Citrix ADC (verificatie op basis van headers) configureren voor eenmalige aanmelding met Microsoft Entra-id

In dit artikel leert u hoe u Citrix ADC integreert met Microsoft Entra ID. Wanneer u Citrix ADC integreert met Microsoft Entra ID, kunt u het volgende doen:

• In Microsoft Entra ID beheren wie toegang heeft tot Citrix ADC.
• Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij Citrix ADC.
• Beheer uw accounts op één centrale locatie.

Vereisten

In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:

• Een Microsoft Entra-gebruikersaccount met een actief abonnement. Als u er nog geen hebt, kunt u Gratis een account maken.
• Een van de volgende rollen:
  • toepassingsbeheerder
  • cloudtoepassingsbeheerder
  • Applicatie-eigenaar.

• Citrix ADC-abonnement met ingeschakelde Single Sign-On (SSO).

Beschrijving van scenario

In dit artikel configureert en test u Microsoft Entra Single Sign-On (SSO) in een testomgeving. Het artikel bevat de volgende scenario's:

• SP-geïnitieerde eenmalige aanmelding voor Citrix ADC

• Just-In-Time-gebruikersvoorziening voor Citrix ADC

• Verificatie op basis van headers voor Citrix ADC

• Verificatie op basis van Kerberos voor Citrix ADC

Citrix ADC toevoegen vanuit de galerie

Als u Citrix ADC wilt integreren met Microsoft Entra ID, voegt u Citrix ADC eerst toe aan uw lijst met beheerde SaaS-apps vanuit de galerie:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.

2. Blader naar Entra ID>Enterprise-apps>Nieuwe toepassing.

3. Typ in de sectie Toevoegen vanuit de galerie in het zoekvak: Citrix ADC.

4. Selecteer Citrix ADC in de resultaten en voeg de app vervolgens toe. Wacht een paar seconden terwijl de app aan uw tenant wordt toegevoegd.

U kunt als alternatief ook de Enterprise App Configuration Wizard gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Microsoft Entra SSO voor Citrix ADC configureren en testen

Configureer en test Microsoft Entra Single Sign-On met Citrix ADC met een testgebruiker genaamd B.Simon. Voor SSO moet u een koppelingsrelatie tot stand brengen tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in Citrix ADC.

Voer de volgende stappen uit om Microsoft Entra SSO met Citrix ADC te configureren en te testen:

1. Configureer Microsoft Entra SSO zodat uw gebruikers deze functie kunnen gebruiken.

   1. Maak een Microsoft Entra-testgebruiker om Microsoft Entra SSO met B.Simon te testen.

   2. Ken de Microsoft Entra-testgebruiker toe om B. Simon in staat te stellen de eenmalige aanmelding van Microsoft Entra te gebruiken.

2. Eenmalige aanmelding voor Citrix ADC configureren: als u de instellingen voor eenmalige aanmelding aan de toepassingszijde wilt configureren.

   • Een Citrix ADC-testgebruiker maken: als u een tegenhanger van B.Simon in Citrix ADC wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.

3. Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Microsoft Entra SSO configureren

Om Microsoft Entra SSO in te schakelen met behulp van de Azure-portal, voert u deze stappen uit:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.

2. Blader naar het deelvenster Integratie van Entra ID>Enterprise-apps>citrix ADC-toepassingen onder Beheren en selecteer Eenmalige aanmelding.

3. Selecteer in het deelvenster Selecteer een methode voor eenmalige aanmelding de optie SAML.

4. Selecteer in het deelvenster Eenmalige aanmelding met SAML instellen het penpictogram Bewerken voor Standaard SAML-configuratie om de instellingen te bewerken.

   

5. In de sectie Standaard SAML-configuratie doet u het volgende om de toepassing in de door IDP geïnitieerde modus te configureren:

   1. Typ in het tekstvak Id een URL met het volgende patroon: https://<Your FQDN>

   2. Typ in het tekstvak Antwoord-URL een URL met het volgende patroon: https://<Your FQDN>/CitrixAuthService/AuthService.asmx

6. Als u de toepassing in de door SP geïnitieerde modus wilt configureren, selecteert u Extra URL's instellen en voert u de volgende stap uit:

   • Typ in het tekstvak Aanmeldings-URL een URL met het volgende patroon: https://<Your FQDN>/CitrixAuthService/AuthService.asmx

