This content has been machine translated dynamically.

Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)

Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)

Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)

此内容已经过机器动态翻译。 放弃

このコンテンツは動的に機械翻訳されています。 免責事項

이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인

Este texto foi traduzido automaticamente. (Aviso legal)

Questo contenuto è stato tradotto dinamicamente con traduzione automatica. (Esclusione di responsabilità))

This article has been machine translated.

Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)

Ce article a été traduit automatiquement. (Clause de non responsabilité)

Este artículo ha sido traducido automáticamente. (Aviso legal)

この記事は機械翻訳されています. 免責事項

이 기사는 기계 번역되었습니다. 책임 부인

Este artigo foi traduzido automaticamente. (Aviso legal)

这篇文章已经过机器翻译. 放弃

Questo articolo è stato tradotto automaticamente. (Esclusione di responsabilità))

如果您在 Azure AD 中有未与其他服务联合的主域，则可以使用该域与 Citrix Secure Private Access 进行联合。确保此域（无论是父域还是子域）尚未联合身份，且其父域尚未添加到 Azure Active Directory (AAD) 中。

例如，如果您的用户使用 user1@demo.citrix.com 登录，那么 demo.citrix.com 是主域名，citrix.com 是父域名，us.demo.citrix.com 是子域名。

如果无法联合主域，请将新域 添加到 Azure AD 并将其联合到 Citrix Secure Private Access。创建域并完成验证。有关详细信息，请参阅 https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/add-custom-domain 。

您可以向 Azure AD 添加一个子域，该子域可用于联合到 Citrix Secure Private Access 以进行 SSO。为此，您必须将子域名添加并提升为根域。有关详细信息，请参阅 https://docs.microsoft.com/en-us/azure/active-directory/enterprise-users/domains-verify-custom-subdomain 。

注意： 您可能需要使用 Azure AD Graph Explorer 而不是 Microsoft Graph Explorer 来进行 POST 请求才能将子域更改为根域。

有关为何需要联合域的详细信息，请参阅 域联合如何运作 。

确认已添加的新域或子域在 Azure AD 中处于“已验证”状态。

在您的 SAML 身份提供商和 Azure AD 之间建立信任 。要设置信任，您必须拥有在 AAD 中经过验证的域。在 AAD 中使用域配置联合时，AAD 会信任 SAML 提供商向 AAD 进行用户身份验证，即使用户来自与联合域不同的域也是如此。在 SP 启动的流程中，AAD 必须确定使用哪个 IdP 进行身份验证（加速用户到联合 IdP）时，使用 whr query param 或 domain_hint 传递到 URL https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/configure-authentication-for-federated-users-portal 进行标识。

为新域添加联合身份验证不会影响设置中的现有联合身份验证。如果您已将 ADFS 联合到某个域，则它不会受到影响，因为您在不是已联合域的子域或父域的其他域上进行联合。

SSO 可以有以下两个流程：

IDP 启动的流程： 通常在您想登录 Azure AD 门户时使用。Citrix Secure Private Access 服务将 SAML 断言发布到 Azure AD (AAD)。AAD 根据我们之前所做的联盟设置对其进行验证。如果验证通过，它将提取 SAML 的 nameid 属性。 nameid 属性必须与 AAD 中存在的用户的 immutableId 匹配。

SP 启动的流程： 通常在您想直接登陆应用程序而不是 AAD 门户时使用。在此流程中，Citrix Secure Private Access 服务将加载在应用程序设置中配置的 URL。URL 将转到 AAD，并且由于该 URL 有一些联合域的指示，因此用户将通过 SAML 请求和中继状态重定向到 Citrix Secure Private Access 服务。Citrix Secure Private Access 服务将 SAML 断言发布到 AAD，其中继状态与请求中的中继状态相同。验证 SAML 后，AAD 会将用户重定向到中继状态下的上下文，因此用户直接登录应用程序。

