Partilhar via

Configurar o Citrix ADC SAML Connector para Microsoft Entra ID (autenticação baseada em Kerberos) para logon único com Microsoft Entra ID

Neste artigo, você aprenderá a integrar o Citrix ADC SAML Connector for Microsoft Entra ID com o Microsoft Entra ID. Ao integrar o Citrix ADC SAML Connector for Microsoft Entra ID com o Microsoft Entra ID, você pode:

  • Controle quem tem acesso ao Citrix ADC SAML Connector através do Microsoft Entra ID.
  • Permita que seus usuários entrem automaticamente no Citrix ADC SAML Connector for Microsoft Entra ID com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

  • Citrix ADC SAML Connector para assinatura com logon único (SSO) habilitado no Microsoft Entra.

Descrição do cenário

Neste artigo, você configura e testa o Microsoft Entra SSO em um ambiente de teste. O artigo inclui estes cenários:

Para integrar o Citrix ADC SAML Connector for Microsoft Entra ID com o Microsoft Entra ID, primeiro adicione o Citrix ADC SAML Connector for Microsoft Entra ID à sua lista de aplicativos SaaS gerenciados da galeria:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Entra ID>Enterprise apps>Novo aplicativo.

  3. Na seção Adicionar da galeria, digite Citrix ADC SAML Connector for Microsoft Entra ID na caixa de pesquisa.

  4. Nos resultados, selecione Citrix ADC SAML Connector for Microsoft Entra ID e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente de configuração, pode adicionar uma aplicação ao seu tenant, adicionar utilizadores/grupos à aplicação, atribuir funções e também configurar o SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para o Conector SAML do Citrix ADC para Microsoft Entra ID

Configure e teste o Microsoft Entra SSO com o Citrix ADC SAML Connector para Microsoft Entra ID usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Citrix ADC SAML Connector for Microsoft Entra ID.

Para configurar e testar o Microsoft Entra SSO com o Citrix ADC SAML Connector para Microsoft Entra ID, execute as seguintes etapas:

  1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.

    1. Crie um usuário de teste do Microsoft Entra - para testar o Microsoft Entra SSO com B.Simon.

    2. Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o Microsoft Entra SSO.

  2. Configurar o Conector SAML do Citrix ADC para Microsoft Entra SSO - para configurar as definições de SSO do lado da aplicação.

    1. Criar utilizador de teste do Citrix ADC SAML Connector para Microsoft Entra - para ter um correspondente de B.Simon no Citrix ADC SAML Connector para Microsoft Entra ID vinculado à representação do utilizador do Microsoft Entra.

  3. Teste SSO - para verificar se a configuração funciona.

Configurar Microsoft Entra SSO

Para habilitar o Microsoft Entra SSO usando o portal do Azure, conclua estas etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Entra ID>Enterprise apps>Citrix ADC SAML Connector for Microsoft Entra ID application integration pane, em Manage, selecione Single sign-on.

  3. No painel Selecionar um método de logon único, selecione SAML.

  4. No painel Configurar Logon Único com SAML, selecione o ícone de lápis para Configuração Básica de SAML para editar as configurações.

    A captura de tela mostra como editar a Configuração Básica de SAML.

  5. Na seção Configuração Básica do SAML, para configurar o aplicativo no modo iniciado pelo IDP, execute as seguintes etapas:

    1. Na caixa de texto Identificador , insira uma URL com o seguinte padrão: https://<YOUR_FQDN>

    2. Na caixa de texto URL de resposta, insira uma URL que tenha o seguinte padrão:http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

  6. Para configurar a aplicação no modo iniciado pelo SP, selecione Configurar URLs adicionais e execute a seguinte etapa:

    • Na caixa de texto URL de início de sessão, introduza um URL com o seguinte padrão: https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

    Nota

    • Os URLs usados nesta seção não são valores reais. Atualize esses valores com os valores reais para Identificador, URL de resposta e URL de entrada. Entre em contato com a equipa de suporte ao cliente do Citrix ADC SAML Connector para Microsoft Entra para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica de SAML.
    • Para configurar o SSO, as URLs devem estar acessíveis a partir de sites públicos. Você deve habilitar o firewall ou outras configurações de segurança no Citrix ADC SAML Connector for Microsoft Entra ID side para permitir que o Microsoft Entra ID publique o token na URL configurada.

