Konfiguracja Citrix ADC (uwierzytelnianie oparte na nagłówkach) do logowania jednokrotnego za pomocą Microsoft Entra ID

Z tego artykułu dowiesz się, jak zintegrować aplikację Citrix ADC z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu aplikacji Citrix ADC z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

• Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Citrix ADC.
• Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Citrix ADC przy użyciu kont Firmy Microsoft Entra.
• Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

• Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
• Jedna z następujących ról:
  • Administrator aplikacji
  • Administrator aplikacji w chmurze
  • Właściciel aplikacji.

• Subskrypcja aplikacji Citrix ADC z obsługą logowania jednokrotnego.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz Microsoft Entra SSO w środowisku testowym. Artykuł zawiera następujące scenariusze:

• Inicjowane przez dostawcę usług Logowanie jednokrotne dla aplikacji Citrix ADC

• Aprowizowanie użytkowników just in time dla usługi Citrix ADC

• Uwierzytelnianie oparte na nagłówku dla usługi Citrix ADC

• Uwierzytelnianie oparte na protokole Kerberos dla usługi Citrix ADC

Dodawanie aplikacji Citrix ADC z galerii

Aby zintegrować aplikację Citrix ADC z firmą Microsoft Entra ID, najpierw dodaj aplikację Citrix ADC do swojej listy zarządzanych aplikacji SaaS z galerii:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>Nowa aplikacja.

3. W sekcji Dodawanie z galerii wpisz Citrix ADC w polu wyszukiwania.

4. W wynikach wybierz pozycję Citrix ADC, a następnie dodaj aplikację. Poczekaj kilka sekund, podczas gdy aplikacja jest dodawana do twojej dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o kreatorach Microsoft 365.

Konfigurowanie i testowanie Microsoft Entra SSO dla Citrix ADC

Skonfiguruj i przetestuj Microsoft Entra SSO z Citrix ADC przy użyciu użytkownika testowego B.Simon. Aby logowanie jednokrotne działało, należy ustanowić powiązanie między użytkownikiem Microsoft Entra a powiązanym użytkownikiem w usłudze Citrix ADC.

Aby skonfigurować i przetestować Microsoft Entra SSO z rozwiązaniem Citrix ADC, wykonaj następujące kroki:

1. Skonfiguruj jednorazowe logowanie (SSO) dla Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.

   1. Utwórz użytkownika testowego Microsoft Entra — aby przetestować Microsoft Entra SSO z B.Simon.

   2. Przypisz użytkownika testowego Microsoft Entra — aby umożliwić B.Simon korzystanie z logowania jednokrotnego Microsoft Entra.

2. Skonfiguruj logowanie jednokrotne citrix ADC — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.

   • Utwórz użytkownika testowego Citrix ADC — aby mieć odpowiednik B.Simon w Citrix ADC, powiązany z reprezentacją użytkownika w usłudze Microsoft Entra.

3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego Microsoft Entra (SSO)

Aby włączyć logowanie jednokrotne Microsoft Entra przy użyciu portalu Azure, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do Entra ID>aplikacji Enterprise>Citrix ADC w okienku integracji, w obszarze Zarządzanie, wybierz pozycję Logowanie jednokrotne.

3. W okienku Wybierz metodę logowania jednokrotnego wybierz pozycję SAML.

4. W okienku Konfigurowanie pojedynczego Sign-On przy użyciu języka SAML wybierz ikonę edycji pióra dla podstawowej konfiguracji protokołu SAML , aby edytować ustawienia.

   

5. W sekcji Podstawowa konfiguracja protokołu SAML, aby skonfigurować aplikację w trybie inicjowanym przez IdP:

   1. W polu tekstowym Identyfikator wprowadź adres URL, który ma następujący wzorzec: https://<Your FQDN>

   2. W polu tekstowym Adres URL odpowiedzi wprowadź adres URL, który ma następujący wzorzec: https://<Your FQDN>/CitrixAuthService/AuthService.asmx

6. Aby skonfigurować aplikację w trybie inicjowanym przez dostawcę usług, wybierz pozycję Ustaw dodatkowe adresy URL i wykonaj następujący krok:

   • W polu tekstowym Adres URL logowania wprowadź adres URL, który ma następujący wzorzec: https://<Your FQDN>/CitrixAuthService/AuthService.asmx

   Uwaga

   • Adresy URL używane w tej sekcji nie są rzeczywistymi wartościami. Zaktualizuj te wartości przy użyciu rzeczywistych wartości identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Skontaktuj się z zespołem pomocy technicznej klienta aplikacji Citrix ADC, aby uzyskać te wartości. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML .
   • Aby skonfigurować logowanie jednokrotne, adresy URL muszą być dostępne z publicznych witryn internetowych. Należy włączyć zaporę lub inne ustawienia zabezpieczeń po stronie aplikacji Citrix ADC, aby umożliwić usłudze Microsoft Entra ID opublikowanie tokenu pod skonfigurowanym adresem URL.

