Kurz: Integrace jednotného přihlašování Microsoft Entra s Citrix ADC SAML Připojení or pro Microsoft Entra ID (ověřování založené na protokolu Kerberos)

V tomto kurzu se dozvíte, jak integrovat Citrix ADC SAML Připojení or pro Microsoft Entra ID s Microsoft Entra ID. Když integrujete Citrix ADC SAML Připojení or pro Microsoft Entra ID s Microsoft Entra ID, můžete:

• Řízení v Microsoft Entra ID, který má přístup k Citrix ADC SAML Připojení or pro Microsoft Entra ID.
• Povolte uživatelům automatické přihlášení k Citrix ADC SAML Připojení or pro Microsoft Entra ID pomocí jejich účtů Microsoft Entra.
• Spravujte účty v jednom centrálním umístění.

Požadavky

Abyste mohli začít, potřebujete následující položky:

• Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
• Citrix ADC SAML Připojení or pro předplatné s povoleným jednotným přihlašováním Microsoft Entra.

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí. Tento kurz obsahuje tyto scénáře:

• Jednotné přihlašování iniciované aktualizací pro Citrix ADC SAML Připojení or pro Microsoft Entra ID.

• Zřizování uživatelů za běhu pro Citrix ADC SAML Připojení or pro Microsoft Entra ID.

• Ověřování založené na protokolu Kerberos pro Citrix ADC SAML Připojení or pro Microsoft Entra ID.

• Ověřování založené na hlavičce pro Citrix ADC SAML Připojení or pro Microsoft Entra ID.

Přidání Připojení oru Citrix ADC SAML pro Id Microsoft Entra z galerie

Pokud chcete integrovat Citrix ADC SAML Připojení or pro Microsoft Entra ID s Microsoft Entra ID, nejprve přidejte Citrix ADC SAML Připojení or pro Microsoft Entra ID do seznamu spravovaných aplikací SaaS z galerie:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.

3. V části Přidat z galerie zadejte do vyhledávacího pole Připojení or Citrix ADC SAML pro Microsoft Entra ID.

4. Ve výsledcích vyberte Citrix ADC SAML Připojení or pro Microsoft Entra ID a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro Citrix ADC SAML Připojení or pro Microsoft Entra ID

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s Citrix ADC SAML Připojení or pro ID Microsoft Entra pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v nástroji Citrix ADC SAML Připojení or pro Microsoft Entra ID.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s Citrix ADC SAML Připojení or pro Microsoft Entra ID, proveďte následující kroky:

1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.

   1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.

   2. Přiřaďte testovacího uživatele Microsoft Entra – aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.

2. Nakonfigurujte Citrix ADC SAML Připojení or pro jednotné přihlašování Microsoft Entra – ke konfiguraci nastavení jednotného přihlašování na straně aplikace.

   1. Vytvořte citrix ADC SAML Připojení or pro testovacího uživatele Microsoft Entra – aby měl protějšek B.Simon v Citrix ADC SAML Připojení or pro Microsoft Entra ID, který je propojený s reprezentací Microsoft Entra uživatele.

3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Pokud chcete povolit jednotné přihlašování Microsoft Entra pomocí webu Azure Portal, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

2. Přejděte k podnikovým aplikacím>Identity>Applications>Citrix ADC SAML Připojení or pro podokno integrace aplikace Microsoft Entra ID v části Spravovat vyberte Jednotné přihlašování.

3. V podokně Vybrat metodu jednotného přihlašování vyberte SAML.

4. V podokně Nastavení jednotného přihlašování pomocí SAML vyberte ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

   

5. V části Základní konfigurace SAML nakonfigurujte aplikaci v režimu iniciovaném protokolem IDP, proveďte následující kroky:

   1. Do textového pole Identifikátor zadejte adresu URL s následujícím vzorem: https://<YOUR_FQDN>

   2. Do textového pole Adresa URL odpovědi zadejte adresu URL, která má následující vzor: http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

6. Pokud chcete nakonfigurovat aplikaci v režimu iniciovaném aktualizací SP, vyberte Nastavit další adresy URL a proveďte následující krok:

   • Do textového pole Přihlašovací adresa URL zadejte adresu URL, která má následující vzor: https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

   Poznámka:

