Samouczek: integracja logowania jednokrotnego (SSO) Azure Active Directory z aplikacją Citrix Cloud SAML SSO

Z tego samouczka dowiesz się, jak zintegrować logowanie jednokrotne w usłudze Citrix Cloud SAML z usługą Azure Active Directory (Azure AD). Podczas integracji aplikacji Citrix Cloud SAML SSO z usługą Azure AD można wykonywać następujące czynności:

  • Kontroluj w usłudze Azure AD, kto ma dostęp do logowania jednokrotnego SAML citrix Cloud.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Citrix Cloud SAML SSO przy użyciu kont usługi Azure AD.
  • Zarządzaj kontami w jednej centralnej lokalizacji — Azure Portal.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja usługi Azure AD. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja citrix cloud. Jeśli nie masz subskrypcji, utwórz konto.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne usługi Azure AD w środowisku testowym.

  • Aplikacja Citrix Cloud SAML SSO obsługuje logowanie jednokrotne inicjowane przez dostawcę usług.

Uwaga

Identyfikator tej aplikacji jest stałą wartością ciągu, więc w jednej dzierżawie można skonfigurować tylko jedno wystąpienie.

Aby skonfigurować integrację aplikacji Citrix Cloud SAML SSO z usługą Azure AD, należy dodać aplikację Citrix Cloud SAML SSO z galerii do swojej listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do Azure Portal przy użyciu konta służbowego lub osobistego konta Microsoft.
  2. W okienku nawigacji po lewej stronie wybierz usługę Azure Active Directory.
  3. Przejdź do Enterprise Aplikacje, a następnie wybierz pozycję Wszystkie aplikacje.
  4. Aby dodać nową aplikację, wybierz pozycję Nowa aplikacja.
  5. W sekcji Dodawanie z galerii wpisz Citrix Cloud SAML SSO w polu wyszukiwania.
  6. Wybierz pozycję Citrix Cloud SAML SSO z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Konfigurowanie i testowanie logowania jednokrotnego usługi Azure AD dla aplikacji Citrix Cloud SAML SSO

Konfigurowanie i testowanie logowania jednokrotnego usługi Azure AD przy użyciu logowania jednokrotnego saml citrix Cloud przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem usługi Azure AD i powiązanym użytkownikiem aplikacji Citrix Cloud SAML SSO. Ten użytkownik musi również istnieć w usłudze Active Directory zsynchronizowanej z usługą Azure AD Połączenie z subskrypcją usługi Azure AD.

Aby skonfigurować i przetestować logowanie jednokrotne usługi Azure AD przy użyciu logowania jednokrotnego SAML citrix Cloud, wykonaj następujące kroki:

  1. Konfigurowanie logowania jednokrotnego w usłudze Azure AD — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Tworzenie użytkownika testowego usługi Azure AD — aby przetestować logowanie jednokrotne usługi Azure AD z aplikacją B.Simon.
    2. Przypisz użytkownika testowego usługi Azure AD — aby umożliwić aplikacji B.Simon korzystanie z logowania jednokrotnego usługi Azure AD.
  2. Konfigurowanie logowania jednokrotnego saml w usłudze Citrix Cloud — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie rejestracji jednokrotnej w usłudze Azure AD

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne usługi Azure AD w Azure Portal.

  1. W Azure Portal na stronie integracji aplikacji citrix Cloud SAML SSO znajdź sekcję Zarządzanie i wybierz pozycję Logowanie jednokrotne.

  2. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  3. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML , aby edytować ustawienia.

    Edit Basic SAML Configuration

  4. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujący krok:

    W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca: https://<SUBDOMAIN>.cloud.com

    Uwaga

    Ta wartość nie jest prawdziwa. Zaktualizuj wartość przy użyciu adresu URL obszaru roboczego Citrix. Uzyskaj dostęp do konta usługi Citrix Cloud, aby uzyskać wartość. Przydatne mogą się również okazać wzorce przedstawione w sekcji Podstawowa konfiguracja protokołu SAML w witrynie Azure Portal.

  5. Aplikacja citrix Cloud SAML SSO oczekuje asercji SAML w określonym formacie, który wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenu JĘZYKA SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych.

    image

  6. Oprócz powyższych aplikacja do logowania jednokrotnego Citrix Cloud SAML oczekuje przekazania jeszcze kilku atrybutów w odpowiedzi SAML, które przedstawiono poniżej. Te atrybuty są również wstępnie wypełnione, ale można je przejrzeć zgodnie z wymaganiami. Wartości przekazane w odpowiedzi SAML powinny być mapowane na atrybuty usługi Active Directory użytkownika.

