Configurer Citrix ADC (authentification basée sur l’en-tête) pour l’authentification unique avec l’ID Microsoft Entra

Dans cet article, vous allez apprendre à intégrer Citrix ADC à l’ID Microsoft Entra. Quand vous intégrez Citrix ADC à Microsoft Entra ID, vous pouvez :

• Contrôler dans Microsoft Entra ID qui a accès à Citrix ADC.
• Permettre à vos utilisateurs de se connecter automatiquement à Citrix ADC avec leurs comptes Microsoft Entra.
• Gérer vos comptes dans un emplacement central.

Prerequisites

Le scénario décrit dans cet article suppose que vous disposez déjà des conditions préalables suivantes :

• Un compte d’utilisateur Microsoft Entra avec un abonnement actif. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
• L’un des rôles suivants :
  • Administrateur d’application
  • Administrateur d’applications cloud
  • Propriétaire de l’application.

• Abonnement Citrix ADC pour lequel l’authentification unique (SSO) est activée.

Description du scénario

Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test. L’article inclut les scénarios suivants :

• Authentification unique lancée par le fournisseur de services pour Citrix ADC

• Provisionnement d’utilisateurs juste à temps pour Citrix ADC

• Authentification basée sur l’en-tête pour Citrix ADC

• Authentification Kerberos pour Citrix ADC

Ajout de Citrix ADC à partir de la galerie

Pour intégrer Citrix ADC à Microsoft Entra ID, ajoutez d’abord Citrix ADC à votre liste d’applications SaaS managées à partir de la galerie :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.

2. Accédez à Entra ID>applications d'entreprise>Nouvelle application.

3. Dans la section Ajouter à partir de la galerie , entrez Citrix ADC dans la zone de recherche.

4. Dans les résultats, sélectionnez Citrix ADC, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez sinon également utiliser l’Assistant de configuration des applications d'entreprise . Dans cet assistant, vous pouvez ajouter une application à votre instance, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, ainsi que parcourir la configuration de l’authentification unique (SSO). En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour Citrix ADC

Configurez et testez l’authentification unique Microsoft Entra avec Citrix ADC à l’aide d’un utilisateur de test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l’utilisateur Citrix ADC associé.

Pour configurer et tester l’authentification unique (SSO) Microsoft Entra auprès de Citrix ADC, effectuez les étapes suivantes :

1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.

   1. Créer un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.

   2. Affectez l’utilisateur de test Microsoft Entra pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.

2. Configurer l’authentification unique Citrix ADC pour configurer les paramètres d’authentification unique côté application.

   • Créez un utilisateur de test Citrix ADC pour avoir un équivalent de B.Simon dans Citrix ADC lié à la représentation Microsoft Entra de l’utilisateur.

3. Test SSO - pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Pour activer l’authentification unique Microsoft Entra à l’aide du portail Azure, effectuez les étapes suivantes :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.

2. Accédez au volet d'intégration de l'application Citrix ADC sous >Entra ID>, sous Gérer, sélectionnez Connexion unique.

3. Dans le volet Sélectionner une méthode d’authentification unique , sélectionnez SAML.

4. Dans le volet Configurer Single Sign-On avec SAML, sélectionnez l'icône Modifier de Configuration SAML de base pour éditer les paramètres.

   

5. Dans la section Configuration SAML de base, pour configurer l’application en mode lancé par le fournisseur d’identité :

   1. Dans la zone de texte Identificateur , entrez une URL qui a le modèle suivant : https://<Your FQDN>

   2. Dans la zone de texte URL de réponse , entrez une URL qui a le modèle suivant : https://<Your FQDN>/CitrixAuthService/AuthService.asmx

6. Pour configurer l’application en mode initié par le fournisseur de services , sélectionnez Définir des URL supplémentaires et effectuez l’étape suivante :

   • Dans la zone de texte URL de connexion , entrez une URL qui a le modèle suivant : https://<Your FQDN>/CitrixAuthService/AuthService.asmx

   Note

   • Les URL utilisées dans cette section ne sont pas des valeurs réelles. Mettez à jour ces valeurs avec les valeurs réelles de l’identificateur, de l’URL de réponse et de l’URL de connexion. Pour obtenir ces valeurs , contactez l’équipe du support technique Citrix ADC . Vous pouvez également faire référence aux modèles indiqués dans la section Configuration SAML de base .
   • Pour configurer l’authentification unique, les URL doivent être accessibles à partir de sites web publics. Vous devez activer le pare-feu ou d’autres paramètres de sécurité côté Citrix ADC pour permettre à Microsoft Entra ID de poster le jeton sur l’URL configurée.

