Интеграция единой системы входа Microsoft Entra с Citrix ADC SAML Connector для Microsoft Entra ID (аутентификация на базе Kerberos)

В этой статье вы узнаете, как интегрировать соединитель Citrix ADC SAML для Microsoft Entra ID с Microsoft Entra ID. Когда вы интегрируете Citrix ADC SAML Connector для Microsoft Entra ID с Microsoft Entra ID, вы можете:

• Контролируйте, кто имеет доступ к Citrix ADC SAML Connector в Microsoft Entra ID.
• Включите автоматический вход пользователей в Citrix ADC SAML Connector для Microsoft Entra ID с помощью учетных записей Microsoft Entra.
• Управляйте учетными записями в одном центральном месте.

Требования

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете бесплатно создать учетную запись.
• Одна из следующих ролей:
  • Администратор приложений
  • Администратор облачных приложений
  • Владелец приложения.

• Включенная подписка Citrix ADC SAML Connector для Microsoft Entra с поддержкой единого входа (SSO).

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде. В этой статье приведены следующие сценарии:

• Единый вход, инициированный поставщиком услуг (SP-initiated SSO) для Citrix ADC SAML Connector for Microsoft Entra ID.

• Подготовка по требованию пользователей для SAML-коннектора Citrix ADC для Microsoft Entra ID.

• Проверка подлинности на основе Kerberos для соединителя Citrix ADC SAML для идентификатора Microsoft Entra.

• Аутентификация на основе заголовков для соединителя Citrix ADC SAML для Microsoft Entra ID.

Добавить Citrix ADC SAML Connector для Microsoft Entra ID из галереи

Чтобы интегрировать Citrix ADC SAML Connector для Microsoft Entra ID с Microsoft Entra ID, сначала добавьте Citrix ADC SAML Connector для Microsoft Entra ID в список управляемых приложений SaaS из галереи.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к Entra ID>Корпоративные приложения>Новое приложение.

3. В разделе "Добавление из галереи" в поле поиска введите "Citrix ADC SAML Connector для Microsoft Entra ID".

4. В результатах выберите Citrix ADC SAML Connector for Microsoft Entra ID, а затем добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в вашего арендатора.

Кроме того, можно использовать мастер настройки корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа (SSO) Microsoft Entra для SAML-коннектора Citrix ADC для Microsoft Entra ID

Настройте и протестируйте Единый Вход Microsoft Entra с Citrix ADC SAML Connector для Microsoft Entra ID, используя тестового пользователя B.Simon. Для работы SSO необходимо установить связь между учетной записью Microsoft Entra и сопоставленным пользователем в Citrix ADC SAML Connector для Microsoft Entra ID.

Чтобы настроить и протестировать Microsoft Entra SSO с Citrix ADC SAML Connector для Microsoft Entra ID, выполните следующие шаги.

1. Настройте единый вход Microsoft Entra , чтобы пользователи могли использовать эту функцию.

   1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra в B.Simon.

   2. Назначьте тестового пользователя Microsoft Entra, чтобы B.Simon мог использовать единый вход Microsoft Entra.

2. Настройте соединитель Citrix ADC SAML для единого входа Microsoft Entra , чтобы настроить параметры единого входа на стороне приложения.

   1. Создание тестового пользователя Citrix ADC SAML Connector для Microsoft Entra необходимо для того, чтобы в Citrix ADC SAML Connector для Microsoft Entra ID был соответствующий пользователь B.Simon, связанный с аккаунтом Microsoft Entra пользователя.

3. Тестирование единого входа - чтобы убедиться, что конфигурация работает.

Настройте SSO в Microsoft Entra

Чтобы включить единую систему входа Microsoft Entra с помощью портала Azure, выполните следующие действия:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к Entra ID>Enterprise apps> в области интеграции приложения Citrix ADC SAML Connector для Microsoft Entra ID, в разделе Управление выберите Единый вход.

3. На панели методов выбора единого входа выберите SAML.

4. На панели «Настройка Single Sign-On с помощью SAML» выберите значок карандаша рядом с базовой конфигурацией SAML, чтобы изменить настройки.