    Nazwa Atrybut źródłowy
    cip_sid user.onpremisesecurityidentifier
    cip_upn user.userprincipalname
    cip_oid ObjectGUID (atrybut rozszerzenia )
    cip_email user.mail
    displayName user.displayname

    Uwaga

    Identyfikator ObjectGUID należy skonfigurować ręcznie zgodnie z wymaganiami.

  7. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź pozycję Certyfikat (PEM) i wybierz pozycję Pobierz , aby pobrać certyfikat i zapisać go na komputerze.

    The Certificate download link

  8. W sekcji Konfigurowanie logowania jednokrotnego aplikacji Citrix Cloud SAML skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Copy configuration URLs

Tworzenie użytkownika testowego usługi Azure AD

W tej sekcji utworzysz użytkownika testowego w Azure Portal o nazwie B.Simon.

  1. W okienku po lewej stronie w Azure Portal wybierz pozycję Azure Active Directory, wybierz pozycję Użytkownicy, a następnie wybierz pozycję Wszyscy użytkownicy.

  2. Wybierz pozycję Nowy użytkownik w górnej części ekranu.

  3. We właściwościach użytkownika wykonaj następujące kroki:

    1. W polu Nazwa wprowadź wartość B.Simon.
    2. W polu Nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Kliknij pozycję Utwórz.

    Uwaga

    Ten użytkownik musi być zsynchronizowany z usługą Active Directory. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem usługi Azure AD i powiązanym użytkownikiem aplikacji Citrix Cloud SAML SSO.

Przypisywanie użytkownika testowego usługi Azure AD

W tej sekcji włączysz dla użytkownika B.Simon możliwość korzystania z logowania jednokrotnego platformy Azure, udzielając dostępu do logowania jednokrotnego usługi Citrix Cloud SAML.

  1. W Azure Portal wybierz pozycję Enterprise Aplikacje, a następnie wybierz pozycję Wszystkie aplikacje.
  2. Na liście aplikacji wybierz pozycję Citrix Cloud SAML SSO.
  3. Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie i wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
  5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
  6. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
  7. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz .

Konfigurowanie logowania jednokrotnego SAML w usłudze Citrix Cloud

  1. Zaloguj się do firmowej witryny aplikacji Citrix Cloud SAML SSO jako administrator.

  2. Przejdź do menu Citrix Cloud i wybierz pozycję Identity and Access Management (Zarządzanie tożsamościami i dostępem).

    Account

  3. W obszarze Uwierzytelnianie znajdź pozycję SAML 2.0 i wybierz pozycję Połączenie z menu wielokropka.

    SAML 2.0

  4. Na stronie Konfigurowanie protokołu SAML wykonaj następujące kroki.

    Configuration

    a. W polu tekstowym Entity ID (Identyfikator jednostki) wklej wartość identyfikatora usługi Azure AD skopiowaną z Azure Portal.

    b. W żądaniu uwierzytelniania podpisywania wybierz pozycję Nie.

    c. W polu tekstowym SSO Service URL (Adres URL usługi logowania jednokrotnego) wklej wartość adresu URL logowania skopiowaną z Azure Portal.

    d. Wybierz pozycję Mechanizm powiązania z listy rozwijanej. Możesz wybrać powiązanie HTTP-POST lub HTTP-Redirect .

    e. W obszarze Odpowiedź SAML wybierz z listy rozwijanej pozycję Podpisz odpowiedź lub asercja .

    f. Upload certyfikat (PEM) z Azure Portal do sekcji Certyfikat X.509.

    g. W kontekście uwierzytelniania wybierz pozycję Nieokreślone i Dokładne z listy rozwijanej.

    h. Kliknij pozycję Testuj i zakończ.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego usługi Azure AD z następującymi opcjami.

  • Uzyskaj bezpośredni dostęp do adresu URL obszaru roboczego Citrix i zainicjuj przepływ logowania stamtąd.

  • Zaloguj się przy użyciu AD-Synced użytkownika usługi Active Directory do obszaru roboczego Citrix, aby ukończyć test.

Następne kroki

Po skonfigurowaniu logowania jednokrotnego citrix Cloud SAML możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza dostęp warunkowy. Dowiedz się, jak wymusić kontrolę sesji przy użyciu Microsoft Defender for Cloud Apps.