Samouczek: integracja logowania jednokrotnego firmy Microsoft z aplikacją Citrix ADC SAML Connector for Microsoft Entra ID (uwierzytelnianie oparte na protokole Kerberos)

Z tego samouczka dowiesz się, jak zintegrować łącznik SAML Citrix ADC dla firmy Microsoft Entra ID z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu łącznika SAML Citrix ADC dla firmy Microsoft Entra ID z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

• Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do łącznika SAML Citrix ADC dla identyfikatora Entra firmy Microsoft.
• Zezwalaj swoim użytkownikom na automatyczne logowanie do łącznika SAML firmy Citrix ADC dla firmy Microsoft przy użyciu kont Firmy Microsoft Entra.
• Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

• Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
• Subskrypcja aplikacji Citrix ADC SAML Connector dla aplikacji Microsoft Entra z obsługą logowania jednokrotnego.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym. Samouczek obejmuje następujące scenariusze:

• Logowanie jednokrotne inicjowane przez dostawcę usług dla łącznika SAML citrix ADC dla firmy Microsoft Entra ID.

• Aprowizowanie użytkowników just in time dla łącznika SAML firmy Citrix ADC dla identyfikatora Entra firmy Microsoft.

• Uwierzytelnianie oparte na protokole Kerberos dla łącznika SAML firmy Citrix ADC dla identyfikatora Entra firmy Microsoft.

• Uwierzytelnianie oparte na nagłówku dla łącznika SAML firmy Citrix ADC dla identyfikatora Entra firmy Microsoft.

Dodawanie łącznika SAML firmy Citrix ADC dla firmy Microsoft Entra ID z galerii

Aby zintegrować łącznik SAML Citrix ADC dla firmy Microsoft Entra ID z identyfikatorem Entra firmy Microsoft, najpierw dodaj łącznik Citrix ADC SAML Connector for Microsoft Entra ID do listy zarządzanych aplikacji SaaS z galerii:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).

3. W sekcji Dodawanie z galerii wpisz Citrix ADC SAML Connector for Microsoft Entra ID w polu wyszukiwania.

4. W wynikach wybierz pozycję Citrix ADC SAML Connector for Microsoft Entra ID, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO for Citrix ADC SAML Connector for Microsoft Entra ID

Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft za pomocą łącznika SAML Citrix ADC dla firmy Microsoft Entra ID przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem w łączniku SAML Citrix ADC dla usługi Microsoft Entra ID.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft przy użyciu łącznika SAML Citrix ADC dla firmy Microsoft Entra ID, wykonaj następujące kroki:

1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.

   1. Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft w usłudze B.Simon.

   2. Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.

2. Skonfiguruj łącznik SAML citrix ADC dla usługi Microsoft Entra SSO — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.

   1. Tworzenie użytkownika testowego aplikacji Citrix ADC SAML Connector dla firmy Microsoft Entra — aby mieć w aplikacji Citrix ADC SAML Connector for Microsoft Entra ID odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.

3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Aby włączyć logowanie jednokrotne microsoft Entra przy użyciu witryny Azure Portal, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do pozycji Identity>Applications Enterprise Applications>>Citrix ADC SAML Connector for Microsoft Entra ID application integration pane (Zarządzanie) w obszarze Manage (Zarządzanie) wybierz pozycję Single sign-on (Logowanie jednokrotne).

3. W okienku Wybierz metodę logowania jednokrotnego wybierz pozycję SAML.

4. W okienku Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.

   

5. W sekcji Podstawowa konfiguracja protokołu SAML, aby skonfigurować aplikację w trybie inicjowanym przez dostawcę tożsamości, wykonaj następujące kroki:

   1. W polu tekstowym Identyfikator wprowadź adres URL, który ma następujący wzorzec: https://<YOUR_FQDN>

   2. W polu tekstowym Adres URL odpowiedzi wprowadź adres URL, który ma następujący wzorzec: http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

6. Aby skonfigurować aplikację w trybie inicjowanym przez dostawcę usług, wybierz pozycję Ustaw dodatkowe adresy URL i wykonaj następujący krok:

   • W polu tekstowym Adres URL logowania wprowadź adres URL , który ma następujący wzorzec: https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

   Uwaga

   • Adresy URL używane w tej sekcji nie są rzeczywistymi wartościami. Zaktualizuj te wartości przy użyciu rzeczywistych wartości identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Aby uzyskać te wartości, skontaktuj się z zespołem pomocy technicznej klienta aplikacji Citrix ADC SAML Connector for Microsoft Entra. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.
   • Aby skonfigurować logowanie jednokrotne, adresy URL muszą być dostępne z publicznych witryn internetowych. Należy włączyć zaporę lub inne ustawienia zabezpieczeń po stronie łącznika SAML Citrix ADC dla firmy Microsoft Entra ID, aby umożliwić usłudze Microsoft Entra ID opublikowanie tokenu pod skonfigurowanym adresem URL.