   Notitie

   • De URL’s die in deze sectie worden gebruikt, zijn geen echte waarden. Werk deze waarden bij met de werkelijke waarden voor Id, Antwoord-URL en Aanmeldings-URL. Neem contact op met het klantondersteuningsteam van Citrix ADC om deze waarden te verkrijgen. U kunt ook verwijzen naar de patronen die worden weergegeven in de sectie Standaard SAML-configuratie .
   • Om Single Sign-On (SSO) in te stellen, moeten de URL's toegankelijk zijn vanaf publieke websites. U moet de firewall of andere beveiligingsinstellingen aan de kant van Citrix ADC inschakelen zodat Microsoft Entra ID het token kan plaatsen op de geconfigureerde URL.

7. Op het venster Eenmalige aanmelding met SAML instellen, in de sectie SAML-handtekeningcertificaat, kopieert u de URL voor App-URL voor federatieve metagegevens en slaat u deze op in Kladblok.

   

8. In de Citrix ADC-toepassing worden de SAML-beweringen in een specifieke indeling verwacht. Hiervoor moet u aangepaste kenmerktoewijzingen toevoegen aan de configuratie van uw SAML-tokenkenmerken. In de volgende schermafbeelding wordt de lijst met standaardkenmerken weergegeven. Selecteer het pictogram Bewerken en wijzig de kenmerktoewijzingen.

   

9. Bovendien worden in de Citrix ADC-toepassing nog enkele kenmerken verwacht die als SAML-antwoord moeten worden doorgestuurd. In de sectie Gebruikerskenmerken onder Gebruikersclaims voert u de volgende stappen uit om de SAML-tokenkenmerken toe te voegen, zoals weergegeven in de tabel:

   Naam	Bronkenmerk
   mySecretID	user.gebruikershoofdnaam

   1. Selecteer Nieuwe claim toevoegen om het dialoogvenster Gebruikersclaims beheren te openen.

   2. Typ in het tekstvak Naam de naam van het kenmerk die voor die rij wordt weergegeven.

   3. Laat Naamruimte leeg.

   4. Bij Kenmerk selecteert u Bron.

   5. Typ in de lijst Bronkenmerk de kenmerkwaarde die voor die rij wordt weergegeven.

   6. Klik op OK.

   7. Selecteer Opslaan.

10. In de sectie Citrix ADC instellen kopieert u de juiste URL's op basis van uw vereisten.

    

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruikersbeheerder.
2. Navigeer naar Entra ID>Gebruikers.
3. Selecteer Nieuwe gebruiker>Nieuwe gebruiker maken bovenaan het scherm.
4. Voer in de gebruikerseigenschappen de volgende stappen uit:
   1. Voer in het veld WeergavenaamB.Simon in.
   2. Voer in het veld User Principal Name de username@companydomain.extensionnaam in. Bijvoorbeeld: B.Simon@contoso.com.
   3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
   4. Selecteer Recensie + creëren.
5. Selecteer Aanmaken.

De Microsoft Entra-testgebruiker toewijzen

In deze sectie stelt u de gebruiker B.Simon in staat Azure SSO te gebruiken door toegang te verlenen tot Citrix ADC.

1. Navigeer naar Entra ID>Enterprise apps.

2. Selecteer Citrix ADC in de lijst met toepassingen.

3. In het app-overzicht onder Beheren selecteert u Gebruikers en groepen.

4. Selecteer Gebruiker toevoegen. Selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.

5. Selecteer in het dialoogvenster Gebruikers en groepenB.Simon in de lijst Gebruikers. Kies Selecteren.

6. Als u verwacht dat een rol wordt toegewezen aan de gebruikers, kunt u deze selecteren in de vervolgkeuzelijst Selecteer een rol. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.

