Integração de logon único do Microsoft Entra com o Citrix ADC (autenticação baseada em cabeçalho)

Neste artigo, você aprenderá como integrar o Citrix ADC ao Microsoft Entra ID. Ao integrar o Citrix ADC com o Microsoft Entra ID, você pode:

• Controle no Microsoft Entra ID quem tem acesso ao Citrix ADC.
• Permita que seus usuários entrem automaticamente no Citrix ADC com suas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se ainda não tiver uma, pode criar uma conta gratuitamente.
• Uma das seguintes funções:
  • Administrador de Aplicações
  • Administrador de Aplicações na Cloud
  • Proprietário da Aplicação.

• Assinatura habilitada para logon único (SSO) do Citrix ADC.

Descrição do cenário

Neste artigo, você configura e testa o Microsoft Entra SSO em um ambiente de teste. O artigo inclui estes cenários:

• SSO iniciado pelo SP para Citrix ADC

• Provisionamento de usuário Just in Time para Citrix ADC

• Autenticação baseada em cabeçalho para Citrix ADC

• Autenticação baseada em Kerberos para Citrix ADC

Adicionar Citrix ADC da galeria

Para integrar o Citrix ADC com o Microsoft Entra ID, primeiro adicione o Citrix ADC à sua lista de aplicativos SaaS gerenciados da galeria:

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Identidade>Aplicações>Aplicações empresariais>Nova aplicação.

3. Na seção Adicionar da galeria, digite Citrix ADC na caixa de pesquisa.

4. Nos resultados, selecione Citrix ADC e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para Citrix ADC

Configure e teste o Microsoft Entra SSO com o Citrix ADC usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Citrix ADC.

Para configurar e testar o Microsoft Entra SSO com o Citrix ADC, execute as seguintes etapas:

1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.

   1. Crie um usuário de teste do Microsoft Entra - para testar o Microsoft Entra SSO com B.Simon.

   2. Atribua o utilizador de teste do Microsoft Entra - para permitir que B.Simon utilize o SSO do Microsoft Entra.

2. Configure o Citrix ADC SSO - para definir as configurações de SSO no lado do aplicativo.

   • Criar um utilizador de teste no Citrix ADC - para ter um equivalente de B.Simon no Citrix ADC ligado à representação do utilizador no Microsoft Entra.

3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Para habilitar o Microsoft Entra SSO usando o portal do Azure, conclua estas etapas:

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Identity>>visão de integração de aplicação Citrix ADC, em Gerenciar, selecione Single sign-on.

3. No painel Selecionar um método de logon único, selecione SAML.

4. No painel Configurar Logon Único com SAML, selecione o ícone de edição Editar para Configuração Básica do SAML para editar as definições.

   

5. Na secção Configuração Básica do SAML, para configurar o aplicativo no modo IDP iniciado:

   1. Na caixa de texto Identificador , insira uma URL com o seguinte padrão: https://<Your FQDN>

   2. Na caixa de texto URL de Resposta, insira uma URL que tenha o seguinte padrão:https://<Your FQDN>/CitrixAuthService/AuthService.asmx

6. Para configurar a aplicação no modo SP-initiated, selecione Definir URLs adicionais e conclua as seguintes etapas:

   • Na caixa de texto URL de início de sessão, introduza um URL com o seguinte padrão:https://<Your FQDN>/CitrixAuthService/AuthService.asmx

   Nota

   • Os URLs usados nesta seção não são valores reais. Atualize esses valores com os valores reais para Identificador, URL de resposta e URL de entrada. Entre em contato com a equipe de suporte ao cliente Citrix ADC para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica de SAML.
   • Para configurar o SSO, as URLs devem estar acessíveis a partir de sites públicos. Você deve habilitar o firewall ou outras configurações de segurança no lado do Citrix ADC para permitir que o Microsoft Entra ID publique o token na URL configurada.

7. No painel Configurar Início de Sessão Único com SAML, na secção do Certificado de Assinatura SAML, para URL de Metadados de Federação de Aplicativos, copie o URL e guarde-o no Bloco de Notas.

   

8. O aplicativo Citrix ADC espera que as asserções SAML estejam em um formato específico, o que requer que você adicione mapeamentos de atributos personalizados à sua configuração de atributos de token SAML. A captura de tela a seguir mostra a lista de atributos padrão. Selecione o ícone Editar e altere os mapeamentos de atributo.

