Kurz: Integrace jednotného přihlašování Microsoft Entra s konektorem SAML Citrix ADC pro Microsoft Entra ID (ověřování založené na protokolu Kerberos)

V tomto kurzu se dozvíte, jak integrovat Konektor SAML Citrix ADC pro Microsoft Entra ID s Microsoft Entra ID. Když integrujete konektor Citrix ADC SAML pro Microsoft Entra ID s Microsoft Entra ID, můžete:

• Řízení v Microsoft Entra ID, který má přístup ke konektoru Citrix ADC SAML pro Microsoft Entra ID.
• Povolte uživatelům automatické přihlášení ke konektoru Citrix ADC SAML pro Microsoft Entra ID pomocí jejich účtů Microsoft Entra.
• Spravujte účty v jednom centrálním umístění.

Požadavky

Abyste mohli začít, potřebujete následující položky:

• Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
• Citrix ADC SAML Connector pro předplatné s povoleným jednotným přihlašováním Microsoft Entra

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí. Tento kurz obsahuje tyto scénáře:

• Jednotné přihlašování iniciované aktualizací pro konektor SAML Citrix ADC pro Microsoft Entra ID.

• Zřizování uživatelů pro Konektor SAML Citrix ADC pro Microsoft Entra ID je za běhu .

• Ověřování založené na protokolu Kerberos pro konektor Citrix ADC SAML pro Microsoft Entra ID.

• Ověřování založené na hlavičce pro konektor SamL Citrix ADC pro Microsoft Entra ID.

Přidání konektoru SAML Citrix ADC pro ID Microsoft Entra z galerie

Pokud chcete integrovat konektor Citrix ADC SAML pro Microsoft Entra ID s Microsoft Entra ID, nejprve přidejte konektor Citrix ADC SAML pro Microsoft Entra ID do seznamu spravovaných aplikací SaaS z galerie:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.

3. V části Přidat z galerie zadejte konektor Citrix ADC SAML pro Microsoft Entra ID do vyhledávacího pole.

4. Ve výsledcích vyberte konektor Citrix ADC SAML pro Microsoft Entra ID a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro konektor SAML Citrix ADC pro Microsoft Entra ID

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s konektorem Citrix ADC SAML pro ID Microsoft Entra pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v konektoru SAML Citrix ADC pro Microsoft Entra ID.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s konektorem Citrix ADC SAML pro Microsoft Entra ID, proveďte následující kroky:

1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.

   1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.

   2. Přiřaďte testovacího uživatele Microsoft Entra – aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.

2. Konfigurace konektoru SAML Citrix ADC pro jednotné přihlašování Microsoft Entra – pro konfiguraci nastavení jednotného přihlašování na straně aplikace.

   1. Vytvoření konektoru SamL Citrix ADC pro testovacího uživatele Microsoft Entra – aby měl protějšek B.Simon v konektoru SAML Citrix ADC pro Microsoft Entra ID, který je propojený s reprezentací uživatele Microsoft Entra.

3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Pokud chcete povolit jednotné přihlašování Microsoft Entra pomocí webu Azure Portal, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Přejděte do podokna Integrace aplikací identit>Enterprise Applications>>Citrix ADC SAML Connector pro aplikaci Microsoft Entra ID v části Spravovat a vyberte Jednotné přihlašování.

3. V podokně Vybrat metodu jednotného přihlašování vyberte SAML.

4. V podokně Nastavení jednotného přihlašování pomocí SAML vyberte ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

   

5. V části Základní konfigurace SAML nakonfigurujte aplikaci v režimu iniciovaném protokolem IDP, proveďte následující kroky:

   1. Do textového pole Identifikátor zadejte adresu URL s následujícím vzorem: https://<YOUR_FQDN>

   2. Do textového pole Adresa URL odpovědi zadejte adresu URL, která má následující vzor: http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

6. Pokud chcete nakonfigurovat aplikaci v režimu iniciovaném aktualizací SP, vyberte Nastavit další adresy URL a proveďte následující krok:

   • Do textového pole Přihlašovací adresa URL zadejte adresu URL, která má následující vzor: https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

