Compartilhar via


Tutorial: Integração do logon único do Microsoft Entra ao conector SAML do Citrix ADC para Microsoft Entra ID (autenticação baseada em Kerberos)

Neste tutorial, você aprenderá a integrar o conector SAML do Citrix ADC para Microsoft Entra ID com o Microsoft Entra ID. Ao integrar o conector SAML do Citrix ADC para Microsoft Entra ID com o Microsoft Entra ID, você poderá:

  • Controlar, no Microsoft Entra ID, quem tem acesso ao conector SAML Citrix ADC para Microsoft Entra ID.
  • Permita que seus usuários entrem automaticamente no conector SAML do Citrix ADC para Microsoft Entra ID com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
  • Assinatura habilitada para SSO (logon único) do conector SAML do Citrix ADC para Microsoft Entra.

Descrição do cenário

Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste. Este tutorial inclui os seguintes cenários:

Para integrar o conector SAML do Citrix ADC para Microsoft Entra ID ao Microsoft Entra ID, primeiro, adicione o conector SAML do Citrix ADC para Microsoft Entra ID da galeria à lista de aplicativos SaaS gerenciados:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.

  3. Na seção Adicionar da galeria, insira o conector SAML do Citrix ADC para Microsoft Entra ID na caixa de pesquisa.

  4. Nos resultados, selecione o conector SAML do Citrix ADC para Microsoft Entra ID e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o conector SAML do Citrix ADC para Microsoft Entra ID

Configure e teste o SSO do Microsoft Entra com o conector SAML do Citrix ADC para Microsoft Entra ID por meio de um usuário de teste chamado B.Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no conector do SAML do Citrix ADC para Microsoft Entra ID.

Para configurar e testar o SSO do Microsoft Entra com o conector SAML do Citrix ADC para Microsoft Entra ID, execute as seguintes etapas:

  1. Configurar o SSO do Microsoft Entra – para permitir que os usuários usem esse recurso.

    1. Criar um usuário de teste do Microsoft Entra: para testar o SSO do Microsoft Entra com B.Fernandes.

    2. Atribuir o usuário de teste do Microsoft Entra – para permitir que B.Fernandes use o SSO do Microsoft Entra.

  2. Configurar o SSO do conector SAML do Citrix ADC para Microsoft Entra – para definir as configurações de SSO no lado do aplicativo.

    1. Criar um usuário de teste do conector SAML do Citrix ADC para Microsoft Entra – para ter um equivalente de B.Fernandes no conector SAML do Citrix ADC para Microsoft Entra ID que esteja vinculado à representação do usuário no Microsoft Entra.
  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Para habilitar o SSO do Microsoft Entra usando o portal do Azure, execute as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até o painel de integração de aplicativos Identidade>Aplicativos>Aplicativos empresariais>Conector SAML do Citrix ADC para Microsoft Entra ID, em Gerenciar, e selecione Logon único.

  3. No painel Selecionar um método de logon único, selecione SAML.

  4. No painel Configurar o Logon Único com o SAML, selecione o ícone de lápis de Configuração Básica do SAML para editar as configurações.

    Captura de tela mostra como editar a Configuração Básica do SAML.

  5. Na seção Configuração Básica do SAML, para configurar o aplicativo no modo iniciado por IdP, execute as seguintes etapas:

    1. Na caixa de texto Identificador, digite uma URL com o seguinte padrão: https://<YOUR_FQDN>

    2. Na caixa de texto URL de Resposta, digite uma URL com o seguinte padrão: http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

  6. Para configurar o aplicativo no modo iniciado por SP, selecione Definir URLs adicionais e execute a seguinte etapa:

    • Na caixa de texto URL de Entrada, digite uma URL com o seguinte padrão: https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

    Observação

    • As URLs que são usadas nesta seção não são valores reais. Atualize esses valores com os valores reais do Identificador, da URL de Resposta e da URL de Logon. Entre em contato com a equipe de suporte ao cliente do conector SAML do Citrix ADC para Microsoft Entra para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica do SAML.
    • Para configurar o SSO, as URLs devem ser acessíveis de sites públicos. É necessário habilitar o firewall ou outras configurações de segurança no lado do conector SAML do Citrix ADC para Microsoft Entra ID a fim de permitir que o Microsoft Entra ID publique o token na URL configurada.
  7. No painel Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, encontre a URL de Metadados de Federação do Aplicativo, copie a URL e salve-a no Bloco de notas.