7. Dans le volet Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez URL des métadonnées de fédération d’application, copiez cette URL et enregistrez-la dans le Bloc-notes.

   

8. L’application Citrix ADC attend des assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à votre configuration des attributs de jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut. Sélectionnez l’icône Modifier et modifiez les mappages d’attributs.

   

9. L’application Citrix ADC s’attend aussi à ce que quelques attributs supplémentaires soient repassés dans la réponse SAML. Dans la boîte de dialogue Attributs utilisateur , sous Revendications utilisateur, effectuez les étapes suivantes pour ajouter les attributs de jeton SAML, comme indiqué dans le tableau :

   Name	Attribut source
   mySecretID	user.userprincipalname

   1. Sélectionnez Ajouter une nouvelle revendication pour ouvrir la boîte de dialogue Gérer les revendications utilisateur .

   2. Dans la zone de texte Nom , entrez le nom d’attribut affiché pour cette ligne.

   3. Laissez l’espace de noms vide.

   4. Pour Attribut, sélectionnez Source.

   5. Dans la liste d’attributs source , entrez la valeur d’attribut affichée pour cette ligne.

   6. Sélectionnez OK.

   7. Sélectionnez Enregistrer.

10. Dans la section Configurer Citrix ADC , copiez les URL pertinentes en fonction de vos besoins.

    

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’utilisateurs au moins.
2. Accédez à Entra ID>Utilisateurs.
3. Sélectionnez Nouvel utilisateur>, en haut de l’écran.
4. Dans les propriétés Utilisateur , procédez comme suit :
   1. Dans le champ Nom d'affichage, entrez B.Simon.
   2. Dans le champ Nom d’utilisateur principal, entrez le username@companydomain.extension. Par exemple : B.Simon@contoso.com.
   3. Cochez la case Afficher le mot de passe , puis notez la valeur affichée dans la zone Mot de passe .
   4. Sélectionnez Vérifier + créer.
5. Sélectionnez Créer.

Attribuez l’utilisateur de test Microsoft Entra

Dans cette section, vous allez autoriser l’utilisateur B.Simon à utiliser l’authentification unique Azure en lui accordant l’accès à Citrix ADC.

1. Accédez aux applications Entra ID>d'entreprise.

2. Dans la liste des applications, sélectionnez Citrix ADC.

3. Dans la vue d’ensemble de l’application, sous Gérer, sélectionnez Utilisateurs et groupes.

4. Sélectionnez Ajouter un utilisateur. Ensuite, dans la boîte de dialogue Ajouter une affectation , sélectionnez Utilisateurs et groupes.

5. Dans la boîte de dialogue Utilisateurs et groupes , sélectionnez B.Simon dans la liste Utilisateurs . Choisissez Sélectionner.

6. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.

7. Dans la boîte de dialogue Ajouter une affectation , sélectionnez Affecter.

Configurer l’authentification unique Citrix ADC

Sélectionnez un lien pour connaître les étapes relatives au type d’authentification que vous voulez configurer :

• Configurer le SSO Citrix ADC pour l’authentification basée sur l’en-tête

• Configurer le SSO du Citrix ADC pour l’authentification basée sur Kerberos

Publier le serveur web

Pour créer un serveur virtuel :

1. Sélectionnez Gestion du trafic>Équilibrage de charge>Services.

2. Sélectionnez Ajouter.

   

3. Définissez les valeurs suivantes pour le serveur web qui exécute les applications :

   • Nom du service

   • Adresse IP du serveur/ serveur existant

   • Protocole

   • Port

     

