Tutorial: Integração do logon único do Microsoft Entra ao conector SAML do Citrix ADC para Microsoft Entra ID (autenticação baseada em Kerberos)
Neste tutorial, você aprenderá a integrar o conector SAML do Citrix ADC para Microsoft Entra ID com o Microsoft Entra ID. Ao integrar o conector SAML do Citrix ADC para Microsoft Entra ID com o Microsoft Entra ID, você poderá:
- Controlar, no Microsoft Entra ID, quem tem acesso ao conector SAML Citrix ADC para Microsoft Entra ID.
- Permita que seus usuários entrem automaticamente no conector SAML do Citrix ADC para Microsoft Entra ID com suas contas do Microsoft Entra.
- Gerencie suas contas em um local central.
Pré-requisitos
Para começar, você precisará dos seguintes itens:
- Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
- Assinatura habilitada para SSO (logon único) do conector SAML do Citrix ADC para Microsoft Entra.
Descrição do cenário
Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste. Este tutorial inclui os seguintes cenários:
SSO iniciado por SP para o conector SAML do Citrix ADC para Microsoft Entra ID.
Provisionamento de usuário just-in-time para o conector SAML do Citrix ADC para Microsoft Entra ID.
Autenticação baseada em Kerberos para o conector SAML do Citrix ADC para Microsoft Entra ID.
Autenticação baseada em cabeçalho para o conector SAML do Citrix ADC para Microsoft Entra ID.
Adicionar o conector SAML do Citrix ADC para Microsoft Entra ID da galeria
Para integrar o conector SAML do Citrix ADC para Microsoft Entra ID ao Microsoft Entra ID, primeiro, adicione o conector SAML do Citrix ADC para Microsoft Entra ID da galeria à lista de aplicativos SaaS gerenciados:
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
Na seção Adicionar da galeria, insira o conector SAML do Citrix ADC para Microsoft Entra ID na caixa de pesquisa.
Nos resultados, selecione o conector SAML do Citrix ADC para Microsoft Entra ID e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.
Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.
Configurar e testar o SSO do Microsoft Entra para o conector SAML do Citrix ADC para Microsoft Entra ID
Configure e teste o SSO do Microsoft Entra com o conector SAML do Citrix ADC para Microsoft Entra ID por meio de um usuário de teste chamado B.Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no conector do SAML do Citrix ADC para Microsoft Entra ID.
Para configurar e testar o SSO do Microsoft Entra com o conector SAML do Citrix ADC para Microsoft Entra ID, execute as seguintes etapas:
Configurar o SSO do Microsoft Entra – para permitir que os usuários usem esse recurso.
Criar um usuário de teste do Microsoft Entra: para testar o SSO do Microsoft Entra com B.Fernandes.
Atribuir o usuário de teste do Microsoft Entra – para permitir que B.Fernandes use o SSO do Microsoft Entra.
Configurar o SSO do conector SAML do Citrix ADC para Microsoft Entra – para definir as configurações de SSO no lado do aplicativo.
- Criar um usuário de teste do conector SAML do Citrix ADC para Microsoft Entra – para ter um equivalente de B.Fernandes no conector SAML do Citrix ADC para Microsoft Entra ID que esteja vinculado à representação do usuário no Microsoft Entra.
Testar o SSO – para verificar se a configuração funciona.
Configurar o SSO do Microsoft Entra
Para habilitar o SSO do Microsoft Entra usando o portal do Azure, execute as seguintes etapas:
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até o painel de integração de aplicativos Identidade>Aplicativos>Aplicativos empresariais>Conector SAML do Citrix ADC para Microsoft Entra ID, em Gerenciar, e selecione Logon único.
No painel Selecionar um método de logon único, selecione SAML.
No painel Configurar o Logon Único com o SAML, selecione o ícone de lápis de Configuração Básica do SAML para editar as configurações.
