Tutoriel : intégration de l’authentification unique Microsoft Entra au connecteur Citrix ADC SAML pour Microsoft Entra ID (authentification Kerberos)

  • Article

Dans ce tutoriel, vous apprenez à intégrer le connecteur Citrix ADC SAML pour Microsoft Entra ID à Microsoft Entra ID. Quand vous intégrez le connecteur Citrix ADC SAML pour Microsoft Entra ID à Microsoft Entra ID, vous pouvez :

  • Contrôler qui a accès au connecteur Citrix ADC SAML pour Microsoft Entra ID dans Microsoft Entra ID.
  • Permettre à vos utilisateurs de se connecter automatiquement au connecteur Citrix ADC SAML pour Microsoft Entra ID avec leurs comptes Microsoft Entra.
  • Gérer vos comptes à partir d’un emplacement central.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

  • Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
  • Abonnement activé pour l’authentification unique (SSO) du connecteur Citrix ADC SAML pour Microsoft Entra.

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test. Ce tutoriel inclut les scénarios suivants :

Pour intégrer le connecteur Citrix ADC SAML pour Microsoft Entra ID à Microsoft Entra ID, commencez par ajouter le connecteur Citrix ADC SAML pour Microsoft Entra ID à votre liste d’applications SaaS managées à partir de la galerie :

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.

  3. Dans la section Ajouter à partir de la galerie, entrez Connecteur Citrix ADC SAML pour Microsoft Entra ID dans la zone de recherche.

  4. Dans les résultats, sélectionnez Connecteur Citrix ADC SAML pour Microsoft Entra ID, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour le connecteur Citrix ADC SAML pour Microsoft Entra ID

Configurez et testez l’authentification unique Microsoft Entra avec le connecteur Citrix ADC SAML pour Microsoft Entra ID à l’aide d’un utilisateur de test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l’utilisateur associé dans le connecteur Citrix ADC SAML pour Microsoft Entra ID.

Pour configurer et tester l’authentification unique Microsoft Entra avec le connecteur Citrix ADC SAML pour Microsoft Entra ID, effectuez les étapes suivantes :

  1. Configurez l'authentification unique de Microsoft Entra pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.

    1. Créer un utilisateur test Microsoft Entra – pour tester Microsoft Entra SSO avec B.Simon.

    2. Attribuez l’utilisateur de test Microsoft Entra pour permettre à B. Simon d’utiliser l’authentification unique Microsoft Entra.

  2. Configurez l’authentification unique pour le connecteur Citrix ADC SAML pour Microsoft Entra pour configurer les paramètres d’authentification unique côté application.

    1. Créez un utilisateur de test pour le connecteur Citrix ADC SAML pour Microsoft Entra pour avoir un équivalent de B.Simon dans le connecteur Citrix ADC SAML pour Microsoft Entra ID lié à la représentation de l’utilisateur dans Microsoft Entra.

  3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Pour activer Microsoft Entra SSO à l’aide du portail Azure, procédez comme suit :

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez au volet d’intégration d’application Identité>Applications>Applications d’entreprise>Connecteur Citrix ADC SAML pour Microsoft Entra ID. Sous Gérer, sélectionnez Authentification unique.

  3. Dans le volet Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  4. Dans le volet Configurer l’authentification unique avec SAML, sélectionnez l’icône de crayon pour Configuration SAML de base afin de modifier les paramètres.

    Screenshot shows to edit Basic SAML Configuration.

  5. Dans la section Configuration SAML de base, pour configurer l’application en mode lancé par le fournisseur d’identité, effectuez les étapes suivantes :

    1. Dans la zone de texte Identificateur, entrez une URL au format suivant : https://<YOUR_FQDN>

    2. Dans la zone de texte URL de réponse, entrez une URL au format suivant : http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

  6. Pour configurer l’application en mode lancé par le fournisseur de services, sélectionnez Définir des URL supplémentaires, puis effectuez les étapes suivantes :

    • Dans la zone URL de connexion, entrez une URL au format suivant : https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

    Notes

    • Les URL utilisées dans cette section ne sont pas des valeurs réelles. Mettez à jour ces valeurs avec les valeurs réelles de l’identificateur, de l’URL de réponse et de l’URL de connexion. Pour obtenir ces valeurs, contactez l’équipe de support technique du connecteur Citrix ADC SAML pour Microsoft Entra. Vous pouvez également consulter les modèles figurant à la section Configuration SAML de base.
    • Pour configurer l’authentification unique, les URL doivent être accessibles à partir de sites web publics. Vous devez activer le pare-feu ou d’autres paramètres de sécurité côté connecteur Citrix ADC SAML pour Microsoft Entra ID pour permettre à Microsoft Entra ID de poster le jeton sur l’URL configurée.