7. W okienku Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML w polu Adres URL metadanych federacji aplikacji skopiuj adres URL i zapisz go w Notatniku.

   

8. W sekcji Konfigurowanie łącznika SAML citrix ADC dla firmy Microsoft Entra ID skopiuj odpowiednie adresy URL na podstawie wymagań.

   

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
4. We właściwościach użytkownika wykonaj następujące kroki:
   1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
   2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
   3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
   4. Wybierz pozycję Przejrzyj i utwórz.
5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego platformy Azure, udzielając użytkownikowi dostępu do łącznika SAML Citrix ADC dla usługi Microsoft Entra ID.

1. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

2. Na liście aplikacji wybierz pozycję Citrix ADC SAML Connector for Microsoft Entra ID.

3. W przeglądzie aplikacji w obszarze Zarządzanie wybierz pozycję Użytkownicy i grupy.

4. Wybierz Dodaj użytkownika. Następnie w oknie dialogowym Dodawanie przypisania wybierz pozycję Użytkownicy i grupy.

5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy. Naciśnij przycisk Wybierz.

6. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".

7. W oknie dialogowym Dodawanie przypisania wybierz pozycję Przypisz.

Konfigurowanie łącznika SAML citrix ADC dla usługi Microsoft Entra SSO

Wybierz link, aby uzyskać instrukcje dotyczące rodzaju uwierzytelniania, które chcesz skonfigurować:

• Konfigurowanie łącznika SAML citrix ADC dla usługi Microsoft Entra SSO na potrzeby uwierzytelniania opartego na protokole Kerberos

• Konfigurowanie łącznika SAML citrix ADC dla usługi Microsoft Entra SSO na potrzeby uwierzytelniania opartego na nagłówku

Publikowanie serwera internetowego

Aby utworzyć serwer wirtualny:

1. Wybierz pozycję Usługi równoważenia>obciążenia zarządzania>ruchem.

2. Wybierz Dodaj.

   

3. Ustaw następujące wartości dla serwera internetowego, na którym są uruchomione aplikacje:

   • Nazwa usługi
   • Adres IP serwera/ istniejący serwer
   • Protokół
   • Port

Konfigurowanie modułu równoważenia obciążenia

Aby skonfigurować moduł równoważenia obciążenia:

1. Przejdź do pozycji Równoważenie>obciążenia zarządzania>ruchem serwery wirtualne.

2. Wybierz Dodaj.

3. Ustaw następujące wartości zgodnie z opisem na poniższym zrzucie ekranu:

   • Nazwa/nazwisko
   • Protokół
   • IP Address
   • Port

4. Wybierz przycisk OK.

   

Wiązanie serwera wirtualnego

Aby powiązać moduł równoważenia obciążenia z serwerem wirtualnym:

1. W okienku Usługi i grupy usług wybierz pozycję Bez równoważenia obciążenia Powiązanie usługi serwera wirtualnego.

   

2. Sprawdź ustawienia, jak pokazano na poniższym zrzucie ekranu, a następnie wybierz pozycję Zamknij.

   

Wiązanie certyfikatu

Aby opublikować tę usługę jako protokół TLS, powiąż certyfikat serwera, a następnie przetestuj aplikację:

1. W obszarze Certyfikat wybierz pozycję Brak certyfikatu serwera.

   

2. Sprawdź ustawienia, jak pokazano na poniższym zrzucie ekranu, a następnie wybierz pozycję Zamknij.

   

Citrix ADC SAML Connector for Microsoft Entra SAML profile (Łącznik SAML firmy Citrix ADC dla profilu SAML firmy Microsoft)

Aby skonfigurować łącznik SAML citrix ADC dla profilu SAML firmy Microsoft, wykonaj poniższe sekcje.

Tworzenie zasad uwierzytelniania

Aby utworzyć zasady uwierzytelniania:

1. Przejdź do pozycji Zabezpieczenia>AAA — zasady uwierzytelniania uwierzytelniania>zasad> ruchu>aplikacji.

2. Wybierz Dodaj.

3. W okienku Tworzenie zasad uwierzytelniania wprowadź lub wybierz następujące wartości:

   • Nazwa: wprowadź nazwę zasad uwierzytelniania.
   • Akcja: wprowadź saml, a następnie wybierz pozycję Dodaj.
   • Wyrażenie: wprowadź wartość true.