Na seção Configuração Básica do SAML, para configurar o aplicativo no modo iniciado por IdP, execute as seguintes etapas:
Na caixa de texto Identificador, digite uma URL com o seguinte padrão:
https://<YOUR_FQDN>
Na caixa de texto URL de Resposta, digite uma URL com o seguinte padrão:
http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth
Para configurar o aplicativo no modo iniciado por SP, selecione Definir URLs adicionais e execute a seguinte etapa:
- Na caixa de texto URL de Entrada, digite uma URL com o seguinte padrão:
https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx
Observação
- As URLs que são usadas nesta seção não são valores reais. Atualize esses valores com os valores reais do Identificador, da URL de Resposta e da URL de Logon. Entre em contato com a equipe de suporte ao cliente do conector SAML do Citrix ADC para Microsoft Entra para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica do SAML.
- Para configurar o SSO, as URLs devem ser acessíveis de sites públicos. É necessário habilitar o firewall ou outras configurações de segurança no lado do conector SAML do Citrix ADC para Microsoft Entra ID a fim de permitir que o Microsoft Entra ID publique o token na URL configurada.
- Na caixa de texto URL de Entrada, digite uma URL com o seguinte padrão:
No painel Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, encontre a URL de Metadados de Federação do Aplicativo, copie a URL e salve-a no Bloco de notas.
Na seção Configurar o conector SAML do Citrix ADC para Microsoft Entra ID, copie as URLs relevantes de acordo com suas necessidades.
Criar um usuário de teste do Microsoft Entra
Nesta seção, crie um usuário de teste chamado B.Simon.
- Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
- Navegue até Identidade>Usuários>Todos os usuários.
- Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
- Nas propriedades do Usuário, siga estas etapas:
- No campo Nome de exibição, insira
B.Simon
. - No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo,
B.Simon@contoso.com
. - Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
- Selecione Examinar + criar.
- No campo Nome de exibição, insira
- Selecione Criar.
Atribuir o usuário de teste do Microsoft Entra
Nesta seção, você permitirá que o usuário B.Fernandes use o SSO do Azure concedendo-lhe acesso ao conector SAML do Citrix ADC para Microsoft Entra ID.
Navegue até Identidade>Aplicativos>Aplicativos empresariais.
Na lista de aplicativos, selecione Conector SAML do Citrix ADC para Microsoft Entra ID.
Na visão geral do aplicativo, em Gerenciar, selecione Usuários e grupos.
Selecione Adicionar usuário. Em seguida, na caixa de diálogo Adicionar Atribuição, selecione Usuários e grupos.
Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários. Escolha Selecionar.
Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
Na caixa de diálogo Adicionar Atribuição, selecione Atribuir.
Configurar o SSO do conector SAML do Citrix ADC do Microsoft Entra
Selecione um link para as etapas referentes ao tipo de autenticação que você deseja configurar:
Publicar o servidor Web
Para criar um servidor virtual:
Selecione Gerenciamento de Tráfego>Balanceamento de Carga>Serviços.
Selecione Adicionar.
Defina os seguintes valores para o servidor Web que está executando os aplicativos:
- Nome do Serviço
- IP do servidor/servidor existente
- Protocolo
- Porta
Configure o balanceador de carga
Para configurar o balanceador de carga:
Acesse Gerenciamento de Tráfego>Balanceamento de Carga>Servidores Virtuais.
Selecione Adicionar.
Defina os valores a seguir, conforme descrito na seguinte captura de tela:
- Nome
- Protocolo
- Endereço IP
- Porta
Selecione OK.
Associar o servidor virtual
Para associar o balanceador de carga ao servidor virtual:
No painel Serviços e Grupos de Serviços, selecione Nenhuma Associação de Serviço do Servidor Virtual de Balanceamento de Carga.
Verifique as configurações conforme mostrado na captura de tela a seguir e, em seguida, selecione Fechar.
Associar o certificado
Para publicar esse serviço como TLS, associe o certificado do servidor e, em seguida, teste o aplicativo:
Em Certificado, selecione Nenhum Certificado do Servidor.
