Esercitazione: Integrazione dell'accesso Single Sign-On di Microsoft Entra con Citrix ADC SAML Connessione or per Microsoft Entra ID (autenticazione basata su Kerberos)
Questa esercitazione descrive come integrare Citrix ADC SAML Connessione or per Microsoft Entra ID con Microsoft Entra ID. Integrando Citrix ADC SAML Connessione or per Microsoft Entra ID con Microsoft Entra ID, è possibile:
- Controllare in Microsoft Entra ID chi può accedere a Citrix ADC SAML Connessione or per Microsoft Entra ID.
- Abilitare gli utenti per l'accesso automatico a Citrix ADC SAML Connessione or per Microsoft Entra ID con gli account Microsoft Entra personali.
- Gestire gli account in un'unica posizione centrale.
Prerequisiti
Per iniziare, sono necessari gli elementi seguenti:
- Una sottoscrizione di Microsoft Entra. Se non si possiede una sottoscrizione, è possibile ottenere un account gratuito.
- Sottoscrizione di Citrix ADC SAML Connessione or for Microsoft Entra abilitata per l'accesso Single Sign-On (SSO).
Descrizione dello scenario
In questa esercitazione viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test. L'esercitazione include gli scenari seguenti:
SSO avviato da SP per Citrix ADC SAML Connessione or per Microsoft Entra ID.
Provisioning utenti JIT per Citrix ADC SAML Connessione or per Microsoft Entra ID.
Autenticazione basata su Kerberos per Citrix ADC SAML Connessione or per Microsoft Entra ID.
Autenticazione basata su intestazione per Citrix ADC SAML Connessione or per Microsoft Entra ID.
Aggiungere Citrix ADC SAML Connessione or per Microsoft Entra ID dalla raccolta
Per integrare Citrix ADC SAML Connessione or per Microsoft Entra ID con Microsoft Entra ID, aggiungere prima Citrix ADC SAML Connessione or per Microsoft Entra ID all'elenco di app SaaS gestite dalla raccolta:
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
Passare a Applicazioni di identità>Applicazioni>aziendali>Nuova applicazione.
Nella sezione Aggiungi dalla raccolta immettere Citrix ADC SAML Connessione or per Microsoft Entra ID nella casella di ricerca.
Nei risultati selezionare Citrix ADC SAML Connessione or per Microsoft Entra ID e quindi aggiungere l'app. Attendere alcuni secondi che l'app venga aggiunta al tenant.
In alternativa, è anche possibile usare l'Enterprise Configurazione app Wizard. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché esaminare la configurazione dell'accesso SSO. Altre informazioni sulle procedure guidate di Microsoft 365.
Configurare e testare l'accesso SSO di Microsoft Entra per Citrix ADC SAML Connessione or per Microsoft Entra ID
Configurare e testare l'accesso SSO di Microsoft Entra con Citrix ADC SAML Connessione or per Microsoft Entra ID usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in Citrix ADC SAML Connessione or per Microsoft Entra ID.
Per configurare e testare l'accesso SSO di Microsoft Entra con Citrix ADC SAML Connessione or per Microsoft Entra ID, seguire questa procedura:
Configurare l'accesso Single Sign-On di Microsoft Entra: per consentire agli utenti di usare questa funzionalità.
Creare un utente di test di Microsoft Entra: per testare Microsoft Entra SSO con B.Simon.
Assegnare l'utente di test di Microsoft Entra : per abilitare B.Simon all'uso dell'accesso Single Sign-On di Microsoft Entra.
Configurare Citrix ADC SAML Connessione or per Microsoft Entra SSO: per configurare le impostazioni SSO sul lato applicazione.
- Creare l'utente di test di Citrix ADC SAML Connessione or for Microsoft Entra: per avere una controparte di B.Simon in Citrix ADC SAML Connessione or per Microsoft Entra ID collegata alla rappresentazione dell'utente in Microsoft Entra.
Testare l'accesso Single Sign-On: per verificare se la configurazione funziona.
Configurare l'accesso Single Sign-On di Microsoft Entra
Per abilitare l'accesso Single Sign-On di Microsoft Entra usando il portale di Azure, completare questa procedura:
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
Passare al riquadro di integrazione dell'applicazione Identity>Applications Enterprise>>Citrix ADC SAML Connessione or for Microsoft Entra ID in Gestisci selezionare Single Sign-On.
Nel riquadro Selezionare un metodo di accesso Single Sign-On selezionare SAML.
Nel riquadro Configura Single Sign-On con SAML selezionare l'icona a forma di matita per Configurazione SAML di base per modificare le impostazioni.
