Samouczek: integracja logowania jednokrotnego firmy Microsoft z aplikacją Citrix ADC (uwierzytelnianie oparte na nagłówkach)

Z tego samouczka dowiesz się, jak zintegrować aplikację Citrix ADC z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu aplikacji Citrix ADC z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

• Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Citrix ADC.
• Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Citrix ADC przy użyciu kont Firmy Microsoft Entra.
• Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

• Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
• Subskrypcja aplikacji Citrix ADC z obsługą logowania jednokrotnego.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym. Samouczek obejmuje następujące scenariusze:

• Logowanie jednokrotne inicjowane przez dostawcę usług dla aplikacji Citrix ADC

• Aprowizowanie użytkowników just in time dla usługi Citrix ADC

• Uwierzytelnianie oparte na nagłówku dla usługi Citrix ADC

• Uwierzytelnianie oparte na protokole Kerberos dla usługi Citrix ADC

Dodawanie aplikacji Citrix ADC z galerii

Aby zintegrować aplikację Citrix ADC z firmą Microsoft Entra ID, najpierw dodaj aplikację Citrix ADC do swojej listy zarządzanych aplikacji SaaS z galerii:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).

3. W sekcji Dodawanie z galerii wpisz Citrix ADC w polu wyszukiwania.

4. W wynikach wybierz pozycję Citrix ADC, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego firmy Microsoft dla aplikacji Citrix ADC

Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft z aplikacją Citrix ADC przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem w usłudze Citrix ADC.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft z aplikacją Citrix ADC, wykonaj następujące kroki:

1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.

   1. Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft w usłudze B.Simon.

   2. Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.

2. Skonfiguruj logowanie jednokrotne citrix ADC — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.

   • Tworzenie użytkownika testowego aplikacji Citrix ADC — aby mieć w aplikacji Citrix ADC odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.

3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Aby włączyć logowanie jednokrotne microsoft Entra przy użyciu witryny Azure Portal, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do okienka integracji aplikacji dla>>przedsiębiorstw>Citrix ADC w obszarze Zarządzanie wybierz pozycję Logowanie jednokrotne.

3. W okienku Wybierz metodę logowania jednokrotnego wybierz pozycję SAML.

4. W okienku Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę edycji pióra dla podstawowej konfiguracji protokołu SAML, aby edytować ustawienia.

   

5. W sekcji Podstawowa konfiguracja protokołu SAML, aby skonfigurować aplikację w trybie inicjowanym przez dostawcę tożsamości:

   1. W polu tekstowym Identyfikator wprowadź adres URL, który ma następujący wzorzec: https://<Your FQDN>

   2. W polu tekstowym Adres URL odpowiedzi wprowadź adres URL, który ma następujący wzorzec: https://<Your FQDN>/CitrixAuthService/AuthService.asmx

6. Aby skonfigurować aplikację w trybie inicjowanym przez dostawcę usług, wybierz pozycję Ustaw dodatkowe adresy URL i wykonaj następujący krok:

   • W polu tekstowym Adres URL logowania wprowadź adres URL , który ma następujący wzorzec: https://<Your FQDN>/CitrixAuthService/AuthService.asmx

   Uwaga

   • Adresy URL używane w tej sekcji nie są rzeczywistymi wartościami. Zaktualizuj te wartości przy użyciu rzeczywistych wartości identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Skontaktuj się z zespołem pomocy technicznej klienta aplikacji Citrix ADC, aby uzyskać te wartości. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.
   • Aby skonfigurować logowanie jednokrotne, adresy URL muszą być dostępne z publicznych witryn internetowych. Należy włączyć zaporę lub inne ustawienia zabezpieczeń po stronie aplikacji Citrix ADC, aby umożliwić usłudze Microsoft Entra ID opublikowanie tokenu pod skonfigurowanym adresem URL.

7. W okienku Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML w polu Adres URL metadanych federacji aplikacji skopiuj adres URL i zapisz go w Notatniku.

   

8. Aplikacja Citrix ADC oczekuje, że asercji SAML będą w określonym formacie, co wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych. Wybierz ikonę Edytuj i zmień mapowania atrybutów.