   • Adresy URL, které se v této části používají, nejsou skutečnými hodnotami. Aktualizujte tyto hodnoty skutečnými hodnotami pro identifikátor, adresu URL odpovědi a přihlašovací adresu URL. Pokud chcete získat tyto hodnoty, obraťte se na tým podpory klienta Citrix ADC SAML Připojení or společnosti Microsoft Entra. Můžete také odkazovat na vzory uvedené v části Základní konfigurace SAML.
   • Pokud chcete nastavit jednotné přihlašování, musí být adresy URL přístupné z veřejných webů. Je nutné povolit bránu firewall nebo jiné nastavení zabezpečení na straně SAM Připojení L citrix ADC pro Microsoft Entra ID, aby microsoft Entra ID mohl vystavit token na nakonfigurované adrese URL.

7. V podokně Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML zkopírujte adresu URL federačních metadat aplikace a uložte ji do Poznámkový blok.

   

8. V části Nastavení Citrix ADC SAML Připojení or pro Microsoft Entra ID zkopírujte příslušné adresy URL na základě vašich požadavků.

   

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele S názvem B.Simon.

1. Přihlaste se k Centru pro správu Microsoft Entra alespoň jako uživatel Správa istrator.
2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
4. Ve vlastnostech uživatele postupujte takto:
   1. Do pole Zobrazovaný název zadejte B.Simon.
   2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například B.Simon@contoso.com.
   3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
   4. Vyberte Zkontrolovat a vytvořit.
5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte uživateli B.Simon používat jednotné přihlašování Azure tím, že uživateli udělíte přístup k Citrix ADC SAML Připojení or pro Microsoft Entra ID.

1. Přejděte k podnikovým aplikacím> identit.>

2. V seznamu aplikací vyberte Citrix ADC SAML Připojení or pro Microsoft Entra ID.

3. V přehledu aplikace v části Spravovat vyberte Uživatelé a skupiny.

4. Vyberte možnost Přidat uživatele. Potom v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.

5. V dialogovém okně Uživatelé a skupiny vyberte V seznamu Uživatelé možnost B.Simon. Zvolte Vybrat.

6. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.

7. V dialogovém okně Přidat zadání vyberte Přiřadit.

Konfigurace Připojení or SAML Citrix ADC pro Jednotné přihlašování Microsoftu

Vyberte odkaz pro kroky pro typ ověřování, který chcete nakonfigurovat:

• Konfigurace Připojení oru Citrix ADC SAML pro jednotné přihlašování microsoftu Entra pro ověřování založené na protokolu Kerberos

• Konfigurace Připojení oru Citrix ADC SAML pro jednotné přihlašování Microsoft Entra pro ověřování na základě hlaviček

Publikování webového serveru

Vytvoření virtuálního serveru:

1. Vyberte Služby vyrovnávání>zatížení správy>provozu.

2. Vyberte Přidat.

   

3. Nastavte následující hodnoty pro webový server, na kterém běží aplikace:

   • Název služby
   • IP adresa serveru / existující server
   • Protokol
   • Port

Konfigurace nástroje pro vyrovnávání zatížení

Konfigurace nástroje pro vyrovnávání zatížení:

1. Přejděte na virtuální servery vyrovnávání>zatížení správy>provozu.

2. Vyberte Přidat.

3. Nastavte následující hodnoty, jak je popsáno na následujícím snímku obrazovky:

   • Název
   • Protokol
   • IP Address
   • Port

4. Vyberte OK.

   

Vytvoření vazby virtuálního serveru

Vytvoření vazby nástroje pro vyrovnávání zatížení s virtuálním serverem:

1. V podokně Služby a skupiny služeb vyberte Žádné vazby služby virtuálního serveru vyrovnávání zatížení.

   

2. Ověřte nastavení, jak je znázorněno na následujícím snímku obrazovky, a pak vyberte Zavřít.

   

Vytvoření vazby certifikátu

Pokud chcete tuto službu publikovat jako protokol TLS, vytvořte vazbu certifikátu serveru a otestujte aplikaci:

1. V části Certifikát vyberte Žádný certifikát serveru.

   

2. Ověřte nastavení, jak je znázorněno na následujícím snímku obrazovky, a pak vyberte Zavřít.

   

Citrix ADC SAML Připojení or pro profil Microsoft Entra SAML

Pokud chcete nakonfigurovat profil Citrix ADC SAML Připojení or pro profil Microsoft Entra SAML, proveďte následující části.

