Integracja jednokrotnego logowania Microsoft Entra z aplikacją Citrix ADC Connector SAML dla Microsoft Entra ID (uwierzytelnianie bazujące na Kerberos)
W tym artykule dowiesz się, jak zintegrować łącznik SAML Citrix ADC dla firmy Microsoft Entra ID z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu łącznika SAML Citrix ADC dla Entra ID firmy Microsoft z Entra ID firmy Microsoft, masz możliwość:
- Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do łącznika SAML Citrix ADC dla identyfikatora Entra firmy Microsoft.
- Zezwalaj Twoim użytkownikom na automatyczne logowanie do łącznika SAML Citrix ADC dla Microsoft Entra ID za pomocą ich kont Microsoft Entra.
- Zarządzaj kontami w jednej centralnej lokalizacji.
Wymagania wstępne
W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:
- Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz Utworzyć konto bezpłatnie.
- Jedna z następujących ról:
- Subskrypcja aplikacji Citrix ADC SAML Connector dla aplikacji Microsoft Entra z obsługą logowania jednokrotnego.
Opis scenariusza
W tym artykule skonfigurujesz i przetestujesz Microsoft Entra logowanie jednokrotne w środowisku testowym. Artykuł zawiera następujące scenariusze:
Logowanie jednokrotne inicjowane przez usługodawcę dla łącznika SAML Citrix ADC dla Microsoft Entra ID.
Aprowizowanie użytkowników just in time dla łącznika SAML firmy Citrix ADC dla identyfikatora Entra firmy Microsoft.
Uwierzytelnianie oparte na protokole Kerberos dla łącznika SAML Citrix ADC dla Microsoft Entra ID.
Uwierzytelnianie oparte na nagłówkach dla łącznika SAML Citrix ADC do Microsoft Entra ID.
Dodawanie łącznika SAML firmy Citrix ADC dla firmy Microsoft Entra ID z galerii
Aby zintegrować łącznik SAML Citrix ADC dla Microsoft Entra ID z tą samą usługą, najpierw dodaj Citrix ADC SAML Connector dla Microsoft Entra ID do listy zarządzanych aplikacji SaaS w galerii:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do Identity>Applications>Enterprise applications>New application.
W sekcji Dodawanie z galerii wpisz Citrix ADC SAML Connector for Microsoft Entra ID w polu wyszukiwania.
W wynikach wybierz pozycję Citrix ADC SAML Connector for Microsoft Entra ID, a następnie dodaj aplikację. Proszę poczekać kilka sekund, aż aplikacja zostanie dodana do Twojej dzierżawy.
Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do Twojej dzierżawy, dodać użytkowników lub grupy do aplikacji, przypisać role, a także przejść przez konfigurację jednokrotnego logowania. Dowiedz się więcej o kreatorach platformy Microsoft 365.
Konfigurowanie i testowanie aplikacji Microsoft Entra SSO for Citrix ADC SAML Connector for Microsoft Entra ID
Skonfiguruj i przetestuj logowanie jednokrotne (SSO) Microsoft Entra z użyciem łącznika SAML Citrix ADC do Microsoft Entra ID, korzystając z użytkownika testowego B.Simon. Aby logowanie jednokrotne działało, należy ustanowić powiązanie między użytkownikiem w Microsoft Entra a powiązanym użytkownikiem w usłudze Citrix ADC SAML Connector dla Microsoft Entra ID.
Aby skonfigurować i przetestować Microsoft Entra SSO z użyciem łącznika SAML Citrix ADC dla Microsoft Entra ID, wykonaj następujące kroki:
Skonfiguruj Microsoft Entra SSO — aby umożliwić użytkownikom korzystanie z tej funkcji.
Utwórz użytkownika testowego Microsoft Entra – aby przetestować jednokrotne logowanie Microsoft Entra z B.Simon.
Przypisz testowego użytkownika Microsoft Entra — aby włączyć B.Simon do korzystania z logowania jednokrotnego Microsoft Entra.
Skonfiguruj łącznik SAML citrix ADC dla usługi Microsoft Entra SSO — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
- Tworzenie użytkownika testowego aplikacji Citrix ADC SAML Connector dla firmy Microsoft Entra — aby mieć w aplikacji Citrix ADC SAML Connector for Microsoft Entra ID odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.
Konfigurowanie SSO Microsoft Entra
Aby włączyć logowanie jednokrotne Microsoft Entra za pomocą portalu Azure, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do panelu integracji aplikacji Identity>Applications>Enterprise applications>Citrix ADC SAML Connector for Microsoft Entra ID, w sekcji Zarządzanie wybierz opcję Logowanie jednokrotne.
W okienku Wybierz metodę logowania jednokrotnego wybierz pozycję SAML.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę ołówka przy Podstawowej konfiguracji SAML, aby edytować ustawienia.