    Captura de tela que mostra o link de download do Certificado.

  8. Na seção Configurar o conector SAML do Citrix ADC para Microsoft Entra ID, copie as URLs relevantes de acordo com suas necessidades.

    Captura de tela que mostra como copiar as URLs de configuração.

Criar um usuário de teste do Microsoft Entra

Nesta seção, crie um usuário de teste chamado B.Simon.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
  4. Nas propriedades do Usuário, siga estas etapas:
    1. No campo Nome de exibição, insira B.Simon.
    2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
    4. Selecione Examinar + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que o usuário B.Fernandes use o SSO do Azure concedendo-lhe acesso ao conector SAML do Citrix ADC para Microsoft Entra ID.

  1. Navegue até Identidade>Aplicativos>Aplicativos empresariais.

  2. Na lista de aplicativos, selecione Conector SAML do Citrix ADC para Microsoft Entra ID.

  3. Na visão geral do aplicativo, em Gerenciar, selecione Usuários e grupos.

  4. Selecione Adicionar usuário. Em seguida, na caixa de diálogo Adicionar Atribuição, selecione Usuários e grupos.

  5. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários. Escolha Selecionar.

  6. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.

  7. Na caixa de diálogo Adicionar Atribuição, selecione Atribuir.

Configurar o SSO do conector SAML do Citrix ADC do Microsoft Entra

Selecione um link para as etapas referentes ao tipo de autenticação que você deseja configurar:

Publicar o servidor Web

Para criar um servidor virtual:

  1. Selecione Gerenciamento de Tráfego>Balanceamento de Carga>Serviços.

  2. Selecione Adicionar.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Painel Serviços.

  3. Defina os seguintes valores para o servidor Web que está executando os aplicativos:

    • Nome do Serviço
    • IP do servidor/servidor existente
    • Protocolo
    • Porta

Configure o balanceador de carga

Para configurar o balanceador de carga:

  1. Acesse Gerenciamento de Tráfego>Balanceamento de Carga>Servidores Virtuais.

  2. Selecione Adicionar.

  3. Defina os valores a seguir, conforme descrito na seguinte captura de tela:

    • Nome
    • Protocolo
    • Endereço IP
    • Porta
  4. Selecione OK.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Painel Configurações Básicas.

Associar o servidor virtual

Para associar o balanceador de carga ao servidor virtual:

  1. No painel Serviços e Grupos de Serviços, selecione Nenhuma Associação de Serviço do Servidor Virtual de Balanceamento de Carga.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Painel Associação de Serviço do Servidor Virtual de Balanceamento de Carga.

  2. Verifique as configurações conforme mostrado na captura de tela a seguir e, em seguida, selecione Fechar.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Verificar a associação de serviços do servidor virtual.

Associar o certificado

Para publicar esse serviço como TLS, associe o certificado do servidor e, em seguida, teste o aplicativo:

  1. Em Certificado, selecione Nenhum Certificado do Servidor.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Painel Certificado do Servidor.

  2. Verifique as configurações conforme mostrado na captura de tela a seguir e, em seguida, selecione Fechar.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Verificar o certificado.

Perfil SAML do conector SAML do Citrix ADC do Microsoft Entra

Para configurar o perfil SAML do conector SAML do Citrix ADC para Microsoft Entra, conclua as seções a seguir.

Criar uma política de autenticação

Para criar uma política de autenticação:

  1. Acesse Segurança>AAA: Tráfego de Aplicativo>Políticas>Autenticação>Políticas de Autenticação.

  2. Selecione Adicionar.

  3. No painel Criar Política de Autenticação, insira ou selecione os seguintes valores:

    • Name: insira um nome para a política de autenticação.
    • Ação: insira SAML e selecione Adicionar.
    • Expressão: insira verdadeiro.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Painel Criar Política de Autenticação.