在 Citrix Secure Private Access 服务中配置 O365 应用程序 。有关详细信息，请参阅 对软件即服务应用程序的支持 。

您在 Citrix Workspace 中启动 Office365 应用程序。

该请求将转到 Citrix Secure Private Access 服务。

Citrix Secure Private Access 服务创建 SAML 断言并将其转发给 Azure AD。

由于请求来自受信任的 SAML IdP，Azure AD 会通过创建的域联合身份验证来识别该请求，然后将 SAML 断言传递给 Office365 应用程序。

Office365 应用程序已启动。

默认情况下，Citrix Cloud 使用 Citrix 身份提供程序来管理 Citrix Cloud 帐户中所有用户的身份信息。

Citrix Workspace 支持 Office365 的以下身份验证方法。目前不支持 Okta 和 Google IdP。

本地 Active Directory

Active Directory 加令牌

Azure Active Directory

注意： 如果使用 AAD 对工作区进行身份验证，则无法联合主域（用户的登录域），因为这会产生循环。在这种情况下，您必须联合一个新域

Citrix Secure Private Access

Active Directory 加 RADIUS

有关更多详细信息，请参阅 身份和访问管理 。

在 Secure Private Access 服务中配置 O365 应用程序

以下是在 Secure Private Access 服务中配置 O365 应用程序的高级步骤。有关更多详细信息，请参阅 对软件即服务应用程序的支持 。

转到 Citrix Cloud 中的 Secure Private Access 服务。

搜索 Office 365 并选择模板。有关详细信息，请参阅 支持软件即服务应用程序 。

在应用程序详细信息中添加以下相关域。以下是 O365 域的列表。如果可用，则会添加新域。

*.office.com

*.office365.com

*.sharepoint.com

*.live.com

*.onenote.com

*.microsoft.com

*.powerbi.com

*.dynamics.com

*.microsoftstream.com

*.powerapps.com

*.yammer.com

*.windowsazure.com

*.msauth.net

*.msauthimages.net

*.msocdn.com

*.microsoftonline.com

*.windows.net

*.microsoftonline-p.com

*.akamaihd.net

*.sharepointonline.com

*.officescriptsservice.com

*.live.net

*.office.net

*.msftauth.net

如果需要，启用增强的安全控制。

配置 SSO。

注意： 您唯一必须做的更改就是确保“名称 ID”是 Active Directory GUID。

确保高级属性也发送 IDPEmail 。

属性名称： IDPEmail

属性格式：未指定

属性值：电子邮件

单击 SAML 元数据以在新选项卡中打开。

复制“entityID”

复制“登录 URL”

下载 CRT 格式的证书

Citrix Cloud > 身份和访问管理 > API 访问

Citrix Cloud > Citrix Secure Private Access。 可以在应用程序配置详细信息（ 单点登录 > SAML 元数据文件 > entityID ）中找到客户 ID。

PS> $fedBrandName = “CitrixWorkspace”

PS> $logoffuri = "https://app.netscalergateway.net/cgi/logout"

PS> $uri = "https://app.netscalergateway.net/ngs/[customerID]/saml/login?APPID=[AppID]”

注意： $uri 可以从 Citrix Secure Private Access 服务 > 添加 Web/SaaS 应用程序 > 单点登录 > 登录 URL 或从 SAML 元数据 > 位置 复制。

PS> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(“<location of certificate downloaded from Citrix Secure Private Access service/filename.crt>”)

PS> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("c:\cert\saml_idp.crt")

PS> $certData = [system.convert]::tobase64string($cert.rawdata)

运行 PS 字符串以完成与 Citrix Secure Private Access 的联合：

PS> Set-MsolDomainAuthentication -DomainName $dom –federationBrandName $fedBrandName -Authentication Federated -PassiveLogOnUri $uri -LogOffUri $logoffuri -SigningCertificate $certData -IssuerUri $IssuerUri -PreferredAuthenticationProtocol SAMLP

通过运行以下命令验证域联合身份验证设置：

Get-MsolDomainFederationSettings -DomainName <domain name>

从 Azure AD 到 Citrix Workspace 的自动域联合

在从 Azure AD 到 Citrix Workspace 的手动 域联合中，如配置从 Azure AD 到 Citrix Workspac e 的域联合部分所述，用户必须在云门户和 PowerShell 之间切换才能复制数据和运行脚本。例如;

