Tutorial: Integrasi akses menyeluruh Microsoft Entra dengan Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID (autentikasi berbasis Kerberos)

  • Artikel

Dalam tutorial ini, Anda akan mempelajari cara mengintegrasikan Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID dengan MICROSOFT Entra ID. Saat mengintegrasikan Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID dengan MICROSOFT Entra ID, Anda dapat:

  • Mengontrol microsoft Entra ID yang memiliki akses ke Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID.
  • Memungkinkan pengguna Anda untuk masuk secara otomatis ke Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID dengan akun Microsoft Entra mereka.
  • Kelola akun Anda di satu lokasi pusat.

Prasyarat

Untuk memulai, Anda membutuhkan item berikut:

  • Langganan Microsoft Entra. Jika tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
  • Langganan akses menyeluruh (SSO) Citrix ADC SAML Koneksi or untuk Microsoft Entra yang diaktifkan.

Deskripsi Skenario

Dalam tutorial ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian. Tutorial mencakup skenario ini:

Untuk mengintegrasikan Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID dengan Microsoft Entra ID, pertama-tama tambahkan Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID ke daftar aplikasi SaaS terkelola Anda dari galeri:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.

  3. Di bagian Tambahkan dari galeri, masukkan citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID di kotak pencarian.

  4. Dalam hasilnya, pilih Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID, lalu tambahkan aplikasi. Tunggu beberapa saat selagi aplikasi ditambahkan ke penyewa Anda.

Atau, Anda juga dapat menggunakan Wizard App Configuration Enterprise. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji Microsoft Entra SSO for Citrix ADC SAML Koneksi or untuk Microsoft Entra ID

Konfigurasikan dan uji SSO Microsoft Entra dengan Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID dengan menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di Citrix ADC SAML Koneksi or untuk ID Microsoft Entra.

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan citrix ADC SAML Koneksi or untuk Microsoft Entra ID, lakukan langkah-langkah berikut:

  1. Konfigurasikan SSO Microsoft Entra - untuk memungkinkan pengguna Anda menggunakan fitur ini.

    1. Buat pengguna uji Microsoft Entra - untuk menguji Microsoft Entra SSO dengan B.Simon.

    2. Tetapkan pengguna uji Microsoft Entra - untuk mengaktifkan B.Simon untuk menggunakan Microsoft Entra SSO.

  2. Konfigurasikan Citrix ADC SAML Koneksi or untuk Microsoft Entra SSO - untuk mengonfigurasi pengaturan SSO di sisi aplikasi.

    1. Buat pengguna uji Citrix ADC SAML Koneksi or untuk Microsoft Entra - untuk memiliki mitra B.Simon di Citrix ADC SAML Koneksi or untuk ID Microsoft Entra yang ditautkan ke representasi Microsoft Entra pengguna.

  3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasi SSO Microsoft Entra

Untuk mengaktifkan SSO Microsoft Entra dengan menggunakan portal Azure, selesaikan langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi >Identity>Applications>Enterprise Citrix ADC SAML Koneksi or untuk panel integrasi aplikasi Microsoft Entra ID, di bawah Kelola, pilih Akses menyeluruh.

  3. Di panel Pilih metode SSO, pilih SAML.

  4. Di halaman Siapkan Akses Menyeluruh dengan SAML, pilih ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.

    Screenshot shows to edit Basic SAML Configuration.

  5. Pada bagian Konfigurasi SAML Dasar, jika Anda ingin mengonfigurasi aplikasi dalam mode diinisiasi IDP, lakukan langkah-langkah berikut:

    1. Di kotak teks Pengidentifikasi, masukkan URL yang memiliki pola berikut: https://<YOUR_FQDN>

    2. Di kotak teks URL Balasan, masukkan URL yang memiliki pola berikut: http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

  6. Untuk mengonfigurasi aplikasi di mode yangdiinisiasi SP, pilih Atur URL tambahan dan lakukan langkah berikut:

    • Di kotak teks URL Masuk, masukkan URL yang memiliki pola berikut: https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

    Catatan

    • URL yang digunakan di bagian ini bukanlah nilai nyata. Perbarui nilai ini dengan Pengidentifikasi, URL Balasan dan URL Masuk yang aktual. Hubungi tim dukungan klien Citrix ADC SAML Koneksi or untuk Microsoft Entra untuk mendapatkan nilai-nilai ini. Anda juga dapat merujuk ke pola yang ditampilkan di bagian Konfigurasi SAML Dasar.
    • Untuk menyiapkan SSO, URL harus dapat diakses dari situs web publik. Anda harus mengaktifkan firewall atau pengaturan keamanan lainnya di sisi Citrix ADC SAML Koneksi or untuk Microsoft Entra ID untuk mengaktifkan ID Microsoft Entra untuk memposting token di URL yang dikonfigurasi.

