Tutoriel : Intégration de l’authentification unique Microsoft Entra avec Citrix ADC (authentification basée sur l’en-tête)

Dans ce didacticiel, vous apprendrez comment intégrer Citrix ADC à Microsoft Entra ID. Lorsque vous intégrez Citrix ADC à Microsoft Entra ID, vous pouvez :

• Contrôler dans Microsoft Entra ID qui a accès à Citrix ADC.
• Permettez à vos utilisateurs d’être automatiquement connectés à Citrix ADC avec leurs comptes Microsoft Entra.
• Gérer vos comptes à partir d’un emplacement central.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

• Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
• Abonnement Citrix ADC pour lequel l’authentification unique (SSO) est activée.

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test. Ce tutoriel inclut les scénarios suivants :

• Authentification unique lancée par le fournisseur de services pour Citrix ADC

• Provisionnement d’utilisateurs juste-à-temps pour Citrix ADC

• Authentification par en-tête pour Citrix ADC

• Authentification Kerberos pour Citrix ADC

Ajout de Citrix ADC à partir de la galerie

Pour intégrer Citrix ADC à Microsoft Entra ID, ajoutez d’abord Citrix ADC à votre liste d’applications SaaS gérées à partir de la galerie :

1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.

3. Dans la section Ajouter à partir de la galerie, saisissez Citrix ADC dans la zone de recherche.

4. Dans les résultats, sélectionnez Citrix ADC, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre client.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester Microsoft Entra SSO pour Citrix ADC

Configurez et testez Microsoft Entra SSO avec Citrix ADC en utilisant un utilisateur test appelé B.Simon. Pour que SSO fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l’utilisateur associé dans Citrix ADC.

Pour configurer et tester Microsoft Entra SSO avec Citrix ADC, effectuez les étapes suivantes :

1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.

   1. Créer un utilisateur test Microsoft Entra – pour tester Microsoft Entra SSO avec B.Simon.

   2. Attribuer l'utilisateur test Microsoft Entra – pour permettre à B.Simon d'utiliser Microsoft Entra SSO.

2. Configurer l’authentification unique Citrix ADC pour configurer les paramètres d’authentification unique côté application.

   • Créer un utilisateur test Citrix ADC – pour avoir un homologue de B.Simon dans Citrix ADC qui est lié à la représentation Microsoft Entra de l’utilisateur.

3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Pour activer Microsoft Entra SSO à l’aide du portail Azure, procédez comme suit :

1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez au volet d’intégration d’application Identité>Applications>Applications d’entreprise>Citrix ADC. Sous Gérer, sélectionnez Authentification unique.

3. Dans le volet Sélectionner une méthode d’authentification unique, sélectionnez SAML.

4. Dans le volet Configurer l’authentification unique avec SAML, sélectionnez l’icône de stylet Modifier pour Configuration SAML de base afin de modifier les paramètres.

   

5. Dans la section Configuration SAML de base, pour configurer l’application en mode lancé par le fournisseur d’identité :

   1. Dans la zone de texte Identifiant, saisissez une URL au format suivant : https://<Your FQDN>

   2. Dans la zone de texte URL de réponse, saisissez une URL au format suivant : https://<Your FQDN>/CitrixAuthService/AuthService.asmx

6. Pour configurer l’application en mode lancé par le fournisseur de services, sélectionnez Définir des URL supplémentaires, puis effectuez les étapes suivantes :

   • Dans la zone URL de connexion, saisissez une URL au format suivant : https://<Your FQDN>/CitrixAuthService/AuthService.asmx

   Remarque

   • Les URL utilisées dans cette section ne sont pas des valeurs réelles. Mettez à jour ces valeurs avec les valeurs réelles de l’identifiant, de l’URL de réponse et de l’URL de connexion. Pour obtenir ces valeurs, contactez l’équipe de support Citrix ADC. Vous pouvez également consulter les modèles figurant à la section Configuration SAML de base.
   • Pour configurer l’authentification unique, les URL doivent être accessibles à partir de sites web publics. Vous devez activer le pare-feu ou d’autres paramètres de sécurité du côté Citrix ADC pour permettre à Microsoft Entra ID de publier le jeton à l’URL configurée.

7. Dans le volet Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez URL des métadonnées de fédération d’application, copiez cette URL et enregistrez-la dans le Bloc-notes.

   

8. L’application Citrix ADC attend des assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à votre configuration des attributs de jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut. Sélectionnez l’icône Modifier et changez les mappages d’attributs.

   

9. L’application Citrix ADC s’attend aussi à ce que quelques attributs supplémentaires soient repassés dans la réponse SAML. Dans la boîte de dialogue Attributs utilisateur, sousRevendications des utilisateurs, effectuez les étapes suivantes pour ajouter ces attributs de jeton SAML, comme indiqué dans le tableau :

   Nom	Attribut source
   mySecretID	user.userprincipalname

   1. Sélectionnez Ajouter une nouvelle revendication pour ouvrir la boîte de dialogue Gérer les revendications des utilisateurs.