从云门户复制数据，例如客户 ID 和应用程序 ID。

从云门户下载证书。

运行 PowerShell 脚本。

此手动复制粘贴操作可能会引入错误，因此联合可能无法成功。

现在，联合域的步骤已集成到 Citrix 安全专用服务用户界面中，从而实现了联合过程的自动化。当用户单击界面中的相应链接时，PowerShell 脚本将在后端运行。用户不必在云门户和 PowerShell 之间切换。

自动联合域的步骤

配置 O365 应用程序。有关详细信息，请参阅 在 Secure Private Access 服务中配置 O365 应用程序 。

在单点登录中，选择 SAML 。

使用您的凭据登录到 Azure AD。 单击“ 登录到 Azure AD ”时，系统会将您定向到 Azure AD 登录门户进行身份验证。

OAuth 协议用于身份验证。身份验证成功后，您必须同意联合域。

默认情况下， 选择最终用户 MFA 选项 处于启用状态。

单击 单击此处以检索 Azure AD 域 以查看所有域的列表。

选择要联合的域，然后单击 联合域 。

单击 联合域 时，PowerShell 脚本将在后端运行，域是联合的。

如有必要，您还可以从界面下载 PowerShell 脚本。在 域联合 PowerShell 脚本 中，单击 下载 。

属性名称： “ http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod “， 属性值： “ http://schemas.microsoft.com/claims/multipleauthn ”

为了使 AAD 接受此声明，请使用以下 PowerShell 命令进行联合：

Set-MsolDomainAuthentication -DomainName $dom –federationBrandName $fedBrandName -Authentication Federated -PassiveLogOnUri $uri -LogOffUri $logoffuri -SigningCertificate $certData -IssuerUri $IssuerUri -PreferredAuthenticationProtocol SAMLP -SupportsMfa $true

IdP 启动的流程不支持中继状态。使用 SP 启动的流程直接登陆应用程序。

在 Citrix Workspace 中配置单个 Office 套件应用

执行以下操作以配置单个办公套件应用程序：

按照前面各节中的详细说明完成域联合。

选择 O365 模板。

例如，将应用程序的名称更改为 MS Word。

将应用程序 URL 相应地更改为。

Word： https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2FWord%3Fauth%3D2&whr=<federated domain>

Powerpoint： <https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2Fpowerpoint%3Fauth%3D2&whr=<federated domain>

Excel： https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2FExcel%3Fauth%3D2&whr=<federated domain>

CRM/Dynamics Online： https://<tenant>.crm.dynamics.com/?whr=<federated domain>

OneDrive for Business： https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>-my.sharepoint.com%2F&whr=<federated domain>

Outlook 日历： https://outlook.office.com/owa/?realm=<federated domain>&path=/calendar/view/Month

Outlook Web Access to Exchange Online： https://outlook.com/owa/<federated domain>

SharePoint Online： https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>.sharepoint.com%2F&whr=<federated domain>

Teams： https://login.microsoftonline.com/common/oauth2/authorize?client_id=cc15fd57-2c6c-4117-a88c-83b1d56b4bbe&response_mode=form_post&response_type=code+id_token&scope=openid+profile&redirect_uri=https%3a%2f%2fteams.microsoft.com%2f&domain_hint=<federated domain>

集成到 Azure AD 中的第三方应用程序

如果您已集成了 Box、Salesforce、ServiceNow、Workday 等第三方应用程序，则可以从 Azure AD 获取这些应用的智能链接。

执行以下步骤。

登录到您的 Azure AD 门户 https://portal.azure.com 。

选择 所有服务 > Azure Active Directory ，然后选择您的目录。

追加到 whr URL 后， whr 参数将显示如示例 URL 中所示。

示例 URL： https://myapps.microsoft.com/signin/Workday/1234567891234567891234567896d64b&whr=ctxnsqa.net