  7. Di panel Siapkan Akses Menyeluruh dengan SAML, pada bagian Sertifikat Penandatanganan SAML, untuk URL Metadata Federasi Aplikasi, salin URL dan simpan di Notepad.

    Screenshot shows the Certificate download link.

  8. Di bagian Siapkan Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID, salin URL yang relevan berdasarkan kebutuhan Anda.

    Screenshot shows to copy configuration URLs.

Membuat pengguna uji Microsoft Entra

Di bagian ini, Anda membuat pengguna uji bernama B.Simon.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
  2. Telusuri ke Pengguna>Identitas>Semua pengguna.
  3. Pilih Pengguna>baru Buat pengguna baru, di bagian atas layar.
  4. Di properti Pengguna, ikuti langkah-langkah berikut:
    1. Di bidang Nama tampilan, masukkan B.Simon.
    2. Di bidang Nama prinsipal pengguna, masukkan username@companydomain.extension. Contohnya:B.Simon@contoso.com
    3. Pilih kotak centang Tampilkan kata sandi, lalu tulis nilai yang ditampilkan di kotak Kata sandi.
    4. Pilih Tinjau + buat.
  5. Pilih Buat.

Menetapkan pengguna uji Microsoft Entra

Di bagian ini, Anda mengaktifkan pengguna B.Simon untuk menggunakan Azure SSO dengan memberikan akses pengguna ke Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID.

  1. Telusuri aplikasi Identity>Applications>Enterprise.

  2. Dalam daftar aplikasi, pilih Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID.

  3. Pada gambaran umum aplikasi, di bawah Kelola, pilih Pengguna dan grup.

  4. Pilih Tambahkan Pengguna. Lalu, di kotak dialog Tambah Penugasan, pilih Pengguna dan grup.

  5. Di kotak dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna. Memilih Pilih.

  6. Jika Anda ingin suatu peran ditetapkan ke pengguna, Anda dapat memilihnya dari menu tarik-turun Pilih peran. Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" yang dipilih.

  7. Dalam kotak dialog Tambahkan Penugasan, pilih Tetapkan.

Mengonfigurasi Koneksi or SAML Citrix ADC untuk Microsoft Entra SSO

Pilih tautan untuk langkah-langkah untuk jenis autentikasi yang ingin Anda konfigurasi:

Terbitkan server web

Untuk membuat server virtual:

  1. Pilih Manajemen Lalu Lintas>Penyeimbangan Beban>Layanan.

  2. Pilih Tambahkan.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Services pane.

  3. Atur nilai berikut untuk server web yang menjalankan aplikasi:

    • Nama Layanan
    • IP Server/ Server yang Ada
    • Protokol
    • Port

Konfigurasikan penyeimbang beban

Untuk mengonfigurasikan penyeimbang beban:

  1. Buka Manajemen Lalu Lintas>Penyeimbangan Beban>Server Virtual.

  2. Pilih Tambahkan.

  3. Atur nilai berikut seperti yang dideskripsikan di cuplikan layar berikut ini:

    • Nama
    • Protokol
    • Alamat IP
    • Port

  4. Pilih OK.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Basic Settings pane.

Mengikat server virtual

Untuk mengikat penyeimbang beban dengan server virtual:

  1. Di panel Layanan dan Grup Layanan, pilih Tanpa Pengikatan Layanan Server Virtual Penyeimbangan Beban.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Load Balancing Virtual Server Service Binding pane.

  2. Verifikasi pengaturan seperti yang ditunjukkan di cuplikan layar berikut, lalu pilih Tutup.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Verify the virtual server services binding.

Mengikat sertifikat

Untuk menerbitkan layanan ini sebagai TLS, ikat sertifikat server, lalu uji aplikasi Anda:

  1. Di bawah Sertifikat, pilih Tanpa Sertifikat Server.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Server Certificate pane.

  2. Verifikasi pengaturan seperti yang ditunjukkan di cuplikan layar berikut, lalu pilih Tutup.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Verify the certificate.

Citrix ADC SAML Koneksi or untuk profil Microsoft Entra SAML

Untuk mengonfigurasi Koneksi or SAML Citrix ADC untuk profil Microsoft Entra SAML, selesaikan bagian berikut.

