Интеграция единой системы входа Microsoft Entra с Citrix ADC SAML Connector для Microsoft Entra ID (аутентификация на базе Kerberos)

В этой статье вы узнаете, как интегрировать Citrix ADC SAML Connector для Microsoft Entra ID с идентификатором Microsoft Entra ID. Когда вы интегрируете Citrix ADC SAML Connector для Microsoft Entra ID с Microsoft Entra ID, вы можете:

• Управляйте идентификатором Microsoft Entra ID, имеющим доступ к Соединителю Citrix ADC SAML для Идентификатора Microsoft Entra.
• Включите автоматический вход пользователей в Citrix ADC SAML Connector для Microsoft Entra ID с помощью учетных записей Microsoft Entra.
• Управляйте учетными записями в одном центральном месте.

Требования

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложений
  • Администратор облачных приложений
  • владелец приложения.

• Включенная подписка Citrix ADC SAML Connector для Microsoft Entra с поддержкой единого входа (SSO).

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде. В этой статье приведены следующие сценарии:

• Единый вход, инициированный поставщиком услуг для SAML-коннектора Citrix ADC для среды Microsoft Entra ID.

• Подготовка пользователей по принципу Just in Time для коннектора Citrix ADC SAML для Microsoft Entra ID.

• Аутентификация на основе Kerberos для SAML-коннектора Citrix ADC для Microsoft Entra ID

• Аутентификация на основе заголовков для соединителя Citrix ADC SAML для Microsoft Entra ID.

Добавить Citrix ADC SAML Connector для Microsoft Entra ID из галереи

Чтобы интегрировать Citrix ADC SAML Connector для Microsoft Entra ID с Microsoft Entra ID, сначала добавьте Citrix ADC SAML Connector для Microsoft Entra ID в список управляемых приложений SaaS из галереи.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к Идентификация>Приложения>Корпоративные приложения>Новое приложение.

3. В разделе "Добавить из галереи" в поле поиска введите Citrix ADC SAML Connector для Microsoft Entra ID.

4. В результатах выберите Citrix ADC SAML Connector for Microsoft Entra ID, а затем добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа (SSO) Microsoft Entra для SAML-коннектора Citrix ADC для Microsoft Entra ID

Настройте и протестируйте Microsoft Entra SSO с помощью Citrix ADC SAML Connector для Microsoft Entra ID, используя тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Citrix ADC SAML Connector для Идентификатора Microsoft Entra.

Чтобы настроить и протестировать Microsoft Entra SSO с Citrix ADC SAML Connector для Microsoft Entra ID, выполните следующие шаги.

1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.

   1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с B.Simon.

   2. Назначьте тестового пользователя Microsoft Entra — чтобы B.Simon мог использовать единую точку входа Microsoft Entra.

2. Настройте соединитель Citrix ADC SAML для единого входа Microsoft Entra, чтобы настроить параметры единого входа на стороне приложения.

   1. Создайте соединитель Citrix ADC SAML для Microsoft Entra для тестового пользователя - для того чтобы в Citrix ADC SAML Connector for Microsoft Entra ID существовала учетная запись пользователя B.Simon, ассоциированная с представлением пользователя Microsoft Entra.

3. Test SSO — для проверки, работает ли конфигурация.

Настройте SSO в Microsoft Entra

Чтобы включить единую систему входа Microsoft Entra с помощью портала Azure, выполните следующие действия:

1. Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора облачных приложений.

2. Перейдите к Идентификация>Приложениям>Корпоративные приложения>Citrix ADC SAML Connector для Microsoft Entra ID для интеграции с приложением, в разделе Управление выберите Единый вход.

3. В области Выбрать метод единого входа выберите SAML.

4. На панели Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML и изменить параметры.

   

5. В разделе Базовая конфигурация SAML для настройки приложения в режиме инициированном поставщиком удостоверений, выполните следующие действия:

   1. В текстовом поле Идентификатор введите URL-адрес в следующем формате: https://<YOUR_FQDN>

   2. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

6. Чтобы настроить приложение для работы в режиме, инициированном поставщиком услуг, щелкните Задать дополнительные URL-адреса и выполните следующее действие:

   • В текстовом поле URL-адрес для входа введите URL-адрес в следующем формате: https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

   Примечание.

