Konfigurieren von Citrix ADC SAML Connector für Microsoft Entra ID (Kerberos-basierte Authentifizierung) für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie Citrix ADC SAML Connector für Microsoft Entra ID mit Microsoft Entra ID integrieren. Wenn Sie Citrix ADC SAML Connector for Microsoft Entra ID mit Microsoft Entra ID integrieren, können Sie Folgendes ausführen:

• Steuern Sie in Microsoft Entra ID, wer Zugriff auf Citrix ADC SAML Connector for Microsoft Entra ID hat.
• Ermöglichen Sie Ihren Benutzern, sich mit ihren Microsoft Entra-Konten automatisch bei Citrix ADC SAML Connector for Microsoft Entra ID anzumelden.
• Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• Ein Citrix ADC SAML Connector for Microsoft Entra-Abonnement, das für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist.

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung. Der Artikel enthält die folgenden Szenarien:

• SP-initiiertes einmaliges Anmelden für Citrix ADC SAML Connector for Microsoft Entra ID.

• Just-In-Time-Benutzerbereitstellung für Citrix ADC SAML Connector for Microsoft Entra ID.

• Kerberos-basierte Authentifizierung für Citrix ADC SAML Connector für Microsoft Entra ID.

• Headerbasierte Authentifizierung für Citrix ADC SAML Connector für Microsoft Entra ID.

Hinzufügen von Citrix ADC SAML Connector for Microsoft Entra ID aus dem Katalog

Um Citrix ADC SAML Connector for Microsoft Entra ID in Microsoft Entra ID integrieren zu können, müssen Sie zunächst Citrix ADC SAML Connector for Microsoft Entra ID aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen:

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.

3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Citrix ADC SAML Connector for Microsoft Entra ID in das Suchfeld ein.

4. Wählen Sie in den Ergebnissen Citrix ADC SAML Connector für Microsoft Entra ID aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Weitere Informationen zu Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens für Microsoft Entra für Citrix ADC SAML Connector for Microsoft Entra ID

Konfigurieren und testen Sie Microsoft Entra SSO mit Citrix ADC SAML Connector für Microsoft Entra ID mithilfe eines Testbenutzers namens B.Simon. Damit einmaliges Anmelden (SSO) funktioniert, muss eine Linkbeziehung zwischen Microsoft Entra-Benutzenden und den entsprechenden Benutzenden in Citrix ADC SAML Connector for Microsoft Entra ID eingerichtet werden.

Führen Sie die folgenden Schritte aus, um das einmalige Anmelden von Microsoft Entra mit Citrix ADC SAML Connector for Microsoft Entra ID zu konfigurieren und zu testen:

1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.

   1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um Microsoft Entra SSO mit B.Simon zu testen.

   2. Weisen Sie den Microsoft Entra-Testbenutzer zu – damit B.Simon Microsoft Entra SSO verwenden kann.

2. Konfigurieren Sie Citrix ADC SAML Connector für Microsoft Entra SSO – um die SSO-Einstellungen auf der Anwendungsseite zu konfigurieren.

   1. Erstellen Sie Citrix ADC SAML Connector für Microsoft Entra-Testbenutzer – um ein Gegenstück von B.Simon in Citrix ADC SAML Connector für Microsoft Entra ID zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.

3. Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Führen Sie die folgenden Schritte aus, um einmaliges Anmelden von Microsoft Entra über das Azure-Portal zu aktivieren:

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>Citrix ADC SAML Connector für Microsoft Entra ID-Anwendungsintegrationsbereich, unter Verwalten, wählen Sie Einmaliges Anmelden aus.

3. Wählen Sie im Bereich "Einmaliges Anmelden auswählen" SAML aus.

4. Wählen Sie im Bereich " Einzel-Sign-On mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

   

5. Führen Sie im Abschnitt "Grundlegende SAML-Konfiguration " zum Konfigurieren der Anwendung im vom IDP initiierten Modus die folgenden Schritte aus:

   1. Geben Sie im Textfeld "Bezeichner " eine URL mit dem folgenden Muster ein: https://<YOUR_FQDN>

   2. Geben Sie im Textfeld "Antwort-URL " eine URL mit dem folgenden Muster ein: http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

6. Um die Anwendung im sp-initiierten Modus zu konfigurieren, wählen Sie "Zusätzliche URLs festlegen " aus, und führen Sie den folgenden Schritt aus:

   • Geben Sie im Textfeld "Anmelde-URL " eine URL mit dem folgenden Muster ein: https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

   Hinweis

   • Die in diesem Abschnitt angegebenen URLs sind lediglich Beispielwerte. Ersetzen Sie diese Werte durch die tatsächlichen Werte für Bezeichner, Antwort-URL und Anmelde-URL. Wenden Sie sich an das Supportteam für den Citrix ADC SAML Connector for Microsoft Entra-Client, um diese Werte zu erhalten. Sie können auch auf die Muster verweisen, die im Abschnitt "Grundlegende SAML-Konfiguration " angezeigt werden.
   • Für die SSO-Einrichtung müssen die URLs über öffentliche Websites zugänglich sein. Sie müssen die Firewall- oder andere Sicherheitseinstellungen aufseiten von Citrix ADC SAML Connector for Microsoft Entra ID aktivieren, um Microsoft Entra ID die Veröffentlichung des Tokens unter der konfigurierten URL zu ermöglichen.