   Poznámka

   • Adresy URL, které se v této části používají, nejsou skutečnými hodnotami. Aktualizujte tyto hodnoty skutečnými hodnotami pro identifikátor, adresu URL odpovědi a přihlašovací adresu URL. Pokud chcete získat tyto hodnoty, obraťte se na konektor SAML Citrix ADC pro tým podpory klienta Microsoft Entra. Můžete také odkazovat na vzory uvedené v části Základní konfigurace SAML.
   • Pokud chcete nastavit jednotné přihlašování, musí být adresy URL přístupné z veřejných webů. Na straně Microsoft Entra ID musíte povolit bránu firewall nebo jiné nastavení zabezpečení na straně Microsoft Entra ID, aby se token odeslal na nakonfigurované adrese URL.

7. V podokně Nastavení jednotného přihlašování pomocí SAML v části Podpisový certifikát SAML zkopírujte adresu URL federačních metadat aplikace a uložte ji do Poznámkového bloku.

   

8. V části Nastavení konektoru Citrix ADC SAML pro Microsoft Entra ID zkopírujte příslušné adresy URL na základě vašich požadavků.

   

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele S názvem B.Simon.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.
2. Přejděte k identitě>Uživatelé>Všichni uživatelé.
3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
4. Ve vlastnostech uživatele postupujte takto:
   1. Do pole Zobrazovaný název zadejte B.Simon.
   2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například B.Simon@contoso.com.
   3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
   4. Vyberte Zkontrolovat a vytvořit.
5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte uživateli B.Simon používat jednotné přihlašování Azure tím, že uživateli udělíte přístup ke konektoru SamL Citrix ADC pro Microsoft Entra ID.

1. Přejděte k podnikovým aplikacím> identit.>

2. V seznamu aplikací vyberte konektor Citrix ADC SAML pro Microsoft Entra ID.

3. V přehledu aplikace v části Spravovat vyberte Uživatelé a skupiny.

4. Vyberte Přidat uživatele. Potom v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.

5. V dialogovém okně Uživatelé a skupiny vyberte V seznamu Uživatelé možnost B.Simon. Zvolte Vybrat.

6. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.

7. V dialogovém okně Přidat zadání vyberte Přiřadit.

Konfigurace konektoru SAML Citrix ADC pro jednotné přihlašování Microsoft Entra

Vyberte odkaz pro kroky pro typ ověřování, který chcete nakonfigurovat:

• Konfigurace konektoru SAML Citrix ADC pro jednotné přihlašování Microsoft Entra pro ověřování pomocí protokolu Kerberos

• Konfigurace konektoru SAML Citrix ADC pro jednotné přihlašování Microsoft Entra pro ověřování založené na hlavičce

Publikování webového serveru

Vytvoření virtuálního serveru:

1. Vyberte Služby vyrovnávání>zatížení správy>provozu.

2. Vyberte Přidat.

   

3. Nastavte následující hodnoty pro webový server, na kterém běží aplikace:

   • Název služby
   • IP adresa serveru / existující server
   • Protokol
   • Přístav

Konfigurace nástroje pro vyrovnávání zatížení

Konfigurace nástroje pro vyrovnávání zatížení:

1. Přejděte na virtuální servery vyrovnávání>zatížení správy>provozu.

2. Vyberte Přidat.

3. Nastavte následující hodnoty, jak je popsáno na následujícím snímku obrazovky:

   • Jméno
   • Protokol
   • IP adresa
   • Přístav

4. Vyberte OK.

   

Vytvoření vazby virtuálního serveru

Vytvoření vazby nástroje pro vyrovnávání zatížení s virtuálním serverem:

1. V podokně Služby a skupiny služeb vyberte Žádné vazby služby virtuálního serveru vyrovnávání zatížení.

   

2. Ověřte nastavení, jak je znázorněno na následujícím snímku obrazovky, a pak vyberte Zavřít.

   

Vytvoření vazby certifikátu

Pokud chcete tuto službu publikovat jako protokol TLS, vytvořte vazbu certifikátu serveru a otestujte aplikaci:

1. V části Certifikát vyberte Žádný certifikát serveru.

   

2. Ověřte nastavení, jak je znázorněno na následujícím snímku obrazovky, a pak vyberte Zavřít.

   

Citrix ADC SAML Connector pro profil Microsoft Entra SAML

Pokud chcete nakonfigurovat konektor SAML Citrix ADC pro profil Microsoft Entra SAML, proveďte následující části.

