Tutoriel : Intégration de l’authentification unique Microsoft Entra avec Citrix ADC (authentification basée sur l’en-tête)

  • Article

Dans ce didacticiel, vous apprendrez comment intégrer Citrix ADC à Microsoft Entra ID. Lorsque vous intégrez Citrix ADC à Microsoft Entra ID, vous pouvez :

  • Contrôlez dans Microsoft Entra ID qui a accès à Citrix ADC.
  • Permettez à vos utilisateurs d’être automatiquement connectés à Citrix ADC avec leurs comptes Microsoft Entra.
  • Gérer vos comptes à partir d’un emplacement central.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

  • Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
  • Abonnement Citrix ADC pour lequel l’authentification unique (SSO) est activée.

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test. Ce tutoriel inclut les scénarios suivants :

Pour intégrer Citrix ADC à Microsoft Entra ID, ajoutez d’abord Citrix ADC à votre liste d’applications SaaS gérées à partir de la galerie :

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.

  3. Dans la section Ajouter à partir de la galerie, entrez Citrix ADC dans la zone de recherche.

  4. Dans les résultats, sélectionnez Citrix ADC, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester Microsoft Entra SSO pour Citrix ADC

Configurez et testez Microsoft Entra SSO avec Citrix ADC en utilisant un utilisateur test appelé B.Simon. Pour que SSO fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l’utilisateur associé dans Citrix ADC.

Pour configurer et tester Microsoft Entra SSO avec Citrix ADC, effectuez les étapes suivantes :

  1. Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.

    1. Créer un utilisateur test Microsoft Entra – pour tester Microsoft Entra SSO avec B.Simon.

    2. Attribuer l'utilisateur de test Microsoft Entra – pour permettre à B.Simon d'utiliser Microsoft Entra SSO.

  2. Configurer l’authentification unique Citrix ADC pour configurer les paramètres d’authentification unique côté application.

  3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Pour activer Microsoft Entra SSO à l’aide du portail Azure, procédez comme suit :

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez au volet d’intégration d’application Identité>Applications>Applications d’entreprise>Citrix ADC. Sous Gérer, sélectionnez Authentification unique.

  3. Dans le volet Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  4. Dans le volet Configurer l’authentification unique avec SAML, sélectionnez l’icône de stylet Modifier pour Configuration SAML de base afin de modifier les paramètres.

    Edit Basic SAML Configuration

  5. Dans la section Configuration SAML de base, pour configurer l’application en mode lancé par le fournisseur d’identité :

    1. Dans la zone de texte Identificateur, entrez une URL au format suivant : https://<Your FQDN>

    2. Dans la zone de texte URL de réponse, entrez une URL au format suivant : https://<Your FQDN>/CitrixAuthService/AuthService.asmx

  6. Pour configurer l’application en mode lancé par le fournisseur de services, sélectionnez Définir des URL supplémentaires, puis effectuez les étapes suivantes :

    • Dans la zone URL de connexion, entrez une URL au format suivant : https://<Your FQDN>/CitrixAuthService/AuthService.asmx

    Notes

    • Les URL utilisées dans cette section ne sont pas des valeurs réelles. Mettez à jour ces valeurs avec les valeurs réelles de l’identificateur, de l’URL de réponse et de l’URL de connexion. Pour obtenir ces valeurs, contactez l’équipe du support technique Citrix ADC. Vous pouvez également consulter les modèles figurant à la section Configuration SAML de base.
    • Pour configurer l’authentification unique, les URL doivent être accessibles à partir de sites web publics. Vous devez activer le pare-feu ou d’autres paramètres de sécurité du côté Citrix ADC pour permettre à Microsoft Entra ID de publier le jeton à l’URL configurée.

  7. Dans le volet Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez URL des métadonnées de fédération d’application, copiez cette URL et enregistrez-la dans le Bloc-notes.

    The Certificate download link

  8. L’application Citrix ADC attend des assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à votre configuration des attributs de jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut. Sélectionnez l’icône Modifier et changez les mappages d’attributs.