7. Kopieren Sie im Bereich Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat die URL unter App-Verbundmetadaten-URL, und speichern Sie sie im Editor.

   

8. Kopieren Sie im Abschnitt "Citrix ADC SAML Connector für Microsoft Entra ID einrichten " die relevanten URLs basierend auf Ihren Anforderungen.

   

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen im Erstellen und Zuweisen eines Benutzerkontos Schnellstart, um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren des einmaligen Anmeldens für Citrix ADC SAML Connector for Microsoft Entra

Wählen Sie einen der Links aus, um die Schritte für die Art der Authentifizierung anzuzeigen, die Sie konfigurieren möchten:

• Konfigurieren Sie den Citrix ADC SAML Connector für Microsoft Entra SSO für Kerberos-basierte Authentifizierung

• Konfigurieren von Citrix ADC SAML Connector für Microsoft Entra SSO für die headerbasierte Authentifizierung

Veröffentlichen des Webservers

So erstellen Sie einen virtuellen Server:

1. Wählen Sie Verkehrsmanagement>Lastenausgleich>Dienste.

2. Wählen Sie "Hinzufügen" aus.

   

3. Legen Sie die folgenden Werte für den Webserver fest, auf dem die Anwendungen ausgeführt werden:

   • Dienstname
   • Server-IP/vorhandener Server
   • Protokoll
   • Hafen

Konfigurieren Sie den Load Balancer.

So konfigurieren Sie den Lastenausgleich:

1. Navigieren Sie zu Datenverkehrsverwaltung>Lastenausgleich>Virtuelle Server.

2. Wählen Sie "Hinzufügen" aus.

3. Legen Sie die folgenden Werte wie im bereitgestellten Screenshot fest:

   • Name
   • Protokoll
   • IP-Adresse
   • Hafen

4. Wählen Sie "OK" aus.

   

Binden des virtuellen Servers

So binden Sie den Lastenausgleich an den virtuellen Server:

1. Im Bereich Dienste und Dienstgruppen wählen Sie Keine Lastenausgleichsdienstbindung für virtuellen Server aus.

   

2. Überprüfen Sie die Einstellungen wie im folgenden Screenshot dargestellt, und wählen Sie dann "Schließen" aus.

   

Binden des Zertifikats

Wenn Sie diesen Dienst als TLS veröffentlichen möchten, muss das Serverzertifikat gebunden und die Anwendung anschließend getestet werden:

1. Wählen Sie unter "Zertifikat" "Kein Serverzertifikat" aus.

   

2. Überprüfen Sie die Einstellungen wie im folgenden Screenshot dargestellt, und wählen Sie dann "Schließen" aus.

   

SAML-Profil für Citrix ADC SAML Connector for Microsoft Entra ID

Durchlaufen Sie zum Konfigurieren des Citrix ADC SAML Connector for Microsoft Entra-SAML-Profils die folgenden Abschnitte.

Erstellen einer Authentifizierungsrichtlinie

So erstellen Sie eine Authentifizierungsrichtlinie:

1. Wechseln Sie zu Security>AAA – Anwendungsverkehr>Richtlinien>Authentifizierung>Authentifizierungsrichtlinien.

2. Wählen Sie "Hinzufügen" aus.

3. Geben Sie im Bereich " Authentifizierungsrichtlinie erstellen " die folgenden Werte ein, oder wählen Sie sie aus:

   • Name: Geben Sie einen Namen für Ihre Authentifizierungsrichtlinie ein.
   • Aktion: Geben Sie SAML ein, und wählen Sie dann "Hinzufügen" aus.
   • Expression: Geben Sie den Ausdruck true ein.

