Tutorial: Integração de logon único do Microsoft Entra com o Citrix ADC (autenticação baseada em cabeçalho)
Neste tutorial, você aprenderá a integrar o Citrix ADC ao Microsoft Entra ID. Ao integrar o Citrix ADC com o Microsoft Entra ID, você pode:
- Controle no Microsoft Entra ID quem tem acesso ao Citrix ADC.
- Permita que seus usuários entrem automaticamente no Citrix ADC com suas contas do Microsoft Entra.
- Gerencie suas contas em um local central.
Pré-requisitos
Para começar, você precisa dos seguintes itens:
- Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
- Assinatura habilitada para logon único (SSO) do Citrix ADC.
Descrição do cenário
Neste tutorial, você configura e testa o Microsoft Entra SSO em um ambiente de teste. O tutorial inclui estes cenários:
SSO iniciado pelo SP para Citrix ADC
Provisionamento de usuário Just in Time para Citrix ADC
Adicionar Citrix ADC da galeria
Para integrar o Citrix ADC com o Microsoft Entra ID, primeiro adicione o Citrix ADC à sua lista de aplicativos SaaS gerenciados da galeria:
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
Na seção Adicionar da galeria, digite Citrix ADC na caixa de pesquisa.
Nos resultados, selecione Citrix ADC e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.
Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.
Configurar e testar o Microsoft Entra SSO para Citrix ADC
Configure e teste o Microsoft Entra SSO com o Citrix ADC usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Citrix ADC.
Para configurar e testar o Microsoft Entra SSO com o Citrix ADC, execute as seguintes etapas:
Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
Crie um usuário de teste do Microsoft Entra - para testar o Microsoft Entra SSO com B.Simon.
Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o Microsoft Entra SSO.
Configure o Citrix ADC SSO - para definir as configurações de SSO no lado do aplicativo.
- Criar um usuário de teste do Citrix ADC - para ter um equivalente de B.Simon no Citrix ADC vinculado à representação do usuário do Microsoft Entra.
Teste SSO - para verificar se a configuração funciona.
Configurar o Microsoft Entra SSO
Para habilitar o Microsoft Entra SSO usando o portal do Azure, conclua estas etapas:
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Identity>Applications>Enterprise applications>Citrix ADC application integration pane, em Gerenciar, selecione Logon único.
No painel Selecionar um método de logon único, selecione SAML.
No painel Configurar Logon Único com SAML, selecione o ícone Editar caneta para Configuração Básica de SAML para editar as configurações.
Na seção Configuração Básica do SAML, para configurar o aplicativo no modo iniciado pelo IDP:
Na caixa de texto Identificador , insira uma URL com o seguinte padrão:
https://<Your FQDN>
Na caixa de texto URL de resposta, insira uma URL que tenha o seguinte padrão:
https://<Your FQDN>/CitrixAuthService/AuthService.asmx
Para configurar o aplicativo no modo iniciado pelo SP, selecione Definir URLs adicionais e conclua a seguinte etapa:
- Na caixa de texto URL de início de sessão, introduza um URL com o seguinte padrão:
https://<Your FQDN>/CitrixAuthService/AuthService.asmx
Nota
- Os URLs usados nesta seção não são valores reais. Atualize esses valores com os valores reais para Identificador, URL de resposta e URL de entrada. Entre em contato com a equipe de suporte ao cliente Citrix ADC para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica de SAML.
- Para configurar o SSO, as URLs devem estar acessíveis a partir de sites públicos. Você deve habilitar o firewall ou outras configurações de segurança no lado do Citrix ADC para permitir que o Microsoft Entra ID publique o token na URL configurada.
- Na caixa de texto URL de início de sessão, introduza um URL com o seguinte padrão:
No painel Configurar Logon Único com SAML, na seção Certificado de Assinatura SAML, para URL de Metadados de Federação de Aplicativos, copie a URL e salve-a no Bloco de Notas.
O aplicativo Citrix ADC espera que as asserções SAML estejam em um formato específico, o que requer que você adicione mapeamentos de atributos personalizados à sua configuração de atributos de token SAML. A captura de tela a seguir mostra a lista de atributos padrão. Selecione o ícone Editar e altere os mapeamentos de atributo.
O aplicativo Citrix ADC também espera que mais alguns atributos sejam passados de volta na resposta SAML. Na caixa de diálogo Atributos do Usuário, em Declarações do Usuário, conclua as seguintes etapas para adicionar os atributos de token SAML, conforme mostrado na tabela:
Nome Atributo Source mySecretID user.userprincipalname Selecione Adicionar nova declaração para abrir a caixa de diálogo Gerenciar declarações de usuário.