7. W okienku Konfigurowanie pojedynczego Sign-On przy użyciu języka SAML w sekcji Certyfikat podpisywania SAML w polu Adres URL metadanych federacji aplikacji skopiuj adres URL i zapisz go w Notatniku.

   

8. Aplikacja Citrix ADC oczekuje, że asercje SAML będą w określonym formacie, co wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych. Wybierz ikonę Edytuj i zmień mapowania atrybutów.

   

9. Aplikacja Citrix ADC oczekuje również, że w odpowiedzi SAML zostanie przekazanych jeszcze kilka atrybutów. W oknie dialogowym Atrybuty użytkownika w obszarze Oświadczenia użytkownika wykonaj następujące kroki, aby dodać atrybuty tokenu SAML, jak pokazano w tabeli:

   Nazwisko	Atrybut źródłowy
   mySecretID	user.nazwaGłównaUżytkownika

   1. Wybierz pozycję Dodaj nowe oświadczenie , aby otworzyć okno dialogowe Zarządzanie oświadczeniami użytkowników .

   2. W polu tekstowym Nazwa wprowadź nazwę atrybutu wyświetlaną dla tego wiersza.

   3. Pozostaw przestrzeń nazw pustą.

   4. W polu Atrybut wybierz pozycję Źródło.

   5. Na liście Atrybut źródłowy wprowadź wartość atrybutu wyświetlaną dla tego wiersza.

   6. Wybierz przycisk OK.

   7. Wybierz pozycję Zapisz.

10. W sekcji Konfigurowanie aplikacji Citrix ADC skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
2. Przejdź do Entra ID>Użytkownicy.
3. Wybierz pozycję Nowy użytkownik> w górnej części ekranu.
4. We właściwościach użytkownika wykonaj następujące kroki:
   1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
   2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extension. Na przykład B.Simon@contoso.com.
   3. Zaznacz pole wyboru Pokaż hasło , a następnie zapisz wartość wyświetlaną w polu Hasło .
   4. Wybierz pozycję Przejrzyj i utwórz.
5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego platformy Azure, udzielając użytkownikowi dostępu do aplikacji Citrix ADC.

1. Przejdź do aplikacji Entra ID>Dla przedsiębiorstw.

2. Na liście aplikacji wybierz pozycję Citrix ADC.

3. W przeglądzie aplikacji w obszarze Zarządzanie wybierz pozycję Użytkownicy i grupy.

4. Wybierz pozycję Dodaj użytkownika. Następnie w oknie dialogowym Dodawanie przypisania wybierz pozycję Użytkownicy i grupy.

5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy . Wybierz Opcję Wybierz.

6. Jeśli spodziewasz się, że rola zostanie przypisana użytkownikom, możesz ją wybrać z rozwijanej Wybierz rolę. Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".

7. W oknie dialogowym Dodawanie przypisania wybierz pozycję Przypisz.

Konfiguracja Citrix ADC SSO

Wybierz link, aby uzyskać instrukcje dotyczące rodzaju uwierzytelniania, które chcesz skonfigurować:

• Konfigurowanie logowania jednokrotnego Citrix ADC dla uwierzytelniania opartego na nagłówku

• Konfigurowanie SSO Citrix ADC do uwierzytelniania opartego na Kerberos

Publikowanie serwera internetowego

Aby utworzyć serwer wirtualny:

1. Wybierz Zarządzanie ruchem>Równoważenie obciążenia>Usługi.

2. Wybierz pozycję Dodaj.

   

3. Ustaw następujące wartości dla serwera internetowego, na którym są uruchomione aplikacje:

   • Nazwa usługi

   • Adres IP serwera/ istniejący serwer

   • Protokół

   • Port

     

Konfigurowanie modułu równoważenia obciążenia

Aby skonfigurować moduł równoważenia obciążenia:

1. Przejdź do Zarządzania ruchem>Równoważenia obciążenia>Serwery wirtualne.

2. Wybierz pozycję Dodaj.

3. Ustaw następujące wartości zgodnie z opisem na poniższym zrzucie ekranu:

   • Nazwa
   • Protokół
   • Adres IP
   • Port

4. Wybierz przycisk OK.

   