Buat kebijakan autentikasi

Untuk membuat kebijakan autentikasi:

  1. Buka Keamanan>AAA – Lalu Lintas Aplikasi>Kebijakan>Autentikasi>Kebijakan Autentikasi.

  2. Pilih Tambahkan.

  3. Di panel Buat Kebijakan Autentikasi, masukkan atau pilih nilai berikut ini:

    • Nama: Masukkan nama untuk kebijakan autentikasi Anda.
    • Tindakan: Masukkan SAML, lalu pilih Tambahkan.
    • Ekspresi: Masukkan benar.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Create Authentication Policy pane.

  4. Pilih Buat.

Buat server SAML autentikasi

Untuk membuat server SAML autentikasi, masuk ke panel Buat Server SAML Autentikasi, lalu selesaikan langkah berikut ini:

  1. Untuk Nama, masukkan nama untuk server SAML autentikasi.

  2. Di bawah Ekspor Metadata SAML:

    1. Pilih kotak centang Impor Metadata.

    2. Masukkan URL metadata federasi dari UI SAML Azure yang Anda salin sebelumnya.

  3. Untuk Nama Pengeluar Sertifikat, masukkan URL yang relevan.

  4. Pilih Buat.

Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Create Authentication SAML Server pane.

Buat server virtual autentikasi

Untuk membuat server virtual autentikasi:

  1. Buka Keamanan>AAA - Lalu Lintas Aplikasi>Kebijakan>Autentikasi>Server Virtual Autentikasi.

  2. Pilih Tambahkan, lalu selesaikan langkah berikut ini:

    1. Untuk Nama, masukkan nama untuk server virtual autentikasi.

    2. Pilih kotak centang Tidak Dapat Dialamatkan.

    3. Untuk Protokol, pilih SSL.

    4. Pilih OK.

  3. Pilih Lanjutkan.

Mengonfigurasi server virtual autentikasi untuk menggunakan ID Microsoft Entra

Ubah dua bagian untuk server virtual autentikasi:

  1. Di panel Kebijakan Autentikasi Tingkat Lanjut, pilihTanpa Kebijakan Autentikasi.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Advanced Authentication Policies pane.

  2. Di panel Pengikatan Kebijakan, pilih autentikasi kebijakan, lalu pilih Ikat.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Policy Binding pane

  3. Pada panel Server Virtual Berbasis Formulir, pilih Tanpa Virtual Server Penyeimbang Beban.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Form Based Virtual Servers pane.

  4. Untuk FQDN Autentikasi, masukkan nama domain yang sepenuhnya memenuhi syarat (FQDN) (diperlukan).

  5. Pilih server virtual penyeimbang beban yang ingin Anda lindungi dengan autentikasi Microsoft Entra.

  6. Pilih Ikat.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Load Balancing Virtual Server Binding pane.

    Catatan

    Pastikan pilih Selesai pada panel Konfigurasi Server Virtual Autentikasi.

  7. Untuk memverifikasi perubahan Anda, di browser, buka URL aplikasi. Anda akan melihat halaman masuk penyewa Anda alih-alih akses tidak diautentikasi yang Anda lihat sebelumnya.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - A sign-in page in a web browser.

Mengonfigurasi citrix ADC SAML Koneksi or untuk Microsoft Entra SSO untuk autentikasi berbasis Kerberos

Membuat akun delegasi Kerberos untuk Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID

  1. Buat Akun pengguna (contohnya, kami menggunakan AppDelegation).

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Properties pane.

  2. Siapkan HOST SPN untuk akun ini.

    Contoh: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

    Dalam contoh ini:

    • IDENTT.WORK domain FQDN.
    • identt nama domain NetBIOS.
    • appdelegation nama akun pengguna delegasi.

  3. Konfigurasikan delegasi untuk server web seperti yang diperlihatkan dalam tangkapan layar berikut:

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Delegation under Properties pane.

    Catatan

    Dalam contoh tangkapan layar, nama server web internal yang menjalankan situs Windows Integrated Authentication (WIA) adalah CWEB2.

Citrix ADC SAML Koneksi or untuk Microsoft Entra AAA KCD (akun delegasi Kerberos)

Untuk mengonfigurasi Koneksi or SAML Citrix ADC untuk akun Microsoft Entra AAA KCD:

  1. Buka Akun Citrix Gateway>AAA KCD (Delegasi Terbatas Kerberos).

  2. Pilih Tambahkan, lalu masukkan atau pilih nilai berikut ini:

    • Nama: Masukkan nama untuk akun KCD.

    • Realm: Masukkan domain dan ekstensi dalam huruf besar.

    • Layanan SPN: http/<host/fqdn>@<DOMAIN.COM>.

      Catatan

      @DOMAIN.COM diperlukan dan harus huruf besar. Contoh: http/cweb2@IDENTT.WORK.