   

4. Wybierz pozycję Utwórz.

Tworzenie serwera SAML uwierzytelniania

Aby utworzyć serwer SAML uwierzytelniania, przejdź do okienka Tworzenie serwera SAML uwierzytelniania, a następnie wykonaj następujące kroki:

1. W polu Nazwa wprowadź nazwę serwera SAML uwierzytelniania.

2. W obszarze Eksportuj metadane SAML:

   1. Zaznacz pole wyboru Importuj metadane .

   2. Wprowadź adres URL metadanych federacji z skopiowanego wcześniej interfejsu użytkownika saml platformy Azure.

3. W polu Nazwa wystawcy wprowadź odpowiedni adres URL.

4. Wybierz pozycję Utwórz.

Tworzenie serwera wirtualnego uwierzytelniania

Aby utworzyć serwer wirtualny uwierzytelniania:

1. Przejdź do pozycji Zabezpieczenia>AAA — zasady>ruchu>aplikacji — serwery wirtualne uwierzytelniania uwierzytelniania.>

2. Wybierz pozycję Dodaj, a następnie wykonaj następujące kroki:

   1. W polu Nazwa wprowadź nazwę serwera wirtualnego uwierzytelniania.

   2. Zaznacz pole wyboru Nienależące do adresu.

   3. W polu Protokół wybierz pozycję SSL.

   4. Wybierz przycisk OK.

3. Wybierz Kontynuuj.

Konfigurowanie serwera wirtualnego uwierzytelniania do używania identyfikatora Entra firmy Microsoft

Zmodyfikuj dwie sekcje dla serwera wirtualnego uwierzytelniania:

1. W okienku Zaawansowane zasady uwierzytelniania wybierz pozycję Brak zasad uwierzytelniania.

   

2. W okienku Powiązanie zasad wybierz zasady uwierzytelniania, a następnie wybierz pozycję Wiązanie.

   

3. W okienku Serwery wirtualne oparte na formularzach wybierz pozycję Brak równoważenia obciążenia serwera wirtualnego.

   

4. W polu Nazwa FQDN uwierzytelniania wprowadź w pełni kwalifikowaną nazwę domeny (FQDN) (wymagana).

5. Wybierz serwer wirtualny równoważenia obciążenia, który chcesz chronić za pomocą uwierzytelniania firmy Microsoft Entra.

6. Wybierz Powiąż.

   

   Uwaga

   Pamiętaj, aby wybrać pozycję Gotowe w okienku Uwierzytelnianie Konfiguracja serwera wirtualnego.

7. Aby zweryfikować zmiany, w przeglądarce przejdź do adresu URL aplikacji. Powinna zostać wyświetlona strona logowania dzierżawy zamiast nieuwierzytelnionego dostępu, który był wcześniej widoczny.

   

Konfigurowanie łącznika SAML citrix ADC dla usługi Microsoft Entra SSO na potrzeby uwierzytelniania opartego na protokole Kerberos

Tworzenie konta delegowania Protokołu Kerberos dla łącznika SAML citrix ADC dla identyfikatora Entra firmy Microsoft

1. Utwórz konto użytkownika (w tym przykładzie używamy funkcji AppDelegation).

   

2. Skonfiguruj nazwę SPN hosta dla tego konta.

   Przykład: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

   W tym przykładzie:

   • IDENTT.WORK to nazwa FQDN domeny.
   • identt to nazwa NetBIOS domeny.
   • appdelegation to nazwa konta użytkownika delegowania.

3. Skonfiguruj delegowanie dla serwera internetowego, jak pokazano na poniższym zrzucie ekranu:

   

   Uwaga

   Na zrzucie ekranu przykładowa wewnętrzna nazwa serwera sieci Web z uruchomioną witryną uwierzytelniania zintegrowanego systemu Windows (WIA) to CWEB2.

Citrix ADC SAML Connector for Microsoft Entra AAA KCD (konta delegowania Protokołu Kerberos)

Aby skonfigurować łącznik SAML citrix ADC dla konta KCD firmy Microsoft Entra AAA:

1. Przejdź do pozycji Konta usługi Citrix Gateway>AAA KCD (ograniczone delegowanie protokołu Kerberos).

2. Wybierz pozycję Dodaj, a następnie wprowadź lub wybierz następujące wartości:

   • Nazwa: wprowadź nazwę konta KCD.

   • Obszar: wprowadź domenę i rozszerzenie w wielkie litery.