   • URL-адреса, используемые в этом разделе, не являются реальными значениями. Замените их фактическими значениями для идентификатора, URL-адреса ответа и URL-адреса входа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов Citrix ADC SAML Connector для Microsoft Entra. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".
   • Чтобы настроить SSO, URL-адреса должны быть доступны с общедоступных веб-сайтов. Необходимо включить брандмауэр или другие параметры безопасности на стороне соединителя Citrix ADC SAML для Microsoft Entra ID, чтобы Microsoft Entra ID мог отправить токен по указанному URL-адресу.

7. На панели Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML для URL-адрес метаданных федерации приложений скопируйте URL-адрес и сохраните его в программе Блокнот.

   

8. В разделе Настройка соединителя Citrix ADC SAML для идентификатора Microsoft Entra ID скопируйте соответствующие URL-адреса в зависимости от ваших требований.

   

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора пользователей.
2. Перейдите в раздел Идентификация>Пользователи>Все пользователи.
3. Выберите "Создать пользователя>" в верхней части экрана.
4. В свойствах пользователя выполните следующие действия.
   1. В поле "Отображаемое имя" введите B.Simon.
   2. В поле "основное имя пользователя" введите username@companydomain.extension. Например, B.Simon@contoso.com.
   3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
   4. Выберите Просмотреть и создать.
5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход Azure, предоставив пользователю доступ к Citrix ADC SAML Connector for Microsoft Entra ID.

1. Перейдите к Identity>Applications>Enterprise applications.

2. В списке приложений выберите Citrix ADC SAML Connector для идентификатора Microsoft Entra.

3. В обзоре приложения в разделе Управление выберите Пользователи и группы.

4. Выберите Добавить пользователя. Затем в диалоговом окне Добавление назначения выберите Пользователи и группы.

5. В диалоговом окне Пользователи и группы выберите B.Simon из списка Пользователи. Выберите Выбрать.

6. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".

7. В диалоговом окне Добавление назначения выберите Назначить.

Настройте коннектор Citrix ADC SAML для единого входа Microsoft Entra

Выберите ссылку, чтобы увидеть инструкции по настройке желаемого типа проверки подлинности.

• Настройка соединителя Citrix ADC SAML для единого входа Microsoft Entra для проверки подлинности на основе Kerberos

• Настройка коннектора Citrix ADC SAML для единого входа Microsoft Entra для аутентификации на основе заголовков

Разместить веб-сервер

Чтобы создать виртуальный сервер, сделайте следующее:

1. Выберите Traffic Management (Управление трафиком)>Балансировка нагрузки>Службы.

2. Выберите Добавить.

   

3. Задайте следующие значения для веб-сервера, на котором выполняются приложения:

   • Имя службы
   • IP-адрес сервера и существующий сервер;
   • Протокол
   • порт.

Настройка подсистемы балансировки нагрузки.

Чтобы настроить подсистему балансировки нагрузки, сделайте следующее.

1. Выберите Traffic Management (Управление трафиком)>Балансировка нагрузки>Виртуальные серверы.

2. Выберите Добавить.

3. Задайте следующие значения, как показано на следующем снимке экрана:

   • Имя
   • Протокол
   • IP Address
   • порт.

4. Нажмите ОК.

   

Привяжите виртуальный сервер

Чтобы привязать подсистему балансировки нагрузки к виртуальному серверу, сделайте следующее:

1. В области Services and Service Groups (Службы и группы служб) выберите пункт No Load Balancing Virtual Server Service Binding (Нет привязки к службе виртуальных серверов для балансировки нагрузки).

   

2. Убедитесь, что параметры установлены, как показано на следующем снимке экрана, а затем выберите Закрыть.

   

Привязка сертификата

Чтобы опубликовать эту службу как службу TLS, привяжите сертификат сервера, а затем протестируйте приложение.

1. В разделе Certificate (Сертификат) выберите No Server Certificate (Без сертификата сервера).

   

2. Убедитесь, что параметры установлены, как показано на следующем снимке экрана, а затем выберите Закрыть.

   

Citrix ADC коннектор SAML для профиля Microsoft Entra SAML

Чтобы настроить соединитель Citrix ADC SAML для профиля Microsoft Entra SAML, выполните действия в следующих разделах.