   

5. В разделе "Базовая конфигурация SAML" для настройки приложения в режиме, инициированном поставщиком удостоверений, выполните следующие действия.

   1. В текстовом поле "Идентификатор" введите URL-адрес со следующим шаблоном: https://<YOUR_FQDN>

   2. В текстовом поле "URL-адрес ответа" введите URL-адрес со следующим шаблоном: http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

6. Чтобы настроить приложение в режиме, инициированном поставщиком служб , выберите "Задать дополнительные URL-адреса " и выполните следующий шаг:

   • В текстовом поле URL-адреса входа введите URL-адрес, имеющий следующий шаблон: https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

   Примечание.

   • URL-адреса, используемые в этом разделе, не являются реальными значениями. Замените их фактическими значениями для идентификатора, URL-адреса ответа и URL-адреса входа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов Citrix ADC SAML Connector для Microsoft Entra . Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML ".
   • Чтобы настроить SSO, URL-адреса должны быть доступны с общедоступных веб-сайтов. Необходимо включить брандмауэр или другие параметры безопасности на стороне соединителя Citrix ADC SAML для Microsoft Entra ID, чтобы Microsoft Entra ID мог отправить токен по указанному URL-адресу.

7. На панели "Настройка Single Sign-On с помощью SAML" в разделе "Сертификат подписи SAML" для URL-адреса метаданных федерации приложений скопируйте URL-адрес и сохраните его в редакторе Блокнот.

   

8. В разделе Настройка соединителя Citrix ADC SAML для идентификатора Microsoft Entra ID, скопируйте соответствующие URL-адреса в соответствии с вашими требованиями.

   

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в руководстве быстрого старта по созданию и назначению учетной записи пользователя, чтобы создать тестовую учетную запись с именем B.Simon.

Настройте коннектор Citrix ADC SAML для единого входа Microsoft Entra

Выберите ссылку, чтобы увидеть инструкции по настройке желаемого типа проверки подлинности.

• Настройте соединитель Citrix ADC SAML для Microsoft Entra SSO для аутентификации на основе Kerberos.

• Настройка коннектора Citrix ADC SAML для единого входа Microsoft Entra для аутентификации, основанной на заголовках

Разместить веб-сервер

Чтобы создать виртуальный сервер, сделайте следующее:

1. Выберите управление трафиком>балансировку нагрузки>службы.

2. Нажмите кнопку "Добавить".

   

3. Задайте следующие значения для веб-сервера, на котором выполняются приложения:

   • Имя службы
   • IP-адрес сервера или существующий сервер
   • Протокол
   • Порт

Настройка подсистемы балансировки нагрузки.

Чтобы настроить подсистему балансировки нагрузки, сделайте следующее.

1. Перейдите к управлению трафиком>балансировке нагрузки>виртуальным серверам.

2. Нажмите кнопку "Добавить".

3. Задайте следующие значения, как показано на следующем снимке экрана:

   • Имя
   • Протокол
   • IP-адрес
   • Порт

4. Нажмите кнопку "ОК".

   

Привяжите виртуальный сервер

Чтобы привязать подсистему балансировки нагрузки к виртуальному серверу, сделайте следующее:

1. На панели "Службы и группы служб " выберите "Нет привязки службы виртуального сервера балансировки нагрузки".

   

2. Проверьте параметры, как показано на следующем снимке экрана, а затем нажмите кнопку "Закрыть".

   

Привяжите сертификат

Чтобы опубликовать эту службу как службу TLS, привяжите сертификат сервера, а затем протестируйте приложение.

1. В разделе "Сертификат" выберите "Нет сертификата сервера".

   

2. Проверьте параметры, как показано на следующем снимке экрана, а затем нажмите кнопку "Закрыть".

   

Citrix ADC коннектор SAML для профиля Microsoft Entra SAML

Чтобы настроить соединитель Citrix ADC SAML для профиля Microsoft Entra SAML, выполните действия в следующих разделах.