7. Selecteer Toewijzen in het dialoogvenster Toewijzing toevoegen.

Citrix ADC Single Sign-On configureren

Selecteer een koppeling voor stappen voor het soort verificatie dat u wilt configureren:

• Citrix ADC SSO configureren voor authenticatie op basis van headers

• Citrix ADC Single Sign-On configureren voor Kerberos-authenticatie

De webserver publiceren

Ga als volgt te werk om een virtuele server te maken:

1. Selecteer Verkeersbeheer>Taakverdeling>Services.

2. Selecteer Toevoegen.

   

3. Stel de volgende waarden in voor de webserver die de toepassingen uitvoert:

   • Servicenaam

   • IP-adres van de server/Bestaande server

   • Protocol

   • Poort

     

De load balancer configureren

Ga als volgt te werk om de load balancer te configureren:

1. Ga naar Verkeersbeheer>Taakverdeling>Virtuele servers.

2. Selecteer Toevoegen.

3. Stel de volgende waarden in zoals beschreven in de volgende schermopname:

   • Naam
   • Protocol
   • IP-adres
   • Poort

4. Klik op OK.

   

De virtuele server binden

Ga als volgt te werk om de load balancer aan de virtuele server te binden:

1. Selecteer in het deelvenster Services en servicegroepen de optie Geen servicebinding van taakverdelende virtuele server.

   

2. Verifieer de instellingen zoals weergegeven in de volgende schermopname, en selecteer vervolgens Sluiten.

   

Het certificaat binden

Om deze service als TLS te publiceren, bindt u het servercertificaat en test u uw toepassing:

1. Onder Certificaat selecteert u Geen servercertificaat.

   

2. Verifieer de instellingen zoals weergegeven in de volgende schermopname, en selecteer vervolgens Sluiten.

   

Citrix ADC SAML-profiel

Voltooi de volgende secties om het Citrix ADC SAML-profiel te configureren:

Een verificatiebeleid maken

Ga als volgt te werk om een verificatiebeleid te maken:

1. Ga naar Beveiliging>AAA – Toepassingsverkeer>Beleidsregels>Verificatie>Verificatiebeleid.

2. Selecteer Toevoegen.

3. Typ of selecteer in het deelvenster Verificatiebeleid maken de volgende waarden:

   • Naam: Voer een naam in voor uw verificatiebeleid.
   • Actie: Voer SAML in en selecteer Toevoegen.
   • Expressie: Voer true in.

   

4. Selecteer Aanmaken.

Een verificatie-SAML-server maken

Om een verificatie-SAML-server te maken, gaat u naar het deelvenster Verificatie-SAML-server maken en voert u de volgende stappen uit:

1. Bij Naam voert u een naam in voor de verificatie-SAML-server.

2. Doe het volgende onder SAML-metagegevens exporteren:

   1. Schakel het selectievakje Metagegevens importeren in.

   2. Voer de URL voor federatieve metagegevens in die u eerder hebt gekopieerd uit de Azure SAML-gebruikersinterface.

3. Bij Naam van uitgever voert u de relevante URL in.

4. Selecteer Aanmaken.

Een virtuele verificatieserver maken

Ga als volgt te werk om een virtuele verificatieserver te maken:

1. Ga naar Beveiliging>AAA – Toepassingsverkeer>Beleidsregels>Verificatie>Virtuele verificatieservers.

2. Selecteer Toevoegen en voltooi de volgende stappen:

   1. Bij Naam voert u een naam in voor de virtuele verificatieserver.

   2. Schakel het selectievakje Niet-adresseerbaar in.

   3. Bij Protocol selecteert u SSL.

   4. Klik op OK.

   

De virtuele verificatieserver configureren voor het gebruik van Microsoft Entra-id

Wijzig de twee secties voor de virtuele verificatieserver:

1. In het deelvenster Geavanceerd verificatiebeleid selecteert u Geen verificatiebeleid.

   

2. In het deelvenster Beleidsbinding selecteert u het verificatiebeleid en selecteert u vervolgens Binden.

   

3. In het deelvenster Formuliergebaseerde virtuele servers selecteert u Geen taakverdelende virtuele server.

   

4. Bij Verificatie-FQDN voert u een Fully Qualified Domain Name (FQDN) in (vereist).

5. Selecteer de virtuele server voor taakverdeling die u wilt beveiligen met Microsoft Entra-verificatie.

6. Selecteer Koppelen.

   

   Notitie

   Zorg ervoor dat u Gereed selecteert in het deelvenster Configuratie van virtuele verificatieserver.

7. Om uw wijzigingen te verifiëren, gaat u in een browser naar de toepassings-URL. U zou de aanmeldingspagina van uw tenant moeten zien in plaats van de niet-geverifieerde toegang die u eerder zou hebben gezien.