Создание политики проверки подлинности

Чтобы создать политику проверки подлинности, сделайте следующее:

1. Выберите Security (Безопасность)>AAA – Application Traffic (AAA — трафик приложений)>Policies (Политики)>Authentication (Проверка подлинности)>Authentication Policies (Политики проверки подлинности).

2. Выберите Добавить.

3. На панели Create Authentication Policy (Создание политики проверки подлинности) введите или выберите следующие значения:

   • Имя. Введите имя политики проверки подлинности.
   • Действие: введите SAML и нажмите кнопку "Добавить".
   • Выражение: введите true.

   

4. Нажмите кнопку создания.

Создание сервера SAML для проверки подлинности

Чтобы создать сервер SAML для проверки подлинности, перейдите на панель Create Authentication SAML Server (Создание сервера SAML для проверки подлинности), а затем выполните следующие действия:

1. В поле Name (Имя) введите имя сервера SAML для проверки подлинности.

2. В разделе Export SAML Metadata (Экспорт метаданных SAML):

   1. Установите флажок Import Metadata (Импортировать метаданные).

   2. Введите URL-адрес метаданных федерации из пользовательского интерфейса SAML Azure, скопированного ранее.

3. В поле Issuer Name (Имя поставщика) введите соответствующий URL-адрес.

4. Нажмите кнопку создания.

Создание виртуального сервера проверки подлинности

Чтобы создать виртуальный сервер проверки подлинности, сделайте следующее:

1. Выберите Security (Безопасность)>AAA - Application Traffic (AAA — трафик приложений)>Policies (Политики)>Authentication (Проверка подлинности)>Authentication Virtual Servers (Виртуальные серверы проверки подлинности).

2. Выберите Добавить и выполните следующие действия.

   1. В поле Name (Имя) введите имя для виртуального сервера проверки подлинности.

   2. Установите флажок Non-Addressable (Без адресации).

   3. Для параметра Protocol (Протокол) выберите значение SSL.

   4. Нажмите ОК.

3. Выберите Продолжить.

Настройка виртуального сервера проверки подлинности для использования идентификатора Microsoft Entra

Измените два раздела для виртуального сервера проверки подлинности.

1. На панели Advanced Authentication Policies (Расширенные политики проверки подлинности) выберите No Authentication Policy (Без политики проверки подлинности).

   

2. На панели Policy Binding (Привязка политики) выберите политику проверки подлинности, а затем нажмите кнопку Bind (Привязать).

   

3. На панели Form Based Virtual Servers (Виртуальные серверы на основе формы) выберите No Load Balancing Virtual Server (Виртуальный сервер без балансировки нагрузки).

   

4. В поле Authentication FQDN (Полное доменное имя для проверки подлинности) введите полное доменное имя (обязательно).

5. Выберите виртуальный сервер балансировки нагрузки, который требуется защитить с помощью проверки подлинности Microsoft Entra.

6. Выберите Связать.

   

   Примечание.

   Обязательно нажмите кнопу Done (Готово) на панели Authentication Virtual Server Configuration (Конфигурация виртуального сервера проверки подлинности).

7. Чтобы проверить изменения, в браузере перейдите по URL-адресу приложения. Должна отобразиться страница входа арендатора вместо неавторизованного доступа, который открывался ранее.

   

Настройка соединителя Citrix ADC SAML для единого входа Microsoft Entra для проверки подлинности на основе Kerberos

Создайте учетную запись делегирования Kerberos для SAML-коннектора Citrix ADC для Microsoft Entra ID

1. Создайте учетную запись пользователя (AppDelegation в нашем примере).

   

2. Настройте ИЗУ узла для этой учетной записи.

   Пример: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

   В этом примере:

   • IDENTT.WORK: полное доменное имя (FQDN).
   • identt является NetBIOS-именем домена.
   • appdelegation: имя учетной записи пользователя для делегирования.

3. Настройте делегирование для веб-сервера, как показано на следующем снимке экрана:

   

   Примечание.

   В примере снимка экрана внутреннее имя веб-сервера, где выполняется сайт встроенной проверки подлинности Windows (WIA), — CWEB2.

Citrix ADC SAML Connector для Microsoft Entra AAA KCD (учетные записи делегирования Kerberos)

Чтобы настроить соединитель Citrix ADC SAML для учетной записи Microsoft Entra AAA KCD:

1. Перейдите к Citrix Gateway (Шлюз Citrix)>AAA KCD (Kerberos Constrained Delegation) Accounts (Учетные записи AAA KCD (ограниченное делегирование Kerberos)).