  7. Dans le volet Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez URL des métadonnées de fédération d’application, copiez cette URL et enregistrez-la dans le Bloc-notes.

    Screenshot shows the Certificate download link.

  8. Dans la section Configurer le connecteur Citrix ADC SAML pour Microsoft Entra ID, copiez la ou les URL pertinentes en fonction de vos besoins.

    Screenshot shows to copy configuration URLs.

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous créez une utilisatrice test appelée B.Simon.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
  4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
    1. Dans le champ Nom d’affichage, entrez B.Simon.
    2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
    3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
    4. Sélectionnez Revoir + créer.
  5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez autoriser l’utilisateur B.Simon à utiliser l’authentification unique Azure en lui accordant l’accès au connecteur Citrix ADC SAML pour Microsoft Entra ID.

  1. Accédez à Identité>Applications>Applications d’entreprise.

  2. Dans la liste d’applications, sélectionnez Connecteur Citrix ADC SAML pour Microsoft Entra ID.

  3. Dans la vue d’ensemble de l’application, sous Gérer, sélectionnez Utilisateurs et groupes.

  4. Sélectionnez Ajouter un utilisateur. Ensuite, dans la boîte de dialogue Ajouter une attribution, sélectionnez Utilisateurs et groupes.

  5. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B.Simon dans la liste Utilisateurs. Choisissez Select.

  6. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.

  7. Dans la boîte de dialogue Ajouter une attribution, sélectionnez Affecter.

Configurer l’authentification unique pour le connecteur Citrix ADC SAML pour Microsoft Entra

Sélectionnez un lien pour connaître les étapes relatives au type d’authentification que vous voulez configurer :

Publier le serveur web

Pour créer un serveur virtuel :

  1. Sélectionnez Gestion du trafic>Équilibrage de charge>Services.

  2. Sélectionnez Ajouter.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Services pane.

  3. Définissez les valeurs suivantes pour le serveur web qui exécute les applications :

    • Nom du service :
    • Adresse IP du serveur/ Serveur existant
    • Protocole
    • Port

Configurer l’équilibrage de charge

Pour configurer l’équilibrage de charge :

  1. Accédez à Gestion de trafic>Équilibrage de charge>Serveurs virtuels.

  2. Sélectionnez Ajouter.

  3. Définissez les valeurs suivantes comme décrit dans la capture d’écran ci-après :

    • Nom
    • Protocole
    • Adresse IP
    • Port

  4. Cliquez sur OK.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Basic Settings pane.

Lier le serveur virtuel

Pour lier l’équilibreur de charge au serveur virtuel :

  1. Dans le volet Services et groupes de services, sélectionnez Aucune liaison de service de serveur virtuel d’équilibrage de charge.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Load Balancing Virtual Server Service Binding pane.

  2. Vérifiez les paramètres comme indiqué dans la capture d’écran suivante, puis sélectionnez Fermer.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Verify the virtual server services binding.

Lier le certificat

Pour publier ce service en tant que TLS, liez le certificat serveur, puis testez votre application :

  1. Sous Certificat, sélectionnez Aucun certificat de serveur.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Server Certificate pane.

  2. Vérifiez les paramètres comme indiqué dans la capture d’écran suivante, puis sélectionnez Fermer.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Verify the certificate.

Profil SAML du connecteur Citrix ADC SAML pour Microsoft Entra

Pour configurer le profil SAML du connecteur Citrix ADC SAML pour Microsoft Entra, effectuez les étapes des sections suivantes.

Créer une stratégie d’authentification

Pour créer une stratégie d’authentification :

  1. Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Authentification>Stratégies d’authentification.

  2. Sélectionnez Ajouter.

  3. Dans le volet Créer une stratégie d’authentification, entrez ou sélectionnez les valeurs suivantes :

    • Name : Entrez un nom pour votre stratégie d’authentification.
    • Action : Entrez SAML, puis sélectionnez Ajouter.
    • Expression : Entrez true.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Create Authentication Policy pane.