W sekcji Podstawowa konfiguracja SAML, aby skonfigurować aplikację w trybie inicjowanym przez IDP, wykonaj następujące kroki:
W polu tekstowym Identyfikator wprowadź adres URL, który ma następujący wzorzec:
https://<YOUR_FQDN>
W polu tekstowym Adres URL odpowiedzi wprowadź adres URL, który ma następujący wzorzec:
http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth
Aby skonfigurować aplikację w trybie inicjowanym przez dostawcę usług, wybierz pozycję Ustaw dodatkowe adresy URL i wykonaj następujący krok:
- W polu tekstowym Adres URL logowania wprowadź adres URL , który ma następujący wzorzec:
https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx
Uwaga
- Adresy URL używane w tej sekcji nie są rzeczywistymi wartościami. Zaktualizuj te wartości przy użyciu rzeczywistych wartości identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Skontaktuj się z zespołem pomocy technicznej klienta Citrix ADC SAML Connector for Microsoft Entra, aby uzyskać te wartości. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.
- Aby skonfigurować logowanie jednokrotne, adresy URL muszą być dostępne z publicznych witryn internetowych. Należy włączyć zaporę sieciową lub inne ustawienia zabezpieczeń dla łącznika SAML Citrix ADC dla Microsoft Entra ID, aby umożliwić Microsoft Entra ID przesłanie tokenu na skonfigurowany adres URL.
- W polu tekstowym Adres URL logowania wprowadź adres URL , który ma następujący wzorzec:
W okienku Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML, w sekcji Certyfikat podpisywania SAML, w obszarze Adres URL metadanych federacji aplikacji, skopiuj adres URL i zapisz go w Notatniku.
W sekcji Konfigurowanie łącznika SAML citrix ADC dla firmy Microsoft Entra ID skopiuj odpowiednie adresy URL na podstawie wymagań.
Tworzenie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
- Przejdź do sekcji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
- We właściwościach użytkownika wykonaj następujące kroki:
- W polu Nazwa wyświetlana wprowadź
B.Simon
. -
W polu Nazwa główna użytkownika wprowadź username@companydomain.extension. Na przykład
B.Simon@contoso.com
. - Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
- Wybierz pozycję Przejrzyj i utwórz.
- W polu Nazwa wyświetlana wprowadź
- Wybierz pozycję Utwórz.
Przypisywanie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji umożliwiasz użytkownikowi B.Simon korzystanie z SSO (logowanie jednokrotne) w Azure, udzielając mu dostępu do łącznika SAML do Citrix ADC dla Microsoft Entra ID.
Przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw.
Na liście aplikacji wybierz pozycję Citrix ADC SAML Connector for Microsoft Entra ID.
W przeglądzie aplikacji w obszarze Zarządzanie wybierz pozycję Użytkownicy i grupy.
Wybierz Dodaj użytkownika. Następnie w oknie dialogowym Dodawanie przypisania wybierz pozycję Użytkownicy i grupy.
W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy. Naciśnij przycisk Wybierz.
Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
W oknie dialogowym Dodawanie przypisania wybierz pozycję Przypisz.
Konfigurowanie łącznika SAML citrix ADC dla usługi Microsoft Entra SSO
Wybierz link, aby uzyskać instrukcje dotyczące rodzaju uwierzytelniania, które chcesz skonfigurować:
Publikowanie serwera internetowego
Aby utworzyć serwer wirtualny:
Wybierz Zarządzanie ruchem>Równoważenie obciążenia>Usługi.
Wybierz Dodaj.
Ustaw następujące wartości dla serwera internetowego, na którym są uruchomione aplikacje:
- Nazwa usługi
- Adres IP serwera/ istniejący serwer
- Protokół
- Port
Konfigurowanie modułu równoważenia obciążenia
Aby skonfigurować moduł równoważenia obciążenia:
Przejdź do Zarządzanie ruchem>Równoważenie obciążenia>Serwery wirtualne.
Wybierz Dodaj.
Ustaw następujące wartości zgodnie z opisem na poniższym zrzucie ekranu:
- Nazwa/nazwisko
- Protokół
- IP Address
- Port
Wybierz przycisk OK.
Zwiąż serwer wirtualny
Aby powiązać moduł równoważenia obciążenia z serwerem wirtualnym:
W okienku Usługi i grupy usług wybierz pozycję Powiązanie usługi serwera wirtualnego bez równoważenia obciążenia.
Sprawdź ustawienia, jak pokazano na poniższym zrzucie ekranu, a następnie wybierz pozycję Zamknij.
Wiązanie certyfikatu
Aby opublikować tę usługę jako protokół TLS, powiąż certyfikat serwera, a następnie przetestuj aplikację:
W obszarze Certyfikat wybierz pozycję Brak certyfikatu serwera.