Создание политики проверки подлинности

Чтобы создать политику проверки подлинности, сделайте следующее:

1. Перейдите к безопасности>AAA — поток трафика приложения>политики>проверка подлинности>Политики проверки подлинности.

2. Нажмите кнопку "Добавить".

3. На панели "Создание политики проверки подлинности " введите или выберите следующие значения:

   • Имя. Введите имя политики проверки подлинности.
   • Действие: введите SAML и нажмите кнопку "Добавить".
   • Выражение: введите true.

   

4. Нажмите кнопку "Создать".

Создание сервера SAML для проверки подлинности

Чтобы создать сервер SAML проверки подлинности, перейдите на панель "Создание сервера SAML проверки подлинности " и выполните следующие действия:

1. В поле "Имя" введите имя сервера SAML проверки подлинности.

2. В разделе "Экспорт метаданных SAML":

   1. Установите флажок импорта метаданных .

   2. Введите URL-адрес метаданных федерации из пользовательского интерфейса SAML Azure, скопированного ранее.

3. В поле "Имя издателя" введите соответствующий URL-адрес.

4. Нажмите кнопку "Создать".

Создание виртуального сервера проверки подлинности

Чтобы создать виртуальный сервер проверки подлинности, сделайте следующее:

1. Перейдите к безопасности>AAA — трафик приложений>политикам>проверке подлинности>виртуальные серверы проверки подлинности.

2. Нажмите кнопку "Добавить", а затем выполните следующие действия:

   1. В поле "Имя" введите имя виртуального сервера проверки подлинности.

   2. Установите флажок "Не адресируемый ".

   3. Для протокола выберите SSL.

   4. Нажмите кнопку "ОК".

3. Нажмите кнопку "Продолжить".

Настройка виртуального сервера проверки подлинности для использования идентификатора Microsoft Entra

Измените два раздела для виртуального сервера проверки подлинности.

1. На панели "Дополнительные политики проверки подлинности" выберите "Нет политики проверки подлинности".

   

2. На панели Policy Binding выберите политику проверки подлинности и затем выберите Привязка.

   

3. На панели "Виртуальные серверы на основе форм" выберите "Нет балансировки нагрузки" виртуального сервера.

   

4. Для FQDN аутентификации введите полное доменное имя (обязательно).

5. Выберите виртуальный сервер балансировки нагрузки, который требуется защитить с помощью проверки подлинности Microsoft Entra.

6. Выберите Привязка.

   

   Примечание.

   Обязательно выберите "Готово " на панели конфигурации виртуального сервера проверки подлинности .

7. Чтобы проверить изменения, в браузере перейдите по URL-адресу приложения. Должна отобразиться страница входа арендатора вместо неавторизованного доступа, который открывался ранее.

   

Настройка коннектора Citrix ADC SAML для Единого входа Microsoft Entra для проверки подлинности на основе Kerberos

Создайте учетную запись делегирования Kerberos для SAML-коннектора Citrix ADC для Microsoft Entra ID

1. Создайте учетную запись пользователя (в этом примере мы используем AppDelegation).

   

2. Настройте ИЗУ узла для этой учетной записи.

   Пример: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

   В этом примере:

   • IDENTT.WORK: полное доменное имя (FQDN).
   • identt является NetBIOS-именем домена.
   • appdelegation: имя учетной записи пользователя для делегирования.

3. Настройте делегирование для веб-сервера, как показано на следующем снимке экрана:

   

   Примечание.

   На снимке экрана показано имя внутреннего веб-сервера, на котором запущен сайт встроенной проверки подлинности Windows (WIA ) — CWEB2.

Citrix ADC SAML Connector для Microsoft Entra AAA KCD (учетные записи делегирования Kerberos)

Чтобы настроить коннектор Citrix ADC SAML для аккаунта Microsoft Entra AAA KCD:

1. Перейдите к Citrix Gateway>учетным записям AAA KCD (ограниченное делегирование Kerberos).

2. Нажмите кнопку "Добавить", а затем введите или выберите следующие значения:

   • Имя: введите имя учетной записи KCD.