   2. Dans la zone de texte Nom, saisissez le nom d’attribut affiché pour cette ligne.

   3. Laissez le champ Espace de noms vide.

   4. Dans le champ Attribut, sélectionnez Source.

   5. Dans la liste Attribut de la source, saisissez la valeur d’attribut affichée pour cette ligne.

   6. Sélectionnez OK.

   7. Sélectionnez Enregistrer.

10. Dans la section Configurer Citrix ADC, copiez la ou les URL pertinentes en fonction de vos besoins.

    

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.

1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de l’utilisateur.
2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
   1. Dans le champ Nom d’affichage, entrez B.Simon.
   2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
   3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
   4. Sélectionnez Revoir + créer.
5. Sélectionnez Créer.

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez autoriser l’utilisateur B.Simon à utiliser l’authentification unique Azure en lui accordant l’accès à Citrix ADC.

1. Accédez à Identité>Applications>Applications d’entreprise.

2. Dans la liste des applications, sélectionnez Citrix ADC.

3. Dans la vue d’ensemble de l’application, sous Gérer, sélectionnez Utilisateurs et groupes.

4. Sélectionnez Ajouter un utilisateur. Ensuite, dans la boîte de dialogue Ajouter une attribution, sélectionnez Utilisateurs et groupes.

5. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B.Simon dans la liste Utilisateurs. Choisissez Sélectionner.

6. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle. Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.

7. Dans la boîte de dialogue Ajouter une attribution, sélectionnez Affecter.

Configurer l’authentification unique Citrix ADC

Sélectionnez un lien pour connaître les étapes relatives au type d’authentification que vous voulez configurer :

• Configurer l’authentification unique Citrix ADC pour l’authentification par en-tête

• Configurer l’authentification unique Citrix ADC pour l’authentification Kerberos

Publier le serveur web

Pour créer un serveur virtuel :

1. Sélectionnez Gestion du trafic>Équilibrage de charge>Services.

2. Sélectionnez Ajouter.

   

3. Définissez les valeurs suivantes pour le serveur web qui exécute les applications :

   • Nom du service

   • Adresse IP du serveur/ Serveur existant

   • Protocole

   • Port

     

Configurer l’équilibrage de charge

Pour configurer l’équilibrage de charge :

1. Accédez à Gestion de trafic>Équilibrage de charge>Serveurs virtuels.

2. Sélectionnez Ajouter.

3. Définissez les valeurs suivantes comme décrit dans la capture d’écran ci-après :

   • Nom
   • Protocole
   • Adresse IP
   • Port

4. Sélectionnez OK.

   

Lier le serveur virtuel

Pour lier l’équilibreur de charge au serveur virtuel :

1. Dans le volet Services et groupes de services, sélectionnez Aucune liaison de service de serveur virtuel d’équilibrage de charge.

   

2. Vérifiez les paramètres comme indiqué dans la capture d’écran suivante, puis sélectionnez Fermer.

   

Lier le certificat

Pour publier ce service en tant que TLS, liez le certificat serveur, puis testez votre application :

1. Sous Certificat, sélectionnez Aucun certificat de serveur.

   

2. Vérifiez les paramètres comme indiqué dans la capture d’écran suivante, puis sélectionnez Fermer.

   

Profil SAML de Citrix ADC

Pour configurer le profil SAML de Citrix ADC, effectuez les étapes des sections suivantes :

Créer une stratégie d’authentification

Pour créer une stratégie d’authentification :

1. Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Authentification>Stratégies d’authentification.

2. Sélectionnez Ajouter.

3. Dans le volet Créer une stratégie d’authentification, saisissez ou sélectionnez les valeurs suivantes :

   • Nom : Saisissez un nom pour votre stratégie d’authentification.
   • Action : Saisissez SAML, puis sélectionnez Ajouter.
   • Expression : Saisissez true.

   

4. Sélectionnez Créer.

Créer un serveur SAML d’authentification

Pour créer un serveur SAML d’authentification, accédez au volet Créer un serveur SAML d’authentification, puis effectuez les étapes suivantes :

1. Dans Nom, saisissez le nom du serveur SAML d’authentification.

2. Sous Exporter les métadonnées SAML :

   1. Cochez la case Importer les métadonnées.

   2. Saisissez l’URL des métadonnées de fédération à partir de l’interface utilisateur SAML Azure que vous avez copiée précédemment.

3. Dans Nom de l’émetteur, saisissez l’URL pertinente.

4. Sélectionnez Créer.

Créer un serveur virtuel d’authentification

Pour créer un serveur virtuel d’authentification :

1. Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Authentification>Serveurs virtuels d’authentification.