    Edit the SAML attribute mapping

  9. L’application Citrix ADC s’attend aussi à ce que quelques attributs supplémentaires soient repassés dans la réponse SAML. Dans la boîte de dialogue Attributs utilisateur, sousRevendications des utilisateurs, effectuez les étapes suivantes pour ajouter ces attributs de jeton SAML, comme indiqué dans le tableau :

    Nom Attribut source
    mySecretID user.userprincipalname

    1. Sélectionnez Ajouter une nouvelle revendication pour ouvrir la boîte de dialogue Gérer les revendications des utilisateurs.

    2. Dans la zone de texte Nom, entrez le nom d’attribut affiché pour cette ligne.

    3. Laissez le champ Espace de noms vide.

    4. Dans le champ Attribut, sélectionnez Source.

    5. Dans la liste Attribut de la source, entrez la valeur d’attribut affichée pour cette ligne.

    6. Sélectionnez OK.

    7. Sélectionnez Enregistrer.

  10. Dans la section Configurer Citrix ADC, copiez la ou les URL pertinentes en fonction de vos besoins.

    Copy configuration URLs

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
  4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
    1. Dans le champ Nom d’affichage, entrez B.Simon.
    2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
    3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
    4. Sélectionnez Revoir + créer.
  5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez autoriser l’utilisateur B.Simon à utiliser l’authentification unique Azure en lui accordant l’accès à Citrix ADC.

  1. Accédez à Identité>Applications>Applications d’entreprise.

  2. Dans la liste des applications, sélectionnez Citrix ADC.

  3. Dans la vue d’ensemble de l’application, sous Gérer, sélectionnez Utilisateurs et groupes.

  4. Sélectionnez Ajouter un utilisateur. Ensuite, dans la boîte de dialogue Ajouter une attribution, sélectionnez Utilisateurs et groupes.

  5. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B.Simon dans la liste Utilisateurs. Choisissez Select.

  6. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.

  7. Dans la boîte de dialogue Ajouter une attribution, sélectionnez Affecter.

Configurer l’authentification unique Citrix ADC

Sélectionnez un lien pour connaître les étapes relatives au type d’authentification que vous voulez configurer :

Publier le serveur web

Pour créer un serveur virtuel :

  1. Sélectionnez Gestion du trafic>Équilibrage de charge>Services.

  2. Sélectionnez Ajouter.

    Citrix ADC configuration - Services pane

  3. Définissez les valeurs suivantes pour le serveur web qui exécute les applications :

    • Nom du service :

    • Adresse IP du serveur/ Serveur existant

    • Protocole

    • Port

      Citrix ADC configuration pane

Configurer l’équilibrage de charge

Pour configurer l’équilibrage de charge :

  1. Accédez à Gestion de trafic>Équilibrage de charge>Serveurs virtuels.

  2. Sélectionnez Ajouter.

  3. Définissez les valeurs suivantes comme décrit dans la capture d’écran ci-après :

    • Nom
    • Protocole
    • Adresse IP
    • Port

  4. Cliquez sur OK.

    Citrix ADC configuration - Basic Settings pane

Lier le serveur virtuel

Pour lier l’équilibreur de charge au serveur virtuel :

  1. Dans le volet Services et groupes de services, sélectionnez Aucune liaison de service de serveur virtuel d’équilibrage de charge.

    Citrix ADC configuration - Load Balancing Virtual Server Service Binding pane

  2. Vérifiez les paramètres comme indiqué dans la capture d’écran suivante, puis sélectionnez Fermer.

    Citrix ADC configuration - Verify the virtual server services binding

Lier le certificat

Pour publier ce service en tant que TLS, liez le certificat serveur, puis testez votre application :

  1. Sous Certificat, sélectionnez Aucun certificat de serveur.

    Citrix ADC configuration - Server Certificate pane

  2. Vérifiez les paramètres comme indiqué dans la capture d’écran suivante, puis sélectionnez Fermer.

    Citrix ADC configuration - Verify the certificate

Profil SAML de Citrix ADC

Pour configurer le profil SAML de Citrix ADC, effectuez les étapes des sections suivantes :

Créer une stratégie d’authentification

Pour créer une stratégie d’authentification :

  1. Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Authentification>Stratégies d’authentification.