   

9. O aplicativo Citrix ADC também espera que mais alguns atributos sejam passados de volta na resposta SAML. Na caixa de diálogo Atributos do Usuário, em Declarações do Usuário, conclua as seguintes etapas para adicionar os atributos de token SAML, conforme mostrado na tabela:

   Nome	Atributo Fonte
   mySecretID	user.userprincipalname

   1. Selecione Adicionar nova declaração para abrir a caixa de diálogo Gerenciar declarações de usuário.

   2. Na caixa de texto Nome, insira o nome do atributo mostrado para essa linha.

   3. Deixe o Namespace em branco.

   4. Em Atributo, selecione Origem.

   5. Na lista de Atributo de origem, insira o valor do atributo mostrado para essa linha.

   6. Selecione OK.

   7. Selecione Guardar.

10. Na seção Configurar o Citrix ADC , copie as URLs relevantes com base em suas necessidades.

    

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Utilizadores.
2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
3. Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
4. Nas propriedades do usuário , siga estas etapas:
   1. No campo Nome de exibição, digite B.Simon.
   2. No campo Nome Principal do Utilizador, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
   3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
   4. Selecione Analisar + criar.
5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você habilita o usuário B.Simon para usar o Azure SSO concedendo ao usuário acesso ao Citrix ADC.

1. Navegue até Aplicativos de identidade>>Aplicativos corporativos.

2. Na lista de aplicativos, selecione Citrix ADC.

3. Na visão geral do aplicativo, em Gerenciar, selecione Usuários e grupos.

4. Selecione Adicionar utilizador. Em seguida, na caixa de diálogo Adicionar Atribuição , selecione Usuários e grupos.

5. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários. Escolha Selecionar.

6. Se estiver a aguardar que um papel seja atribuído aos utilizadores, poderá selecioná-lo no menu suspenso 'Selecionar uma função'. Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.

7. Na caixa de diálogo Adicionar Atribuição, selecione Atribuir.

Configurar o SSO do Citrix ADC

Selecione um link para as etapas para o tipo de autenticação que você deseja configurar:

• Configurar o SSO do Citrix ADC para autenticação baseada em cabeçalho

• Configurar o SSO do Citrix ADC para autenticação baseada em Kerberos

Publicar o servidor Web

Para criar um servidor virtual:

1. Selecione Gestão de Tráfego>Balanceamento de Carga>Serviços.

2. Selecione Adicionar.

   

3. Defina os seguintes valores para o servidor Web que está executando os aplicativos:

   • Nome do Serviço

   • IP do servidor/ Servidor existente

   • Protocolo

   • Porta

     

Configurar o balanceador de carga

Para configurar o balanceador de carga:

1. Vá para Gestão de Tráfego>Balanceamento de Carga>Servidores Virtuais.

2. Selecione Adicionar.

3. Defina os seguintes valores conforme descrito na captura de tela a seguir:

   • Nome
   • Protocolo
   • Endereço IP
   • Porta

4. Selecione OK.

   

Vincular o servidor virtual

Para vincular o balanceador de carga ao servidor virtual:

1. No painel Serviços e Grupos de Serviços, selecione Vinculação de Serviço de Servidor Virtual Sem Balanceamento de Carga.

   

2. Verifique as configurações conforme mostrado na captura de tela a seguir e selecione Fechar.

   

Vincular o certificado

Para publicar esse serviço como TLS, vincule o certificado do servidor e teste seu aplicativo:

1. Em Certificado, selecione Sem Certificado de Servidor.

   

2. Verifique as configurações conforme mostrado na captura de tela a seguir e selecione Fechar.

   

Perfil SAML do Citrix ADC

Para configurar o perfil SAML do Citrix ADC, preencha as seguintes seções:

Criar uma política de autenticação

Para criar uma política de autenticação:

1. Vá para Segurança>AAA – Tráfego de Aplicação>Políticas>Autenticação>Políticas de Autenticação.

2. Selecione Adicionar.

3. No painel Criar Política de Autenticação, insira ou selecione os seguintes valores:

   • Nome: insira um nome para sua política de autenticação.
   • Ação: Digite SAML e selecione Adicionar.
   • Expressão: Digite true.

   

4. Selecione Criar.

Criar um servidor SAML de autenticação

Para criar um servidor SAML de autenticação, vá para o painel Criar Servidor SAML de Autenticação e conclua as seguintes etapas:

1. Em Nome, insira um nome para o servidor SAML de autenticação.

2. Em Exportar metadados SAML:

   1. Marque a caixa de seleção Importar metadados.

   2. Insira a URL de metadados de federação da interface do usuário SAML do Azure que você copiou anteriormente.

3. Em Nome do emissor, insira o URL relevante.

4. Selecione Criar.

Criar um servidor virtual de autenticação

Para criar um servidor virtual de autenticação:

1. Vá para Security>AAA - Application Traffic>Policies>Authentication>Authentication Virtual Servers.

2. Selecione Adicionar e conclua as seguintes etapas:

   1. Em Nome, insira um nome para o servidor virtual de autenticação.

   2. Marque a caixa de seleção Não endereçável .

   3. Em Protocolo, selecione SSL.

   4. Selecione OK.

   