   • Область: Введите домен и расширение в верхнем регистре.

   • SPN службы: http/<host/fqdn>@<DOMAIN.COM>.

     Примечание.

     @DOMAIN.COM требуется и должно быть написано заглавными буквами. Пример: http/[email protected].

   • Делегированный пользователь: введите делегированное имя пользователя.

   • Установите флажок "Пароль для делегированного пользователя" и введите и подтвердите пароль.

3. Нажмите кнопку "ОК".

Политика и профиль трафика Citrix

Чтобы настроить политику трафика Citrix и профиль трафика, сделайте следующее:

1. Перейдите в безопасность>AAA — управление трафиком приложений>политики>политики трафика, профили и профили единого входа (SSO).

2. Выберите профили трафика.

3. Нажмите кнопку "Добавить".

4. Чтобы настроить профиль трафика, введите или выберите следующие значения.

   • Имя: введите имя профиля трафика.

   • Единый вход. Выберите ON.

   • Учетная запись KCD: выберите учетную запись KCD, созданную в предыдущем разделе.

5. Нажмите кнопку "ОК".

   

6. Выберите политику трафика.

7. Нажмите кнопку "Добавить".

8. Чтобы настроить политику трафика, введите или выберите следующие значения:

   • Имя. Введите имя политики трафика.

   • Профиль. Выберите профиль трафика, созданный в предыдущем разделе.

   • Выражение: введите true.

9. Нажмите кнопку "ОК".

   

Привязка политики трафика к виртуальному серверу в Citrix

Чтобы привязать политику трафика к виртуальному серверу с помощью графического пользовательского интерфейса, сделайте следующее:

1. Перейдите к управлению трафиком>балансировке нагрузки>виртуальным серверам.

2. В списке виртуальных серверов выберите виртуальный сервер, к которому требуется привязать политику перезаписи, а затем нажмите кнопку "Открыть".

3. На панели "Балансировка нагрузки виртуального сервера " в разделе "Дополнительные параметры" выберите "Политики". Все политики, настроенные для вашего экземпляра NetScaler, отображаются в списке.

   

   

4. Установите флажок рядом с именем политики, которую вы хотите связать с этим виртуальным сервером.

   

5. В диалоговом окне Выбор типа:

   1. Для выбора политики выберите трафик.

   2. Для выбора типа выберите "Запрос".

   

6. Когда политика привязана, нажмите кнопку "Готово".

   

7. Протестируйте привязку с помощью веб-сайта WIA.

   

Создание соединителя Citrix ADC SAML для тестового пользователя Microsoft Entra

В этом разделе в Citrix ADC SAML Connector for Microsoft Entra ID создается пользователь по имени B.Simon. Citrix ADC SAML Connector для Microsoft Entra ID поддерживает создание учетных записей пользователей по требованию, что включено по умолчанию. В этом разделе вам не нужно предпринимать никаких действий. Если пользователь еще не существует в Citrix ADC SAML Connector for Microsoft Entra ID, он создается после проверки подлинности.

Тестирование единого входа

В этом разделе вы проверяете конфигурацию единого входа Microsoft Entra с использованием следующих параметров.

• Выберите "Протестировать это приложение", этот параметр ведет на URL-адрес соединителя Citrix ADC SAML для входа в Microsoft Entra, где вы можете начать вход.

• Перейдите напрямую по URL-адресу для входа в Citrix ADC SAML Connector для Microsoft Entra и инициируйте процесс авторизации оттуда.

• Вы можете использовать портал "Мои приложения" корпорации Майкрософт. При выборе плитки Citrix ADC SAML Connector для Microsoft Entra ID в разделе "Мои приложения" эта опция перенаправляет на URL-адрес входа Citrix ADC SAML Connector для Microsoft Entra. Дополнительные сведения о моих приложениях см. в разделе "Общие сведения о моих приложениях".

Связанный контент

После настройки соединителя Citrix ADC SAML для идентификатора Microsoft Entra можно применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применить управление сеансом с помощью Microsoft Defender для облачных приложений.