Samouczek: integracja logowania jednokrotnego firmy Microsoft z aplikacją Citrix ADC (uwierzytelnianie oparte na nagłówkach)

  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować aplikację Citrix ADC z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu aplikacji Citrix ADC z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Citrix ADC.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Citrix ADC przy użyciu kont Firmy Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja aplikacji Citrix ADC z obsługą logowania jednokrotnego.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym. Samouczek obejmuje następujące scenariusze:

Aby zintegrować aplikację Citrix ADC z firmą Microsoft Entra ID, najpierw dodaj aplikację Citrix ADC do swojej listy zarządzanych aplikacji SaaS z galerii:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).

  3. W sekcji Dodawanie z galerii wpisz Citrix ADC w polu wyszukiwania.

  4. W wynikach wybierz pozycję Citrix ADC, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego firmy Microsoft dla aplikacji Citrix ADC

Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft z aplikacją Citrix ADC przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem w usłudze Citrix ADC.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft z aplikacją Citrix ADC, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.

    1. Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft w usłudze B.Simon.

    2. Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.

  2. Skonfiguruj logowanie jednokrotne citrix ADC — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.

    • Tworzenie użytkownika testowego aplikacji Citrix ADC — aby mieć w aplikacji Citrix ADC odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.

  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Aby włączyć logowanie jednokrotne microsoft Entra przy użyciu witryny Azure Portal, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do okienka integracji aplikacji dla>>przedsiębiorstw>Citrix ADC w obszarze Zarządzanie wybierz pozycję Logowanie jednokrotne.

  3. W okienku Wybierz metodę logowania jednokrotnego wybierz pozycję SAML.

  4. W okienku Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę edycji pióra dla podstawowej konfiguracji protokołu SAML, aby edytować ustawienia.

    Edit Basic SAML Configuration

  5. W sekcji Podstawowa konfiguracja protokołu SAML, aby skonfigurować aplikację w trybie inicjowanym przez dostawcę tożsamości:

    1. W polu tekstowym Identyfikator wprowadź adres URL, który ma następujący wzorzec: https://<Your FQDN>

    2. W polu tekstowym Adres URL odpowiedzi wprowadź adres URL, który ma następujący wzorzec: https://<Your FQDN>/CitrixAuthService/AuthService.asmx

  6. Aby skonfigurować aplikację w trybie inicjowanym przez dostawcę usług, wybierz pozycję Ustaw dodatkowe adresy URL i wykonaj następujący krok:

    • W polu tekstowym Adres URL logowania wprowadź adres URL , który ma następujący wzorzec: https://<Your FQDN>/CitrixAuthService/AuthService.asmx

    Uwaga

    • Adresy URL używane w tej sekcji nie są rzeczywistymi wartościami. Zaktualizuj te wartości przy użyciu rzeczywistych wartości identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Skontaktuj się z zespołem pomocy technicznej klienta aplikacji Citrix ADC, aby uzyskać te wartości. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.
    • Aby skonfigurować logowanie jednokrotne, adresy URL muszą być dostępne z publicznych witryn internetowych. Należy włączyć zaporę lub inne ustawienia zabezpieczeń po stronie aplikacji Citrix ADC, aby umożliwić usłudze Microsoft Entra ID opublikowanie tokenu pod skonfigurowanym adresem URL.

  7. W okienku Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML w polu Adres URL metadanych federacji aplikacji skopiuj adres URL i zapisz go w Notatnik.

    The Certificate download link

  8. Aplikacja Citrix ADC oczekuje, że asercji SAML będą w określonym formacie, co wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych. Wybierz ikonę Edytuj i zmień mapowania atrybutów.

