Руководство по интеграции единого входа Microsoft Entra с Citrix ADC SAML Connector для Идентификатора Microsoft Entra (проверка подлинности на основе Kerberos)

В этом руководстве вы узнаете, как интегрировать Citrix ADC SAML Connector для Microsoft Entra ID с идентификатором Microsoft Entra ID. Интеграция Citrix ADC SAML Connector для Идентификатора Microsoft Entra с идентификатором Microsoft Entra можно:

• Управляйте идентификатором Microsoft Entra ID, имеющим доступ к Соединителю Citrix ADC SAML для Идентификатора Microsoft Entra.
• Включите автоматический вход пользователей в Citrix ADC SAML Connector для Microsoft Entra ID с помощью учетных записей Microsoft Entra.
• Управление учетными записями в одном центральном расположении.

Необходимые условия

Чтобы приступить к работе, вам потребуется следующее:

• Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
• Подписка Citrix ADC SAML Connector для единого входа (SSO) Microsoft Entra.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде. В этом руководстве приведены следующие сценарии:

• Единый вход, инициированный поставщиком служб для Соединителя SAML Citrix ADC для идентификатора Microsoft Entra.

• JIT-подготовка пользователей для соединителя Citrix ADC SAML для идентификатора Microsoft Entra.

• Проверка подлинности на основе Kerberos для соединителя Citrix ADC SAML для идентификатора Microsoft Entra.

• Проверка подлинности на основе заголовков для соединителя Citrix ADC SAML для идентификатора Microsoft Entra.

Добавление Citrix ADC SAML Connector для Microsoft Entra ID из коллекции

Чтобы интегрировать Citrix ADC SAML Connector для Microsoft Entra ID с идентификатором Microsoft Entra ID, сначала добавьте Соединитель Citrix ADC SAML для Microsoft Entra ID в список управляемых приложений SaaS из коллекции:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.

3. В разделе "Добавление из коллекции" в поле поиска введите Citrix ADC SAML Connector для Microsoft Entra ID.

4. В результатах выберите Citrix ADC SAML Connector for Microsoft Entra ID, а затем добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в клиент.

Кроме того, можно использовать мастер корпоративной Конфигурация приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Citrix ADC SAML Connector для идентификатора Microsoft Entra

Настройте и проверьте единый вход Microsoft Entra в Citrix ADC SAML Connector для Microsoft Entra ID с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Citrix ADC SAML Connector для Идентификатора Microsoft Entra.

Чтобы настроить и проверить единый вход Microsoft Entra в Citrix ADC SAML Connector for Microsoft Entra ID, выполните следующие действия.

1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.

   1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra в B.Simon.

   2. Назначьте тестового пользователя Microsoft Entra, чтобы включить единый вход Microsoft Entra Simon.

2. Настройте соединитель Citrix ADC SAML для единого входа Microsoft Entra, чтобы настроить параметры единого входа на стороне приложения.

   1. Создание соединителя Citrix ADC SAML для тестового пользователя Microsoft Entra требуется для того, чтобы в Citrix ADC SAML Connector for Microsoft Entra ID был создан пользователь B.Simon, связанный с представлением Microsoft Entra пользователя.

3. Проверьте единый вход , чтобы проверить, работает ли конфигурация.

Настройка единого входа Microsoft Entra

Чтобы включить единый вход Microsoft Entra с помощью портал Azure, выполните следующие действия:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к> приложениям>Identity Applications>Enterprise Citrix ADC SAML Connector для интеграции с приложением идентификатора Microsoft Entra ID, в разделе "Управление" выберите единый вход.

3. На панели методов выбора единого входа выберите SAML.

4. На панели "Настройка единого входа" в области SAML выберите значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

   

5. В разделе "Базовая конфигурация SAML" для настройки приложения в режиме, инициированном поставщиком удостоверений, выполните следующие действия.