  7. No painel Configurar Logon Único com SAML, na secção Certificado de Assinatura de SAML, copie a URL da URL de Metadados de Federação de Aplicativos e guarde-a no Bloco de Notas.

    A captura de tela mostra o link de download do certificado.

  8. Na seção Configurar o Citrix ADC SAML Connector para Microsoft Entra ID , copie as URLs relevantes com base em suas necessidades.

    A captura de tela mostra como copiar URLs de configuração.

Criar e atribuir usuário de teste do Microsoft Entra

Siga as diretrizes no início rápido de criar e atribuir uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Configurar o Citrix ADC SAML Connector para Microsoft Entra SSO

Selecione um link para as etapas para o tipo de autenticação que você deseja configurar:

Publicar o servidor Web

Para criar um servidor virtual:

  1. Selecione Gestão de Tráfego>Balanceamento de Carga>Serviços.

  2. Selecione Adicionar.

    Captura de tela da configuração do Citrix ADC SAML Connector for Microsoft Entra - painel de serviço.

  3. Defina os seguintes valores para o servidor Web que está executando os aplicativos:

    • Nome do Serviço
    • IP do servidor/ Servidor existente
    • Protocolo
    • Porto

Configurar o balanceador de carga

Para configurar o balanceador de carga:

  1. Vá para Gestão de Tráfego>Balanceamento de Carga>Servidores Virtuais.

  2. Selecione Adicionar.

  3. Defina os seguintes valores conforme descrito na captura de tela a seguir:

    • Nome
    • Protocolo
    • Endereço IP
    • Porto

  4. Selecione OK.

    Captura de tela do Citrix ADC SAML Connector para configuração do Microsoft Entra - painel Configurações básicas.

Vincular o servidor virtual

Para vincular o balanceador de carga ao servidor virtual:

  1. No painel Serviços e Grupos de Serviços, selecione Sem Balanceamento de Carga na Vinculação de Serviço do Servidor Virtual.

    Captura de ecrã da configuração do Citrix ADC SAML Connector for Microsoft Entra - painel Servidor Virtual de Balanceamento de Carga - Encadeamento de Serviço.

  2. Verifique as configurações conforme mostrado na captura de tela a seguir e selecione Fechar.

    Captura de tela da configuração do Citrix ADC SAML Connector for Microsoft Entra - Verifique a associação de serviços do servidor virtual.

Vincular o certificado

Para publicar esse serviço como TLS, vincule o certificado do servidor e teste seu aplicativo:

  1. Em Certificado, selecione Sem Certificado de Servidor.

    Captura de ecrã da configuração do Citrix ADC SAML Connector para Microsoft Entra - painel Certificado de Servidor.

  2. Verifique as configurações conforme mostrado na captura de tela a seguir e selecione Fechar.

    Captura de tela da configuração do Citrix ADC SAML Connector for Microsoft Entra - Verifique o certificado.

Conector SAML do Citrix ADC para o perfil SAML do Microsoft Entra

Para configurar o Citrix ADC SAML Connector para o perfil SAML do Microsoft Entra, conclua as seções a seguir.

Criar uma política de autenticação

Para criar uma política de autenticação:

  1. Vá para Segurança>AAA – Tráfego de Aplicações>Políticas>Autenticação>Políticas de Autenticação.

  2. Selecione Adicionar.

  3. No painel Criar Política de Autenticação, insira ou selecione os seguintes valores:

    • Nome: insira um nome para sua política de autenticação.
    • Ação: Digite SAML e selecione Adicionar.
    • Expressão: Digite true.

    Captura de tela da configuração do Citrix ADC SAML Connector for Microsoft Entra - painel Criar Política de Autenticação.

  4. Selecione Criar.

Criar um servidor SAML de autenticação

Para criar um servidor SAML de autenticação, vá para o painel Criar Servidor SAML de Autenticação e conclua as seguintes etapas:

  1. Em Nome, insira um nome para o servidor SAML de autenticação.

  2. Em Exportar Metadados SAML:

    1. Selecione a caixa Importar Metadados.

    2. Insira a URL de metadados de federação da interface do usuário SAML do Azure que você copiou anteriormente.

  3. Em Nome do emissor, insira o URL relevante.

  4. Selecione Criar.

Captura de ecrã da configuração do conector Citrix ADC SAML para Microsoft Entra - Criar Servidor SAML de Autenticação.