Verifique as configurações conforme mostrado na captura de tela a seguir e, em seguida, selecione Fechar.
Perfil SAML do conector SAML do Citrix ADC do Microsoft Entra
Para configurar o perfil SAML do conector SAML do Citrix ADC para Microsoft Entra, conclua as seções a seguir.
Criar uma política de autenticação
Para criar uma política de autenticação:
Acesse Segurança>AAA: Tráfego de Aplicativo>Políticas>Autenticação>Políticas de Autenticação.
Selecione Adicionar.
No painel Criar Política de Autenticação, insira ou selecione os seguintes valores:
- Name: insira um nome para a política de autenticação.
- Ação: insira SAML e selecione Adicionar.
- Expressão: insira verdadeiro.
Selecione Criar.
Criar um servidor SAML de autenticação
Para criar um servidor SAML de autenticação, acesse o painel Criar Servidor SAML de Autenticação e, em seguida, conclua as seguintes etapas:
Para Nome, insira um nome para o servidor SAML de autenticação.
Em Exportar Metadados SAML:
Marque a caixa de seleção Importar Metadados.
Insira a URL de metadados de federação da interface do usuário SAML do Azure que você copiou anteriormente.
Para Nome do Emissor, insira a URL relevante.
Selecione Criar.
Criar um servidor virtual de autenticação
Para criar um servidor virtual de autenticação:
Acesse Segurança>AAA: Tráfego de Aplicativo>Políticas>Autenticação>Servidores Virtuais de Autenticação.
Selecione Adicionar e conclua as etapas a seguir:
Para Nome, insira um nome para o servidor virtual de autenticação.
Marque a caixa de seleção Não endereçável.
Em Protocolo, selecione SSL.
Selecione OK.
Selecione Continuar.
Configurar o servidor virtual de autenticação para usar o Microsoft Entra ID
Modifique duas seções para o servidor virtual de autenticação:
No painel Políticas de Autenticação Avançadas, selecione Nenhuma Política de Autenticação.
No painel Associação de Política, selecione a política de autenticação e, em seguida, selecione Associar.
No painel Servidores Virtuais Baseados em Formulário, selecione Nenhum Servidor Virtual de Balanceamento de Carga.
Para FQDN de Autenticação, insira um FQDN (nome de domínio totalmente qualificado) (obrigatório).
Selecione o servidor virtual de balanceamento de carga que você quer proteger com a autenticação do Microsoft Entra.
Selecione Associar.
Observação
Selecione Concluído no painel Configuração do Servidor Virtual de Autenticação.
Para verificar as alterações, em um navegador, vá para a URL do aplicativo. Você deve ver sua página de entrada do locatário em vez do acesso não autenticado que você viu anteriormente.
Configurar o SSO do conector SAML do Citrix ADC para Microsoft Entra para autenticação baseada em Kerberos
Criar uma conta de delegação Kerberos para o conector SAML do Citrix ADC para Microsoft Entra ID
Crie uma Conta de usuário (neste exemplo AppDelegation).
Configure um SPN de HOST nessas contas.
Exemplo:
setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation
Neste exemplo:
IDENTT.WORK
é o FQDN do domínio.identt
é o nome NetBIOS do domínio.appdelegation
é o nome da conta de usuário de delegação.
Configure a delegação para o servidor Web, conforme mostrado na seguinte captura de tela:
Observação
No exemplo da captura de tela, o nome do servidor Web interno que executa o site da WIA (Autenticação Integrada do Windows) é CWEB2.
AAA KCD (contas de delegação Kerberos) do conector SAML do Citrix ADC para Microsoft Entra
Para configurar a conta AAA KCD do conector SAML do Citrix ADC para Microsoft Entra:
Acesse o Gateway do Citrix>Contas AAA KCD (Delegação Restrita do Kerberos).