    • Pengguna yang Didelegasikan: Masukkan nama pengguna yang didelegasikan.

    • Pilih kotak centang Kata Sandi untuk Pengguna yang Didelegasikan, dan masukkan dan konfirmasi kata sandi.

  3. Pilih OK.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Configure KCD Account pane

Kebijakan lalu lintas dan profil lalu lintas Citrix

Untuk mengonfigurasi kebijakan lalu lintas dan profil lalu lintas Citrix:

  1. Buka Keamanan>AAA - Kebijakan Lalu Lintas>Aplikasi>Kebijakan Lalu Lintas, Profil dan Formulir Profil SSO Kebijakan Lalu Lintas.

  2. Pilih Profil Lalu Lintas.

  3. Pilih Tambahkan.

  4. Untuk mengonfigurasi profil lalu lintas, masukkan atau pilih nilai berikut.

    • Nama: Masukkan nama untuk profil lalu lintas.

    • Akses Menyeluruh: Pilih AKTIF.

    • Akun KCD: Pilih akun KCD yang Anda buat di bagian sebelumnya.

  5. Pilih OK.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Configure Traffic Profile pane.

  6. Pilih Kebijakan Lalu Lintas.

  7. Pilih Tambahkan.

  8. Untuk mengonfigurasi profil lalu lintas, masukkan atau pilih nilai berikut:

    • Nama: Masukkan nama untuk profil lalu lintas.

    • Profil: Pilih profil lalu lintas yang Anda buat di bagian sebelumnya.

    • Ekspresi: Masukkan benar.

  9. Pilih OK.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Configure Traffic Policy pane

Mengikat kebijakan lalu lintas ke server virtual di Citrix

Untuk mengikat kebijakan regenerasi ke server virtual dengan menggunakan GUI:

  1. Buka Manajemen Lalu Lintas>Penyeimbangan Beban>Server Virtual.

  2. Di daftar server virtual, pilih server virtual yang ingin Anda ikat kebijakan regenerasi, lalu pilih Buka.

  3. Di panel Server Virtual Penyeimbangan Beban, di bawah Pengaturan Tingkat Lanjut, pilih Kebijakan. Semua kebijakan yang dikonfigurasi untuk instans NetScaler Anda muncul di daftar.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Load Balancing Virtual Server pane.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Policies dialog box.

  4. Pilih kotak centang di samping nama kebijakan yang ingin Anda ikat ke server virtual ini.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Load Balancing Virtual Server Traffic Policy Binding pane.

  5. Di kotak dialog Pilih Jenis:

    1. Untuk Pilih Kebijakan, pilih Lalu Lintas.

    2. Untuk Pilih Jenis, pilih Permintaan.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Choose Type pane.

  6. Saat kebijakan terikat, pilih Selesai.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Policies pane.

  7. Uji pengikatan dengan menggunakan situs web WIA.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - A test page in a web browser

Membuat Koneksi or SAML Citrix ADC untuk pengguna uji Microsoft Entra

Di bagian ini, pengguna bernama B.Simon dibuat di Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID. Citrix ADC SAML Koneksi or untuk Microsoft Entra ID mendukung provisi pengguna just-in-time, yang diaktifkan secara default. Tidak ada tindakan yang harus diambil untuk Anda di bagian ini. Jika pengguna belum ada di Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID, pengguna baru dibuat setelah autentikasi.

Catatan

Jika Anda perlu membuat pengguna secara manual, hubungi tim dukungan klien Citrix ADC SAML Koneksi or untuk Microsoft Entra.

Menguji akses menyeluruh

Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Entra dengan opsi berikut.

  • Klik Uji aplikasi ini, ini akan dialihkan ke Citrix ADC SAML Koneksi or untuk URL Masuk Microsoft Entra tempat Anda dapat memulai alur masuk.

  • Buka KONEKSI or SAML Citrix ADC untuk URL Masuk Microsoft Entra secara langsung dan mulai alur masuk dari sana.

  • Anda dapat menggunakan Aplikasi Saya Microsoft. Saat Anda mengklik petak peta Citrix ADC SAML Koneksi or untuk Microsoft Entra ID di Aplikasi Saya, ini akan dialihkan ke Koneksi or SAML Citrix ADC untuk URL Masuk Microsoft Entra. Untuk informasi selengkapnya tentang Aplikasi Saya, lihat Pengantar Aplikasi Saya.

Langkah berikutnya

Setelah mengonfigurasi Citrix ADC SAML Koneksi or untuk MICROSOFT Entra ID, Anda dapat menerapkan kontrol sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol sesi diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.