Microsoft Entra-integrering med enkel inloggning med Citrix ADC (rubrikbaserad autentisering)

I den här artikeln får du lära dig hur du integrerar Citrix ADC med Microsoft Entra-ID. När du integrerar Citrix ADC med Microsoft Entra-ID kan du:

• Kontrollera i Microsoft Entra ID vem som har åtkomst till Citrix ADC.
• Gör så att dina användare automatiskt loggas in på Citrix ADC med sina Microsoft Entra-konton.
• Hantera dina konton på en central plats.

Förutsättningar

Scenariot som beskrivs i den här artikeln förutsätter att du redan har följande förutsättningar:

• Ett Microsoft Entra-användarkonto med en aktiv prenumeration. Om du inte redan har ett kan du Skapa ett konto kostnadsfritt.
• En av följande roller:
  • Programadministratör
  • Molnprogramadministratör
  • applikationsägare.

• Citrix ADC-prenumeration med enkel inloggning (SSO) aktiverat.

Beskrivning av scenario

I den här artikeln konfigurerar och testar du Microsoft Entra SSO i en testmiljö. Artikeln innehåller följande scenarier:

• SP-initierad SSO för Citrix ADC

• Just-in-time-användaretablering för Citrix ADC

• Huvudbaserad autentisering för Citrix ADC

• Kerberos-baserad autentisering för Citrix ADC

Lägg till Citrix ADC från galleriet

Om du vill integrera Citrix ADC med Microsoft Entra ID lägger du först till Citrix ADC i din lista över hanterade SaaS-appar från galleriet:

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

2. Bläddra till Identity>Program>Enterprise-program>Nytt program.

3. I avsnittet Lägg till från galleriet anger du Citrix ADC i sökrutan.

4. I resultatet väljer du Citrix ADC och lägger sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO för Citrix ADC

Konfigurera och testa Microsoft Entra SSO med Citrix ADC med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i Citrix ADC.

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med Citrix ADC:

1. Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.

   1. Skapa en Microsoft Entra-testanvändare – för att testa Microsoft Entra SSO med B.Simon.

   2. Tilldela Microsoft Entra-testanvändaren – för att göra det möjligt för B.Simon att använda Microsoft Entra SSO.

2. Konfigurera Citrix ADC SSO – för att konfigurera SSO-inställningarna på programsidan.

   • Skapa en Citrix ADC-testanvändare – för att ha en motsvarighet till B.Simon i Citrix ADC som är länkad till Microsoft Entra-representationen av användaren.

3. Testa SSO: för att kontrollera om konfigurationen fungerar.

Konfigurera Microsoft Entra SSO

Utför följande steg för att aktivera Enkel inloggning i Microsoft Entra med hjälp av Azure Portal:

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

2. Bläddra till Identity>Applikationer>Företagsapplikationer>integrationspanelen för Citrix ADC-applikationen under Hantera, välj Enkel inloggning.

3. I fönstret Välj en metod för enkel inloggning väljer du SAML.

4. I fönstret Konfigurera enkel inloggning med SAML väljer du pennredigeringsikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

   

5. I avsnittet Grundläggande SAML-konfiguration konfigurerar du programmet i IDP-initierat läge:

   1. I textrutan Identifierare anger du en URL som har följande mönster:https://<Your FQDN>

   2. I textrutan Svars-URL anger du en URL som har följande mönster:https://<Your FQDN>/CitrixAuthService/AuthService.asmx

6. Om du vill konfigurera programmet i SP-initierat läge väljer du Ange ytterligare URL:er och slutför följande steg:

   • I textrutan Inloggnings-URL anger du en URL som har följande mönster: https://<Your FQDN>/CitrixAuthService/AuthService.asmx

   Anmärkning

   • Url:er som används i det här avsnittet är inte verkliga värden. Uppdatera dessa värden med de faktiska värdena för identifierare, svars-URL och inloggnings-URL. Kontakta Citrix ADC-klientsupporten för att hämta dessa värden. Du kan också referera till de mönster som visas i avsnittet Grundläggande SAML-konfiguration .
   • För att konfigurera enkel inloggning måste webbadresserna vara tillgängliga från allmänna webbplatser. Du måste aktivera brandväggen eller andra säkerhetsinställningar på Citrix ADC-sidan för att göra det möjligt för Microsoft Entra-ID att publicera token på den konfigurerade URL:en.

7. I fönstret Konfigurera enkel inloggning med SAML i avsnittet SAML-signeringscertifikat kopierar du URL:en för appfederationsmetadata och sparar den i Anteckningar.

   

8. Citrix ADC-programmet förväntar sig att SAML-försäkran är i ett visst format, vilket kräver att du lägger till anpassade attributmappningar i konfigurationen av SAML-tokenattribut. I följande skärmbild visas listan över standardattribut. Välj ikonen Redigera och ändra attributmappningarna.