  4. Selecione Criar.

Criar um servidor SAML de autenticação

Para criar um servidor SAML de autenticação, acesse o painel Criar Servidor SAML de Autenticação e, em seguida, conclua as seguintes etapas:

  1. Para Nome, insira um nome para o servidor SAML de autenticação.

  2. Em Exportar Metadados SAML:

    1. Marque a caixa de seleção Importar Metadados.

    2. Insira a URL de metadados de federação da interface do usuário SAML do Azure que você copiou anteriormente.

  3. Para Nome do Emissor, insira a URL relevante.

  4. Selecione Criar.

Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Painel Criar Servidor SAML de Autenticação.

Criar um servidor virtual de autenticação

Para criar um servidor virtual de autenticação:

  1. Acesse Segurança>AAA: Tráfego de Aplicativo>Políticas>Autenticação>Servidores Virtuais de Autenticação.

  2. Selecione Adicionar e conclua as etapas a seguir:

    1. Para Nome, insira um nome para o servidor virtual de autenticação.

    2. Marque a caixa de seleção Não endereçável.

    3. Em Protocolo, selecione SSL.

    4. Selecione OK.

  3. Selecione Continuar.

Configurar o servidor virtual de autenticação para usar o Microsoft Entra ID

Modifique duas seções para o servidor virtual de autenticação:

  1. No painel Políticas de Autenticação Avançadas, selecione Nenhuma Política de Autenticação.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Painel Políticas de Autenticação Avançadas.

  2. No painel Associação de Política, selecione a política de autenticação e, em seguida, selecione Associar.

    Captura de tela da vonfiguração do conector SAML do Citrix ADC para Microsoft Entra – Painel Associação de Política

  3. No painel Servidores Virtuais Baseados em Formulário, selecione Nenhum Servidor Virtual de Balanceamento de Carga.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Painel Servidores Virtuais Baseados em Formulário.

  4. Para FQDN de Autenticação, insira um FQDN (nome de domínio totalmente qualificado) (obrigatório).

  5. Selecione o servidor virtual de balanceamento de carga que você quer proteger com a autenticação do Microsoft Entra.

  6. Selecione Associar.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Painel Associação do Servidor Virtual de Balanceamento de Carga.

    Observação

    Selecione Concluído no painel Configuração do Servidor Virtual de Autenticação.

  7. Para verificar as alterações, em um navegador, vá para a URL do aplicativo. Você deve ver sua página de entrada do locatário em vez do acesso não autenticado que você viu anteriormente.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Uma página de entrada em um navegador da Web.

Configurar o SSO do conector SAML do Citrix ADC para Microsoft Entra para autenticação baseada em Kerberos

Criar uma conta de delegação Kerberos para o conector SAML do Citrix ADC para Microsoft Entra ID

  1. Crie uma Conta de usuário (neste exemplo AppDelegation).

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Painel Propriedades.

  2. Configure um SPN de HOST nessas contas.

    Exemplo: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

    Neste exemplo:

    • IDENTT.WORK é o FQDN do domínio.
    • identt é o nome NetBIOS do domínio.
    • appdelegation é o nome da conta de usuário de delegação.
  3. Configure a delegação para o servidor Web, conforme mostrado na seguinte captura de tela:

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Delegação no painel Propriedades.

    Observação

    No exemplo da captura de tela, o nome do servidor Web interno que executa o site da WIA (Autenticação Integrada do Windows) é CWEB2.

AAA KCD (contas de delegação Kerberos) do conector SAML do Citrix ADC para Microsoft Entra

Para configurar a conta AAA KCD do conector SAML do Citrix ADC para Microsoft Entra:

  1. Acesse o Gateway do Citrix>Contas AAA KCD (Delegação Restrita do Kerberos).

  2. Selecione Adicionar e, em seguida, insira ou selecione os seguintes valores:

    • Name: insira um nome para a conta da KCD.

    • Realm: insira o domínio e a extensão em letras maiúsculas.

    • SPN de serviço: http/<host/fqdn>@<DOMAIN.COM>.

      Observação

      @DOMAIN.COM é necessário e deve estar em letras maiúsculas. Exemplo: http/cweb2@IDENTT.WORK.