Na caixa de texto Nome , insira o nome do atributo mostrado para essa linha.
Deixe o Namespace em branco.
Em Atributo, selecione Origem.
Na lista Atributo de origem, insira o valor do atributo mostrado para essa linha.
Selecione OK.
Selecione Guardar.
Na seção Configurar o Citrix ADC , copie as URLs relevantes com base em suas necessidades.
Criar um usuário de teste do Microsoft Entra
Nesta seção, você criará um usuário de teste chamado B.Simon.
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
- Aceder a Identidade>Utilizadores>Todos os Utilizadores.
- Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
- Nas propriedades do usuário , siga estas etapas:
- No campo Nome para exibição , digite
B.Simon
. - No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo,
B.Simon@contoso.com
. - Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
- Selecione Rever + criar.
- No campo Nome para exibição , digite
- Selecione Criar.
Atribuir o usuário de teste do Microsoft Entra
Nesta seção, você habilita o usuário B.Simon para usar o Azure SSO concedendo ao usuário acesso ao Citrix ADC.
Navegue até Aplicativos de identidade>>Aplicativos corporativos.
Na lista de aplicativos, selecione Citrix ADC.
Na visão geral do aplicativo, em Gerenciar, selecione Usuários e grupos.
Selecione Adicionar utilizador. Em seguida, na caixa de diálogo Adicionar Atribuição , selecione Usuários e grupos.
Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários. Escolha Selecionar.
Se você estiver esperando que uma função seja atribuída aos usuários, poderá selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
Na caixa de diálogo Adicionar Atribuição, selecione Atribuir.
Configurar o SSO do Citrix ADC
Selecione um link para as etapas para o tipo de autenticação que você deseja configurar:
Configurar o SSO do Citrix ADC para autenticação baseada em cabeçalho
Configurar o SSO do Citrix ADC para autenticação baseada em Kerberos
Publicar o servidor Web
Para criar um servidor virtual:
Selecione Serviços de balanceamento>de carga de gerenciamento de>tráfego.
Selecione Adicionar.
Defina os seguintes valores para o servidor Web que está executando os aplicativos:
Nome do Serviço
IP do servidor/ Servidor existente
Protocolo
Porta
Configurar o balanceador de carga
Para configurar o balanceador de carga:
Vá para Servidores Virtuais de Balanceamento de Carga>de Gerenciamento de>Tráfego.
Selecione Adicionar.
Defina os seguintes valores conforme descrito na captura de tela a seguir:
- Nome
- Protocolo
- Endereço IP
- Porta
Selecione OK.
Vincular o servidor virtual
Para vincular o balanceador de carga ao servidor virtual:
No painel Serviços e Grupos de Serviços, selecione Sem Vinculação de Serviço de Servidor Virtual de Balanceamento de Carga.
Verifique as configurações conforme mostrado na captura de tela a seguir e selecione Fechar.
Vincular o certificado
Para publicar esse serviço como TLS, vincule o certificado do servidor e teste seu aplicativo:
Em Certificado, selecione Sem Certificado de Servidor.
Verifique as configurações conforme mostrado na captura de tela a seguir e selecione Fechar.
Perfil SAML do Citrix ADC
Para configurar o perfil SAML do Citrix ADC, preencha as seguintes seções:
Criar uma política de autenticação
Para criar uma política de autenticação:
Vá para Segurança>AAA – Políticas de Autenticação de Políticas de Tráfego>>de Aplicativos, Políticas de Autenticação.>
Selecione Adicionar.
No painel Criar Política de Autenticação, insira ou selecione os seguintes valores:
- Nome: insira um nome para sua política de autenticação.
- Ação: Digite SAML e selecione Adicionar.
- Expressão: Digite true.
Selecione Criar.
Criar um servidor SAML de autenticação
Para criar um servidor SAML de autenticação, vá para o painel Criar Servidor SAML de Autenticação e conclua as seguintes etapas:
Em Nome, insira um nome para o servidor SAML de autenticação.
Em Exportar metadados SAML:
Marque a caixa de seleção Importar metadados .
Insira a URL de metadados de federação da interface do usuário SAML do Azure que você copiou anteriormente.
Em Nome do emissor, insira o URL relevante.
Selecione Criar.
Criar um servidor virtual de autenticação
Para criar um servidor virtual de autenticação:
Vá para Security>AAA - Application Traffic Policies>>Authentication>Authentication Virtual Servers.
Selecione Adicionar e conclua as seguintes etapas:
Em Nome, insira um nome para o servidor virtual de autenticação.