  4. Cliquez sur Créer.

Créer un serveur SAML d’authentification

Pour créer un serveur SAML d’authentification, accédez au volet Créer un serveur SAML d’authentification, puis effectuez les étapes suivantes :

  1. Dans Nom, entrez le nom du serveur SAML d’authentification.

  2. Sous Exporter les métadonnées SAML :

    1. Cochez la case Importer les métadonnées.

    2. Entrez l’URL des métadonnées de fédération à partir de l’interface utilisateur SAML Azure que vous avez copiée précédemment.

  3. Dans Nom de l’émetteur, entrez l’URL pertinente.

  4. Cliquez sur Créer.

Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Create Authentication SAML Server pane.

Créer un serveur virtuel d’authentification

Pour créer un serveur virtuel d’authentification :

  1. Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Authentification>Serveurs virtuels d’authentification.

  2. Sélectionnez Ajouter, puis effectuez les étapes suivantes :

    1. Dans Nom, entrez le nom du serveur virtuel d’authentification.

    2. Cochez la case Non adressable.

    3. Dans Protocole, sélectionnez SSL.

    4. Sélectionnez OK.

  3. Sélectionnez Continuer.

Configurer le serveur virtuel d'authentification pour utiliser Microsoft Entra ID

Modifiez deux sections pour le serveur virtuel d’authentification :

  1. Dans le volet Stratégies d’authentification avancées, sélectionnez Aucune stratégie d’authentification.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Advanced Authentication Policies pane.

  2. Dans le volet Liaison des stratégies, sélectionnez la stratégie d’authentification, puis sélectionnez Lier.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Policy Binding pane

  3. Dans le volet Serveurs virtuels basés sur un formulaire, sélectionnez Aucun serveur virtuel d’équilibrage de charge.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Form Based Virtual Servers pane.

  4. Dans Nom de domaine complet d’authentification, entrez un nom de domaine complet (FQDN) (obligatoire).

  5. Sélectionnez le serveur virtuel d'équilibrage de charge que vous souhaitez protéger avec l'authentification Microsoft Entra.

  6. Sélectionnez Lier.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Load Balancing Virtual Server Binding pane.

    Remarque

    Veillez à sélectionner Terminé dans le volet Configuration du serveur virtuel d’authentification.

  7. Pour vérifier vos modifications, dans un navigateur, accédez à l’URL de l’application. Votre page de connexion de locataire doit s’afficher au lieu de l’accès non authentifié que vous auriez pu voir précédemment.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - A sign-in page in a web browser.

Configurer l’authentification unique pour le connecteur Citrix ADC SAML pour Microsoft Entra pour l’authentification Kerberos

Créer un compte de délégation Kerberos pour le connecteur Citrix ADC SAML pour Microsoft Entra ID

  1. Créez un compte d’utilisateur (dans cet exemple, nous utilisons AppDelegation).

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Properties pane.

  2. Configurez un nom de principal du service (SPN) hôte pour ce compte.

    Exemple : setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

    Dans cet exemple :

    • IDENTT.WORK est le nom de domaine complet du domaine.
    • identt est le nom NetBIOS du domaine.
    • appdelegation est le nom du compte d’utilisateur de délégation.

  3. Configurez la délégation pour le serveur web comme indiqué dans la capture d’écran suivante :

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Delegation under Properties pane.

    Remarque

    Dans l’exemple de capture d’écran, le nom du serveur w&eb interne exécutant le site d’authentification intégrée Windows est CWEB2.

AAA KCD (comptes de délégation Kerberos) du connecteur Citrix ADC SAML pour Microsoft Entra

Pour configurer les comptes AAA KCD du connecteur Citrix ADC SAML pour Microsoft Entra :

  1. Accédez à Passerelle Citrix>Comptes AAA KCD (délégation contrainte Kerberos).

  2. Sélectionnez Ajouter, puis entrez ou sélectionnez les valeurs suivantes :

    • Name : Entrez un nom pour le compte KCD.

    • Realm (Domaine) : Entrez le domaine et l’extension en majuscules.

    • Service SPN (Nom de principal du service) : http/<host/fqdn>@<DOMAIN.COM>.

      Notes

      @DOMAIN.COM est obligatoire et doit être en majuscules. Exemple : http/cweb2@IDENTT.WORK.