   1. В текстовом поле "Идентификатор" введите URL-адрес со следующим шаблоном: https://<YOUR_FQDN>

   2. В текстовом поле "URL-адрес ответа" введите URL-адрес со следующим шаблоном: http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

6. Чтобы настроить приложение в режиме, инициированном поставщиком служб, выберите "Задать дополнительные URL-адреса " и выполните следующий шаг:

   • В текстовом поле URL-адреса входа введите URL-адрес, имеющий следующий шаблон: https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

   Заметка

   • URL-адреса, используемые в этом разделе, не являются реальными значениями. Обновите эти значения фактическими значениями идентификатора, URL-адреса ответа и URL-адреса входа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов Citrix ADC SAML Connector для Microsoft Entra. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".
   • Чтобы настроить единый вход, URL-адреса должны быть доступны на общедоступных веб-сайтах. Необходимо включить брандмауэр или другие параметры безопасности в соединителе Citrix ADC SAML для идентификатора Microsoft Entra ID, чтобы идентификатор Microsoft Entra id мог опубликовать маркер по указанному URL-адресу.

7. На панели "Настройка единого входа с помощью SAML" в разделе "Сертификат подписи SAML" для URL-адреса метаданных федерации приложений скопируйте URL-адрес и сохраните его в Блокноте.

   

8. Скопируйте соответствующие URL-адреса в разделе Настройка соединителя Citrix ADC SAML для идентификатора Microsoft Entra ID.

   

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
2. Перейдите ко всем пользователям удостоверений>>.
3. Выберите "Создать пользователя>" в верхней части экрана.
4. В свойствах пользователя выполните следующие действия.
   1. В поле "Отображаемое имя" введите B.Simon.
   2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
   3. Установите флажок "Показать пароль", а затем запишите значение, отображаемое в поле "Пароль".
   4. Выберите "Рецензирование и создание".
5. Нажмите кнопку "Создать".

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход Azure, предоставив пользователю доступ к Citrix ADC SAML Connector for Microsoft Entra ID.

1. Перейдите к приложениям Identity>Applications>Enterprise.

2. В списке приложений выберите Citrix ADC SAML Connector для идентификатора Microsoft Entra.

3. В разделе "Управление" в разделе "Управление" выберите "Пользователи" и "Группы".

4. Выберите " Добавить пользователя". Затем в диалоговом окне "Добавление назначения" выберите "Пользователи и группы".

5. В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи". Нажмите кнопку " Выбрать".

6. Если вы ожидаете, что роль будет назначена пользователям, ее можно выбрать в раскрывающемся списке "Выбор роли ". Если для этого приложения не настроена роль, вы увидите выбранную роль "Доступ по умолчанию".

7. В диалоговом окне "Добавление назначения" выберите "Назначить".

Настройка соединителя Citrix ADC SAML для единого входа Microsoft Entra

Выберите ссылку для выполнения действий по настройке типа проверки подлинности:

• Настройка соединителя Citrix ADC SAML для единого входа Microsoft Entra для проверки подлинности на основе Kerberos

• Настройка соединителя Citrix ADC SAML для единого входа Microsoft Entra для проверки подлинности на основе заголовков

Публикация веб-сервера

Чтобы создать виртуальный сервер, выполните приведенные действия.

1. Выберите службы балансировки нагрузки управления трафиком>>.

2. Нажмите кнопку "Добавить".

   

3. Задайте следующие значения для веб-сервера, на котором выполняются приложения:

   • Имя службы
   • IP-адрес сервера или существующий сервер
   • Протокол
   • Порт

Настройка подсистемы балансировки нагрузки

Чтобы настроить подсистему балансировки нагрузки, выполните следующие действия.

1. Перейдите к виртуальным серверам балансировки нагрузки управления>трафиком>.

2. Нажмите кнопку "Добавить".

3. Задайте следующие значения, как описано на следующем снимке экрана:

   • Имя
   • Протокол
   • IP-адрес
   • Порт

4. Нажмите кнопку "ОК".

   

Привязка виртуального сервера

Чтобы привязать подсистему балансировки нагрузки к виртуальному серверу, выполните следующие действия.

1. На панели "Службы и группы служб" выберите "Нет привязки службы виртуального сервера балансировки нагрузки".

   

2. Проверьте параметры, как показано на следующем снимке экрана, а затем нажмите кнопку "Закрыть".

   

Привязка сертификата

Чтобы опубликовать эту службу как TLS, привязать сертификат сервера и протестировать приложение:

1. В разделе "Сертификат" выберите "Нет сертификата сервера".