    Edit the SAML attribute mapping

  9. Aplikacja Citrix ADC oczekuje również, że w odpowiedzi SAML zostanie przekazanych jeszcze kilka atrybutów. W oknie dialogowym Atrybuty użytkownika w obszarze Oświadczenia użytkownika wykonaj następujące kroki, aby dodać atrybuty tokenu SAML, jak pokazano w tabeli:

    Nazwisko Atrybut źródłowy
    mySecretID user.userprincipalname

    1. Wybierz pozycję Dodaj nowe oświadczenie, aby otworzyć okno dialogowe Zarządzanie oświadczeniami użytkownika.

    2. W polu tekstowym Nazwa wprowadź nazwę atrybutu wyświetlaną dla tego wiersza.

    3. Pozostaw pole Przestrzeń nazw puste.

    4. W polu Atrybut wybierz pozycję Źródło.

    5. Na liście Atrybut źródłowy wprowadź wartość atrybutu wyświetlaną dla tego wiersza.

    6. Wybierz przycisk OK.

    7. Wybierz pozycję Zapisz.

  10. W sekcji Konfigurowanie aplikacji Citrix ADC skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Copy configuration URLs

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
  2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego platformy Azure, udzielając użytkownikowi dostępu do aplikacji Citrix ADC.

  1. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

  2. Na liście aplikacji wybierz pozycję Citrix ADC.

  3. W przeglądzie aplikacji w obszarze Zarządzanie wybierz pozycję Użytkownicy i grupy.

  4. Wybierz Dodaj użytkownika. Następnie w oknie dialogowym Dodawanie przypisania wybierz pozycję Użytkownicy i grupy.

  5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy. Naciśnij przycisk Wybierz.

  6. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".

  7. W oknie dialogowym Dodawanie przypisania wybierz pozycję Przypisz.

Konfigurowanie logowania jednokrotnego aplikacji Citrix ADC

Wybierz link, aby uzyskać instrukcje dotyczące rodzaju uwierzytelniania, które chcesz skonfigurować:

Publikowanie serwera internetowego

Aby utworzyć serwer wirtualny:

  1. Wybierz pozycję Usługi równoważenia>obciążenia zarządzania>ruchem.

  2. Wybierz pozycję Dodaj.

    Citrix ADC configuration - Services pane

  3. Ustaw następujące wartości dla serwera internetowego, na którym są uruchomione aplikacje:

    • Nazwa usługi

    • Adres IP serwera/ istniejący serwer

    • Protokół

    • Port

      Citrix ADC configuration pane

Konfigurowanie modułu równoważenia obciążenia

Aby skonfigurować moduł równoważenia obciążenia:

  1. Przejdź do pozycji Równoważenie>obciążenia zarządzania>ruchem serwery wirtualne.

  2. Wybierz pozycję Dodaj.

  3. Ustaw następujące wartości zgodnie z opisem na poniższym zrzucie ekranu:

    • Nazwa/nazwisko
    • Protokół
    • IP Address
    • Port

  4. Wybierz przycisk OK.

    Citrix ADC configuration - Basic Settings pane

Wiązanie serwera wirtualnego

Aby powiązać moduł równoważenia obciążenia z serwerem wirtualnym:

  1. W okienku Usługi i grupy usług wybierz pozycję Bez równoważenia obciążenia Powiązanie usługi serwera wirtualnego.

    Citrix ADC configuration - Load Balancing Virtual Server Service Binding pane

  2. Sprawdź ustawienia, jak pokazano na poniższym zrzucie ekranu, a następnie wybierz pozycję Zamknij.

    Citrix ADC configuration - Verify the virtual server services binding

Wiązanie certyfikatu

Aby opublikować tę usługę jako protokół TLS, powiąż certyfikat serwera, a następnie przetestuj aplikację:

  1. W obszarze Certyfikat wybierz pozycję Brak certyfikatu serwera.

    Citrix ADC configuration - Server Certificate pane

  2. Sprawdź ustawienia, jak pokazano na poniższym zrzucie ekranu, a następnie wybierz pozycję Zamknij.

    Citrix ADC configuration - Verify the certificate

Profil SAML usługi Citrix ADC

Aby skonfigurować profil SAML usługi Citrix ADC, wykonaj następujące sekcje:

Tworzenie zasad uwierzytelniania

Aby utworzyć zasady uwierzytelniania:

  1. Przejdź do pozycji Zabezpieczenia>AAA — zasady uwierzytelniania uwierzytelniania>zasad> ruchu>aplikacji.

  2. Wybierz pozycję Dodaj.

  3. W okienku Tworzenie zasad uwierzytelniania wprowadź lub wybierz następujące wartości:

    • Nazwa: wprowadź nazwę zasad uwierzytelniania.
    • Akcja: wprowadź saml, a następnie wybierz pozycję Dodaj.
    • Wyrażenie: wprowadź wartość true.