Vytvoření zásady ověřování

Vytvoření zásady ověřování:

1. Přejděte na Security>AAA – Zásady ověřování zásad>ověřování> přenosů>aplikací.

2. Vyberte Přidat.

3. V podokně Vytvořit zásady ověřování zadejte nebo vyberte následující hodnoty:

   • Název: Zadejte název zásady ověřování.
   • Akce: Zadejte SAML a pak vyberte Přidat.
   • Výraz: Zadejte true.

   

4. Vyberte Vytvořit.

Vytvoření ověřovacího serveru SAML

Pokud chcete vytvořit ověřovací server SAML, přejděte do podokna Vytvořit ověřovací server SAML a pak proveďte následující kroky:

1. Jako název zadejte název ověřovacího serveru SAML.

2. V části Exportovat metadata SAML:

   1. Zaškrtněte políčko Importovat metadata.

   2. Zadejte adresu URL federačních metadat z uživatelského rozhraní Azure SAML, které jste zkopírovali dříve.

3. Jako název vystavitele zadejte příslušnou adresu URL.

4. Vyberte Vytvořit.

Vytvoření ověřovacího virtuálního serveru

Vytvoření ověřovacího virtuálního serveru:

1. Přejděte na Zabezpečení>AAA – Virtuální servery ověřování>zásad>provozu>aplikací.

2. Vyberte Přidat a pak proveďte následující kroky:

   1. Jako název zadejte název ověřovacího virtuálního serveru.

   2. Zaškrtněte políčko Neoslovitelné.

   3. V poli Protokol vyberte SSL.

   4. Vyberte OK.

3. Zvolte Pokračovat.

Konfigurace ověřovacího virtuálního serveru tak, aby používal Microsoft Entra ID

Upravte dva oddíly pro ověřovací virtuální server:

1. V podokně Upřesnit zásady ověřování vyberte Žádné zásady ověřování.

   

2. V podokně Vazby zásad vyberte zásady ověřování a pak vyberte Vytvořit vazbu.

   

3. V podokně Virtuální servery založené na formuláři vyberte Žádný virtuální server vyrovnávání zatížení.

   

4. Jako plně kvalifikovaný název domény zadejte plně kvalifikovaný název domény (FQDN) (povinné).

5. Vyberte virtuální server vyrovnávání zatížení, který chcete chránit pomocí ověřování Microsoft Entra.

6. Vyberte možnost vazba.

   

   Poznámka:

   Nezapomeňte vybrat Hotovo v podokně Konfigurace virtuálního serveru ověřování.

7. Pokud chcete ověřit změny, přejděte v prohlížeči na adresu URL aplikace. Místo neověřeného přístupu, který jste viděli dříve, by se měla zobrazit přihlašovací stránka tenanta.

   

Konfigurace Připojení oru Citrix ADC SAML pro jednotné přihlašování microsoftu Entra pro ověřování založené na protokolu Kerberos

Vytvoření účtu delegování Kerberos pro Citrix ADC SAML Připojení or pro Microsoft Entra ID

1. Vytvořte uživatelský účet (v tomto příkladu používáme AppDelegation).

   

2. Nastavte hlavní název služby hostitele pro tento účet.

   Příklad: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

   V tomto příkladu:

   • IDENTT.WORK je plně kvalifikovaný název domény.
   • identt je název netBIOS domény.
   • appdelegation je název uživatelského účtu delegování.

3. Nakonfigurujte delegování webového serveru, jak je znázorněno na následujícím snímku obrazovky:

   

   Poznámka:

   V příkladu snímku obrazovky je název interního webového serveru s webem WiA (Windows Integrated Authentication) CWEB2.

Citrix ADC SAML Připojení or pro Microsoft Entra AAA KCD (účty delegování Kerberos)

Konfigurace Připojení oru Citrix ADC SAML pro účet Microsoft Entra AAA KCD:

1. Přejděte do účtů Citrix Gateway>AAA KCD (omezené delegování kerberos).

2. Vyberte Přidat a pak zadejte nebo vyberte následující hodnoty:

   • Název: Zadejte název účtu KCD.