2. Выберите Add (Добавить), а затем введите или выберите следующие значения:

   • Имя: введите имя учетной записи KCD.

   • Область: Введите домен и расширение заглавными буквами.

   • Service SPN: http/<host/fqdn>@<DOMAIN.COM>.

     Примечание.

     @DOMAIN.COM требуется и должно быть написано заглавными буквами. Пример: http/cweb2@IDENTT.WORK.

   • Делегированный пользователь: введите делегированное имя пользователя.

   • Установите флажок Password for Delegated User (Пароль для делегированного пользователя), а затем введите и подтвердите пароль.

3. Нажмите ОК.

Политика и профиль трафика Citrix

Чтобы настроить политику трафика Citrix и профиль трафика, сделайте следующее:

1. Go to Безопасность>AAA — трафик приложений>Политики>Политики трафика, профили и создание профилей SSO.

2. Выберите Traffic Profiles (Профили трафика).

3. Выберите Добавить.

4. Чтобы настроить профиль трафика, введите или выберите следующие значения.

   • Имя: введите имя профиля трафика.

   • Единый вход. Выберите ON.

   • Учетная запись KCD: выберите учетную запись KCD, созданную в предыдущем разделе.

5. Нажмите ОК.

   

6. Выберите Traffic Policy (Политика трафика).

7. Выберите Добавить.

8. Чтобы настроить политику трафика, введите или выберите следующие значения:

   • Имя. Введите имя политики трафика.

   • Профиль. Выберите профиль трафика, созданный в предыдущем разделе.

   • Выражение: введите true.

9. Нажмите ОК.

   

Привязка политики трафика к виртуальному серверу в Citrix

Чтобы привязать политику трафика к виртуальному серверу с помощью графического пользовательского интерфейса, сделайте следующее:

1. Выберите Traffic Management (Управление трафиком)>Балансировка нагрузки>Виртуальные серверы.

2. В списке виртуальных серверов выберите виртуальный сервер, к которому требуется привязать политику перезаписи, а затем выберите Open (Открыть).

3. В области Load Balancing Virtual Server (Виртуальный сервер балансировки нагрузки) в разделе Advanced Settings (Расширенные параметры) выберите Policies (Политики). Все политики, настроенные для вашего экземпляра NetScaler, отображаются в списке.

   

   

4. Установите флажок рядом с именем политики, которую вы хотите связать с этим виртуальным сервером.

   

5. В диалоговом окне Choose Type (Выбор типа) выполните следующее:

   1. Для параметра Choose Policy (Выберите политику) выберите Traffic (Трафик).

   2. Для параметра Выбор типа выберите Запрос.

   

6. Когда политика будет привязана, нажмите Done.

   

7. Протестируйте привязку с помощью веб-сайта WIA.

   

Создание соединителя Citrix ADC SAML для тестового пользователя Microsoft Entra

В этом разделе в Citrix ADC SAML Connector for Microsoft Entra ID создается пользователь по имени B.Simon. Citrix ADC SAML Connector для Microsoft Entra ID поддерживает создание учетных записей пользователей по требованию, что включено по умолчанию. В этом разделе никакие действия с вашей стороны не требуются. Если пользователь еще не существует в Citrix ADC SAML Connector for Microsoft Entra ID, он создается после проверки подлинности.

Примечание.

Если вам нужно создать пользователя вручную, обратитесь в службу поддержки клиентов Citrix ADC SAML Connector для Microsoft Entra.

Проверка единого входа

В этом разделе вы проверяете конфигурацию единого входа Microsoft Entra с использованием следующих параметров.

• Щелкните "Проверить это приложение", вы будете перенаправлены на URL-адрес входа Citrix ADC SAML Connector для Microsoft Entra, где вы можете инициировать процесс входа.

• Перейдите напрямую по URL-адресу для входа в Citrix ADC SAML Connector для Microsoft Entra и инициируйте процесс авторизации оттуда.

• Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Нажав на плитку Citrix ADC SAML Connector для Microsoft Entra ID в разделе Мои приложения, вы перейдете на URL-адрес страницы входа Citrix ADC SAML Connector для Microsoft Entra. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Связанный контент

После настройки соединителя Citrix ADC SAML для идентификатора Microsoft Entra можно применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.