Vytvoření zásady ověřování

Vytvoření zásady ověřování:

1. Přejděte na Security>AAA – Zásady ověřování zásad>ověřování> přenosů>aplikací.

2. Vyberte Přidat.

3. V podokně Vytvořit zásady ověřování zadejte nebo vyberte následující hodnoty:

   • Název: Zadejte název zásady ověřování.
   • Akce: Zadejte SAML a pak vyberte Přidat.
   • Výraz: Zadejte true.

   

4. Vyberte Vytvořit.

Vytvoření ověřovacího serveru SAML

Pokud chcete vytvořit ověřovací server SAML, přejděte do podokna Vytvořit ověřovací server SAML a pak proveďte následující kroky:

1. Jako název zadejte název ověřovacího serveru SAML.

2. V části Exportovat metadata SAML:

   1. Zaškrtněte políčko Importovat metadata.

   2. Zadejte adresu URL federačních metadat z uživatelského rozhraní Azure SAML, které jste zkopírovali dříve.

3. Jako název vystavitele zadejte příslušnou adresu URL.

4. Vyberte Vytvořit.

Vytvoření ověřovacího virtuálního serveru

Vytvoření ověřovacího virtuálního serveru:

1. Přejděte na Zabezpečení>AAA – Virtuální servery ověřování>zásad>provozu>aplikací.

2. Vyberte Přidat a pak proveďte následující kroky:

   1. Jako název zadejte název ověřovacího virtuálního serveru.

   2. Zaškrtněte políčko Neoslovitelné.

   3. V poli Protokol vyberte SSL.

   4. Vyberte OK.

3. Vyberte Pokračovat.

Konfigurace ověřovacího virtuálního serveru tak, aby používal Microsoft Entra ID

Upravte dva oddíly pro ověřovací virtuální server:

1. V podokně Upřesnit zásady ověřování vyberte Žádné zásady ověřování.

   

2. V podokně Vazby zásad vyberte zásady ověřování a pak vyberte Vytvořit vazbu.

   

3. V podokně Virtuální servery založené na formuláři vyberte Žádný virtuální server vyrovnávání zatížení.

   

4. Jako plně kvalifikovaný název domény zadejte plně kvalifikovaný název domény (FQDN) (povinné).

5. Vyberte virtuální server vyrovnávání zatížení, který chcete chránit pomocí ověřování Microsoft Entra.

6. Vyberte Vytvořit vazbu.

   

   Poznámka

   Nezapomeňte vybrat Hotovo v podokně Konfigurace virtuálního serveru ověřování.

7. Pokud chcete ověřit změny, přejděte v prohlížeči na adresu URL aplikace. Místo neověřeného přístupu, který jste viděli dříve, by se měla zobrazit přihlašovací stránka tenanta.

   

Konfigurace konektoru SAML Citrix ADC pro jednotné přihlašování Microsoft Entra pro ověřování pomocí protokolu Kerberos

Vytvoření účtu delegování Kerberos pro konektor SamL Citrix ADC pro Microsoft Entra ID

1. Vytvořte uživatelský účet (v tomto příkladu používáme AppDelegation).

   

2. Nastavte hlavní název služby hostitele pro tento účet.

   Příklad: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

   V tomto příkladu:

   • IDENTT.WORK je plně kvalifikovaný název domény.
   • identt je název netBIOS domény.
   • appdelegation je název uživatelského účtu delegování.

3. Nakonfigurujte delegování webového serveru, jak je znázorněno na následujícím snímku obrazovky:

   

   Poznámka

   V příkladu snímku obrazovky je název interního webového serveru s webem WiA (Windows Integrated Authentication) CWEB2.

Citrix ADC SAML Connector pro Microsoft Entra AAA KCD (účty delegování Kerberos)

Konfigurace konektoru SAML Citrix ADC pro účet Microsoft Entra AAA KCD:

1. Přejděte do účtů Citrix Gateway>AAA KCD (omezené delegování kerberos).

2. Vyberte Přidat a pak zadejte nebo vyberte následující hodnoty:

   • Název: Zadejte název účtu KCD.