    Citrix ADC configuration - Create Authentication Policy pane

  4. Wybierz pozycję Utwórz.

Tworzenie serwera SAML uwierzytelniania

Aby utworzyć serwer SAML uwierzytelniania, przejdź do okienka Tworzenie serwera SAML uwierzytelniania, a następnie wykonaj następujące kroki:

  1. W polu Nazwa wprowadź nazwę serwera SAML uwierzytelniania.

  2. W obszarze Eksportuj metadane SAML:

    1. Zaznacz pole wyboru Importuj metadane .

    2. Wprowadź adres URL metadanych federacji z skopiowanego wcześniej interfejsu użytkownika saml platformy Azure.

  3. W polu Nazwa wystawcy wprowadź odpowiedni adres URL.

  4. Wybierz pozycję Utwórz.

Citrix ADC configuration - Create Authentication SAML Server pane

Tworzenie serwera wirtualnego uwierzytelniania

Aby utworzyć serwer wirtualny uwierzytelniania:

  1. Przejdź do pozycji Zabezpieczenia>AAA — zasady>ruchu>aplikacji — serwery wirtualne uwierzytelniania uwierzytelniania.>

  2. Wybierz pozycję Dodaj, a następnie wykonaj następujące kroki:

    1. W polu Nazwa wprowadź nazwę serwera wirtualnego uwierzytelniania.

    2. Zaznacz pole wyboru Nienależące do adresu.

    3. W polu Protokół wybierz pozycję SSL.

    4. Wybierz przycisk OK.

    Citrix ADC configuration - Authentication Virtual Server pane

Konfigurowanie serwera wirtualnego uwierzytelniania do używania identyfikatora Entra firmy Microsoft

Zmodyfikuj dwie sekcje dla serwera wirtualnego uwierzytelniania:

  1. W okienku Zaawansowane zasady uwierzytelniania wybierz pozycję Brak zasad uwierzytelniania.

    Citrix ADC configuration - Advanced Authentication Policies pane

  2. W okienku Powiązanie zasad wybierz zasady uwierzytelniania, a następnie wybierz pozycję Wiązanie.

    Citrix ADC configuration - Policy Binding pane

  3. W okienku Serwery wirtualne oparte na formularzach wybierz pozycję Brak równoważenia obciążenia serwera wirtualnego.

    Citrix ADC configuration - Form Based Virtual Servers pane

  4. W polu Nazwa FQDN uwierzytelniania wprowadź w pełni kwalifikowaną nazwę domeny (FQDN) (wymagana).

  5. Wybierz serwer wirtualny równoważenia obciążenia, który chcesz chronić za pomocą uwierzytelniania firmy Microsoft Entra.

  6. Wybierz Powiąż.

    Citrix ADC configuration - Load Balancing Virtual Server Binding pane

    Uwaga

    Pamiętaj, aby wybrać pozycję Gotowe w okienku Uwierzytelnianie Konfiguracja serwera wirtualnego.

  7. Aby zweryfikować zmiany, w przeglądarce przejdź do adresu URL aplikacji. Powinna zostać wyświetlona strona logowania dzierżawy zamiast nieuwierzytelnionego dostępu, który był wcześniej widoczny.

    Citrix ADC configuration - A sign-in page in a web browser

Konfigurowanie logowania jednokrotnego citrix ADC na potrzeby uwierzytelniania opartego na nagłówku

Konfigurowanie usługi Citrix ADC

Aby skonfigurować usługę Citrix ADC na potrzeby uwierzytelniania opartego na nagłówku, wykonaj poniższe sekcje.

Tworzenie akcji ponownego zapisywania

  1. Przejdź do pozycji AppExpert>Rewrite Rewrite>Actions (Zapisz ponownie akcje).

    Citrix ADC configuration - Rewrite Actions pane

  2. Wybierz pozycję Dodaj, a następnie wykonaj następujące kroki:

    1. W polu Nazwa wprowadź nazwę akcji ponownego zapisywania.

    2. W polu Typ wprowadź INSERT_HTTP_HEADER.

    3. W polu Nazwa nagłówka wprowadź nazwę nagłówka (w tym przykładzie używamy identyfikatora SecretID).

    4. W polu Wyrażenie wprowadź wartość aaa. UŻYTKOWNIKA. ATTRIBUTE("mySecretID"), gdzie mySecretID to oświadczenie Microsoft Entra SAML, które zostało wysłane do citrix ADC.