Sprawdź ustawienia, jak pokazano na poniższym zrzucie ekranu, a następnie wybierz pozycję Zamknij.
Citrix ADC SAML Connector for Microsoft Entra SAML profile (Łącznik SAML firmy Citrix ADC dla profilu SAML firmy Microsoft)
Aby skonfigurować łącznik SAML Citrix ADC dla profilu SAML Microsoft Entra, wykonaj kroki w poniższych sekcjach.
Tworzenie zasad uwierzytelniania
Aby utworzyć zasady uwierzytelniania:
Przejdź do Zabezpieczenia>AAA – Ruch Aplikacji>Polityki>Uwierzytelnianie>Polityki uwierzytelniania.
Wybierz Dodaj.
W okienku Tworzenie zasad uwierzytelniania wprowadź lub wybierz następujące wartości:
- Nazwa: wprowadź nazwę zasad uwierzytelniania.
- Akcja: Wprowadź SAML, a następnie wybierz pozycję Dodaj.
- Wyrażenie: wpisz true.
Wybierz pozycję Utwórz.
Tworzenie serwera SAML uwierzytelniania
Aby utworzyć serwer SAML uwierzytelniania, przejdź do okienka Tworzenie serwera uwierzytelniania SAML, a następnie wykonaj następujące kroki:
W polu Nazwa wprowadź nazwę serwera SAML uwierzytelniania.
Pod Eksportuj metadane SAML:
Zaznacz pole wyboru Importuj metadane .
Wprowadź adres URL metadanych federacji, który skopiowałeś wcześniej z interfejsu użytkownika SAML na platformie Azure.
W polu Nazwa wystawcy wprowadź odpowiedni adres URL.
Wybierz pozycję Utwórz.
Tworzenie serwera wirtualnego uwierzytelniania
Aby utworzyć serwer wirtualny uwierzytelniania:
Przejdź do Zabezpieczenia>AAA - Ruch aplikacji>Zasady>Uwierzytelnianie>Wirtualne serwery uwierzytelniania.
Wybierz pozycję Dodaj, a następnie wykonaj następujące kroki:
W polu Nazwa wprowadź nazwę serwera wirtualnego uwierzytelniania.
Zaznacz pole wyboru Nienadresowalne.
W polu Protokół wybierz pozycję SSL.
Wybierz przycisk OK.
Wybierz Kontynuuj.
Konfigurowanie serwera wirtualnego uwierzytelniania do używania identyfikatora Entra firmy Microsoft
Zmodyfikuj dwie sekcje dla serwera wirtualnego uwierzytelniania:
W okienku Zaawansowane zasady uwierzytelniania wybierz pozycję Brak zasad uwierzytelniania.
W okienku Powiązanie zasad wybierz zasady uwierzytelniania, a następnie wybierz pozycję Wiązanie.
W okienku Serwery wirtualne oparte na formularzach wybierz pozycję Brak równoważenia obciążenia serwera wirtualnego.
W polu Nazwa FQDN uwierzytelniania wprowadź w pełni kwalifikowaną nazwę domeny (FQDN) (wymagana).
Wybierz serwer wirtualny równoważenia obciążenia, który chcesz chronić za pomocą uwierzytelniania firmy Microsoft Entra.
Wybierz Powiąż.
Uwaga
Pamiętaj, aby wybrać pozycję Gotowe w okienku Konfiguracja Uwierzytelniania Serwera Wirtualnego.
Aby zweryfikować zmiany, w przeglądarce przejdź do adresu URL aplikacji. Powinieneś zobaczyć stronę logowania najemcy zamiast nieuwierzytelnionego dostępu, który mogłeś wcześniej zobaczyć.
Konfigurowanie łącznika SAML citrix ADC dla usługi Microsoft Entra SSO na potrzeby uwierzytelniania opartego na protokole Kerberos
Utwórz konto delegowania Kerberos dla Citrix ADC SAML Connector dla Microsoft Entra ID
Utwórz konto użytkownika (w tym przykładzie używamy funkcji AppDelegation).
Skonfiguruj nazwę SPN hosta dla tego konta.
Przykład:
setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation
W tym przykładzie:
-
IDENTT.WORK
to nazwa FQDN domeny. -
identt
to nazwa NetBIOS domeny. -
appdelegation
to nazwa konta użytkownika delegowania.
-
Skonfiguruj delegowanie dla serwera internetowego, jak pokazano na poniższym zrzucie ekranu:
Uwaga
Na przykładzie zrzutu ekranu, wewnętrzna nazwa serwera sieci Web, gdzie działa witryna z uwierzytelnianiem zintegrowanym Windows (WIA), to CWEB2.
Citrix ADC SAML Connector for Microsoft Entra AAA KCD (konta delegowania Protokołu Kerberos)
Aby skonfigurować łącznik SAML Citrix ADC dla konta KCD firmy Microsoft Entra AAA:
Przejdź do Citrix Gateway>Konta AAA KCD (ograniczona delegacja Kerberos).