   • Sféra: Zadejte doménu a příponu velkými písmeny.

   • Hlavní název služby: http/<host/fqdn>@<DOMAIN.COM>.

     Poznámka

     @DOMAIN.COM je povinný a musí být velkými písmeny. Příklad: http/cweb2@IDENTT.WORK.

   • Delegovaný uživatel: Zadejte delegovaná uživatelská jména.

   • Zaškrtněte políčko Heslo pro delegovaného uživatele a zadejte a potvrďte heslo.

3. Vyberte OK.

Zásady provozu citrixu a profil provozu

Konfigurace zásad provozu a profilu provozu Citrixu:

1. Přejděte na Security>AAA – Zásady provozu zásad>provozu>aplikací, profily a zásady jednotného přihlašování formulářů.

2. Vyberte Profily provozu.

3. Vyberte Přidat.

4. Pokud chcete nakonfigurovat profil provozu, zadejte nebo vyberte následující hodnoty.

   • Název: Zadejte název profilu provozu.

   • Jednotné přihlašování: Vyberte ZAPNUTO.

   • Účet KCD: Vyberte účet KCD, který jste vytvořili v předchozí části.

5. Vyberte OK.

   

6. Vyberte Zásady provozu.

7. Vyberte Přidat.

8. Pokud chcete nakonfigurovat zásady provozu, zadejte nebo vyberte následující hodnoty:

   • Název: Zadejte název zásady provozu.

   • Profil: Vyberte profil provozu, který jste vytvořili v předchozí části.

   • Výraz: Zadejte true.

9. Vyberte OK.

   

Vytvoření vazby zásad provozu na virtuální server v Citrixu

Vytvoření vazby zásad provozu na virtuální server pomocí grafického uživatelského rozhraní:

1. Přejděte na virtuální servery vyrovnávání>zatížení správy>provozu.

2. V seznamu virtuálních serverů vyberte virtuální server, ke kterému chcete vytvořit vazbu zásad přepsání, a pak vyberte Otevřít.

3. V podokně Virtuální server vyrovnávání zatížení v části Upřesnit nastavení vyberte Zásady. V seznamu se zobrazí všechny zásady nakonfigurované pro vaši instanci NetScaler.

   

   

4. Zaškrtněte políčko vedle názvu zásady, kterou chcete svázat s tímto virtuálním serverem.

   

5. V dialogovém okně Zvolit typ :

   1. U možnosti Zvolit zásadu vyberte Provoz.

   2. U možnosti Zvolit typ vyberte Požadavek.

   

6. Po vázání zásady vyberte Hotovo.

   

7. Otestujte vazbu pomocí webu WIA.

   

Vytvoření konektoru SAML Citrix ADC pro testovacího uživatele Microsoft Entra

V této části se uživatel s názvem B.Simon vytvoří v konektoru SAML Citrix ADC pro Microsoft Entra ID. Citrix ADC SAML Connector pro Microsoft Entra ID podporuje zřizování uživatelů za běhu, které je ve výchozím nastavení povolené. V této části není žádná akce. Pokud uživatel ještě v konektoru Citrix ADC SAML connectoru Microsoft Entra ID neexistuje, vytvoří se po ověření nový.

Poznámka

Pokud potřebujete uživatele vytvořit ručně, obraťte se na konektor SAML Citrix ADC pro tým podpory klienta Microsoft Entra.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

• Klikněte na Otestovat tuto aplikaci, tím se přesměruje na konektor SAML Citrix ADC pro přihlašovací adresu URL Microsoft Entra, kde můžete zahájit tok přihlášení.

• Přejděte přímo na Konektor SAML Citrix ADC pro přihlašovací adresu URL Microsoft Entra a zahajte tok přihlášení odsud.

• Můžete použít Microsoft Moje aplikace. Když kliknete na dlaždici Citrix ADC SAML Connector pro Microsoft Entra ID v Moje aplikace, přesměruje se na konektor Citrix ADC SAML pro přihlašovací adresu URL Microsoft Entra. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Další kroky

Jakmile nakonfigurujete konektor SamL Citrix ADC pro Microsoft Entra ID, můžete vynutit řízení relace, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.