Powiąż serwer wirtualny

Aby powiązać moduł równoważenia obciążenia z serwerem wirtualnym:

1. W okienku Usługi i grupy usług wybierz pozycję Powiązanie usługi serwera wirtualnego bez równoważenia obciążenia.

   

2. Sprawdź ustawienia, jak pokazano na poniższym zrzucie ekranu, a następnie wybierz pozycję Zamknij.

   

Powiąż certyfikat

Aby opublikować tę usługę jako protokół TLS, powiąż certyfikat serwera, a następnie przetestuj aplikację:

1. W obszarze Certyfikat wybierz pozycję Brak certyfikatu serwera.

   

2. Sprawdź ustawienia, jak pokazano na poniższym zrzucie ekranu, a następnie wybierz pozycję Zamknij.

   

Profil SAML usługi Citrix ADC

Aby skonfigurować profil SAML usługi Citrix ADC, wykonaj następujące sekcje:

Tworzenie zasad uwierzytelniania

Aby utworzyć zasady uwierzytelniania:

1. Przejdź do Zabezpieczenia>AAA — ruch aplikacji>Polityki>Uwierzytelnianie>Polityki uwierzytelniania.

2. Wybierz pozycję Dodaj.

3. W okienku Tworzenie zasad uwierzytelniania wprowadź lub wybierz następujące wartości:

   • Nazwa: wprowadź nazwę zasad uwierzytelniania.
   • Akcja: wprowadź saml, a następnie wybierz pozycję Dodaj.
   • Wyrażenie: wprowadź true.

   

4. Wybierz pozycję Utwórz.

Tworzenie serwera SAML uwierzytelniania

Aby utworzyć serwer SAML uwierzytelniania, przejdź do okienka Tworzenie serwera SAML uwierzytelniania , a następnie wykonaj następujące kroki:

1. W polu Nazwa wprowadź nazwę serwera SAML uwierzytelniania.

2. W obszarze Eksportuj metadane SAML:

   1. Zaznacz pole wyboru Importuj metadane .

   2. Wprowadź adres URL metadanych federacji z interfejsu użytkownika SAML platformy Azure, który wcześniej skopiowałeś.

3. W polu Nazwa wystawcy wprowadź odpowiedni adres URL.

4. Wybierz pozycję Utwórz.

Tworzenie serwera wirtualnego uwierzytelniania

Aby utworzyć serwer wirtualny uwierzytelniania:

1. Przejdź do Zabezpieczenia>AAA - Ruch aplikacji>Zasady>Uwierzytelnianie>Serwery wirtualne uwierzytelniania.

2. Wybierz pozycję Dodaj, a następnie wykonaj następujące kroki:

   1. W polu Nazwa wprowadź nazwę serwera wirtualnego uwierzytelniania.

   2. Zaznacz pole wyboru Nieadresowalne.

   3. W polu Protokół wybierz pozycję SSL.

   4. Wybierz przycisk OK.

   

Konfigurowanie serwera wirtualnego uwierzytelniania do używania identyfikatora Entra firmy Microsoft

Zmodyfikuj dwie sekcje dla serwera wirtualnego uwierzytelniania:

1. W okienku Zaawansowane zasady uwierzytelniania wybierz pozycję Brak zasad uwierzytelniania.

   

2. W okienku Powiązanie zasad wybierz zasady uwierzytelniania, a następnie wybierz pozycję Wiązanie.

   

3. W okienku Serwery wirtualne oparte na formularzach wybierz pozycję Brak równoważenia obciążenia serwera wirtualnego.

   

4. W polu Uwierzytelnianie FQDN wprowadź wymaganą w pełni kwalifikowaną nazwę domeny (FQDN).

5. Wybierz serwer wirtualny równoważenia obciążenia, który chcesz chronić za pomocą uwierzytelniania firmy Microsoft Entra.

6. Wybierz pozycję Powiąż.

   

   Uwaga

   Pamiętaj, aby wybrać pozycję Gotowe w okienku Uwierzytelnianie Konfiguracja serwera wirtualnego .

7. Aby zweryfikować zmiany, w przeglądarce przejdź do adresu URL aplikacji. Powinna zostać wyświetlona strona logowania dzierżawcy zamiast wcześniejszego dostępu bez uwierzytelnienia.

   

Konfigurowanie SSO Citrix ADC do uwierzytelniania opartego na nagłówku

Konfigurowanie usługi Citrix ADC

Aby skonfigurować usługę Citrix ADC na potrzeby uwierzytelniania opartego na nagłówku, wykonaj poniższe sekcje.