Nella sezione Configurazione SAML di base, per configurare l'applicazione in modalità avviata da IDP, seguire questa procedura:
Nella casella di testo Identificatore immettere un URL nel formato seguente:
https://<YOUR_FQDN>
Nella casella di testo URL di risposta immettere un URL nel formato seguente:
http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth
Per configurare l'applicazione in modalità avviata da SP, selezionare Imposta URL aggiuntivi e seguire questa procedura:
- Nella casella di testo URL di accesso immettere un URL nel formato seguente:
https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx
.
Nota
- Gli URL usati in questa sezione non sono valori reali. Aggiornarli con i valori effettivi di identificatore, URL di risposta e URL di accesso. Per ottenere questi valori, contattare il team di supporto clienti di Citrix ADC SAML Connessione or for Microsoft Entra. È anche possibile fare riferimento ai modelli illustrati nella sezione Configurazione SAML di base.
- Per configurare l'accesso SSO, gli URL devono essere accessibili da siti Web pubblici. È necessario abilitare il firewall o altre impostazioni di sicurezza sul lato SamL di Citrix ADC SAML Connessione or per Microsoft Entra ID per abilitare Microsoft Entra ID per pubblicare il token nell'URL configurato.
- Nella casella di testo URL di accesso immettere un URL nel formato seguente:
Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML individuare l'URL dei metadati di federazione dell'app, quindi copiarlo e salvarlo nel Blocco note.
Nella sezione Configura Citrix ADC SAML Connessione or for Microsoft Entra ID copiare gli URL pertinenti in base alle esigenze.
Creare un utente di test di Microsoft Entra
In questa sezione viene creato un utente di test di nome B.Simon.
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un utente Amministrazione istrator.
- Passare a Identità>Utenti>Tutti gli utenti.
- Selezionare Nuovo utente Crea nuovo utente> nella parte superiore della schermata.
- Nelle proprietà Utente seguire questa procedura:
- Nel campo Nome visualizzato immettere
B.Simon
. - Nel campo Nome entità utente immettere .username@companydomain.extension Ad esempio:
B.Simon@contoso.com
. - Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.
- Selezionare Rivedi e crea.
- Nel campo Nome visualizzato immettere
- Seleziona Crea.
Assegnare l'utente di test di Microsoft Entra
In questa sezione si abilita l'utente B.Simon all'uso dell'accesso SSO di Azure concedendo all'utente l'accesso a Citrix ADC SAML Connessione or per Microsoft Entra ID.
Passare a Applicazioni di identità>Applicazioni>aziendali.
Nell'elenco delle applicazioni selezionare Citrix ADC SAML Connessione or per Microsoft Entra ID.
Nella panoramica dell'app fare clic su Utenti e gruppi in Gestisci.
Seleziona Aggiungi utente. Nella finestra di dialogo Aggiungi assegnazione selezionare quindi Utenti e gruppi.
Nella finestra di dialogo Utenti e gruppi selezionare B.Simon nell'elenco Utenti. Scegli Seleziona.
Se si prevede che agli utenti venga assegnato un ruolo, è possibile selezionarlo nell'elenco a discesa Selezionare un ruolo. Se per questa app non è stato configurato alcun ruolo, il ruolo selezionato è "Accesso predefinito".
Nella finestra di dialogo Aggiungi assegnazione selezionare Assegna.
Configurare Citrix ADC SAML Connessione or per Microsoft Entra SSO
Selezionare il collegamento alla procedura relativa al tipo di autenticazione che si vuole configurare:
Pubblicare il server Web
Per creare un server virtuale:
Selezionare Traffic Management>Load Balancing>Services (Gestione traffico > Bilanciamento del carico > Servizi).
Selezionare Aggiungi.
Impostare i valori seguenti per il server Web che esegue le applicazioni:
- Nome servizio
- Indirizzo IP del server/Server esistente
- Protocollo
- Porta
Configurare il servizio di bilanciamento del carico
Per configurare il servizio di bilanciamento del carico:
Passare a Traffic Management>Load Balancing>Virtual Servers (Gestione traffico > Bilanciamento del carico > Server virtuali).
Selezionare Aggiungi.
Impostare i valori seguenti come descritto nello screenshot:
- Nome
- Protocollo
- Indirizzo IP
- Porta
Seleziona OK.
Associare il server virtuale
Per associare il servizio di bilanciamento del carico al server virtuale:
Nel riquadro Services and Service Groups (Servizi e gruppi di servizi) selezionare No Load Balancing Virtual Server Service Binding (Nessuna associazione di servizi del server virtuale per il bilanciamento del carico).
Verificare le impostazioni come illustrato nello screenshot seguente e quindi selezionare Close (Chiudi).