   

9. Aplikacja Citrix ADC oczekuje również, że w odpowiedzi SAML zostanie przekazanych jeszcze kilka atrybutów. W oknie dialogowym Atrybuty użytkownika w obszarze Oświadczenia użytkownika wykonaj następujące kroki, aby dodać atrybuty tokenu SAML, jak pokazano w tabeli:

   Nazwisko	Atrybut źródłowy
   mySecretID	user.userprincipalname

   1. Wybierz pozycję Dodaj nowe oświadczenie, aby otworzyć okno dialogowe Zarządzanie oświadczeniami użytkownika.

   2. W polu tekstowym Nazwa wprowadź nazwę atrybutu wyświetlaną dla tego wiersza.

   3. Pozostaw pole Przestrzeń nazw puste.

   4. W polu Atrybut wybierz pozycję Źródło.

   5. Na liście Atrybut źródłowy wprowadź wartość atrybutu wyświetlaną dla tego wiersza.

   6. Wybierz przycisk OK.

   7. Wybierz pozycję Zapisz.

10. W sekcji Konfigurowanie aplikacji Citrix ADC skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
4. We właściwościach użytkownika wykonaj następujące kroki:
   1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
   2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
   3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
   4. Wybierz pozycję Przejrzyj i utwórz.
5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego platformy Azure, udzielając użytkownikowi dostępu do aplikacji Citrix ADC.

1. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

2. Na liście aplikacji wybierz pozycję Citrix ADC.

3. W przeglądzie aplikacji w obszarze Zarządzanie wybierz pozycję Użytkownicy i grupy.

4. Wybierz Dodaj użytkownika. Następnie w oknie dialogowym Dodawanie przypisania wybierz pozycję Użytkownicy i grupy.

5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy. Naciśnij przycisk Wybierz.

6. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".

7. W oknie dialogowym Dodawanie przypisania wybierz pozycję Przypisz.

Konfigurowanie logowania jednokrotnego aplikacji Citrix ADC

Wybierz link, aby uzyskać instrukcje dotyczące rodzaju uwierzytelniania, które chcesz skonfigurować:

• Konfigurowanie logowania jednokrotnego citrix ADC na potrzeby uwierzytelniania opartego na nagłówku

• Konfigurowanie logowania jednokrotnego usługi Citrix ADC na potrzeby uwierzytelniania opartego na protokole Kerberos

Publikowanie serwera internetowego

Aby utworzyć serwer wirtualny:

1. Wybierz pozycję Usługi równoważenia>obciążenia zarządzania>ruchem.

2. Wybierz Dodaj.

   

3. Ustaw następujące wartości dla serwera internetowego, na którym są uruchomione aplikacje:

   • Nazwa usługi

   • Adres IP serwera/ istniejący serwer

   • Protokół

   • Port

     

Konfigurowanie modułu równoważenia obciążenia

Aby skonfigurować moduł równoważenia obciążenia:

1. Przejdź do pozycji Równoważenie>obciążenia zarządzania>ruchem serwery wirtualne.

2. Wybierz Dodaj.

3. Ustaw następujące wartości zgodnie z opisem na poniższym zrzucie ekranu:

   • Nazwa/nazwisko
   • Protokół
   • IP Address
   • Port

4. Wybierz przycisk OK.

   

Wiązanie serwera wirtualnego

Aby powiązać moduł równoważenia obciążenia z serwerem wirtualnym:

1. W okienku Usługi i grupy usług wybierz pozycję Bez równoważenia obciążenia Powiązanie usługi serwera wirtualnego.

   

2. Sprawdź ustawienia, jak pokazano na poniższym zrzucie ekranu, a następnie wybierz pozycję Zamknij.

   

Wiązanie certyfikatu

Aby opublikować tę usługę jako protokół TLS, powiąż certyfikat serwera, a następnie przetestuj aplikację:

1. W obszarze Certyfikat wybierz pozycję Brak certyfikatu serwera.

   

2. Sprawdź ustawienia, jak pokazano na poniższym zrzucie ekranu, a następnie wybierz pozycję Zamknij.

   