Criar um servidor virtual de autenticação

Para criar um servidor virtual de autenticação:

  1. Vá para Segurança>AAA - Políticas de Tráfego de Aplicações>Autenticação>Servidores Virtuais de Autenticação.

  2. Selecione Adicionar e conclua as seguintes etapas:

    1. Em Nome, insira um nome para o servidor virtual de autenticação.

    2. Selecione a caixa de seleção Não endereçável.

    3. Em Protocolo, selecione SSL.

    4. Selecione OK.

  3. Selecione Continuar.

Configurar o servidor virtual de autenticação para usar o Microsoft Entra ID

Modifique duas seções para o servidor virtual de autenticação:

  1. No painel Políticas de Autenticação Avançadas, selecione Sem Política de Autenticação.

    Captura de tela da configuração do Citrix ADC SAML Connector for Microsoft Entra - painel Políticas de Autenticação Avançadas.

  2. No painel Vinculação de Política, selecione a política de autenticação e, em seguida, selecione Vincular.

    Captura de tela da configuração do Citrix ADC SAML Connector for Microsoft Entra - Painel de vinculação de políticas

  3. No painel Servidores Virtuais Baseados em Formulário, selecione Servidor Virtual Sem Balanceamento de Carga.

    Captura de ecrã da configuração do Citrix ADC SAML Connector para Microsoft Entra - painel de Servidores Virtuais Baseados em Formulário.

  4. Para FQDN de autenticação, insira um nome de domínio totalmente qualificado (obrigatório).

  5. Selecione o servidor virtual de balanceamento de carga que você deseja proteger com a autenticação do Microsoft Entra.

  6. Selecione Vincular.

    Captura de tela da configuração do Citrix ADC SAML Connector for Microsoft Entra - painel Load Balancing Virtual Server Binding (Vinculação do servidor virtual de balanceamento de carga).

    Nota

    Certifique-se de selecionar Concluído no painel Configuração do Servidor Virtual de Autenticação.

  7. Para verificar as alterações, num browser, aceda ao URL da aplicação. Deverá ver a página de início de sessão do inquilino em vez do acesso não autenticado que você teria visto anteriormente.

    Captura de tela da configuração do Citrix ADC SAML Connector for Microsoft Entra - Uma página de início de sessão em um navegador de Internet.

Configurar o Citrix ADC SAML Connector para Microsoft Entra SSO para autenticação baseada em Kerberos

Criar uma conta de delegação Kerberos para o Conector SAML do Citrix ADC para o Microsoft Entra ID

  1. Crie uma conta de usuário (neste exemplo, usamos AppDelegation).

    Captura de tela da configuração do Citrix ADC SAML Connector for Microsoft Entra - painel Propriedades.

  2. Configure um SPN HOST para esta conta.

    Exemplo: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

    Neste exemplo:

    • IDENTT.WORK é o FQDN do domínio.
    • identt é o nome NetBIOS do domínio.
    • appdelegation é o nome da conta de usuário da delegação.

  3. Configure a delegação para o servidor Web conforme mostrado na captura de tela a seguir:

    Captura de tela do Citrix ADC SAML Connector para configuração do Microsoft Entra - Delegação no painel Propriedades.

    Nota

    No exemplo da captura de tela, o nome do servidor Web interno que executa o site de Autenticação Integrada do Windows (WIA) é CWEB2.

Citrix ADC SAML Connector para Microsoft Entra AAA KCD (contas de delegação Kerberos)

Para configurar o Citrix ADC SAML Connector para a conta do Microsoft Entra AAA KCD:

  1. Vá para Citrix Gateway>Contas AAA KCD (Kerberos Constrained Delegation).

  2. Selecione Adicionar e, em seguida, insira ou selecione os seguintes valores:

    • Nome: insira um nome para a conta KCD.

    • Realm: insira o domínio e a extensão em maiúsculas.

    • Serviço SPN: http/<host/fqdn>@<DOMAIN.COM>.

      Nota

      @DOMAIN.COM é obrigatório e deve ser maiúsculo. Exemplo: http/cweb2@IDENTT.WORK.

    • Usuário delegado: insira o nome de usuário delegado.

    • Marque a caixa de seleção Senha para Usuário Delegado e digite e confirme uma senha.