Associare il certificato
Per pubblicare questo servizio come TLS, associare il certificato del server e quindi testare l'applicazione:
In Certificate (Certificato) selezionare No Server Certificate (Nessun certificato server).
Verificare le impostazioni come illustrato nello screenshot seguente e quindi selezionare Close (Chiudi).
Citrix ADC SAML Connessione or per il profilo SAML di Microsoft Entra
Per configurare l'Connessione or SAML Citrix ADC per il profilo SAML di Microsoft Entra, completare le sezioni seguenti.
Creare un criterio di autenticazione
Per creare un criterio di autenticazione:
Passare a Security>AAA – Application Traffic>Policies>Authentication>Authentication Policies (Sicurezza > AAA - Traffico applicazione > Criteri > Autenticazione > Criteri di autenticazione).
Selezionare Aggiungi.
Nel riquadro Create Authentication Policy (Crea criterio di autenticazione) immettere o selezionare i valori seguenti:
- Nome: immettere un nome per i criteri di autenticazione.
- Azione: immettere SAML e quindi selezionare Aggiungi.
- Espressione: immettere true.
Seleziona Crea.
Creare un server SAML di autenticazione
Per creare un server SAML di autenticazione, passare al riquadro Create Authentication SAML Server (Crea server SAML di autenticazione) e quindi completare la procedura seguente:
In Name (Nome) immettere un nome per il server SAML di autenticazione.
In Export SAML Metadata (Esporta metadati SAML):
Selezionare la casella di controllo Import Metadata (Importa metadati).
Immettere l'URL dei metadati di federazione copiato in precedenza dall'interfaccia utente SAML di Azure.
In Issuer Name (Nome autorità di certificazione) immettere l'URL pertinente.
Seleziona Crea.
Creare un server virtuale di autenticazione
Per creare un server virtuale di autenticazione:
Passare a Security>AAA - Application Traffic>Policies>Authentication>Authentication Virtual Servers (Sicurezza > AAA - Traffico applicazione > Criteri > Autenticazione > Server virtuali di autenticazione).
Selezionare Add (Aggiungi) e quindi completare la procedura seguente:
In Name (Nome) immettere un nome per il server virtuale di autenticazione.
Selezionare la casella di controllo Non-Addressable (Non indirizzabile).
Per Protocol (Protocollo) selezionare SSL.
Seleziona OK.
Selezionare Continua.
Configurare il server virtuale di autenticazione per l'uso dell'ID Microsoft Entra
Modificare due sezioni per il server virtuale di autenticazione:
Nel riquadro Advanced Authentication Policies (Criteri di autenticazione avanzati) selezionare No Authentication Policy (Nessun criterio di autenticazione).
Nel riquadro Policy Binding (Associazione criteri) selezionare il criterio di autenticazione e quindi Bind (Associa).
Nel riquadro Form Based Virtual Servers (Server virtuali basati su moduli) selezionare No Load Balancing Virtual Server (Nessun server virtuale di bilanciamento del carico).
In Authentication FQDN (Nome di dominio completo per autenticazione) immettere un nome di dominio completo (FQDN) (obbligatorio).
Selezionare il server virtuale di bilanciamento del carico da proteggere con l'autenticazione di Microsoft Entra.
Selezionare Associa.
Nota
Assicurarsi di selezionare Done (Fine) nel riquadro Authentication Virtual Server Configuration (Configurazione server virtuale di autenticazione).
Per verificare le modifiche, in un browser passare all'URL dell'applicazione. Dovrebbe essere visualizzata la pagina di accesso al tenant invece del messaggio di accesso non autenticato visualizzato in precedenza.
Configurare citrix ADC SAML Connessione or per l'autenticazione basata su Kerberos
Creare un account di delega Kerberos per Citrix ADC SAML Connessione or per Microsoft Entra ID
Creare un account utente; in questo esempio si usa AppDelegation.
Configurare un nome SPN HOST per questi account.
Esempio:
setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation
In questo esempio:
IDENTT.WORK
è il nome di dominio completo del dominio.identt
è il nome NetBIOS del dominio.appdelegation
è il nome dell'account utente di delega.
Configurare la delega per il server Web, come illustrato nello screenshot seguente:
Nota
Nello screenshot di esempio il nome del server Web interno che esegue il sito dell'autenticazione integrata di Windows è CWEB2.
Citrix ADC SAML Connessione or per Microsoft Entra AAA KCD (account di delega Kerberos)
Per configurare l'account KCD di Citrix ADC SAML Connessione or per Microsoft Entra AAA:
Passare a Citrix Gateway>AAA KCD (Kerberos Constrained Delegation) Accounts (Gateway Citrix > Account AAA KCD (Delega vincolata Kerberos)).