Profil SAML usługi Citrix ADC

Aby skonfigurować profil SAML usługi Citrix ADC, wykonaj następujące sekcje:

Tworzenie zasad uwierzytelniania

Aby utworzyć zasady uwierzytelniania:

1. Przejdź do pozycji Zabezpieczenia>AAA — zasady uwierzytelniania uwierzytelniania>zasad> ruchu>aplikacji.

2. Wybierz Dodaj.

3. W okienku Tworzenie zasad uwierzytelniania wprowadź lub wybierz następujące wartości:

   • Nazwa: wprowadź nazwę zasad uwierzytelniania.
   • Akcja: wprowadź saml, a następnie wybierz pozycję Dodaj.
   • Wyrażenie: wprowadź wartość true.

   

4. Wybierz pozycję Utwórz.

Tworzenie serwera SAML uwierzytelniania

Aby utworzyć serwer SAML uwierzytelniania, przejdź do okienka Tworzenie serwera SAML uwierzytelniania, a następnie wykonaj następujące kroki:

1. W polu Nazwa wprowadź nazwę serwera SAML uwierzytelniania.

2. W obszarze Eksportuj metadane SAML:

   1. Zaznacz pole wyboru Importuj metadane .

   2. Wprowadź adres URL metadanych federacji z skopiowanego wcześniej interfejsu użytkownika saml platformy Azure.

3. W polu Nazwa wystawcy wprowadź odpowiedni adres URL.

4. Wybierz pozycję Utwórz.

Tworzenie serwera wirtualnego uwierzytelniania

Aby utworzyć serwer wirtualny uwierzytelniania:

1. Przejdź do pozycji Zabezpieczenia>AAA — zasady>ruchu>aplikacji — serwery wirtualne uwierzytelniania uwierzytelniania.>

2. Wybierz pozycję Dodaj, a następnie wykonaj następujące kroki:

   1. W polu Nazwa wprowadź nazwę serwera wirtualnego uwierzytelniania.

   2. Zaznacz pole wyboru Nienależące do adresu.

   3. W polu Protokół wybierz pozycję SSL.

   4. Wybierz przycisk OK.

   

Konfigurowanie serwera wirtualnego uwierzytelniania do używania identyfikatora Entra firmy Microsoft

Zmodyfikuj dwie sekcje dla serwera wirtualnego uwierzytelniania:

1. W okienku Zaawansowane zasady uwierzytelniania wybierz pozycję Brak zasad uwierzytelniania.

   

2. W okienku Powiązanie zasad wybierz zasady uwierzytelniania, a następnie wybierz pozycję Wiązanie.

   

3. W okienku Serwery wirtualne oparte na formularzach wybierz pozycję Brak równoważenia obciążenia serwera wirtualnego.

   

4. W polu Nazwa FQDN uwierzytelniania wprowadź w pełni kwalifikowaną nazwę domeny (FQDN) (wymagana).

5. Wybierz serwer wirtualny równoważenia obciążenia, który chcesz chronić za pomocą uwierzytelniania firmy Microsoft Entra.

6. Wybierz Powiąż.

   

   Uwaga

   Pamiętaj, aby wybrać pozycję Gotowe w okienku Uwierzytelnianie Konfiguracja serwera wirtualnego.

7. Aby zweryfikować zmiany, w przeglądarce przejdź do adresu URL aplikacji. Powinna zostać wyświetlona strona logowania dzierżawy zamiast nieuwierzytelnionego dostępu, który był wcześniej widoczny.

   

Konfigurowanie logowania jednokrotnego citrix ADC na potrzeby uwierzytelniania opartego na nagłówku

Konfigurowanie usługi Citrix ADC

Aby skonfigurować usługę Citrix ADC na potrzeby uwierzytelniania opartego na nagłówku, wykonaj poniższe sekcje.