Selecione Adicionar e, em seguida, insira ou selecione os seguintes valores:
Name: insira um nome para a conta da KCD.
Realm: insira o domínio e a extensão em letras maiúsculas.
SPN de serviço:
http/<host/fqdn>@<DOMAIN.COM>
.Observação
@DOMAIN.COM
é necessário e deve estar em letras maiúsculas. Exemplo:http/cweb2@IDENTT.WORK
.Usuário Delegado: insira o nome de usuário delegado.
Marque a caixa de seleção Senha para Usuário Delegado e digite e confirme uma senha.
Selecione OK.
Política de tráfego e perfil de tráfego do Citrix
Para configurar a política de tráfego e perfil de tráfego do Citrix:
Acesse Segurança>AAA – Tráfego de Aplicativo>Políticas>Políticas de Tráfego, Perfis e Formulários Perfis de SSO Políticas de Tráfego.
Selecione Perfis de Tráfego.
Selecione Adicionar.
Para configurar um perfil de tráfego, digite ou selecione os valores a seguir.
Name: insira um nome para o perfil de tráfego.
Logon único: selecione ATIVADO.
Conta da KCD: selecione a conta da KCD criada na seção anterior.
Selecione OK.
Selecione Política de Tráfego.
Selecione Adicionar.
Para configurar uma política de tráfego, digite ou selecione os valores a seguir:
Name: insira um nome para a política de tráfego.
Perfil: selecione o perfil de tráfego criado na seção anterior.
Expressão: insira verdadeiro.
Selecione OK.
Associar uma política de tráfego a um servidor virtual no Citrix
Para associar uma política de Tráfego a um servidor virtual usando a GUI:
Acesse Gerenciamento de Tráfego>Balanceamento de Carga>Servidores Virtuais.
Na lista de servidores virtuais, selecione o servidor virtual ao qual deseja associar a política de reescrita e, em seguida, seleciona Abrir.
No painel Servidor Virtual de Balanceamento de Carga, em Configurações Avançadas, selecione Políticas. Todas as políticas que são configuradas para sua instância do NetScaler aparecem na lista.
Marque a caixa de seleção ao lado do nome da política que deseja associar a esse servidor virtual.
Na caixa de diálogo Escolher Tipo:
Em Escolher Política, selecione Tráfego.
Em Escolher Tipo, selecione Solicitação.
Quando a política estiver associada, selecione Concluído.
Teste a associação usando o site do WIA.
Criar usuário de teste do conector SAML do Citrix ADC do Microsoft Entra
Nesta seção, um usuário chamado B.Fernandes será criado no conector SAML do Citrix ADC para Microsoft Entra ID. O conector SAML do Citrix ADC para Microsoft Entra ID dá suporte ao provisionamento de usuário just-in-time, que é habilitado por padrão. Não há nenhuma ação para você executar nesta seção. Se ainda não houver um usuário no conector SAML do Citrix ADC para Microsoft Entra ID, ele será criado após a autenticação.
Observação
Caso precise criar um usuário manualmente, entre em contato com a equipe de suporte ao cliente do conector SAML do Citrix ADC para Microsoft Entra.
Testar o SSO
Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.
Clique em Testar este aplicativo para ser redirecionado à URL de logon do conector SAML do Citrix ADC para Microsoft Entra, onde você poderá iniciar o fluxo de logon.
Acesse diretamente a URL de logon do conector SAML do Citrix ADC para Microsoft Entra e inicie o fluxo de logon aí.
Você pode usar os Meus Aplicativos da Microsoft. Ao clicar no bloco do conector SAML do Citrix ADC para Microsoft Entra ID em Meus Aplicativos, você será redirecionado à URL de logon do conector SAML do Citrix ADC para Microsoft Entra. Para obter mais informações sobre os Meus Aplicativos, confira Introdução aos Meus Aplicativos.
Próximas etapas
Depois de configurar o conector SAML do Citrix ADC para Microsoft Entra ID, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.