Configurer l’équilibrage de charge

Pour configurer l’équilibrage de charge :

1. Accédez à Gestion du Trafic>Équilibrage de Charge>Serveurs Virtuels.

2. Sélectionnez Ajouter.

3. Définissez les valeurs suivantes comme décrit dans la capture d’écran ci-après :

   • Nom
   • Protocole
   • Adresse IP
   • Port

4. Sélectionnez OK.

   

Lier le serveur virtuel

Pour lier l’équilibreur de charge au serveur virtuel :

1. Dans le volet Services et groupes de services, sélectionnez Aucune liaison de service de serveur virtuel d’équilibrage de charge.

   

2. Vérifiez les paramètres comme indiqué dans la capture d’écran suivante, puis sélectionnez Fermer.

   

Lier le certificat

Pour publier ce service en tant que TLS, liez le certificat serveur, puis testez votre application :

1. Sous Certificat, sélectionnez Aucun certificat de serveur.

   

2. Vérifiez les paramètres comme indiqué dans la capture d’écran suivante, puis sélectionnez Fermer.

   

Profil SAML de Citrix ADC

Pour configurer le profil SAML de Citrix ADC, effectuez les étapes des sections suivantes :

Créer une stratégie d’authentification

Pour créer une stratégie d’authentification :

1. Accédez à Sécurité>AAA – Trafic d'application>Stratégies>Authentification>Stratégies d'authentification.

2. Sélectionnez Ajouter.

3. Dans le volet Créer une stratégie d’authentification , entrez ou sélectionnez les valeurs suivantes :

   • Nom : entrez un nom pour votre stratégie d’authentification.
   • Action : entrez SAML, puis sélectionnez Ajouter.
   • Expression : Entrez true.

   

4. Sélectionnez Créer.

Créer un serveur SAML d’authentification

Pour créer un serveur SAML d’authentification, accédez au volet Créer un serveur SAML d’authentification , puis effectuez les étapes suivantes :

1. Pour Nom, entrez un nom pour le serveur SAML d’authentification.

2. Sous Exporter les métadonnées SAML :

   1. Cochez la case Importer les métadonnées .

   2. Entrez l’URL des métadonnées de fédération à partir de l’interface utilisateur SAML Azure que vous avez copiée précédemment.

3. Pour le nom de l’émetteur, entrez l’URL appropriée.

4. Sélectionnez Créer.

Créer un serveur virtuel d’authentification

Pour créer un serveur virtuel d’authentification :

1. Accédez à Sécurité>AAA - Trafic d’application>stratégies>Authentification>Serveurs virtuels d’authentification.

2. Sélectionnez Ajouter, puis effectuez les étapes suivantes :

   1. Pour Nom, entrez un nom pour le serveur virtuel d’authentification.

   2. Cochez la case Non adressable.

   3. Pour le protocole, sélectionnez SSL.

   4. Sélectionnez OK.

   

Configurez le serveur virtuel d’authentification pour utiliser Microsoft Entra ID

Modifiez deux sections pour le serveur virtuel d’authentification :

1. Dans le volet Stratégies d’authentification avancées , sélectionnez Aucune stratégie d’authentification.

   

2. Dans le volet Association de stratégies, sélectionnez la stratégie d'authentification, puis sélectionnez Lier.

   

3. Dans le volet Serveurs virtuels basés sur des formulaires , sélectionnez Aucun serveur virtuel d’équilibrage de charge.

   

4. Pour l'authentification FQDN, entrez un nom de domaine entièrement qualifié (FQDN) (obligatoire).

5. Sélectionnez le serveur virtuel d’équilibrage de charge à protéger avec l’authentification Microsoft Entra.

6. Sélectionnez Lier.

   

   Note

   Veillez à sélectionner Terminé dans le volet Configuration du serveur virtuel d’authentification .

7. Pour vérifier vos modifications, dans un navigateur, accédez à l’URL de l’application. Votre page de connexion de locataire doit s’afficher au lieu de l’accès non authentifié que vous auriez pu voir précédemment.