    5. Wybierz pozycję Utwórz.

    Citrix ADC configuration - Create Rewrite Action pane

Tworzenie zasad ponownego zapisywania

  1. Przejdź do pozycji AppExpert>Rewrite Rewrite>Policies (Zapisz ponownie zasady).

    Citrix ADC configuration - Rewrite Policies pane

  2. Wybierz pozycję Dodaj, a następnie wykonaj następujące kroki:

    1. W polu Nazwa wprowadź nazwę zasad ponownego zapisywania.

    2. W polu Akcja wybierz akcję ponownego zapisywania utworzoną w poprzedniej sekcji.

    3. W polu Wyrażenie wprowadź wartość true.

    4. Wybierz pozycję Utwórz.

    Citrix ADC configuration - Create Rewrite Policy pane

Wiązanie zasad ponownego zapisywania z serwerem wirtualnym

Aby powiązać zasady ponownego zapisywania z serwerem wirtualnym przy użyciu graficznego interfejsu użytkownika:

  1. Przejdź do pozycji Równoważenie>obciążenia zarządzania>ruchem serwery wirtualne.

  2. Na liście serwerów wirtualnych wybierz serwer wirtualny, do którego chcesz powiązać zasady ponownego zapisywania, a następnie wybierz pozycję Otwórz.

  3. W okienku Równoważenie obciążenia Serwer wirtualny w obszarze Zaawansowane Ustawienia wybierz pozycję Zasady. Na liście są wyświetlane wszystkie zasady skonfigurowane dla wystąpienia usługi NetScaler.

    Screenshot that shows the

    Citrix ADC configuration - Load Balancing Virtual Server pane

  4. Zaznacz pole wyboru obok nazwy zasad, które chcesz powiązać z tym serwerem wirtualnym.

    Citrix ADC configuration - Load Balancing Virtual Server Traffic Policy Binding pane

  5. W oknie dialogowym Wybieranie typu:

    1. W obszarze Wybierz zasady wybierz pozycję Ruch.

    2. W obszarze Wybierz typ wybierz pozycję Żądanie.

    Citrix ADC configuration - Policies dialog box

  6. Wybierz przycisk OK. Komunikat na pasku stanu wskazuje, że zasady zostały pomyślnie skonfigurowane.

Modyfikowanie serwera SAML w celu wyodrębnienia atrybutów z oświadczenia

  1. Przejdź do pozycji Zabezpieczenia>AAA — zasady>ruchu>aplikacji Zaawansowane>zasady uwierzytelniania>Serwery akcji.>

  2. Wybierz odpowiedni serwer SAML uwierzytelniania dla aplikacji.

    Citrix ADC configuration - Configure Authentication SAML Server pane

  3. W obszarze Atrybuty wprowadź atrybuty JĘZYKA SAML, które chcesz wyodrębnić, oddzielone przecinkami. W naszym przykładzie wprowadzamy atrybut mySecretID.

    Citrix ADC configuration - Attributes pane

  4. Aby zweryfikować dostęp, w adresie URL w przeglądarce wyszukaj atrybut SAML w obszarze Kolekcja nagłówków.

    Citrix ADC configuration - Headers Collection at the URL

Tworzenie użytkownika testowego aplikacji Citrix ADC

W tej sekcji w aplikacji Citrix ADC jest tworzony użytkownik o nazwie B.Simon. Aplikacja Citrix ADC obsługuje aprowizację użytkowników typu just in time, która jest domyślnie włączona. W tej sekcji nie ma żadnej akcji. Jeśli użytkownik jeszcze nie istnieje w aplikacji Citrix ADC, zostanie utworzony po uwierzytelnieniu.

Uwaga

Jeśli musisz ręcznie utworzyć użytkownika, skontaktuj się z zespołem pomocy technicznej klienta aplikacji Citrix ADC.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.

  • Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do adresu URL logowania citrix ADC, pod którym można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania citrix ADC i zainicjuj przepływ logowania z tego miejsca.

  • Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Citrix ADC w Moje aplikacje nastąpi przekierowanie do adresu URL logowania citrix ADC. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Następne kroki

Po skonfigurowaniu usługi Citrix ADC możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.