Sdílet prostřednictvím

Konfigurace konektoru Citrix ADC SAML pro Microsoft Entra ID (ověřování založené na protokolu Kerberos) pro jednotné přihlašování pomocí Microsoft Entra ID

V tomto článku se dozvíte, jak integrovat konektor Citrix ADC SAML pro Microsoft Entra ID s Microsoft Entra ID. Když integrujete konektor Citrix ADC SAML pro Microsoft Entra ID s Microsoft Entra ID, můžete:

  • Řiďte v Microsoft Entra ID, kdo má přístup ke konektoru Citrix ADC SAML pro Microsoft Entra ID.
  • Povolte uživatelům automatické přihlášení ke konektoru Citrix ADC SAML pro Microsoft Entra ID pomocí jejich účtů Microsoft Entra.
  • Spravujte účty v jednom centrálním umístění.

Požadavky

Scénář popsaný v tomto článku předpokládá, že již máte následující požadavky:

  • Citrix ADC SAML Connector pro předplatné s aktivovaným jednotným přihlašováním pomocí Microsoft Entra

Popis scénáře

V tomto článku nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí. Tento článek obsahuje tyto scénáře:

Pokud chcete integrovat konektor Citrix ADC SAML pro Microsoft Entra ID s Microsoft Entra ID, nejprve přidejte konektor Citrix ADC SAML pro Microsoft Entra ID do seznamu spravovaných aplikací SaaS z galerie:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Prohlédněte si Entra ID>Podnikové aplikace>Nová aplikace.

  3. V části Přidat z galerie zadejte konektor Citrix ADC SAML pro Microsoft Entra ID do vyhledávacího pole.

  4. Ve výsledcích vyberte konektor Citrix ADC SAML pro Microsoft Entra ID a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro konektor SAML Citrix ADC pro Microsoft Entra ID

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s konektorem Citrix ADC SAML pro ID Microsoft Entra pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v konektoru SAML Citrix ADC pro Microsoft Entra ID.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s konektorem Citrix ADC SAML pro Microsoft Entra ID, proveďte následující kroky:

  1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.

    1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.

    2. Přiřaďte testovacího uživatele Microsoft Entra – aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.

  2. Konfigurace konektoru SAML Citrix ADC pro jednotné přihlašování Microsoft Entra – pro konfiguraci nastavení jednotného přihlašování na straně aplikace.

    1. Vytvoření konektoru Citrix ADC SAML pro testovacího uživatele Microsoft Entra – aby měl protějšek B.Simon v konektoru SAML Citrix ADC pro Microsoft Entra ID, který je propojený s reprezentací Microsoft Entra uživatele.

  3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Pokud chcete povolit jednotné přihlašování Microsoft Entra pomocí webu Azure Portal, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte do podokna integrace aplikací Entra ID>Enterprise apps>Citrix ADC SAML Connector pro Microsoft Entra ID v části Spravovat a vyberte Jednotné přihlašování.

  3. V podokně Vybrat metodu jednotného přihlašování vyberte SAML.

  4. V podokně Nastavení jednotného přihlašování pomocí SAML vyberte ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

    Snímek obrazovky znázorňující úpravu základní konfigurace SAML

  5. V části Základní konfigurace SAML nakonfigurujte aplikaci v režimu iniciovaném protokolem IDP, proveďte následující kroky:

    1. Do textového pole Identifikátor zadejte adresu URL s následujícím vzorem: https://<YOUR_FQDN>

    2. Do textového pole Adresa URL odpovědi zadejte adresu URL, která má následující vzor: http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

  6. Pokud chcete nakonfigurovat aplikaci v režimu iniciovaném aktualizací SP, vyberte Nastavit další adresy URL a proveďte následující krok:

    • Do textového pole Přihlašovací adresa URL zadejte adresu URL, která má následující vzor: https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

    Poznámka:

    • Adresy URL, které se v této části používají, nejsou skutečnými hodnotami. Aktualizujte tyto hodnoty skutečnými hodnotami pro identifikátor, adresu URL odpovědi a přihlašovací adresu URL. Pokud chcete získat tyto hodnoty, obraťte se na tým podpory klienta konektoru SAML Citrix ADC pro Microsoft Entra. Můžete také konzultovat vzory uvedené v části Základní konfigurace SAML.
    • Pokud chcete nastavit jednotné přihlašování, musí být adresy URL přístupné z veřejných webů. Musíte povolit bránu firewall nebo jiná bezpečnostní nastavení na straně konektoru Citrix ADC SAML pro Microsoft Entra ID, aby Microsoft Entra ID mohl odeslat token na nakonfigurovanou adresu URL.

  7. V podokně Nastavení jednotného přihlašování pomocí SAML, v sekci SAML podpisový certifikát zkopírujte URL metadat federace aplikace a uložte ji do Poznámkového bloku.