注意： 附加 whr 到 URL，以便 AAD 知道使用哪个 IdP 根据联合设置对用户进行身份验证，并自动重定向到该 IdP。

设置增强的安全控制。

配置 SSO。

姓名 ID = AD GUID

“启用 SP 启动”复选框

断言 URL = 登录 URL

当您执行 IdP 启动的流程时，它总是会将用户放在 Azure AD 门户页面上。如果您想直接登陆应用程序页面，则需要 SP 启动的流程，因为它在 SAML 断言中发送正确的中继状态。

启用主域联合后，所有 AAD 用户在对任何 Office 365 应用程序进行身份验证时都将被重定向到 Citrix Workspace。如果在不了解影响的情况下这样做，可能会导致客户停机/事故。

如果用户使用 AAD 登录 Citrix Workspace，则用于登录的用户的主域不能联合到 Citrix Gateway 服务。这会导致循环。在这种情况下，请使用与登录 AAD 的用户域不同的另一个域联合到 Citrix Secure Private Access 服务。

如果主域已联合到 Citrix Secure Private Access 服务，则在 AAD 中该域上的所有用户登录都将重定向到 Citrix Secure Private Access 服务。对于 POC，如果需要，可以在联合主域之前联合测试域。

如果 AAD 启用了位置策略，则用户必须仅从公司网络允许的 IP 地址列表中。在这种情况下，您可以将 O365 应用程序发布为 Web 应用程序，并通过 Connector Appliance 路由其流量。

登录 AAD 时，是否要避免 保持登录状态? 提示时，您可以使用 AAD 更改此设置。请注意更改设置时出现的重要信息，必要时还原。 选择

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。 DIESER DIENST KANN ÜBERSETZUNGEN ENTHALTEN, DIE VON GOOGLE BEREITGESTELLT WERDEN. GOOGLE LEHNT JEDE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG IN BEZUG AUF DIE ÜBERSETZUNGEN AB, EINSCHLIESSLICH JEGLICHER GEWÄHRLEISTUNG DER GENAUIGKEIT, ZUVERLÄSSIGKEIT UND JEGLICHER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN DRITTER. CE SERVICE PEUT CONTENIR DES TRADUCTIONS FOURNIES PAR GOOGLE. GOOGLE EXCLUT TOUTE GARANTIE RELATIVE AUX TRADUCTIONS, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE D'EXACTITUDE, DE FIABILITÉ ET TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET D'ABSENCE DE CONTREFAÇON. ESTE SERVICIO PUEDE CONTENER TRADUCCIONES CON TECNOLOGÍA DE GOOGLE. GOOGLE RENUNCIA A TODAS LAS GARANTÍAS RELACIONADAS CON LAS TRADUCCIONES, TANTO IMPLÍCITAS COMO EXPLÍCITAS, INCLUIDAS LAS GARANTÍAS DE EXACTITUD, FIABILIDAD Y OTRAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN EN PARTICULAR Y AUSENCIA DE INFRACCIÓN DE DERECHOS. 本服务可能包含由 Google 提供技术支持的翻译。Google 对这些翻译内容不做任何明示或暗示的保证，包括对准确性、可靠性的任何保证以及对适销性、特定用途的适用性和非侵权性的任何暗示保证。 このサービスには、Google が提供する翻訳が含まれている可能性があります。Google は翻訳について、明示的か黙示的かを問わず、精度と信頼性に関するあらゆる保証、および商品性、特定目的への適合性、第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め、一切保証しません。 ESTE SERVIÇO PODE CONTER TRADUÇÕES FORNECIDAS PELO GOOGLE. O GOOGLE SE EXIME DE TODAS AS GARANTIAS RELACIONADAS COM AS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA DE PRECISÃO, CONFIABILIDADE E QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO ESPECÍFICO E NÃO INFRAÇÃO.

Office365 应用程序支持的身份验证方法

在 Secure Private Access 服务中配置 O365 应用程序

将域联合从 Azure AD 配置到 Citrix Workspace

从 Azure AD 到 Citrix Workspace 的自动域联合

禁止多因素身份验证 (MFA)

在 Citrix Workspace 中配置单个 Office 套件应用

集成到 Azure AD 中的第三方应用程序

Beta/Tech Preview Agreement.

The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.

The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.

If you do not agree, select I DO NOT AGREE to exit.

I AGREE I DO NOT AGREE