  3. Selecione OK.

Política de tráfego e perfil de tráfego da Citrix

Para configurar a política de tráfego e o perfil de tráfego da Citrix:

  1. Vá para Segurança>AAA - Aplicativos de Tráfego>Políticas>Políticas de Tráfego, Perfis e Perfis SSO de Formulário.

  2. Selecione Perfis de tráfego.

  3. Selecione Adicionar.

  4. Para configurar um perfil de tráfego, insira ou selecione os seguintes valores.

    • Nome: insira um nome para o perfil de tráfego.

    • Login único: Selecione ON.

    • Conta KCD: Selecione a conta KCD que você criou na seção anterior.

  5. Selecione OK.

    Captura de ecrã da configuração do Citrix ADC SAML Connector for Microsoft Entra - painel Configurar Perfil de Tráfego.

  6. Selecione Política de Tráfego.

  7. Selecione Adicionar.

  8. Para configurar uma política de tráfego, insira ou selecione os seguintes valores:

    • Nome: insira um nome para a política de tráfego.

    • Perfil: Selecione o perfil de tráfego que você criou na seção anterior.

    • Expressão: Digite true.

  9. Selecione OK.

    Captura de ecrã da configuração do Citrix ADC SAML Connector para Microsoft Entra - Painel de Configuração da Política de Tráfego

Vincular uma política de tráfego a um servidor virtual no Citrix

Para vincular uma política de tráfego a um servidor virtual usando a GUI:

  1. Vá para Gestão de Tráfego>Balanceamento de Carga>Servidores Virtuais.

  2. Na lista de servidores virtuais, selecione o servidor virtual ao qual você deseja vincular a política de regravação e selecione Abrir.

  3. No painel Servidor Virtual de Balanceamento de Carga, em Configurações Avançadas, selecione Políticas. Todas as políticas configuradas para sua instância do NetScaler aparecem na lista.

    Captura de ecrã da configuração do Citrix ADC SAML Connector para Microsoft Entra - painel Servidor Virtual de Balanceamento de Carga.

    Captura de tela da configuração do Conector SAML do Citrix ADC para Microsoft Entra - caixa de diálogo Políticas.

  4. Marque a caixa de seleção ao lado do nome da política que você deseja vincular a esse servidor virtual.

    Captura de tela da configuração do Citrix ADC SAML Connector for Microsoft Entra - Painel de vinculação da política de tráfego do servidor virtual de balanceamento de carga.

  5. Na caixa de diálogo Escolher tipo:

    1. Em Choose Policy, selecione Traffic.

    2. Em Choose Type, selecione Request.

    Captura de tela da configuração do Citrix ADC SAML Connector for Microsoft Entra - Painel Escolha Tipo.

  6. Quando a política estiver vinculada, selecione Concluído.

    Captura de ecrã da configuração do Citrix ADC SAML Connector for Microsoft Entra - painel de Políticas.

  7. Teste a vinculação usando o site da WIA.

    Captura de tela da configuração do Citrix ADC SAML Connector for Microsoft Entra - Uma página de teste em um navegador da Web

Criar conector SAML Citrix ADC para usuário de teste do Microsoft Entra

Nesta seção, um usuário chamado B.Simon é criado no Citrix ADC SAML Connector para Microsoft Entra ID. O Citrix ADC SAML Connector for Microsoft Entra ID suporta provisionamento de utilizadores just-in-time, que é ativado por padrão. Não há nenhuma ação a ser tomada nesta seção. Se um usuário ainda não existir no Citrix ADC SAML Connector for Microsoft Entra ID, um novo será criado após a autenticação.

Nota

Se necessitares criar um utilizador manualmente, contacta a equipa de suporte do Citrix ADC SAML Connector for Microsoft Entra.

SSO de teste

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

  • Selecione Testar este aplicativo, esta opção redireciona para o Citrix ADC SAML Connector for Microsoft Entra Sign-on URL onde você pode iniciar o fluxo de login.

  • Vá diretamente para o Citrix ADC SAML Connector for Microsoft Entra Sign-on URL e inicie o fluxo de login a partir daí.

  • Você pode usar o Microsoft My Apps. Quando seleciona o bloco Citrix ADC SAML Connector para Microsoft Entra ID em As Minhas Aplicações, esta opção redireciona para a URL de início de sessão do Citrix ADC SAML Connector para Microsoft Entra. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Conteúdo relacionado

Depois de configurar o Citrix ADC SAML Connector para Microsoft Entra ID, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.

  • Last updated on