  2. Sélectionnez Ajouter.

  3. Dans le volet Créer une stratégie d’authentification, entrez ou sélectionnez les valeurs suivantes :

    • Name : Entrez un nom pour votre stratégie d’authentification.
    • Action : Entrez SAML, puis sélectionnez Ajouter.
    • Expression : Entrez true.

    Citrix ADC configuration - Create Authentication Policy pane

  4. Cliquez sur Créer.

Créer un serveur SAML d’authentification

Pour créer un serveur SAML d’authentification, accédez au volet Créer un serveur SAML d’authentification, puis effectuez les étapes suivantes :

  1. Dans Nom, entrez le nom du serveur SAML d’authentification.

  2. Sous Exporter les métadonnées SAML :

    1. Cochez la case Importer les métadonnées.

    2. Entrez l’URL des métadonnées de fédération à partir de l’interface utilisateur SAML Azure que vous avez copiée précédemment.

  3. Dans Nom de l’émetteur, entrez l’URL pertinente.

  4. Cliquez sur Créer.

Citrix ADC configuration - Create Authentication SAML Server pane

Créer un serveur virtuel d’authentification

Pour créer un serveur virtuel d’authentification :

  1. Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Authentification>Serveurs virtuels d’authentification.

  2. Sélectionnez Ajouter, puis effectuez les étapes suivantes :

    1. Dans Nom, entrez le nom du serveur virtuel d’authentification.

    2. Cochez la case Non adressable.

    3. Dans Protocole, sélectionnez SSL.

    4. Cliquez sur OK.

    Citrix ADC configuration - Authentication Virtual Server pane

Configurer le serveur virtuel d'authentification pour utiliser Microsoft Entra ID

Modifiez deux sections pour le serveur virtuel d’authentification :

  1. Dans le volet Stratégies d’authentification avancées, sélectionnez Aucune stratégie d’authentification.

    Citrix ADC configuration - Advanced Authentication Policies pane

  2. Dans le volet Liaison des stratégies, sélectionnez la stratégie d’authentification, puis sélectionnez Lier.

    Citrix ADC configuration - Policy Binding pane

  3. Dans le volet Serveurs virtuels basés sur un formulaire, sélectionnez Aucun serveur virtuel d’équilibrage de charge.

    Citrix ADC configuration - Form Based Virtual Servers pane

  4. Dans Nom de domaine complet d’authentification, entrez un nom de domaine complet (FQDN) (obligatoire).

  5. Sélectionnez le serveur virtuel d'équilibrage de charge que vous souhaitez protéger avec l'authentification Microsoft Entra.

  6. Sélectionnez Lier.

    Citrix ADC configuration - Load Balancing Virtual Server Binding pane

    Remarque

    Veillez à sélectionner Terminé dans le volet Configuration du serveur virtuel d’authentification.

  7. Pour vérifier vos modifications, dans un navigateur, accédez à l’URL de l’application. Votre page de connexion de locataire doit s’afficher au lieu de l’accès non authentifié que vous auriez pu voir précédemment.

    Citrix ADC configuration - A sign-in page in a web browser

Configurer l’authentification unique Citrix ADC pour l’authentification par en-tête

Configurer Citrix ADC

Pour configurer Citrix ADC pour l’authentification par en-tête, effectuez les étapes des sections suivantes.

Créer une action de réécriture

  1. Accédez à AppExpert>Réécrire>Actions de réécriture.

    Citrix ADC configuration - Rewrite Actions pane

  2. Sélectionnez Ajouter, puis effectuez les étapes suivantes :

    1. Dans le champ Nom, entrez un nom pour l’action de réécriture.

    2. Dans le champ Type, entrez INSERT_HTTP_HEADER.

    3. Dans le champ Nom de l’en-tête, entrez un nom d’en-tête (dans cet exemple, nous utilisons SecretID).

    4. Pour Expression, entrez aaa.USER.ATTRIBUTE("mySecretID"), où mySecretID est la revendication Microsoft Entra SAML qui a été envoyée à Citrix ADC.

