之前,请执行以下任务:
-
要将用户导入 Okta 实例,Active Directory 中的用户必须填写名字、姓氏和电子邮件字段。
-
验证您的工作区订阅者在Active Directory (AD) 中是否有用户帐户。配置 SAML 身份验证后,没有 AD 帐户的订阅者无法成功登录其工作区。
-
确保已填充订阅者 AD 帐户中的用户属性。订阅者登录 Citrix Workspace 时,Citrix Cloud 需要这些属性来建立用户上下文。如果未填充这些属性,则订阅者将无法登录。这些属性包括:
-
电子邮件地址
-
显示名称(可选)
-
常见的名字
-
SAM 帐户名
-
用户主体名称
-
对象 GUID
-
SID
-
-
通过在本地 AD 中部署 Cloud Connector,将 Active Directory (AD) 连接到 Citrix Cloud 帐户。
-
将您的 AD 用户与 SAML 提供商同步。Citrix Cloud 要求您的 Workspace 订阅者具有 AD 用户属性,以便他们能够成功登录。
SAML 单点登录
在 Okta 实例中,导航到目录集成 > 添加 Active Directory。
为了成功集成,SAML 身份提供商必须在 SAML 断言中传递 Citrix Cloud 用户的某些 Active Directory 属性。具体而言,
- 安全标识符 (SID)
- objectGUID (OID)
- 用户主体名称 (UPN)
- 邮件(电子邮件)
-
使用管理员凭据登录到 Okta。
-
选择“目录”>“配置文件编辑器”,然后选择 Okta 用户(默认)配置文件。Okta 显示用户配置文件页面。
-
在“属性”下,选择“添加属性”,然后添加自定义字段。
cip_sidcip_upncip_oid-
cip_email
单击“保存并添加另一个”,然后重复该过程创建 4 个自定义属性。
创建 4 个自定义属性后,您可以查看以下详细信息:
-
将 Active Directory 属性映射到自定义属性。在用户 > 目录下选择您正在使用的 Active Directory。
-
编辑属性映射:
-
在 Okta 控制台中,导航到“目录”>“配置文件编辑器”。
-
找到您的 AD 的
active_directory配置文件。此配置文件可能使用 myDomain User 格式进行标记,其中 myDomain 是您的集成 AD 域的名称。 -
选择“映射”。将显示您的 AD 域的“用户个人资料映射”页面,并选中用于将 AD 映射到 Okta 用户的选项卡。
-
在 Okta 用户个人资料列中,将 Active Directory 属性映射到您创建的自定义属性:
-
对于
cip_email,请从域的“用户个人资料”列中选择电子邮件。选中后,映射将显示为appuser.email。 -
对于
cip_sid,请从您的域的“用户个人资料文件”列中选择 ObjectSid。选中后,映射将显示为appuser.objectSid。 -
对于
cip_upn, 从域名的“用户资料”列中选userName择。选中后,映射将显示为appuser.userName。 -
对于
cip_oid, 从域名的“用户资料”列中选externalId择。选中后,映射将显示为appuser.externalId。
-
-
-
登录到 Citrix Cloud,网址为
https://citrix.cloud.com。 -
在 Citrix Cloud 菜单中,选择 Identity and Access Management(身份和访问管理)。
-
找到 SAML 2.0 ,然后单击“连接”。
屏幕上将显示“配置 SAML”页面。
下载
xml文件并使用任何文件编辑器打开文件。在 Okta 中完成进一步配置后,必须再次返回此页面。 -
在 Okta 中,导航到“应用程序”>“创建应用程序集成”。
-
在“添加应用程序”页面中,单击“创建新应用程序”。
-
在“创建新的应用程序集成”页面中,选择 SAML 2.0 ,然后单击“创建”。
-
提供应用程序名称、应用程序徽标(可选)等详细信息,设置应用程序的可见性,然后单击“下一步”。
-
在“配置 SAML”选项卡中,必须使用下载的
xml文件中的详细信息:-
将单点登录 URL 的 URL 详细信息作为
https://saml-internal.cloud.com/saml/acs提供,将受众 URI(SP 实体 ID)的 URL 详细信息作为https://saml-internal.cloud.com提供。注意:
如果是外部 Citrix Cloud,则 URL 必须是
https://saml.cloud.com/saml/acs和https://saml.cloud.com,而非https://saml-internal.cloud.com域。 -
为“名称 ID 格式”选择“未指定”。
-
选择 Okta 用户名 作为 应用程序用户名。
-
单击“显示高级设置”,并确保选择“响应和断言”和“已签名”。
-
添加属性语句,如下图所示。
-
默认情况下,您可以保留所有其他选项,然后单击“下一步”。
-
选择“我是 Okta 客户”,添加内部应用程序 ,然后单击“完成”。
-
-
Okta 应用程序现已创建,然后单击“查看安装说明”。
将显示“如何为测试应用程序配置 SAML 2.0”页面,其中包含您必须再次将其添加到 Citrix Cloud 中的详细信息。
下载证书将其上载到 Citrix Cloud 中。
-
现在,您必须返回 Citrix Cloud 中的“配置 SAML”页面,完成剩余配置,如下所述:
使用下载的证书并将文件扩展名从
.cert重命名为.crt,将其上载到 Citrix Cloud。 -
上载证书后,使用所有其他默认选项:
-
接下来,您必须确保
appuser.userName是在目录集成 > Active Directory -> 预配 > 至 okta 上定义的。
注意:
有时,您必须使用
user.cip_upn来代替appuser.cip_upn。确保在 OKTA 集成中验证应用程序的定义,如下图所示。 -
现在,您必须尝试将 Okta 中的用户添加到此 SAML 应用程序。您可以通过多种方式分配用户。
方法 1:
-
使用管理员凭据登录 Okta
-
导航到“应用程序”>“应用程序”
-
选择您创建的 SAML 应用程序
-
单击“分配”>“分配给人员”
-
单击“分配”,然后选择“保存并返回”。
-
单击 Done(完成)。
方法 2:
-
导航到“应用程序”>“应用程序”。
-
单击“向应用程序分配用户”。
-
选择应用程序和用户,然后单击“下一步”。
-
单击“确认分配”。
方法 3:
-
导航到“目录”>“人员”。
-
选择任意用户。
-
单击“分配应用程序”,将 SAML 应用程序分配给用户。
-
-
分配用户后,登录 Citrix Cloud。
-
在 Citrix Cloud 菜单中,选择 Identity and Access Management(身份和访问管理)。
-
在“管理员”选项卡中,单击“添加管理员/组”。
-
从列表中选择 Active Directory - [您的 SAML 应用程序名称],选择域,然后单击“下一步”。
-
指定访问权限。
-
检查一切是否正确,然后单击“发送邀请”。
-
在“身份验证”选项卡中,您可以查看 SAML 2.0 的登录 URL。以下是该命令的一个示例:
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.