    Snímek obrazovky s odkazem ke stažení certifikátu

  8. V části Nastavení konektoru Citrix ADC SAML pro Microsoft Entra ID zkopírujte příslušné adresy URL na základě vašich požadavků.

    Snímek obrazovky znázorňující kopírování konfiguračních adres URL

Vytvoření a přiřazení testovacího uživatele Microsoft Entra

Postupujte podle pokynů v vytvoření a přiřazení uživatelského účtu rychlého startu pro vytvoření testovacího uživatelského účtu s názvem B.Simon.

Konfigurace konektoru SAML Citrix ADC pro jednotné přihlašování Microsoft Entra

Vyberte odkaz pro kroky pro typ ověřování, který chcete nakonfigurovat:

Publikujte webový server

Vytvoření virtuálního serveru:

  1. Vyberte Správa provozu>Vyrovnávání zatížení>Služby.

  2. Vyberte Přidat.

    Snímek obrazovky s konektorem SAML Citrix ADC pro konfiguraci Microsoft Entra – Podokno Služby.

  3. Nastavte následující hodnoty pro webový server, na kterém běží aplikace:

    • Název služby
    • IP adresa serveru / existující server
    • Protokol
    • Přístav

Konfigurace nástroje pro vyrovnávání zatížení

Konfigurace nástroje pro vyrovnávání zatížení:

  1. Přejděte na Správa provozu>Vyrovnávání zatížení>Virtuální servery.

  2. Vyberte Přidat.

  3. Nastavte následující hodnoty, jak je popsáno na následujícím snímku obrazovky:

    • Název
    • Protokol
    • IP adresa
    • Přístav

  4. Vyberte OK.

    Snímek obrazovky s konektorem SAML Citrix ADC pro konfiguraci Microsoft Entra – podokno Základní nastavení

Propojit virtuální server

Vytvoření vazby nástroje pro vyrovnávání zatížení s virtuálním serverem:

  1. V podokně Služby a skupiny služeb vyberte Vazba služby virtuálního serveru bez vyrovnávání zatížení.

    Snímek obrazovky konektoru SAML Citrix ADC pro konfiguraci Microsoft Entra – podokno vazby služby virtuálního serveru pro vyrovnávání zatížení.

  2. Ověřte nastavení, jak je znázorněno na následujícím snímku obrazovky, a pak vyberte Zavřít.

    Snímek obrazovky s konektorem Citrix ADC SAML pro konfiguraci Microsoft Entra – Ověřte vazbu služeb virtuálního serveru.

Připojte certifikát

Pokud chcete tuto službu publikovat jako protokol TLS, vytvořte vazbu certifikátu serveru a otestujte aplikaci:

  1. V části Certifikát vyberte Žádný certifikát serveru.

    Snímek obrazovky konfigurace konektoru SAML Citrix ADC pro Microsoft Entra – Podokno certifikátu serveru.

  2. Ověřte nastavení, jak je znázorněno na následujícím snímku obrazovky, a pak vyberte Zavřít.

    Snímek obrazovky konektoru Citrix ADC SAML pro konfiguraci Microsoft Entra – Ověření certifikátu

Citrix ADC SAML Connector pro profil Microsoft Entra SAML

Pokud chcete nakonfigurovat konektor SAML Citrix ADC pro profil Microsoft Entra SAML, proveďte následující části.

Vytvoření zásady ověřování

Vytvoření zásady ověřování:

  1. Přejděte na Security>AAA – Přenos aplikací>Zásady>Ověřování>Zásady ověřování.

  2. Vyberte Přidat.

  3. V podokně Vytvořit zásady ověřování zadejte nebo vyberte následující hodnoty:

    • Název: Zadejte název zásady ověřování.
    • Akce: Zadejte SAML a pak vyberte Přidat.
    • Výraz: Zadejte true.

    Snímek obrazovky s konektorem SamL Citrix ADC pro konfiguraci Microsoft Entra – podokno Vytvořit zásady ověřování

  4. Vyberte Vytvořit.

Vytvoření ověřovacího serveru SAML

Pokud chcete vytvořit ověřovací server SAML, přejděte do podokna Vytvořit ověřovací server SAML a pak proveďte následující kroky:

  1. Jako název zadejte název ověřovacího serveru SAML.

  2. Pod Export SAML Metadata:

    1. Zaškrtněte políčko Importovat metadata.

    2. Zadejte adresu URL federačních metadat z uživatelského rozhraní Azure SAML, které jste zkopírovali dříve.

  3. Jako název vystavitele zadejte příslušnou adresu URL.

  4. Vyberte Vytvořit.

Snímek obrazovky s konektorem SAML Citrix ADC pro konfiguraci Microsoft Entra – podokno Vytvořit server SAML pro ověřování