    5. Cliquez sur Créer.

    Citrix ADC configuration - Create Rewrite Action pane

Créer une stratégie de réécriture

  1. Accédez à AppExpert>Réécrire>Stratégies de réécriture.

    Citrix ADC configuration - Rewrite Policies pane

  2. Sélectionnez Ajouter, puis effectuez les étapes suivantes :

    1. Dans le champ Nom, entrez un nom pour la stratégie de réécriture.

    2. Dans le champ Action, sélectionnez l’action de réécriture que vous avez créée dans la section précédente.

    3. Dans le champ Expression, entrez true.

    4. Cliquez sur Créer.

    Citrix ADC configuration - Create Rewrite Policy pane

Lier une stratégie de réécriture à un serveur virtuel

Pour lier une stratégie de réécriture à un serveur virtuel à l’aide de l’interface graphique utilisateur :

  1. Accédez à Gestion de trafic>Équilibrage de charge>Serveurs virtuels.

  2. Dans la liste des serveurs virtuels, sélectionnez le serveur virtuel auquel lier la stratégie de réécriture, puis sélectionnez Ouvrir.

  3. Dans le volet Serveur virtuel d’équilibrage de charge, sous Paramètres avancés, sélectionnez Stratégies. Toutes les stratégies configurées pour votre instance de NetScaler figurent dans la liste.

    Screenshot that shows the

    Citrix ADC configuration - Load Balancing Virtual Server pane

  4. Cochez la case située en regard du nom de la stratégie que vous voulez lier à ce serveur virtuel.

    Citrix ADC configuration - Load Balancing Virtual Server Traffic Policy Binding pane

  5. Dans la boîte de dialogue Choisir un type :

    1. Pour Choisir une stratégie, sélectionnez Trafic.

    2. Pour Choisir un type, sélectionnez Requête.

    Citrix ADC configuration - Policies dialog box

  6. Cliquez sur OK. Dans la barre d’état, un message indique que la stratégie a été configurée avec succès.

Modifier le serveur SAML pour extraire les attributs d’une revendication

  1. Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Authentification>Stratégies avancées>Actions>Serveurs.

  2. Sélectionnez le serveur SAML d’authentification approprié pour l’application.

    Citrix ADC configuration - Configure Authentication SAML Server pane

  3. Dans le volet Attributs, entrez les attributs SAML à extraire, séparés par des virgules. Dans notre exemple, nous entrons l’attribut mySecretID.

    Citrix ADC configuration - Attributes pane

  4. Pour vérifier l’accès, accédez à l’URL dans un navigateur, recherchez l’attribut SAML sous Collection d’en-têtes.

    Citrix ADC configuration - Headers Collection at the URL

Créer un utilisateur de test Citrix ADC

Dans cette section, un utilisateur appelé B.Simon est créé dans Citrix ADC. Citrix ADC prend en charge l’attribution d’utilisateurs juste-à-temps, qui est activée par défaut. Vous n’avez aucune opération à effectuer dans cette section. Si l’utilisateur souhaité n’existe pas déjà dans Citrix ADC, il est créé après l’authentification.

Notes

Si vous avez besoin de créer un utilisateur manuellement, contactez l’équipe du support technique de Citrix ADC.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

  • Cliquez sur Tester cette application. Vous êtes alors redirigé vers l’URL de connexion à Citrix ADC, d’où vous pouvez lancer le flux de connexion.

  • Accédez directement à l’URL de connexion Citrix ADC pour lancer le processus de connexion.

  • Vous pouvez utiliser Mes applications de Microsoft. Le fait de cliquer sur la vignette Citrix ADC dans Mes applications vous redirige vers l’URL de connexion Citrix ADC. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Après avoir configuré Citrix ADC, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.