Tworzenie akcji ponownego zapisywania

1. Przejdź do pozycji AppExpert>Rewrite Rewrite>Actions (Zapisz ponownie akcje).

   

2. Wybierz pozycję Dodaj, a następnie wykonaj następujące kroki:

   1. W polu Nazwa wprowadź nazwę akcji ponownego zapisywania.

   2. W polu Typ wprowadź INSERT_HTTP_HEADER.

   3. W polu Nazwa nagłówka wprowadź nazwę nagłówka (w tym przykładzie używamy identyfikatora SecretID).

   4. W polu Wyrażenie wprowadź wartość aaa. UŻYTKOWNIK. ATTRIBUTE("mySecretID"), gdzie mySecretID to oświadczenie Microsoft Entra SAML, które zostało wysłane do citrix ADC.

   5. Wybierz pozycję Utwórz.

   

Tworzenie zasad ponownego zapisywania

1. Przejdź do pozycji AppExpert>Rewrite Rewrite>Policies (Zapisz ponownie zasady).

   

2. Wybierz pozycję Dodaj, a następnie wykonaj następujące kroki:

   1. W polu Nazwa wprowadź nazwę zasad ponownego zapisywania.

   2. W polu Akcja wybierz akcję ponownego zapisywania utworzoną w poprzedniej sekcji.

   3. W polu Wyrażenie wprowadź wartość true.

   4. Wybierz pozycję Utwórz.

   

Wiązanie zasad ponownego zapisywania z serwerem wirtualnym

Aby powiązać zasady ponownego zapisywania z serwerem wirtualnym przy użyciu graficznego interfejsu użytkownika:

1. Przejdź do pozycji Równoważenie>obciążenia zarządzania>ruchem serwery wirtualne.

2. Na liście serwerów wirtualnych wybierz serwer wirtualny, do którego chcesz powiązać zasady ponownego zapisywania, a następnie wybierz pozycję Otwórz.

3. W okienku Równoważenie obciążenia Serwer wirtualny w obszarze Ustawienia zaawansowane wybierz pozycję Zasady. Na liście są wyświetlane wszystkie zasady skonfigurowane dla wystąpienia usługi NetScaler.

4. Zaznacz pole wyboru obok nazwy zasad, które chcesz powiązać z tym serwerem wirtualnym.

   

5. W oknie dialogowym Wybieranie typu:

   1. W obszarze Wybierz zasady wybierz pozycję Ruch.

   2. W obszarze Wybierz typ wybierz pozycję Żądanie.

   

6. Wybierz przycisk OK. Komunikat na pasku stanu wskazuje, że zasady zostały pomyślnie skonfigurowane.

Modyfikowanie serwera SAML w celu wyodrębnienia atrybutów z oświadczenia

1. Przejdź do pozycji Zabezpieczenia>AAA — zasady>ruchu>aplikacji Zaawansowane>zasady uwierzytelniania>Serwery akcji.>

2. Wybierz odpowiedni serwer SAML uwierzytelniania dla aplikacji.

   

3. W obszarze Atrybuty wprowadź atrybuty JĘZYKA SAML, które chcesz wyodrębnić, oddzielone przecinkami. W naszym przykładzie wprowadzamy atrybut mySecretID.

   

4. Aby zweryfikować dostęp, w adresie URL w przeglądarce wyszukaj atrybut SAML w obszarze Kolekcja nagłówków.

   

Tworzenie użytkownika testowego aplikacji Citrix ADC

W tej sekcji w aplikacji Citrix ADC jest tworzony użytkownik o nazwie B.Simon. Aplikacja Citrix ADC obsługuje aprowizację użytkowników typu just in time, która jest domyślnie włączona. W tej sekcji nie ma żadnej akcji. Jeśli użytkownik jeszcze nie istnieje w aplikacji Citrix ADC, zostanie utworzony po uwierzytelnieniu.

Uwaga

Jeśli musisz ręcznie utworzyć użytkownika, skontaktuj się z zespołem pomocy technicznej klienta aplikacji Citrix ADC.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.

• Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do adresu URL logowania citrix ADC, pod którym można zainicjować przepływ logowania.

• Przejdź bezpośrednio do adresu URL logowania citrix ADC i zainicjuj przepływ logowania z tego miejsca.

• Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Citrix ADC w Moje aplikacje nastąpi przekierowanie do adresu URL logowania citrix ADC. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Następne kroki

Po skonfigurowaniu usługi Citrix ADC możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.