   

9. Citrix ADC-programmet förväntar sig också att några fler attribut skickas tillbaka i SAML-svaret. I dialogrutan Användarattribut går du till Användaranspråk och utför följande steg för att lägga till SAML-tokenattributen enligt tabellen:

   Name	Källattribut
   mySecretID	användare.användarnamn

   1. Välj Lägg till nytt anspråk för att öppna dialogrutan Hantera användaranspråk.

   2. I textrutan Namn anger du det attributnamn som visas för den raden.

   3. Lämna Namnrymd tom.

   4. Som Attribut väljer du Källa.

   5. I listan Källattribut anger du det attributvärde som visas för den raden.

   6. Välj OK.

   7. Välj Spara.

10. I avsnittet Konfigurera Citrix ADC kopierar du relevanta URL:er baserat på dina krav.

    

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
2. Gå till Identitet>Användare>Alla användare.
3. Välj Ny användare>Skapa ny användare överst på skärmen.
4. Följ dessa steg i användaregenskaperna :
   1. I fältet Visningsnamn anger du B.Simon.
   2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel: B.Simon@contoso.com
   3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
   4. Välj Granska + skapa.
5. Välj Skapa.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet gör du det möjligt för användaren B.Simon att använda enkel inloggning med Azure genom att ge användaren åtkomst till Citrix ADC.

1. Bläddra till Identity>Applikationer>Företagsapplikationer.

2. I programlistan väljer du Citrix ADC.

3. I appöversikten går du till Hantera och väljer Användare och grupper.

4. Välj Lägg till användare. I dialogrutan Lägg till tilldelning väljer du Sedan Användare och grupper.

5. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare. Välj Välj.

6. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll . Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.

7. I dialogrutan Lägg till tilldelning väljer du Tilldela.

Konfigurera Citrix ADC SSO

Välj en länk för steg för den typ av autentisering som du vill konfigurera:

• Konfigurera Citrix ADC SSO för huvudbaserad autentisering

• Konfigurera Citrix ADC SSO för Kerberos-baserad autentisering

Publicera webbservern

Så här skapar du en virtuell server:

1. Välj Trafikhantering>Belastningsutjämning>Tjänster.

2. Markera Lägga till.

   

3. Ange följande värden för webbservern som kör programmen:

   • Tjänstens namn

   • Server-IP/befintlig server

   • Protokoll

   • Port

     

Konfigurera lastbalanseraren

Så här konfigurerar du lastbalanseraren:

1. Gå till Trafikhantering>Belastningsutjämning>Virtuella Servrar.

2. Markera Lägga till.

3. Ange följande värden enligt beskrivningen i följande skärmbild:

   • Namn
   • Protokoll
   • IP-adress
   • Port

4. Välj OK.

   

Bind upp den virtuella servern

Så här binder du lastbalanseraren till den virtuella servern:

1. I fönstret Tjänster och tjänstgrupper väljer du Ingen belastningsutjämning av tjänstbindning för virtuell server.

   

2. Kontrollera inställningarna enligt följande skärmbild och välj sedan Stäng.

   

Binda certifikatet

Om du vill publicera den här tjänsten som TLS binder du servercertifikatet och testar sedan programmet:

1. Under Certifikat väljer du Inget servercertifikat.

   

2. Kontrollera inställningarna enligt följande skärmbild och välj sedan Stäng.

   

Citrix ADC SAML-profil

Utför följande avsnitt för att konfigurera Citrix ADC SAML-profilen:

Skapa en autentiseringsprincip

Så här skapar du en autentiseringsprincip:

1. Gå till Säkerhet>AAA – Programtrafik>Policys>Autentisering>Autentiseringsprinciper.

2. Markera Lägga till.

3. I fönstret Skapa autentiseringsprincip anger eller väljer du följande värden:

   • Namn: Ange ett namn för din autentiseringsprincip.
   • Åtgärd: Ange SAML och välj sedan Lägg till.
   • Uttryck: Ange sant.

   

4. Välj Skapa.

Skapa en SAML-autentiseringsserver

Om du vill skapa en SAML-autentiseringsserver går du till fönstret Skapa SAML-server för autentisering och utför sedan följande steg:

1. Som Namn anger du ett namn för SAML-autentiseringsservern.

2. Under Exportera SAML-metadata:

   1. Markera kryssrutan Importera metadata .

   2. Ange url:en för federationsmetadata från azure SAML-användargränssnittet som du kopierade tidigare.

3. För Utfärdarnamn anger du relevant URL.

4. Välj Skapa.

Skapa en virtuell autentiseringsserver

Så här skapar du en virtuell autentiseringsserver:

1. Gå till Säkerhet>AAA – Programtrafik>Policyer>Autentisering>Virtuella servrar för autentisering.

2. Välj Lägg till och slutför sedan följande steg:

   1. Som Namn anger du ett namn för den virtuella autentiseringsservern.

   2. Markera kryssrutan Ej adresserbar .

   3. För Protokoll väljer du SSL.

   4. Välj OK.

   