Utwórz akcję przepisywania

1. Przejdź do AppExpert>Przepisz>Przepisz Akcje.

   

2. Wybierz pozycję Dodaj, a następnie wykonaj następujące kroki:

   1. W polu Nazwa wprowadź nazwę akcji ponownego zapisywania.

   2. W polu Typ wprowadź INSERT_HTTP_HEADER.

   3. W polu Nazwa nagłówka wprowadź nazwę nagłówka (w tym przykładzie używamy identyfikatora SecretID).

   4. W polu Wyrażenie wprowadź aaa.USER.ATTRIBUTE("mySecretID"), gdzie mySecretID to atrybut Microsoft Entra SAML, który został wysłany do Citrix ADC.

   5. Wybierz pozycję Utwórz.

   

Stwórz politykę przepisywania

1. Przejdź do AppExpert>Rewrite>zasady przepisania.

   

2. Wybierz pozycję Dodaj, a następnie wykonaj następujące kroki:

   1. W polu Nazwa wprowadź nazwę zasad ponownego zapisywania.

   2. W polu Akcja wybierz akcję ponownego zapisywania utworzoną w poprzedniej sekcji.

   3. W polu Wyrażenie wprowadź true.

   4. Wybierz pozycję Utwórz.

   

Wiązanie zasad ponownego zapisywania z serwerem wirtualnym

Aby powiązać zasady ponownego zapisywania z serwerem wirtualnym przy użyciu graficznego interfejsu użytkownika:

1. Przejdź do Zarządzania ruchem>Równoważenia obciążenia>Serwery wirtualne.

2. Na liście serwerów wirtualnych wybierz serwer wirtualny, do którego chcesz powiązać zasady ponownego zapisywania, a następnie wybierz pozycję Otwórz.

3. W okienku Równoważenie obciążenia Serwer wirtualny w obszarze Ustawienia zaawansowane wybierz pozycję Zasady. Na liście są wyświetlane wszystkie zasady skonfigurowane dla wystąpienia NetScaler.

4. Zaznacz pole wyboru obok nazwy zasad, które chcesz powiązać z tym serwerem wirtualnym.

   

5. W oknie dialogowym Wybieranie typu :

   1. W obszarze Wybierz zasady wybierz pozycję Ruch.

   2. W obszarze Wybierz typ wybierz pozycję Żądanie.

   

6. Wybierz przycisk OK. Komunikat na pasku stanu wskazuje, że zasady zostały pomyślnie skonfigurowane.

Modyfikowanie serwera SAML w celu wyodrębnienia atrybutów z oświadczenia

1. Przejdź do Zabezpieczenia>AAA - Ruch aplikacji>Zasady>Uwierzytelnianie>Zaawansowane zasady>Działania>Serwery.

2. Wybierz odpowiedni serwer SAML uwierzytelniania dla aplikacji.

   

3. W obszarze Atrybuty wprowadź atrybuty JĘZYKA SAML, które chcesz wyodrębnić, oddzielone przecinkami. W naszym przykładzie wprowadzamy atrybut mySecretID.

   

4. Aby zweryfikować dostęp, w adresie URL w przeglądarce wyszukaj atrybut SAML w obszarze Kolekcja nagłówków.

   

Tworzenie użytkownika testowego aplikacji Citrix ADC

W tej sekcji w aplikacji Citrix ADC jest tworzony użytkownik o nazwie B.Simon. Aplikacja Citrix ADC obsługuje aprowizację użytkowników w czasie rzeczywistym, która jest domyślnie włączona. W tej sekcji nie musisz podejmować żadnych działań. Jeśli użytkownik jeszcze nie istnieje w aplikacji Citrix ADC, zostanie utworzony po uwierzytelnieniu.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację jednokrotnego logowania Microsoft Entra przy użyciu następujących opcji.

• Wybierz pozycję Przetestuj tę aplikację. Ta opcja przekierowuje do adresu URL logowania citrix ADC, pod którym można zainicjować przepływ logowania.

• Przejdź bezpośrednio do adresu URL logowania Citrix ADC i zainicjuj stamtąd proces logowania.

• Możesz użyć usługi Microsoft Moje aplikacje. Po wybraniu kafelka Citrix ADC w obszarze Moje aplikacje ta opcja przekierowuje do adresu URL logowania citrix ADC. Aby uzyskać więcej informacji na temat moich aplikacji, zobacz Introduction to the My Apps( Wprowadzenie do aplikacji My Apps).

Powiązana zawartość

Po skonfigurowaniu usługi Citrix ADC możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.