   

4. Wählen Sie "Erstellen" aus.

Erstellen eines SAML-Authentifizierungsservers

Um einen SAML-Authentifizierungsserver zu erstellen, wechseln Sie zum Bereich "SAML-Server erstellen" , und führen Sie dann die folgenden Schritte aus:

1. Geben Sie unter "Name" einen Namen für den SAML-Authentifizierungsserver ein.

2. Unter SAML-Metadaten exportieren:

   1. Aktivieren Sie das Kontrollkästchen Metadaten importieren .

   2. Geben Sie die Verbundmetadaten-URL ein, die Sie zuvor auf der Azure-SAML-Benutzeroberfläche kopiert haben.

3. Geben Sie für den Ausstellernamen die entsprechende URL ein.

4. Wählen Sie "Erstellen" aus.

Erstellen eines virtuellen Authentifizierungsservers

So erstellen Sie einen virtuellen Authentifizierungsserver:

1. Wechseln Sie zu Security>AAA – Application Traffic>Policies>Authentication>Authentication Virtual Servers.

2. Wählen Sie "Hinzufügen" aus, und führen Sie dann die folgenden Schritte aus:

   1. Geben Sie unter "Name" einen Namen für den virtuellen Authentifizierungsserver ein.

   2. Aktivieren Sie das Kontrollkästchen "Nicht adressierbar" .

   3. Wählen Sie für ProtokollSSL aus.

   4. Wählen Sie "OK" aus.

3. Wählen Sie "Weiter" aus.

Konfigurieren des virtuellen Authentifizierungsservers für die Verwendung Microsoft Entra ID

Ändern Sie zwei Abschnitte für den virtuellen Authentifizierungsserver:

1. Wählen Sie im Bereich "Erweiterte Authentifizierungsrichtlinien " die Option "Keine Authentifizierungsrichtlinie" aus.

   

2. Wählen Sie im Bereich "Richtlinienbindung " die Authentifizierungsrichtlinie und dann "Binden" aus.

   

3. Wählen Sie im Bereich "Formularbasierte virtuelle Server" die Option "Kein virtueller Lastenausgleichsserver" aus.

   

4. Geben Sie unter Authentication FQDN (FQDN für die Authentifizierung) einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) ein. (Diese Angabe ist erforderlich.)

5. Wählen Sie den virtuellen Lastenausgleichsserver aus, den Sie mittels Azure AD-Authentifizierung schützen möchten.

6. Wählen Sie "Binden" aus.

   

   Hinweis

   Wählen Sie im Konfigurationsbereich "Authentifizierung virtueller Server" die Option "Fertig" aus.

7. Navigieren Sie zum Überprüfen Ihrer Änderungen in einem Browser zur Anwendungs-URL. Daraufhin sollte anstelle des vorherigen nicht authentifizierten Zugriffs Ihre Mandantenanmeldeseite angezeigt werden.

   

Konfigurieren des einmaligen Anmeldens für Citrix ADC SAML Connector for Microsoft Entra (Kerberos-basierte Authentifizierung)

Erstellen eines Kerberos-Delegierungskontos für Citrix ADC SAML Connector for Microsoft Entra ID

1. Erstellen Sie ein Benutzerkonto (in diesem Beispiel verwenden wir AppDelegation).

   

2. Richten Sie einen Host-SPN für dieses Konto ein.

   Beispiel: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

   In diesem Beispiel:

   • IDENTT.WORK ist der vollqualifizierte Domänenname.
   • identt ist der NetBIOS-Name der Domäne.
   • appdelegation ist der Name des Delegierungsbenutzerkontos.

3. Konfigurieren Sie die Delegierung für den Webserver, wie im folgenden Screenshot zu sehen:

   

   Hinweis

   Im Screenshotbeispiel lautet der name des internen Webservers, auf dem die Windows Integrated Authentication (WIA)-Website ausgeführt wird , CWEB2.

Citrix ADC SAML Connector for Microsoft Entra AAA KCD (Kerberos-Delegierungskonten)

Gehen Sie wie folgt vor, um das Citrix ADC SAML Connector for Microsoft Entra AAA KCD-Konto zu konfigurieren:

1. Wechseln Sie zu Citrix Gateway>AAA KCD-Konten (Kerberos-Eingeschränkte Delegierung).

2. Wählen Sie "Hinzufügen" aus, und geben Sie dann die folgenden Werte ein, oder wählen Sie sie aus:

   • Name: Geben Sie einen Namen für das KCD-Konto ein.

   • Bereich: Geben Sie die Domäne und Erweiterung in Großbuchstaben ein.

   • Service SPN: http/<host/fqdn>@<DOMAIN.COM>.

     Hinweis

     @DOMAIN.COM ist erforderlich und muss in Großbuchstaben angegeben werden. Beispiel: http/cweb2@IDENTT.WORK.

   • Delegierter Benutzer: Geben Sie den delegierten Benutzernamen ein.

   • Aktivieren Sie das Kontrollkästchen Kennwort für delegierten Benutzer , und geben Sie ein Kennwort ein, und bestätigen Sie es.

