欢迎来到公海710 操作方法：Okta 和 Citrix 统一基于 SAML 的 SSO 用户体验

如何使用 Okta、Citrix Gateway 和 Workspace 应用来实现基于 SAML 的统一单点登录用户体验

作者：杰森·塞缪尔

几个月前，我在 Twitter 上发布了如何使用本地或云 IaaS 托管的 Citrix Gateway/NetScaler Gateway、Workspace 应用/Receiver 和 Okta 作为身份提供商 (IdP)，并通过 SAML 2.0 身份验证实现完整的单点登录。过去，Receiver 客户端无法弹出 Web 视图并采用现代的基于 Web 的身份验证协议，但这一切都在 10 月份发生了变化，当时发布了该功能所需的最终部分。

#CitrixADC #CitrixGateway12.1 49.23 使用 SAML#CitrixWorkspace应用程序。在这个例子中我使用的是#Okta网关虚拟服务器上的 SAML 身份验证配置文件。无论客户端如何，拥有统一的身份验证体验真是太好了！pic.twitter.com/dI0qLhzgVO

—杰森·塞缪尔 (@_JasonSamuel)2018 年 10 月 6 日

在此之前，用户过去对现代身份验证的体验有些不同。您的公司将踏上现代身份验证之旅，但 Workspace 应用程序阻碍了您。您可以在 StoreFront 的浏览器中使用 SAML 允许完全 SSO，但在使用本机 Windows Receiver/Workspace 应用程序时，您必须使用 RADIUS 策略，因为它无法打开 Web 视图。您必须识别正在使用的客户端，并将此流量定向到 Citrix Gateway 上的 RADIUS 策略。对于用户来说，这并不是统一的体验，因此这项新功能是一个值得欢迎的更改，无论用户使用哪个客户端，您最终都可以拥有统一的身份验证体验。

自从我在 Twitter 上发帖以来，很多人都向我询问如何执行此操作，因此我认为我有义务编写一份快速操作指南。

先决条件：

1. 您需要 Citrix ADC 固件版本 12.1 49.23 或更高版本。这是我们等待的关键部分。
2. 您可以使用任何较新版本的 Workspace 应用。在我最初的 Twitter 帖子中，时间是 1809，我已经通过几天前发布的最新 1903 进行了测试。
3. 您需要一个 Okta 租户。

如何在 Citrix ADC (NetScaler) 上使用 SAML 设置 Okta：

1. In newer versions of Citrix ADC, you can do a SAML metadata import to make your configuration much easier. You can use an existing Okta SAML app for NetScaler if you have been using it for web browsers already or you can create a new one like I’m about to show you. Login to your Okta tenant > click Applications >搜索“NetScaler”，然后点击 SAML 旁边的“添加”。请确保它是 SAML 而非 RADIUS：

— 图片缺失 —

2。给它一个应用程序标签。您可以保留默认值或根据需要进行编辑。输入您的 Citrix Gateway URL 作为登录 URL。然后点击下一步：

— 图片缺失 —

3。在登录选项屏幕中，选择 SAML 2.0 选项。右键单击身份提供商元数据 URL，然后将该 URL 复制并粘贴到记事本中以供稍后使用。稍后我们将需要它来进行 Citrix Gateway 配置。

— 图片缺失 —

您还可以点击元数据网址并查看其中包含的内容。请注意 X.509 证书已经存在，这将在稍后为您节省大量时间：

— 图片缺失 —

4。在“登录选项”页面底部的“凭据详细信息”下，我想向您展示 Okta 的灵活性。您可以将用户登录名格式设置为您喜欢的任何格式。通常，Okta 用户名与 UPN（AD 中用户的电子邮件地址）匹配，但如果不匹配，您可以根据需要在此处显式设置 UPN 或 SAM 帐户名称。完整的选项列表如下：

• （无）
• AD 员工 ID
• AD SAM 帐户名称
• AD SAM 帐户名 + 域
• AD 用户主体名称
• AD 用户主体名称前缀
• 自定义
• 电子邮件
• 电子邮件前缀
• Okta 用户名
• Okta 用户名前缀

选择用户名格式后，点击“完成”。

— 图片缺失 —

5。现在，在“分配”下单击“分配”，然后选择需要使用 Citrix Gateway 的所有用户所在的安全组。通常是所有域用户。我最常见的 Okta 部署是通过 OIN（Okta 集成网络）在 Okta 中部署所有 SaaS 应用程序，并使用 Citrix Gateway 访问通过 HDX 交付的数据中心中的所有 Windows 应用程序和虚拟桌面。您在 Citrix Studio 中发布的内容决定了用户将在 Citrix Gateway 和 StoreFront 中看到的内容，因此我最常见的配置是允许所有用户能够在此处使用 Citrix Gateway：