   

2. Проверьте параметры, как показано на следующем снимке экрана, а затем нажмите кнопку "Закрыть".

   

Citrix ADC SAML Connector for Microsoft Entra SAML profile

Чтобы настроить соединитель Citrix ADC SAML для профиля Microsoft Entra SAML, выполните действия в следующих разделах.

Создание политики проверки подлинности

Чтобы создать политику проверки подлинности, выполните следующие действия.

1. Перейдите к безопасности>AAA — политики> проверки подлинности проверки подлинности>политик трафика>приложений.

2. Нажмите кнопку "Добавить".

3. На панели "Создание политики проверки подлинности" введите или выберите следующие значения:

   • Имя. Введите имя политики проверки подлинности.
   • Действие: введите SAML и нажмите кнопку "Добавить".
   • Выражение: введите true.

   

4. Нажмите кнопку "Создать".

Создание сервера SAML проверки подлинности

Чтобы создать сервер SAML проверки подлинности, перейдите на панель "Создание сервера SAML проверки подлинности" и выполните следующие действия:

1. В поле "Имя" введите имя сервера SAML проверки подлинности.

2. В разделе "Экспорт метаданных SAML":

   1. Установите флажок импорта метаданных.

   2. Введите URL-адрес метаданных федерации из пользовательского интерфейса Azure SAML, скопированного ранее.

3. В поле "Имя издателя" введите соответствующий URL-адрес.

4. Нажмите кнопку "Создать".

Создание виртуального сервера проверки подлинности

Чтобы создать виртуальный сервер проверки подлинности, выполните приведенные действия.

1. Перейдите к безопасности>AAA — виртуальные серверы проверки подлинности проверки подлинности>политик>трафика>приложений.

2. Нажмите кнопку "Добавить", а затем выполните следующие действия:

   1. В поле "Имя" введите имя виртуального сервера проверки подлинности.

   2. Установите флажок "Не адресируемый".

   3. Для протокола выберите SSL.

   4. Нажмите кнопку "ОК".

3. Нажмите кнопку "Продолжить".

Настройка виртуального сервера проверки подлинности для использования идентификатора Microsoft Entra

Измените два раздела для виртуального сервера проверки подлинности:

1. На панели "Дополнительные политики проверки подлинности" выберите "Нет политики проверки подлинности".

   

2. На панели привязки политики выберите политику проверки подлинности и нажмите кнопку "Привязка".

   

3. На панели "Виртуальные серверы на основе форм" выберите "Нет балансировки нагрузки" виртуального сервера.

   

4. Для полного доменного имени проверки подлинности введите полное доменное имя (полное доменное имя) (обязательно).

5. Выберите виртуальный сервер балансировки нагрузки, который требуется защитить с помощью проверки подлинности Microsoft Entra.

6. Выберите "Привязка".

   

   Заметка

   Обязательно выберите "Готово" на панели конфигурации виртуального сервера проверки подлинности.

7. Чтобы проверить изменения, перейдите по URL-адресу приложения в браузере. Вы должны увидеть страницу входа клиента вместо неуправляемого доступа, который вы видели ранее.

   

Настройка соединителя Citrix ADC SAML для единого входа Microsoft Entra для проверки подлинности на основе Kerberos

Создание учетной записи делегирования Kerberos для соединителя Citrix ADC SAML для идентификатора Microsoft Entra

1. Создайте учетную запись пользователя (в этом примере мы используем AppDelegation).

   

2. Настройте имя участника-службы узла для этой учетной записи.

   Пример: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

   В этом примере:

   • IDENTT.WORK — полное доменное имя домена.
   • identt — имя домена NetBIOS.
   • appdelegation — имя учетной записи делегирования.

3. Настройте делегирование для веб-сервера, как показано на следующем снимке экрана:

   

   Заметка

   На снимке экрана показано имя внутреннего веб-сервера, на котором запущен сайт встроенной проверки подлинности Windows (WIA) — CWEB2.