Wybierz pozycję Dodaj, a następnie wprowadź lub wybierz następujące wartości:
Nazwa: wprowadź nazwę konta KCD.
Obszar: Wprowadź domenę i rozszerzenie wielkimi literami.
Nazwa SPN usługi:
http/<host/fqdn>@<DOMAIN.COM>
.Uwaga
@DOMAIN.COM
jest wymagany i musi być wielkimi literami. Przykład:http/cweb2@IDENTT.WORK
.Użytkownik delegowany: wprowadź nazwę delegowanego użytkownika.
Zaznacz pole wyboru Hasło dla delegowanego użytkownika, a następnie wprowadź i potwierdź hasło.
Wybierz przycisk OK.
Zasady ruchu citrix i profil ruchu
Aby skonfigurować zasady ruchu citrix i profil ruchu:
Przejdź do Zabezpieczenia>AAA - ruch aplikacji>Zasady>Zasady ruchu, profile i profile logowania jednokrotnego.
Wybierz Profile ruchu.
Wybierz Dodaj.
Aby skonfigurować profil ruchu, wprowadź lub wybierz następujące wartości.
Nazwa: wprowadź nazwę profilu ruchu.
Logowanie jednokrotne: wybierz pozycję WŁĄCZONE.
Konto KCD: wybierz konto KCD utworzone w poprzedniej sekcji.
Wybierz przycisk OK.
Wybierz Politykę dotyczącą ruchu.
Wybierz Dodaj.
Aby skonfigurować zasady ruchu, wprowadź lub wybierz następujące wartości:
Nazwa: wprowadź nazwę zasad ruchu.
Profil: wybierz profil ruchu utworzony w poprzedniej sekcji.
Wyrażenie: wprowadź true.
Wybierz przycisk OK.
Wiązanie zasad ruchu z serwerem wirtualnym w programie Citrix
Aby powiązać politykę ruchu z serwerem wirtualnym przy użyciu graficznego interfejsu użytkownika:
Przejdź do Zarządzanie ruchem>Równoważenie obciążenia>Serwery wirtualne.
Na liście serwerów wirtualnych wybierz serwer wirtualny, do którego chcesz powiązać zasady ponownego zapisywania, a następnie wybierz pozycję Otwórz.
W okienku Serwer wirtualny równoważenia obciążenia, w obszarze Zaawansowane ustawienia, wybierz pozycję Zasady. Na liście są wyświetlane wszystkie zasady skonfigurowane dla wystąpienia usługi NetScaler.
Zaznacz pole wyboru obok nazwy zasad, które chcesz powiązać z tym serwerem wirtualnym.
W oknie dialogowym Wybierz typ:
W obszarze Wybierz zasady wybierz pozycję Ruch.
W obszarze Wybierz typ wybierz pozycję Żądanie.
Gdy polisa jest powiązana, wybierz Gotowe.
Przetestuj powiązanie przy użyciu witryny internetowej WIA.
Tworzenie użytkownika testowego aplikacji Citrix ADC SAML Connector dla firmy Microsoft
W tej sekcji w aplikacji Citrix ADC SAML Connector for Microsoft Entra ID jest tworzony użytkownik o nazwie B.Simon. Łącznik SAML firmy Citrix ADC dla firmy Microsoft Entra ID obsługuje aprowizację użytkowników typu just in time, która jest domyślnie włączona. W tej sekcji nie ma nic do zrobienia. Jeśli użytkownik jeszcze nie istnieje w programie Citrix ADC SAML Connector for Microsoft Entra ID, zostanie utworzony po uwierzytelnieniu.
Uwaga
Jeśli musisz ręcznie utworzyć użytkownika, skontaktuj się z zespołem pomocy technicznej klienta aplikacji Citrix ADC SAML Connector for Microsoft Entra.
Testowanie logowania jednokrotnego
W tej sekcji przetestujesz konfigurację jednokrotnego logowania Microsoft Entra z następującymi opcjami.
Kliknij Przetestuj tę aplikację. Spowoduje to przekierowanie do łącznika SAML Citrix ADC dla Microsoft Entra na adres URL logowania, gdzie można rozpocząć proces logowania.
Przejdź bezpośrednio do Citrix ADC SAML Connector for Microsoft Entra Sign-on URL i zainicjuj proces logowania z tego miejsca.
Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Citrix ADC SAML Connector for Microsoft Entra ID w moje aplikacje nastąpi przekierowanie do adresu URL logowania Citrix ADC SAML Connector for Microsoft Entra. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.
Powiązana zawartość
Po skonfigurowaniu łącznika SAML Citrix ADC dla identyfikatora Entra firmy Microsoft można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji z pomocą Microsoft Defender dla Aplikacji Chmurowych.