Selezionare Add (Aggiungi) e quindi immettere o selezionare i valori seguenti:
Nome: immettere un nome per l'account KCD.
Area di autenticazione: immettere il dominio e l'estensione in lettere maiuscole.
Service SPN (Nome dell'entità servizio): impostare su
http/<host/fqdn>@<DOMAIN.COM>
.Nota
@DOMAIN.COM
è obbligatorio e deve essere specificato in lettere maiuscole. Esempio:http/cweb2@IDENTT.WORK
.Utente delegato: immettere il nome utente delegato.
Selezionare la casella di controllo Password for Delegated User (Password per l'utente delegato) e quindi immettere e confermare una password.
Seleziona OK.
Profilo di traffico e criteri di traffico Citrix
Per configurare il profilo di traffico e i criteri di traffico Citrix:
Passare a Security>AAA - Application Traffic>Policies>Traffic Policies, Profiles and Form SSO Profiles Traffic Policies (Sicurezza > AAA - Traffico applicazione > Criteri > Criteri di traffico, profili e criteri di traffico dei profili per l'accesso SSO al modulo).
Selezionare Traffic Profiles (Profili di traffico).
Selezionare Aggiungi.
Per configurare un profilo di traffico, immettere o selezionare i valori seguenti.
Nome: immettere un nome per il profilo di traffico.
Single Sign-On: selezionare ON.
Account KCD: selezionare l'account KCD creato nella sezione precedente.
Seleziona OK.
Selezionare Traffic Policy (Criterio di traffico).
Selezionare Aggiungi.
Per configurare un criterio di traffico, immettere o selezionare i valori seguenti:
Nome: immettere un nome per i criteri di traffico.
Profilo: selezionare il profilo di traffico creato nella sezione precedente.
Espressione: immettere true.
Seleziona OK.
Associare un criterio di traffico a un server virtuale in Citrix
Per associare un criterio di traffico a un server virtuale usando l'interfaccia utente grafica:
Passare a Traffic Management>Load Balancing>Virtual Servers (Gestione traffico > Bilanciamento del carico > Server virtuali).
Nell'elenco dei server virtuali selezionare il server virtuale al quale si intende associare il criterio di riscrittura e quindi fare clic su Open (Apri).
Nel riquadro Load Balancing Virtual Server (Server virtuale di bilanciamento del carico) selezionare Policies (Criteri) in Advanced Settings (Impostazioni avanzate). Nell'elenco sono visualizzati tutti i criteri configurati per l'istanza di NetScaler.
Selezionare la casella di controllo accanto al nome del criterio da associare a questo server virtuale.
Nella finestra di dialogo Choose Type (Scegli tipo):
Per Choose Policy (Scegli criterio) selezionare Traffic (Traffico).
Per Choose Type (Scegli tipo) selezionare Request (Richiesta).
Dopo l'associazione del criterio fare clic su Done (Fine).
Testare l'associazione usando il sito Web dell'autenticazione integrata di Windows.
Creare l'utente di test di Citrix ADC SAML Connessione or per Microsoft Entra
In questa sezione viene creato un utente di nome B.Simon in Citrix ADC SAML Connessione or per Microsoft Entra ID. Citrix ADC SAML Connessione or per Microsoft Entra ID supporta il provisioning utenti JIT, che è abilitato per impostazione predefinita. In questa sezione non è necessario alcun intervento da parte dell'utente. Se non esiste già un utente in Citrix ADC SAML Connessione or per Microsoft Entra ID, ne viene creato uno nuovo dopo l'autenticazione.
Nota
Se è necessario creare un utente manualmente, contattare il team di supporto clienti di Citrix ADC SAML Connessione or for Microsoft Entra.
Testare l'accesso SSO
In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.
Fare clic su Test this application (Testa questa applicazione), verrà eseguito il reindirizzamento a Citrix ADC SAML Connessione or per l'URL di accesso di Microsoft Entra, in cui è possibile avviare il flusso di accesso.
Passare direttamente a Citrix ADC SAML Connessione or per l'URL di accesso di Microsoft Entra e avviare il flusso di accesso da questa posizione.
È possibile usare App personali Microsoft. Quando si fa clic sul riquadro citrix ADC SAML Connessione or for Microsoft Entra ID nel App personali, verrà eseguito il reindirizzamento a Citrix ADC SAML Connessione or per l'URL di accesso di Microsoft Entra. Per altre informazioni su App personali, vedere l'introduzione ad App personali.
Passaggi successivi
Dopo aver configurato Citrix ADC SAML Connessione or per Microsoft Entra ID, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo sessione con app Microsoft Defender per il cloud.