3. Wählen Sie "OK" aus.

Citrix-Datenverkehrsrichtlinie und -Datenverkehrsprofil

So konfigurieren Sie die Citrix-Datenverkehrsrichtlinie und das Datenverkehrsprofil

1. Navigieren Sie zu Security>AAA – Application Traffic>Policies>Traffic Policies, Profiles and Form SSO ProfilesTraffic Policies (Sicherheit > AAA – Anwendungsdatenverkehr > Richtlinien > Datenverkehrsrichtlinien, Profile und SSO-Formularprofile).

2. Wählen Sie "Datenverkehrsprofile" aus.

3. Wählen Sie "Hinzufügen" aus.

4. Geben Sie zum Konfigurieren eines Datenverkehrsprofils die folgenden Werte ein, oder wählen Sie sie aus:

   • Name: Geben Sie einen Namen für das Datenverkehrsprofil ein.

   • Einmaliges Anmelden: Wählen Sie "EIN" aus.

   • KCD-Konto: Wählen Sie das KCD-Konto aus, das Sie im vorherigen Abschnitt erstellt haben.

5. Wählen Sie "OK" aus.

   

6. Wählen Sie "Datenverkehrsrichtlinie" aus.

7. Wählen Sie "Hinzufügen" aus.

8. Geben Sie zum Konfigurieren einer Datenverkehrsrichtlinie die folgenden Werte ein, oder wählen Sie sie aus:

   • Name: Geben Sie einen Namen für die Datenverkehrsrichtlinie ein.

   • Profil: Wählen Sie das Datenverkehrsprofil aus, das Sie im vorherigen Abschnitt erstellt haben.

   • Expression: Geben Sie den Ausdruck true ein.

9. Wählen Sie "OK" aus.

   

Binden einer Datenverkehrsrichtlinie an einen virtuellen Server in Citrix

So binden Sie eine Datenverkehrsrichtlinie unter Verwendung der grafischen Benutzeroberfläche an einen virtuellen Server:

1. Navigieren Sie zu Datenverkehrsverwaltung>Lastenausgleich>Virtuelle Server.

2. Wählen Sie in der Liste der virtuellen Server den virtuellen Server aus, an den Sie die Umschreibungsrichtlinie binden möchten, und wählen Sie dann "Öffnen" aus.

3. Wählen Sie im Bereich Load Balancing Virtual Server unter Erweiterte Einstellungen, die Option Richtlinien aus. Die Liste enthält alle für Ihre NetScaler-Instanz konfigurierten Richtlinien.

   

   

4. Aktivieren Sie das Kontrollkästchen neben dem Namen der Richtlinie, die Sie an diesen virtuellen Server binden möchten.

   

5. Wählen Sie im Dialogfeld " Typ auswählen " Folgendes aus:

   1. Wählen Sie unter Richtlinie auswählen die Option Datenverkehr aus.

   2. Wählen Sie für "Typ" die Option "Anfordern" aus.

   

6. Wenn die Richtlinie gebunden ist, wählen Sie "Fertig" aus.

   

7. Testen Sie die Bindung mithilfe der WIA-Website.

   

Erstellen einer Citrix ADC SAML Connector for Microsoft Entra-Testbenutzerin

In diesem Abschnitt wird in Citrix ADC SAML Connector for Microsoft Entra ID ein Benutzer mit dem Namen B. Simon erstellt. Citrix ADC SAML Connector for Microsoft Entra ID unterstützt die Just-in-Time-Benutzerbereitstellung, die standardmäßig aktiviert ist. In diesem Abschnitt ist keine Aktion erforderlich. Wenn ein Benutzer in Citrix ADC SAML Connector for Microsoft Entra ID noch nicht vorhanden ist, wird nach der Authentifizierung ein neuer Benutzer erstellt.

Testen des einmaligen Anmeldens (SSO)

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

• Wählen Sie "Diese Anwendung testen" aus. Diese Option leitet zu Citrix ADC SAML Connector für die Microsoft Entra-Anmelde-URL um, unter der Sie den Anmeldefluss initiieren können.

• Navigieren Sie direkt zur Anmelde-URL für Citrix ADC SAML Connector for Microsoft Entra, und initiieren Sie dort den Anmeldeflow.

• Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie in „Meine Apps“ die Kachel „Citrix ADC SAML Connector für Microsoft Entra ID“ auswählen, werden Sie zur Anmelde-URL des Citrix ADC SAML Connector für Microsoft Entra weitergeleitet. Weitere Informationen zu "Meine Apps" finden Sie in der Einführung in "Meine Apps".

Verwandte Inhalte

Nach dem Konfigurieren von Citrix ADC SAML Connector for Microsoft Entra ID können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender für Cloud-Apps erzwingen.