   

Configurer l’authentification unique Citrix ADC pour l’authentification par en-tête

Configurer Citrix ADC

Pour configurer Citrix ADC pour l’authentification par en-tête, effectuez les étapes des sections suivantes.

Créer une action de réécriture

1. Accédez à AppExpert>Réécriture>Actions de réécriture.

   

2. Sélectionnez Ajouter, puis effectuez les étapes suivantes :

   1. Pour Nom, entrez un nom pour l’action de réécriture.

   2. Pour Type, entrez INSERT_HTTP_HEADER.

   3. Pour nom d’en-tête, entrez un nom d’en-tête (dans cet exemple, nous utilisons SecretID).

   4. Pour Expression, entrez aaa. UTILISATEUR. ATTRIBUTE(« mySecretID »), où mySecretID est la revendication Microsoft Entra SAML envoyée à Citrix ADC.

   5. Sélectionnez Créer.

   

Créer une stratégie de réécriture

1. Accédez à AppExpert>Réécrire>Stratégies de réécriture.

   

2. Sélectionnez Ajouter, puis effectuez les étapes suivantes :

   1. Pour Nom, entrez un nom pour la stratégie de réécriture.

   2. Pour Action, sélectionnez l’action de réécriture que vous avez créée dans la section précédente.

   3. Dans le champ Expression, entrez true.

   4. Sélectionnez Créer.

   

Lier une stratégie de réécriture à un serveur virtuel

Pour lier une stratégie de réécriture à un serveur virtuel à l’aide de l’interface graphique utilisateur :

1. Accédez à Gestion du Trafic>Équilibrage de Charge>Serveurs Virtuels.

2. Dans la liste des serveurs virtuels, sélectionnez le serveur virtuel auquel vous souhaitez lier la stratégie de réécriture, puis sélectionnez Ouvrir.

3. Dans le volet Serveur virtuel d’équilibrage de charge , sous Paramètres avancés, sélectionnez Stratégies. Toutes les stratégies configurées pour votre instance de NetScaler figurent dans la liste.

4. Cochez la case située en regard du nom de la stratégie que vous voulez lier à ce serveur virtuel.

   

5. Dans la boîte de dialogue Choisir un type :

   1. Pour Choisir une stratégie, sélectionnez Trafic.

   2. Pour Choisir un type, sélectionnez Demande.

   

6. Sélectionnez OK. Dans la barre d’état, un message indique que la stratégie a été configurée avec succès.

Modifier le serveur SAML pour extraire les attributs d’une revendication

1. Accédez à Sécurité>AAA - Trafic d'application>Politiques>Authentification>Politiques avancées>Actions>Serveurs.

2. Sélectionnez le serveur SAML d’authentification approprié pour l’application.

   

3. Dans le volet Attributs, entrez les attributs SAML que vous souhaitez extraire, séparés par des virgules. Dans notre exemple, nous entrons l’attribut mySecretID.

   

4. Pour vérifier l’accès, à l’URL d’un navigateur, recherchez l’attribut SAML sous Collection d’en-têtes.

   

Créer un utilisateur de test Citrix ADC

Dans cette section, un utilisateur appelé B.Simon est créé dans Citrix ADC. Citrix ADC prend en charge l’attribution d’utilisateurs juste-à-temps, qui est activée par défaut. Vous n’avez aucune opération à effectuer dans cette section. Si l’utilisateur souhaité n’existe pas déjà dans Citrix ADC, il est créé après l’authentification.

Tester l’authentification unique (SSO)

Dans cette section, vous allez tester votre configuration de l’authentification unique (SSO) Microsoft Entra avec les options suivantes.

• Sélectionnez Tester cette application, cette option redirige vers l’URL de connexion Citrix ADC où vous pouvez lancer le flux de connexion.

• Accédez directement à l’URL de connexion Citrix ADC pour lancer le processus de connexion.

• Vous pouvez utiliser Mes applications de Microsoft. Lorsque vous sélectionnez la vignette Citrix ADC dans Mes applications, cette option redirige vers l’URL de connexion Citrix ADC. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Contenu connexe

Après avoir configuré Citrix ADC, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer le contrôle de session avec Microsoft Defender pour Cloud Apps.