Citrix ADC SAML Connector for Microsoft Entra AAA KCD (учетные записи делегирования Kerberos)

Чтобы настроить соединитель Citrix ADC SAML для учетной записи Microsoft Entra AAA KCD:

1. Перейдите к учетным записям AAA KCD (ограниченное делегирование Kerberos) шлюза>Citrix.

2. Нажмите кнопку "Добавить", а затем введите или выберите следующие значения:

   • Имя: введите имя учетной записи KCD.

   • Область. Введите домен и расширение в верхнем регистре.

   • Имя субъекта-службы: http/<host/fqdn>@<DOMAIN.COM>.

     Заметка

     @DOMAIN.COM является обязательным и должен быть верхним регистром. Пример: http/cweb2@IDENTT.WORK.

   • Делегированный пользователь: введите делегированное имя пользователя.

   • Установите флажок "Пароль для делегированного пользователя" и введите и подтвердите пароль.

3. Нажмите кнопку "ОК".

Политика и профиль трафика Citrix

Чтобы настроить политику трафика Citrix и профиль трафика, выполните следующие действия.

1. Перейдите к безопасности>AAA — политики>трафика>приложений, профили и профили единого входа в форму.

2. Выберите профили трафика.

3. Нажмите кнопку "Добавить".

4. Чтобы настроить профиль трафика, введите или выберите следующие значения.

   • Имя: введите имя профиля трафика.

   • Единый вход. Выберите ON.

   • Учетная запись KCD: выберите учетную запись KCD, созданную в предыдущем разделе.

5. Нажмите кнопку "ОК".

   

6. Выберите политику трафика.

7. Нажмите кнопку "Добавить".

8. Чтобы настроить политику трафика, введите или выберите следующие значения:

   • Имя. Введите имя политики трафика.

   • Профиль. Выберите профиль трафика, созданный в предыдущем разделе.

   • Выражение: введите true.

9. Нажмите кнопку "ОК".

   

Привязка политики трафика к виртуальному серверу в Citrix

Чтобы привязать политику трафика к виртуальному серверу с помощью графического интерфейса:

1. Перейдите к виртуальным серверам балансировки нагрузки управления>трафиком>.

2. В списке виртуальных серверов выберите виртуальный сервер, к которому требуется привязать политику перезаписи, а затем нажмите кнопку "Открыть".

3. На панели "Балансировка нагрузки виртуального сервера" в разделе "Дополнительные параметры" выберите "Политики". Все политики, настроенные для экземпляра NetScaler, отображаются в списке.

   

   

4. Установите флажок рядом с именем политики, которую необходимо привязать к этому виртуальному серверу.

   

5. В диалоговом окне выбора типа:

   1. Для выбора политики выберите трафик.

   2. Для выбора типа выберите "Запрос".

   

6. Когда политика привязана, нажмите кнопку "Готово".

   

7. Проверьте привязку с помощью веб-сайта WIA.

   

Создание соединителя Citrix ADC SAML для тестового пользователя Microsoft Entra

В этом разделе пользователь с именем B.Simon создается в Citrix ADC SAML Connector for Microsoft Entra ID. Citrix ADC SAML Connector for Microsoft Entra ID поддерживает JIT-подготовку пользователей, которая включена по умолчанию. В этом разделе нет действий. Если пользователь еще не существует в Citrix ADC SAML Connector for Microsoft Entra ID, он создается после проверки подлинности.

Проверка единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

• Щелкните "Тестировать это приложение", вы перейдете по URL-адресу входа Citrix ADC SAML Connector для входа в Microsoft Entra, где можно инициировать поток входа.

• Перейдите по URL-адресу для входа в Citrix ADC SAML Connector для Microsoft Entra и инициируйте поток входа.

• Вы можете использовать microsoft Мои приложения. Щелкнув плитку Citrix ADC SAML Connector для идентификатора Microsoft Entra ID в Мои приложения, вы перейдете по URL-адресу для входа в Citrix ADC SAML Connector для Microsoft Entra. Дополнительные сведения о Мои приложения см. в статье "Введение в Мои приложения".

Дальнейшие действия

После настройки соединителя Citrix ADC SAML для идентификатора Microsoft Entra можно применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Элемент управления сеансом расширяется от условного доступа. Узнайте, как применить управление сеансом с помощью Microsoft Defender для облака Apps.