Marque a caixa de seleção Não endereçável .
Em Protocolo, selecione SSL.
Selecione OK.
Configurar o servidor virtual de autenticação para usar o Microsoft Entra ID
Modifique duas seções para o servidor virtual de autenticação:
No painel Políticas de Autenticação Avançadas, selecione Sem Política de Autenticação.
No painel Vinculação de Política, selecione a política de autenticação e selecione Vincular.
No painel Servidores Virtuais Baseados em Formulário , selecione Sem Servidor Virtual de Balanceamento de Carga.
Para FQDN de autenticação, insira um nome de domínio totalmente qualificado (FQDN) (obrigatório).
Selecione o servidor virtual de balanceamento de carga que você deseja proteger com a autenticação do Microsoft Entra.
Selecione Vincular.
Nota
Certifique-se de selecionar Concluído no painel Configuração do Servidor Virtual de Autenticação.
Para verificar as alterações, num browser, aceda ao URL da aplicação. Deverá ver a página de início de sessão do inquilino em vez do acesso não autenticado que teria visto anteriormente.
Configurar o SSO do Citrix ADC para autenticação baseada em cabeçalho
Configurar o Citrix ADC
Para configurar o Citrix ADC para autenticação baseada em cabeçalho, conclua as seções a seguir.
Criar uma ação de reescrita
Vá para AppExpert>Rewrite>Rewrite Actions.
Selecione Adicionar e conclua as seguintes etapas:
Em Nome, insira um nome para a ação de reescrita.
Em Tipo, digite INSERT_HTTP_HEADER.
Em Nome do cabeçalho, insira um nome de cabeçalho (neste exemplo, usamos SecretID).
Em Expressão, insira aaa. UTILIZADOR. ATTRIBUTE("mySecretID"), onde mySecretID é a declaração SAML do Microsoft Entra que foi enviada para o Citrix ADC.
Selecione Criar.
Criar uma política de reescrita
Vá para AppExpert>Rewrite>Rewrite Policies.
Selecione Adicionar e conclua as seguintes etapas:
Em Nome, insira um nome para a política de reescrita.
Em Ação, selecione a ação de reescrita criada na seção anterior.
Em Expressão, insira true.
Selecione Criar.
Vincular uma política de regravação a um servidor virtual
Para vincular uma política de regravação a um servidor virtual usando a GUI:
Vá para Servidores Virtuais de Balanceamento de Carga>de Gerenciamento de>Tráfego.
Na lista de servidores virtuais, selecione o servidor virtual ao qual você deseja vincular a política de regravação e selecione Abrir.
No painel Servidor Virtual de Balanceamento de Carga, em Configurações Avançadas, selecione Políticas. Todas as políticas configuradas para sua instância do NetScaler aparecem na lista.
Marque a caixa de seleção ao lado do nome da política que você deseja vincular a esse servidor virtual.
Na caixa de diálogo Escolher tipo:
Em Choose Policy, selecione Traffic.
Em Choose Type, selecione Request.
Selecione OK. Uma mensagem na barra de status indica que a política foi configurada com êxito.
Modificar o servidor SAML para extrair atributos de uma declaração
Vá para Security>AAA - Application Traffic>Policies>Authentication>Advanced Policies>Actions>Servers.
Selecione o servidor SAML de autenticação apropriado para o aplicativo.
Na dor Atributos, insira os atributos SAML que você deseja extrair, separados por vírgulas. No nosso exemplo, inserimos o atributo
mySecretID
.Para verificar o acesso, na URL de um navegador, procure o atributo SAML em Coleção de cabeçalhos.
Criar um usuário de teste do Citrix ADC
Nesta seção, um usuário chamado B.Simon é criado no Citrix ADC. O Citrix ADC oferece suporte ao provisionamento de usuários just-in-time, que é habilitado por padrão. Não há nenhuma ação a ser tomada nesta seção. Se um usuário ainda não existir no Citrix ADC, um novo será criado após a autenticação.
Nota
Se você precisar criar um usuário manualmente, entre em contato com a equipe de suporte ao cliente Citrix ADC.
SSO de teste
Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.
Clique em Testar este aplicativo, isso redirecionará para o URL de logon do Citrix ADC, onde você poderá iniciar o fluxo de login.
Vá para o URL de logon do Citrix ADC diretamente e inicie o fluxo de login a partir daí.
Você pode usar o Microsoft My Apps. Quando você clica no bloco Citrix ADC em Meus aplicativos, isso redireciona para a URL de logon do Citrix ADC. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.
Próximos passos
Depois de configurar o Citrix ADC, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.