2. Sélectionnez Ajouter, puis effectuez les étapes suivantes :

   1. Dans Nom, saisissez le nom du serveur virtuel d’authentification.

   2. Cochez la case Non adressable.

   3. Dans Protocole, sélectionnez SSL.

   4. Sélectionnez OK.

   

Configurer le serveur virtuel d'authentification pour utiliser Microsoft Entra ID

Modifiez deux sections pour le serveur virtuel d’authentification :

1. Dans le volet Stratégies d’authentification avancées, sélectionnez Aucune stratégie d’authentification.

   

2. Dans le volet Liaison des stratégies, sélectionnez la stratégie d’authentification, puis sélectionnez Lier.

   

3. Dans le volet Serveurs virtuels basés sur un formulaire, sélectionnez Aucun serveur virtuel d’équilibrage de charge.

   

4. Dans FQDN d’authentification, saisissez un nom de domaine complet (FQDN) (obligatoire).

5. Sélectionnez le serveur virtuel d'équilibrage de charge que vous souhaitez protéger avec l'authentification Microsoft Entra.

6. Sélectionnez Lier.

   

   Remarque

   Veillez à sélectionner Terminé dans le volet Configuration du serveur virtuel d’authentification.

7. Pour vérifier vos modifications, dans un navigateur, accédez à l’URL de l’application. Votre page de connexion de client doit s’afficher au lieu de l’accès non authentifié que vous auriez pu voir précédemment.

   

Configurer l’authentification unique Citrix ADC pour l’authentification par en-tête

Configurer Citrix ADC

Pour configurer Citrix ADC pour l’authentification par en-tête, effectuez les étapes des sections suivantes.

Créer une action de réécriture

1. Accédez à AppExpert>Réécrire>Actions de réécriture.

   

2. Sélectionnez Ajouter, puis effectuez les étapes suivantes :

   1. Dans le champ Nom, saisissez un nom pour l’action de réécriture.

   2. Dans le champ Type, saisissez INSERT_HTTP_HEADER.

   3. Dans le champ Nom de l’en-tête, saisissez un nom d’en-tête (dans cet exemple, nous utilisons SecretID).

   4. Pour Expression, saisissez aaa.USER.ATTRIBUTE("mySecretID"), où mySecretID est la revendication Microsoft Entra SAML qui a été envoyée à Citrix ADC.

   5. Sélectionnez Créer.

   

Créer une stratégie de réécriture

1. Accédez à AppExpert>Réécrire>Stratégies de réécriture.

   

2. Sélectionnez Ajouter, puis effectuez les étapes suivantes :

   1. Dans le champ Nom, saisissez un nom pour la stratégie de réécriture.

   2. Dans le champ Action, sélectionnez l’action de réécriture que vous avez créée dans la section précédente.

   3. Dans le champ Expression, saisissez true.

   4. Sélectionnez Créer.

   

Lier une stratégie de réécriture à un serveur virtuel

Pour lier une stratégie de réécriture à un serveur virtuel à l’aide de l’interface graphique utilisateur :

1. Accédez à Gestion de trafic>Équilibrage de charge>Serveurs virtuels.

2. Dans la liste des serveurs virtuels, sélectionnez le serveur virtuel auquel lier la stratégie de réécriture, puis sélectionnez Ouvrir.

3. Dans le volet Serveur virtuel d’équilibrage de charge, sous Paramètres avancés, sélectionnez Stratégies. Toutes les stratégies configurées pour votre instance de NetScaler figurent dans la liste.

4. Cochez la case située en regard du nom de la stratégie que vous voulez lier à ce serveur virtuel.

   

5. Dans la boîte de dialogue Choisir un type :

   1. Pour Choisir une stratégie, sélectionnez Trafic.

   2. Pour Choisir un type, sélectionnez Requête.

   

6. Sélectionnez OK. Dans la barre d’état, un message indique que la stratégie a été configurée avec succès.

Modifier le serveur SAML pour extraire les attributs d’une revendication

1. Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Authentification>Stratégies avancées>Actions>Serveurs.

2. Sélectionnez le serveur SAML d’authentification approprié pour l’application.

   

3. Dans le volet Attributs, saisissez les attributs SAML à extraire, séparés par des virgules. Dans notre exemple, nous saisissons l’attribut mySecretID.

   

4. Pour vérifier l’accès, accédez à l’URL dans un navigateur, recherchez l’attribut SAML sous Collection d’en-têtes.

   

Créer un utilisateur de test Citrix ADC

Dans cette section, un utilisateur appelé B.Simon est créé dans Citrix ADC. Citrix ADC prend en charge l’attribution d’utilisateurs juste-à-temps, qui est activée par défaut. Vous n’avez aucune opération à effectuer dans cette section. Si l’utilisateur souhaité n’existe pas déjà dans Citrix ADC, il est créé après l’authentification.

Remarque

Si vous avez besoin de créer un utilisateur manuellement, contactez l’équipe de support de Citrix ADC.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

• Cliquez sur Tester cette application. Vous êtes alors redirigé vers l’URL de connexion à Citrix ADC, d’où vous pouvez lancer le flux de connexion.

• Accédez directement à l’URL de connexion Citrix ADC pour lancer le processus de connexion.

• Vous pouvez utiliser Mes applications Microsoft. Le fait de cliquer sur la vignette Citrix ADC dans Mes applications vous redirige vers l’URL de connexion Citrix ADC. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Après avoir configuré Citrix ADC, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.