Konfigurera den virtuella autentiseringsservern så att den använder Microsoft Entra-ID

Ändra två avsnitt för den virtuella autentiseringsservern:

1. I fönstret Avancerade autentiseringsprinciper väljer du Ingen autentiseringsprincip.

   

2. I fönstret Principbindning väljer du autentiseringsprincipen och väljer sedan Bindning.

   

3. I fönstret Formulärbaserade virtuella servrar väljer du Ingen belastningsutjämning virtuell server.

   

4. För FQDN för autentisering anger du ett fullständigt domännamn (FQDN) (krävs).

5. Välj den virtuella server för belastningsutjämning som du vill skydda med Microsoft Entra-autentisering.

6. Välj bind.

   

   Anteckning

   Se till att välja Klar i fönstret Konfiguration av virtuell autentiseringsserver.

7. Om du vill verifiera ändringarna går du till programmets URL i en webbläsare. Du bör se inloggningssidan för den hyrda klienten i stället för den icke autentiserade åtkomst som du skulle ha sett tidigare.

   

Konfigurera Citrix ADC SSO för huvudbaserad autentisering

Konfigurera Citrix ADC

Utför följande avsnitt för att konfigurera Citrix ADC för huvudbaserad autentisering.

Skapa en omskrivningsåtgärd

1. Gå till AppExpert>Omskrivning>Omskrivningsåtgärder.

   

2. Välj Lägg till och slutför sedan följande steg:

   1. Som Namn anger du ett namn för omskrivningsåtgärden.

   2. Ange INSERT_HTTP_HEADER som Typ.

   3. För Rubriknamn anger du ett rubriknamn (i det här exemplet använder vi SecretID).

   4. För Expression anger du aaa.USER.ATTRIBUTE("mySecretID"), där mySecretID är Microsoft Entra SAML-anspråket som skickades till Citrix ADC.

   5. Välj Skapa.

   

Skapa en omskrivningspolicy

1. Gå till AppExpert>Omskriv>Omskrivningsprinciper.

   

2. Välj Lägg till och slutför sedan följande steg:

   1. Som Namn anger du ett namn för omskrivningsprincipen.

   2. För Åtgärd väljer du den omskrivningsåtgärd som du skapade i föregående avsnitt.

   3. För Uttryck anger du true.

   4. Välj Skapa.

   

Binda en omskrivningsprincip till en virtuell server

Så här binder du en omskrivningsprincip till en virtuell server med hjälp av GUI:

1. Gå till Trafikhantering>Belastningsutjämning>Virtuella servrar.

2. I listan över virtuella servrar väljer du den virtuella server som du vill binda omskrivningsprincipen till och väljer sedan Öppna.

3. I fönstret Belastningsutjämning för virtuell server går du till Avancerade inställningar och väljer Principer. Alla principer som har konfigurerats för din NetScaler-instans visas i listan.

4. Markera kryssrutan bredvid namnet på den princip som du vill binda till denna virtuella server.

   

5. I dialogrutan Välj typ:

   1. För Välj princip väljer du Trafik.

   2. För Välj typ väljer du Begäran.

   

6. Välj OK. Ett meddelande i statusfältet anger att policyn har konfigurerats framgångsrikt.

Ändra SAML-servern för att extrahera attribut från ett anspråk

1. Gå till Säkerhet>AAA - Programtrafik>Principer>Autentisering>Avancerade principer>Åtgärder>Servrar.

2. Välj lämplig SAML-autentiseringsserver för programmet.

   

3. I Attributspanelen anger du de SAML-attribut som du vill extrahera, avgränsade med kommatecken. I vårt exempel anger vi attributet mySecretID.

   

4. För att verifiera åtkomsten, leta efter SAML-attributet under Rubrikersamling när du är på URL:en i en webbläsare.

   

Skapa en Citrix ADC-testanvändare

I det här avsnittet skapas en användare med namnet B.Simon i Citrix ADC. Citrix ADC stöder just-in-time-användaretablering, vilket är aktiverat som standard. Det finns ingen åtgärd som du kan vidta i det här avsnittet. Om en användare inte redan finns i Citrix ADC skapas en ny efter autentisering.

Kommentar

Om du behöver skapa en användare manuellt kontaktar du Citrix ADC-klientsupportteamet.

Testa SSO

I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.

• Klicka på Testa det här programmet. Detta omdirigeras till Citrix ADC-inloggnings-URL där du kan initiera inloggningsflödet.

• Gå till Citrix ADC-inloggnings-URL direkt och initiera inloggningsflödet därifrån.

• Du kan använda Microsoft Mina appar. När du klickar på Citrix ADC-panelen i Mina appar omdirigeras detta till Citrix ADC-inloggnings-URL. Mer information om Mina appar finns i Introduktion till Mina appar.

Relaterat innehåll

När du har konfigurerat Citrix ADC kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.