   • Sféra: Zadejte doménu a příponu velkými písmeny.

   • Hlavní název služby: http/<host/fqdn>@<DOMAIN.COM>.

     Poznámka:

     @DOMAIN.COM je povinný a musí být velkými písmeny. Příklad: http/cweb2@IDENTT.WORK.

   • Delegovaný uživatel: Zadejte delegovaná uživatelská jména.

   • Zaškrtněte políčko Heslo pro delegovaného uživatele a zadejte a potvrďte heslo.

3. Vyberte OK.

   

Zásady provozu citrixu a profil provozu

Konfigurace zásad provozu a profilu provozu Citrixu:

1. Přejděte na Security>AAA – Zásady provozu zásad>provozu>aplikací, profily a zásady jednotného přihlašování formulářů.

2. Vyberte Profily provozu.

3. Vyberte Přidat.

4. Pokud chcete nakonfigurovat profil provozu, zadejte nebo vyberte následující hodnoty.

   • Název: Zadejte název profilu provozu.

   • Jednotné přihlašování: Vyberte ZAPNUTO.

   • Účet KCD: Vyberte účet KCD, který jste vytvořili v předchozí části.

5. Vyberte OK.

   

6. Vyberte Zásady provozu.

7. Vyberte Přidat.

8. Pokud chcete nakonfigurovat zásady provozu, zadejte nebo vyberte následující hodnoty:

   • Název: Zadejte název zásady provozu.

   • Profil: Vyberte profil provozu, který jste vytvořili v předchozí části.

   • Výraz: Zadejte true.

9. Vyberte OK.

   

Vytvoření vazby zásad provozu na virtuální server v Citrixu

Vytvoření vazby zásad provozu na virtuální server pomocí grafického uživatelského rozhraní:

1. Přejděte na virtuální servery vyrovnávání>zatížení správy>provozu.

2. V seznamu virtuálních serverů vyberte virtuální server, ke kterému chcete vytvořit vazbu zásad přepsání, a pak vyberte Otevřít.

3. V podokně Virtuální server vyrovnávání zatížení v části Upřesnit Nastavení vyberte Zásady. V seznamu se zobrazí všechny zásady nakonfigurované pro vaši instanci NetScaler.

   

   

4. Zaškrtněte políčko vedle názvu zásady, kterou chcete svázat s tímto virtuálním serverem.

   

5. V dialogovém okně Zvolit typ :

   1. U možnosti Zvolit zásadu vyberte Provoz.

   2. U možnosti Zvolit typ vyberte Požadavek.

   

6. Po vázání zásady vyberte Hotovo.

   

7. Otestujte vazbu pomocí webu WIA.

   

Vytvoření Připojení oru Citrix ADC SAML pro testovacího uživatele Microsoft Entra

V této části se uživatel s názvem B.Simon vytvoří ve službě Citrix ADC SAML Připojení or pro Microsoft Entra ID. Citrix ADC SAML Připojení or pro Microsoft Entra ID podporuje zřizování uživatelů za běhu, které je ve výchozím nastavení povolené. V této části není žádná akce. Pokud uživatel ještě v Citrix ADC SAML Připojení or pro Id Microsoft Entra neexistuje, vytvoří se po ověření nový.

Poznámka:

Pokud potřebujete vytvořit uživatele ručně, obraťte se na tým podpory klienta Microsoft Entra Připojení or Citrix ADC SAML.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

• Klikněte na Test této aplikace, bude přesměrováno na Citrix ADC SAML Připojení or pro přihlašovací adresu URL Microsoft Entra, kde můžete zahájit tok přihlášení.

• Přejděte přímo na Připojení or Citrix ADC SAML pro přihlašovací adresu URL Microsoft Entra a spusťte tok přihlášení odsud.

• Můžete použít Microsoft Moje aplikace. Když kliknete na dlaždici SamL SAM Připojení L Citrix ADC pro microsoft Entra ID v Moje aplikace, přesměruje se na Citrix ADC SAML Připojení or pro přihlašovací adresu URL Microsoft Entra. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Další kroky

Jakmile nakonfigurujete Citrix ADC SAML Připojení or pro Microsoft Entra ID, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.