    • Utilisateur délégué : Entrez le nom d’utilisateur délégué.

    • Cochez la case Mot de passe de l’utilisateur délégué, puis entrez et confirmez un mot de passe.

  3. Cliquez sur OK.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Configure KCD Account pane

Stratégie de trafic Citrix et profil de trafic

Pour configurer la stratégie de trafic Citrix et le profil de trafic :

  1. Accédez à Securité>AAA - Trafic d’application>Stratégies>Stratégies de trafic, profils de trafic et profils d’authentification unique par formulaire.

  2. Sélectionnez Traffic Profiles (Profils de trafic).

  3. Sélectionnez Ajouter.

  4. Pour configurer un profil de trafic, entrez ou sélectionnez les valeurs suivantes.

    • Name : Entrez un nom pour le profil de trafic.

    • Authentification unique : Sélectionnez ACTIVÉ.

    • Compte KCD : Sélectionnez le compte KCD que vous avez créée dans la section précédente.

  5. Cliquez sur OK.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Configure Traffic Profile pane.

  6. Sélectionnez Traffic Policy (Stratégie de trafic).

  7. Sélectionnez Ajouter.

  8. Pour configurer une stratégie de trafic, entrez ou sélectionnez les valeurs suivantes :

    • Name : Entrez un nom pour la stratégie de trafic.

    • Profil : Sélectionnez le profil de trafic que vous avez créé dans la section précédente.

    • Expression : Entrez true.

  9. Cliquez sur OK.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Configure Traffic Policy pane

Lier une stratégie de trafic à un serveur virtuel dans Citrix

Pour lier une stratégie de trafic à un serveur virtuel à l’aide de l’interface graphique utilisateur :

  1. Accédez à Gestion de trafic>Équilibrage de charge>Serveurs virtuels.

  2. Dans la liste des serveurs virtuels, sélectionnez le serveur virtuel auquel lier la stratégie de réécriture, puis sélectionnez Ouvrir.

  3. Dans le volet Serveur virtuel d’équilibrage de charge, sous Paramètres avancés, sélectionnez Stratégies. Toutes les stratégies configurées pour votre instance de NetScaler figurent dans la liste.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Load Balancing Virtual Server pane.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Policies dialog box.

  4. Cochez la case située en regard du nom de la stratégie que vous voulez lier à ce serveur virtuel.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Load Balancing Virtual Server Traffic Policy Binding pane.

  5. Dans la boîte de dialogue Choisir un type :

    1. Pour Choisir une stratégie, sélectionnez Trafic.

    2. Pour Choisir un type, sélectionnez Requête.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Choose Type pane.

  6. Quand la stratégie est liée, sélectionnez Terminé.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Policies pane.

  7. Testez la liaison à l’aide du site web d’authentification intégrée Windows.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - A test page in a web browser

Créer un utilisateur de test pour le connecteur Citrix ADC SAML pour Microsoft Entra

Dans cette section, un utilisateur appelé B.Simon est créé dans le connecteur Citrix ADC SAML pour Microsoft Entra ID. Le connecteur Citrix ADC SAML pour Microsoft Entra ID prend en charge le provisionnement d’utilisateurs juste-à-temps, qui est activé par défaut. Vous n’avez aucune opération à effectuer dans cette section. S’il n’existe pas encore d’utilisateur dans le connecteur Citrix ADC SAML pour Microsoft Entra ID, un utilisateur est créé après l’authentification.

Remarque

Si vous avez besoin de créer un utilisateur manuellement, contactez l’équipe du support technique du connecteur Citrix ADC SAML pour Microsoft Entra.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

  • Cliquez sur Tester cette application, vous êtes alors redirigé vers l’URL de connexion au connecteur Citrix ADC SAML pour Microsoft Entra à partir de laquelle vous pouvez lancer le flux de connexion.

  • Accédez directement à l’URL de connexion au connecteur Citrix ADC SAML pour Microsoft Entra pour initier le flux de connexion.

  • Vous pouvez utiliser Mes applications de Microsoft. Lorsque vous cliquez sur la vignette du connecteur Citrix ADC SAML pour Microsoft Entra ID dans Mes applications, cette opération redirige vers l’URL de connexion du connecteur Citrix ADC SAML pour Microsoft Entra. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Après avoir configuré le connecteur Citrix ADC SAML pour Microsoft Entra ID, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.