   • Nazwa SPN usługi: http/<host/fqdn>@<DOMAIN.COM>.

     Uwaga

     @DOMAIN.COM jest wymagany i musi być wielkimi literami. Przykład: http/cweb2@IDENTT.WORK.

   • Użytkownik delegowany: wprowadź nazwę delegowanego użytkownika.

   • Zaznacz pole wyboru Hasło dla delegowanego użytkownika, a następnie wprowadź i potwierdź hasło.

3. Wybierz przycisk OK.

Zasady ruchu citrix i profil ruchu

Aby skonfigurować zasady ruchu citrix i profil ruchu:

1. Przejdź do pozycji Zabezpieczenia>AAA — zasady>ruchu aplikacji Zasady ruchu>, profile i profile logowania jednokrotnegoZasady logowania jednokrotnego.

2. Wybierz pozycję Profile ruchu.

3. Wybierz Dodaj.

4. Aby skonfigurować profil ruchu, wprowadź lub wybierz następujące wartości.

   • Nazwa: wprowadź nazwę profilu ruchu.

   • Logowanie jednokrotne: wybierz pozycję WŁĄCZONE.

   • Konto KCD: wybierz konto KCD utworzone w poprzedniej sekcji.

5. Wybierz przycisk OK.

   

6. Wybierz pozycję Zasady ruchu.

7. Wybierz Dodaj.

8. Aby skonfigurować zasady ruchu, wprowadź lub wybierz następujące wartości:

   • Nazwa: wprowadź nazwę zasad ruchu.

   • Profil: wybierz profil ruchu utworzony w poprzedniej sekcji.

   • Wyrażenie: wprowadź wartość true.

9. Wybierz przycisk OK.

   

Wiązanie zasad ruchu z serwerem wirtualnym w programie Citrix

Aby powiązać zasady ruchu z serwerem wirtualnym przy użyciu graficznego interfejsu użytkownika:

1. Przejdź do pozycji Równoważenie>obciążenia zarządzania>ruchem serwery wirtualne.

2. Na liście serwerów wirtualnych wybierz serwer wirtualny, do którego chcesz powiązać zasady ponownego zapisywania, a następnie wybierz pozycję Otwórz.

3. W okienku Równoważenie obciążenia Serwer wirtualny w obszarze Ustawienia zaawansowane wybierz pozycję Zasady. Na liście są wyświetlane wszystkie zasady skonfigurowane dla wystąpienia usługi NetScaler.

   

   

4. Zaznacz pole wyboru obok nazwy zasad, które chcesz powiązać z tym serwerem wirtualnym.

   

5. W oknie dialogowym Wybieranie typu:

   1. W obszarze Wybierz zasady wybierz pozycję Ruch.

   2. W obszarze Wybierz typ wybierz pozycję Żądanie.

   

6. Gdy zasady są powiązane, wybierz pozycję Gotowe.

   

7. Przetestuj powiązanie przy użyciu witryny internetowej WIA.

   

Tworzenie użytkownika testowego aplikacji Citrix ADC SAML Connector dla firmy Microsoft

W tej sekcji w aplikacji Citrix ADC SAML Connector for Microsoft Entra ID jest tworzony użytkownik o nazwie B.Simon. Łącznik SAML firmy Citrix ADC dla firmy Microsoft Entra ID obsługuje aprowizację użytkowników typu just in time, która jest domyślnie włączona. W tej sekcji nie ma żadnej akcji. Jeśli użytkownik jeszcze nie istnieje w programie Citrix ADC SAML Connector for Microsoft Entra ID, zostanie utworzony po uwierzytelnieniu.

Uwaga

Jeśli musisz ręcznie utworzyć użytkownika, skontaktuj się z zespołem pomocy technicznej klienta aplikacji Citrix ADC SAML Connector for Microsoft Entra.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.

• Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do łącznika SAML Citrix ADC dla adresu URL logowania firmy Microsoft, w którym można zainicjować przepływ logowania.

• Przejdź bezpośrednio do pozycji Citrix ADC SAML Connector for Microsoft Entra Sign-on URL (Bezpośredni adres URL logowania firmy Microsoft) i zainicjuj przepływ logowania z tego miejsca.

• Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Citrix ADC SAML Connector for Microsoft Entra ID w Moje aplikacje nastąpi przekierowanie do łącznika SAML connector citrix ADC dla adresu URL logowania entra firmy Microsoft. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Następne kroki

Po skonfigurowaniu łącznika SAML Citrix ADC dla identyfikatora Entra firmy Microsoft można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.