— 图片缺失 —

6. Now go to your Citrix ADC and go to Security > AAA – Application Traffic > Virtual Servers >然后点击“添加”

— 图片缺失 —

7。为身份验证虚拟服务器命名并按“确定”：

— 图片缺失 —

8。将 SSL 证书绑定到它并点击继续：

— 图片缺失 —

9。现在我们需要添加身份验证策略：

— 图片缺失 —

10。点击“添加”以添加新策略：

— 图片缺失 —

11。输入身份验证策略名称，选择操作类型“SAML”，并将表达式设置为HTTP.REQ.IS_VALID。然后单击“操作”旁边的“添加”作为最后一步：

— 图片缺失 —

12。为身份验证 SAML 服务器命名并确保选中“导入元数据”URL。现在，复制并粘贴您之前从 Okta 复制出来的元数据 URL。确保 URL 格式如下：

https://yourcompany.okta.com/app/sadfjasdlfjlaskfjlkasjd/sso/saml/metadata

如果您看到“?isNewAppInstanceSetup=true”在您从 Okta 获得的 URL 末尾，请确保删除该部分，以免 ADC 对此感到困惑。然后继续并点击“创建”。您的 ADC 将访问元数据 URL 并获取所有必要的信息。 ？如果您愿意，您可以随时展开“更多”来加强一些安全设置： — 图像丢失 —

13。在身份验证策略上点击“创建”

— 图片缺失 —

14。在策略绑定中，您可以将 Goto 表达式设置为 END 并点击 Bind:

— 图片缺失 —

15。在身份验证虚拟服务器配置上点击“继续”：

— 图片缺失 —

16。一直滚动到屏幕底部，然后点击“完成”即可完成：

— 图片缺失 —

17。您会注意到您的 AAA 虚拟服务器将启动并且旁边有一个绿点：

— 图片缺失 —

18。现在您可以转到网关虚拟服务器并添加身份验证配置文件：

— 图片缺失 —

19。为身份验证配置文件命名并绑定您之前创建的 Okta SAML AAA 虚拟服务器：

— 图片缺失 —

20。按“确定”将此新的身份验证配置文件添加到网关虚拟服务器：

— 图片缺失 —

21。一直向下滚动到页面底部并点击“完成”：

— 图片缺失 —

OKTA SAML 和 Workspace 应用的用户登录体验

22。在 Web 浏览器中，当您转到 Citrix Gateway 登录页面时，您将像平常一样立即重定向到 Okta。此时完成登录，您将被重定向回网关并使用 FAS/StoreFront 完成 SSO，然后正常查看您的应用程序。与您经常尝试的真实 Citrix + Okta SAML 体验相比，这里没有任何变化。

— 图像丢失 — 23。改变的地方是 Workspace 应用程序。让我们从头开始在 Workspace 应用程序中设置一个新帐户来展示这种体验。输入您的 Citrix Gateway URL 并点击添加：

— 图片缺失 —

24。您将立即看到弹出的 Web 视图以及 Okta 登录页面。请注意，您仍在 Citrix Workspace 应用程序中，但您看到的是一个网页（实际上它由本地系统的浏览器提供支持）。继续输入您的用户名以开始登录：

— 图片缺失 —

25。输入您的密码并点击验证：

— 图片缺失 —

26。现在，您注册的任何 MFA 方法以及围绕会话上下文制定的自适应 MFA 策略都会提示您。就我而言，我在这里使用 Okta 验证应用程序，并选择将推送通知发送到我的手机：

— 图片缺失 —

27。您将在手机上看到 Okta 验证应用程序发出的类似通知。按下它并使用生物识别或密码解锁您的手机：

— 图片缺失 —

28。现在，Okta 验证应用程序将全屏显示登录请求的详细信息。在我看来，这是目前业界最好的 MFA 推送通知。它将显示：

• 您的公司徽标
• 您的电子邮件地址
• 身份验证请求的时间和日期
• 您的 Okta 租户网址
• 发起登录请求的 IP 地址
• 您的登录请求源自的城市、州和国家/地区
• 批准或拒绝登录请求的能力

继续并点击“批准”：

— 图片缺失 —

29。现在，您将在 Workspace 应用程序中看到 StoreFront，并像平常一样查看所有应用程序和桌面：

— 图像缺失 — 对于您自己的公司，我建议您的 Okta 登录页面和 StoreFront 品牌的配色方案和徽标尽可能接近。这将为您的用户提供最好的外观和感觉。

我希望这有助于向您展示如何使基于 Okta 的网络登录和 Workspace 应用相匹配，以获得最佳的用户登录体验。如果您对此配置有任何疑问或意见，请在下面留下。

查看原帖.