Configurar o servidor virtual de autenticação para usar o Microsoft Entra ID

Modifique duas seções para o servidor virtual de autenticação:

1. No painel Políticas de Autenticação Avançadas, selecione Sem Política de Autenticação.

   

2. No painel Vinculação de Política, selecione a política de autenticação e depois selecione Vincular.

   

3. No painel Servidores Virtuais Baseados em Formulário, selecione Servidor Virtual sem Balanceamento de Carga.

   

4. Para FQDN de autenticação, insira um nome de domínio totalmente qualificado (FQDN) (obrigatório).

5. Selecione o servidor virtual de balanceamento de carga que você deseja proteger com a autenticação do Microsoft Entra.

6. Selecione Vincular.

   

   Nota

   Certifique-se de selecionar Concluído no painel Configuração do Servidor Virtual de Autenticação.

7. Para verificar as alterações, num browser, aceda ao URL da aplicação. Deverá ver a página de início de sessão do inquilino em vez do acesso não autenticado que teria visto anteriormente.

   

Configurar o SSO do Citrix ADC para autenticação baseada em cabeçalho

Configurar o Citrix ADC

Para configurar o Citrix ADC para autenticação baseada em cabeçalho, conclua as seções a seguir.

Criar uma ação de reescrita

1. Vá para AppExpert>Reescrever>Ações de Reescrever.

   

2. Selecione Adicionar e conclua as seguintes etapas:

   1. Em Nome, insira um nome para a ação de reescrita.

   2. Em Tipo, digite INSERT_HTTP_HEADER.

   3. Em Nome do cabeçalho, insira um nome de cabeçalho (neste exemplo, usamos SecretID).

   4. Em Expressão, insira aaa.USER.ATTRIBUTE("mySecretID"), onde mySecretID é o atributo SAML do Microsoft Entra que foi enviado para o Citrix ADC.

   5. Selecione Criar.

   

Criar uma política de reescrita

1. Vá para AppExpert>Reescrever>Políticas de Reescrita.

   

2. Selecione Adicionar e conclua as seguintes etapas:

   1. Em Nome, insira um nome para a política de reescrita.

   2. Em Ação, selecione a ação de reescrita criada na seção anterior.

   3. Em Expressão, insira true.

   4. Selecione Criar.

   

Vincular uma política de regravação a um servidor virtual

Para vincular uma política de regravação a um servidor virtual usando a GUI:

1. Vá para Gestão de Tráfego>Balanceamento de Carga>Servidores Virtuais.

2. Na lista de servidores virtuais, selecione o servidor virtual ao qual você deseja vincular a política de regravação e selecione Abrir.

3. No painel Servidor Virtual de Balanceamento de Carga, em Configurações Avançadas, selecione Políticas. Todas as políticas configuradas para sua instância do NetScaler aparecem na lista.

4. Marque a caixa de seleção ao lado do nome da política que você deseja vincular a esse servidor virtual.

   

5. Na caixa de diálogo Escolher Tipo:

   1. Em Choose Policy, selecione Traffic.

   2. Em Choose Type, selecione Request.

   

6. Selecione OK. Uma mensagem na barra de status indica que a política foi configurada com êxito.

Modificar o servidor SAML para extrair atributos de uma declaração

1. Vá para Security>AAA - Application Traffic>Policies>Authentication>Advanced Policies>Actions>Servers.

2. Selecione o servidor SAML de autenticação apropriado para o aplicativo.

   

3. No painel Atributos, insira os atributos SAML que pretende extrair, separados por vírgulas. No nosso exemplo, inserimos o atributo mySecretID.

   

4. Para verificar o acesso, na URL de um navegador, procure o atributo SAML em Coleção de cabeçalhos.

   

Criar um usuário de teste do Citrix ADC

Nesta seção, um usuário chamado B.Simon é criado no Citrix ADC. O Citrix ADC oferece suporte ao provisionamento de usuários just-in-time, que é habilitado por padrão. Não há nenhuma ação a ser tomada nesta seção. Se um usuário ainda não existir no Citrix ADC, um novo será criado após a autenticação.

Nota

Se você precisar criar um usuário manualmente, entre em contato com a equipe de suporte ao cliente Citrix ADC.

SSO de teste

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

• Clique em Testar este aplicativo, isso redirecionará para o URL de logon do Citrix ADC, onde você poderá iniciar o fluxo de login.

• Vá para o URL de logon do Citrix ADC diretamente e inicie o fluxo de login a partir daí.

• Você pode usar o Microsoft My Apps. Quando você clica no bloco Citrix ADC em Meus aplicativos, isso redireciona para a URL de logon do Citrix ADC. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Conteúdo relacionado

Depois de configurar o Citrix ADC, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.