    • Usuário Delegado: insira o nome de usuário delegado.

    • Marque a caixa de seleção Senha para Usuário Delegado e digite e confirme uma senha.

  3. Selecione OK.

Política de tráfego e perfil de tráfego do Citrix

Para configurar a política de tráfego e perfil de tráfego do Citrix:

  1. Acesse Segurança>AAA – Tráfego de Aplicativo>Políticas>Políticas de Tráfego, Perfis e Formulários Perfis de SSO Políticas de Tráfego.

  2. Selecione Perfis de Tráfego.

  3. Selecione Adicionar.

  4. Para configurar um perfil de tráfego, digite ou selecione os valores a seguir.

    • Name: insira um nome para o perfil de tráfego.

    • Logon único: selecione ATIVADO.

    • Conta da KCD: selecione a conta da KCD criada na seção anterior.

  5. Selecione OK.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Painel Configurar Perfil de Tráfego.

  6. Selecione Política de Tráfego.

  7. Selecione Adicionar.

  8. Para configurar uma política de tráfego, digite ou selecione os valores a seguir:

    • Name: insira um nome para a política de tráfego.

    • Perfil: selecione o perfil de tráfego criado na seção anterior.

    • Expressão: insira verdadeiro.

  9. Selecione OK.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Painel Configurar Política de Tráfego

Associar uma política de tráfego a um servidor virtual no Citrix

Para associar uma política de Tráfego a um servidor virtual usando a GUI:

  1. Acesse Gerenciamento de Tráfego>Balanceamento de Carga>Servidores Virtuais.

  2. Na lista de servidores virtuais, selecione o servidor virtual ao qual deseja associar a política de reescrita e, em seguida, seleciona Abrir.

  3. No painel Servidor Virtual de Balanceamento de Carga, em Configurações Avançadas, selecione Políticas. Todas as políticas que são configuradas para sua instância do NetScaler aparecem na lista.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Painel Servidor Virtual de Balanceamento de Carga.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Caixa de diálogo Políticas.

  4. Marque a caixa de seleção ao lado do nome da política que deseja associar a esse servidor virtual.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Painel Associação de Política de Tráfego do Servidor Virtual de Balanceamento de Carga.

  5. Na caixa de diálogo Escolher Tipo:

    1. Em Escolher Política, selecione Tráfego.

    2. Em Escolher Tipo, selecione Solicitação.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Painel Escolher Tipo.

  6. Quando a política estiver associada, selecione Concluído.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Painel Políticas.

  7. Teste a associação usando o site do WIA.

    Captura de tela da configuração do conector SAML do Citrix ADC para Microsoft Entra – Uma página de teste em um navegador da Web

Criar usuário de teste do conector SAML do Citrix ADC do Microsoft Entra

Nesta seção, um usuário chamado B.Fernandes será criado no conector SAML do Citrix ADC para Microsoft Entra ID. O conector SAML do Citrix ADC para Microsoft Entra ID dá suporte ao provisionamento de usuário just-in-time, que é habilitado por padrão. Não há nenhuma ação para você executar nesta seção. Se ainda não houver um usuário no conector SAML do Citrix ADC para Microsoft Entra ID, ele será criado após a autenticação.

Observação

Caso precise criar um usuário manualmente, entre em contato com a equipe de suporte ao cliente do conector SAML do Citrix ADC para Microsoft Entra.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

  • Clique em Testar este aplicativo para ser redirecionado à URL de logon do conector SAML do Citrix ADC para Microsoft Entra, onde você poderá iniciar o fluxo de logon.

  • Acesse diretamente a URL de logon do conector SAML do Citrix ADC para Microsoft Entra e inicie o fluxo de logon aí.

  • Você pode usar os Meus Aplicativos da Microsoft. Ao clicar no bloco do conector SAML do Citrix ADC para Microsoft Entra ID em Meus Aplicativos, você será redirecionado à URL de logon do conector SAML do Citrix ADC para Microsoft Entra. Para obter mais informações sobre os Meus Aplicativos, confira Introdução aos Meus Aplicativos.

Próximas etapas

Depois de configurar o conector SAML do Citrix ADC para Microsoft Entra ID, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.