   

Single Sign-On voor Citrix ADC configureren voor authenticatie op basis van headers

Citrix ADC configureren

Voltooi de volgende secties om Citrix ADC te configureren voor headergebaseerde verificatie.

Een herschrijfactie maken

1. Ga naar AppExpert>Herschrijven>Herschrijfacties.

   

2. Selecteer Toevoegen en voltooi de volgende stappen:

   1. Bij Naam voert u een naam in voor de herschrijfactie.

   2. Bij Type voert u INSERT_HTTP_HEADER in.

   3. Bij Headernaam voert u een headernaam in (in dit voorbeeld gebruiken we SecretID).

   4. Voor Expressie, voer aaa.GEBRUIKER.ATTRIBUTE("mySecretID") in, waarbij mySecretID de Microsoft Entra SAML-claim is die is verzonden naar Citrix ADC.

   5. Selecteer Aanmaken.

   

Een herschrijfbeleid maken

1. Ga naar AppExpert>Herschrijven>Herschrijfbeleid.

   

2. Selecteer Toevoegen en voltooi de volgende stappen:

   1. Bij Naam voert u een naam in voor het herschrijfbeleid.

   2. Bij Actie selecteert u de herschrijfactie die u in de vorige sectie hebt gemaakt.

   3. Bij Expressie voert u true in.

   4. Selecteer Aanmaken.

   

Een herschrijfbeleid binden aan een virtuele server

Ga als volgt te werk om een herschrijfbeleid te binden aan een virtuele server met behulp van de GUI:

1. Ga naar Verkeersbeheer>Taakverdeling>Virtuele servers.

2. In de lijst met virtuele servers selecteert u de virtuele server waaraan u het herschrijfbeleid wilt binden, en vervolgens selecteert u Openen.

3. In het deelvenster Taakverdelende virtuele server onder Geavanceerde instellingen selecteert u Beleidsregels. Alle beleidsregels die voor uw NetScaler-exemplaar zijn geconfigureerd, worden in de lijst weergegeven.

4. Schakel het selectievakje in naast de naam van het beleid dat u aan deze virtuele server wilt binden.

   

5. Doe het volgende in het dialoogvenster Type kiezen:

   1. Bij Beleid kiezen selecteert u Verkeer.

   2. Bij Type kiezen selecteert u Aanvraag.

   

6. Klik op OK. Een bericht in de statusbalk geeft aan dat het beleid is geconfigureerd.

De SAML-server wijzigen om kenmerken uit een claim te extraheren

1. Ga naar Beveiliging>AAA – Toepassingsverkeer>Beleidsregels>Verificatie>Geavanceerde beleidsregels>Acties>Servers.

2. Selecteer de juiste verificatie-SAML-server voor de toepassing.

   

3. Voer in het deelvenster Kenmerken de SAML-kenmerken in die u wilt extraheren, gescheiden door komma’s. In ons voorbeeld voeren we het kenmerk mySecretID in.

   

4. Om toegang te verifiëren, zoekt u in de URL in een browser naar het SAML-kenmerk onder Verzameling met headers.

   

Testgebruiker voor Citrix ADC maken

In deze sectie wordt een gebruiker met de naam B.Simon gemaakt in Citrix ADC. Citrix ADC biedt ondersteuning voor Just-In-Time-inrichting van gebruikers. Deze functie is standaard ingeschakeld. Er is geen actie die u in deze sectie kunt uitvoeren. Als een gebruiker nog niet bestaat in Citrix ADC, wordt er na verificatie een nieuwe gemaakt.

SSO testen

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

• Selecteer Deze toepassing testen. Met deze optie wordt u omgeleid naar de Citrix ADC aanmeld-URL, waar u de aanmeldstroom kunt initiëren.

• Ga rechtstreeks naar de aanmeldings-URL van Citrix ADC en initieer de aanmeldingsstroom daar.

• U kunt Microsoft Mijn apps gebruiken. Wanneer u de tegel Citrix ADC in Mijn apps selecteert, wordt deze optie omgeleid naar de aanmeldings-URL van Citrix ADC. Zie Introduction to My Apps (Inleiding tot Mijn apps) voor meer informatie over Mijn apps.

Verwante inhoud

Zodra u Citrix ADC hebt geconfigureerd, kunt u sessiebeheer afdwingen. Hierdoor worden exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.