Vytvoření ověřovacího virtuálního serveru

Vytvoření ověřovacího virtuálního serveru:

  1. Přejděte na Zabezpečení>AAA – provoz aplikací>zásad>ověřování>Virtuální servery pro ověřování.

  2. Vyberte Přidat a pak proveďte následující kroky:

    1. Jako název zadejte název ověřovacího virtuálního serveru.

    2. Zaškrtněte políčko Neoslovitelné.

    3. V poli Protokol vyberte SSL.

    4. Vyberte OK.

  3. Zvolte Pokračovat.

Konfigurace ověřovacího virtuálního serveru tak, aby používal Microsoft Entra ID

Upravte dva oddíly pro ověřovací virtuální server:

  1. V podokně Rozšířené zásady ověřování vyberte Žádné zásady ověřování.

    Snímek obrazovky s konektorem SAML Citrix ADC pro konfiguraci Microsoft Entra – podokno Pokročilé zásady ověřování

  2. V podokně Vazby zásad vyberte zásadu ověřování a pak vyberte Vazba.

    Snímek obrazovky s konektorem SAML Citrix ADC pro konfiguraci Microsoft Entra – podokno Vazba zásad

  3. V podokně Virtuální servery založené na formuláři vyberte Nevyrovnávaný virtuální server.

    Snímek obrazovky s konektorem Citrix ADC SAML pro konfiguraci Microsoft Entra – podokno Virtuální servery založené na formuláři

  4. Pro Authentication FQDN zadejte plně kvalifikovaný název domény (FQDN) (povinné).

  5. Vyberte virtuální server vyrovnávání zatížení, který chcete chránit pomocí ověřování Microsoft Entra.

  6. Vyberte Přiřadit.

    Snímek obrazovky konektoru SAML Citrix ADC pro konfiguraci Microsoft Entra – podokno Vyrovnávání zatížení a přiřazení virtuálního serveru

    Poznámka:

    Nezapomeňte vybrat Hotovo v podokně Konfigurace virtuálního serveru ověřování.

  7. Pokud chcete ověřit změny, přejděte v prohlížeči na adresu URL aplikace. Místo neověřeného přístupu, který jste viděli dříve, by se měla zobrazit přihlašovací stránka tenanta.

    Snímek obrazovky s konektorem SamL Citrix ADC pro konfiguraci Microsoft Entra – přihlašovací stránka ve webovém prohlížeči

Konfigurace konektoru Citrix ADC SAML pro jednotné přihlášení (SSO) Microsoft Entra s ověřováním založeným na protokolu Kerberos

Vytvořte účet delegování Kerberos pro konektor SAML Citrix ADC pro Microsoft Entra ID

  1. Vytvořte uživatelský účet (v tomto příkladu používáme AppDelegation).

    Snímek obrazovky s konektorem SAML Citrix ADC pro konfiguraci Microsoft Entra – podokno Vlastnosti

  2. Nastavte HOST SPN pro tento účet.

    Příklad: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

    V tomto příkladu:

    • IDENTT.WORK je plně kvalifikovaný název domény.
    • identt je název netBIOS domény.
    • appdelegation je název uživatelského delegačního účtu.

  3. Nakonfigurujte delegování webového serveru, jak je znázorněno na následujícím snímku obrazovky:

    Snímek obrazovky s konektorem SamL Citrix ADC pro konfiguraci Microsoft Entra – Delegování v podokně Vlastnosti

    Poznámka:

    Na snímku obrazovky je příkladem interní webový server s názvem CWEB2, na kterém běží site Windows Integrated Authentication (WIA).

Citrix ADC SAML konektor pro Microsoft Entra AAA KCD (Kerberos delegační účty)

Konfigurace konektoru SAML Citrix ADC pro účet Microsoft Entra AAA KCD:

  1. Přejděte do Citrix Gateway>účtů AAA KCD (Kerberos omezené delegování).

  2. Vyberte Přidat a pak zadejte nebo vyberte následující hodnoty:

    • Název: Zadejte název účtu KCD.

    • Doména: Zadejte doménu a příponu velkými písmeny.

    • SPN služby: http/<host/fqdn>@<DOMAIN.COM>.

      Poznámka:

      @DOMAIN.COM je povinný a musí být velkými písmeny. Příklad: http/cweb2@IDENTT.WORK.

    • Delegovaný uživatel: Zadejte delegovaná uživatelská jména.

    • Zaškrtněte políčko Heslo pro delegovaného uživatele a zadejte a potvrďte heslo.

  3. Vyberte OK.

Zásady provozu citrixu a profil provozu

Konfigurace zásad provozu a profilu provozu Citrixu:

  1. Přejděte na Security>AAA - Provoz aplikace>Zásady>Zásady provozu, Profily a profily formulářů SSO.

  2. Vyberte Profily provozu.

  3. Vyberte Přidat.

  4. Pokud chcete nakonfigurovat profil provozu, zadejte nebo vyberte následující hodnoty.

    • Název: Zadejte název profilu provozu.

    • Jednotné přihlašování: Vyberte ZAPNUTO.

    • Účet KCD: Vyberte účet KCD, který jste vytvořili v předchozí části.

  5. Vyberte OK.

    Snímek obrazovky s konektorem Citrix ADC SAML pro konfiguraci Microsoft Entra – Konfigurace profilu provozu

  6. Vyberte Zásady provozu.

  7. Vyberte Přidat.

  8. Pokud chcete nakonfigurovat zásady provozu, zadejte nebo vyberte následující hodnoty:

    • Název: Zadejte název zásady provozu.

    • Profil: Vyberte profil provozu, který jste vytvořili v předchozí části.

    • Výraz: Zadejte true.

  9. Vyberte OK.

    Snímek obrazovky s konektorem SAML Citrix ADC pro konfiguraci Microsoft Entra – Konfigurace podokna zásad provozu

Připojte politiku provozu k virtuálnímu serveru v Citrixu

Vytvoření vazby zásad provozu na virtuální server pomocí grafického uživatelského rozhraní:

  1. Přejděte na Správa provozu>Vyrovnávání zatížení>Virtuální servery.

  2. V seznamu virtuálních serverů vyberte virtuální server, ke kterému chcete vytvořit vazbu zásad přepsání, a pak vyberte Otevřít.

  3. V podokně Virtuální server vyrovnávání zatížení v části Upřesnit nastavení vyberte Zásady. V seznamu se zobrazí všechny zásady nakonfigurované pro vaši instanci NetScaler.

    Snímek obrazovky konektoru SAML Citrix ADC pro konfiguraci Microsoft Entra – podokno Virtuální server pro vyrovnávání zatížení

    Snímek obrazovky konektoru SAML Citrix ADC pro konfiguraci Microsoft Entra – dialogové okno Zásady.

  4. Zaškrtněte políčko vedle názvu zásady, kterou chcete svázat s tímto virtuálním serverem.

    Snímek obrazovky konektoru Citrix ADC SAML pro konfiguraci Microsoft Entra – podokno pro vazby zásad provozu virtuálního serveru pro vyrovnávání zatížení

  5. V dialogovém okně Zvolit typ :

    1. Pro možnost Zvolit zásadu vyberte Provoz.

    2. U možnosti Zvolit typ vyberte Požadavek.

    Snímek obrazovky s konektorem SAML Citrix ADC pro konfiguraci Microsoft Entra – zvolte podokno Typ.

  6. Po vázání zásady vyberte Hotovo.

    Snímek obrazovky konektoru SAML Citrix ADC pro konfiguraci Microsoft Entra – podokno zásad.

  7. Otestujte vazbu pomocí webu WIA.

    Snímek obrazovky s konektorem Citrix ADC SAML pro konfiguraci Microsoft Entra – testovací stránka ve webovém prohlížeči

Vytvoření konektoru SAML Citrix ADC pro testovacího uživatele Microsoft Entra

V této části se uživatel s názvem B.Simon vytvoří v konektoru SAML Citrix ADC pro Microsoft Entra ID. Citrix ADC SAML Connector pro Microsoft Entra ID podporuje just-in-time zřizování uživatelů, které je povoleno ve výchozím nastavení. V této části nemusíte podnikat žádnou akci. Pokud uživatel ještě neexistuje v konektoru Citrix ADC SAML pro Microsoft Entra ID, vytvoří se nový po provedení ověření.

Poznámka:

Pokud potřebujete vytvořit uživatele ručně, obraťte se na tým podpory klientů služby Citrix ADC SAML Connector pro Microsoft Entra.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

  • Vyberte Otestovat tuto aplikaci, tato možnost přesměruje na Konektor SAML Citrix ADC pro přihlašovací adresu URL Microsoft Entra, kde můžete zahájit tok přihlášení.

  • Přejděte přímo na adresu URL přihlášení konektoru Citrix ADC SAML pro Microsoft Entra a zahajte tok přihlášení přímo odtud.

  • Můžete použít Microsoft Moje aplikace. Když v části Moje aplikace vyberete dlaždici Citrix ADC SAML Connector pro Microsoft Entra ID, tato možnost se přesměruje na konektor Citrix ADC SAML pro přihlašovací adresu URL Microsoft Entra. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Související obsah

Jakmile nakonfigurujete konektor SAML Citrix ADC pro Microsoft Entra ID, můžete v reálném čase vynutit řízení relace, které chrání citlivá data vaší organizace před exfiltrací a infiltrací. Řízení relací vychází z podmíněného přístupu. Přečtěte si, jak uplatňovat řízení relace pomocí Microsoft Defender for Cloud Apps.