Tutoriel : intégration de l’authentification unique Microsoft Entra avec le connecteur Citrix ADC SAML pour Microsoft Entra ID (authentification Kerberos)

Dans ce tutoriel, vous apprenez à intégrer le connecteur Citrix ADC SAML pour Microsoft Entra ID à Microsoft Entra ID. Quand vous intégrez le connecteur Citrix ADC SAML pour Microsoft Entra ID à Microsoft Entra ID, vous pouvez :

• Contrôler qui a accès au connecteur Citrix ADC SAML pour Microsoft Entra ID dans Microsoft Entra ID.
• Permettre à vos utilisateurs de se connecter automatiquement au connecteur Citrix ADC SAML pour Microsoft Entra ID avec leurs comptes Microsoft Entra.
• Gérer vos comptes à partir d’un emplacement central.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

• Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
• Abonnement activé pour l’authentification unique (SSO) du connecteur Citrix ADC SAML pour Microsoft Entra.

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test. Ce tutoriel inclut les scénarios suivants :

• Authentification unique initiée par le SP pour le connecteur Citrix ADC SAML pour Microsoft Entra ID.

• Attribution d’utilisateur juste-à-temps pour le connecteur Citrix ADC SAML pour Microsoft Entra ID.

• Authentification Kerberos pour le connecteur Citrix SAML ADC pour Microsoft Entra ID.

• Authentification basée sur l’en-tête pour le connecteur Citrix SAML ADC pour Microsoft Entra ID.

Ajouter le connecteur Citrix ADC SAML pour Microsoft Entra ID à partir de la galerie

Pour intégrer le connecteur Citrix ADC SAML pour Microsoft Entra ID à Microsoft Entra ID, commencez par ajouter le connecteur Citrix ADC SAML pour Microsoft Entra ID à votre liste d’applications SaaS managées à partir de la galerie :

1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.

3. Dans la section Ajouter à partir de la galerie, saisissez Connecteur Citrix ADC SAML pour Microsoft Entra ID dans la zone de recherche.

4. Dans les résultats, sélectionnez Connecteur Citrix ADC SAML pour Microsoft Entra ID, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre client.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour le connecteur Citrix ADC SAML pour Microsoft Entra ID

Configurez et testez l’authentification unique Microsoft Entra avec le connecteur Citrix ADC SAML pour Microsoft Entra ID à l’aide d’un utilisateur de test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l’utilisateur associé dans le connecteur Citrix ADC SAML pour Microsoft Entra ID.

Pour configurer et tester l’authentification unique Microsoft Entra avec le connecteur Citrix ADC SAML pour Microsoft Entra ID, effectuez les étapes suivantes :

1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.

   1. Créer un utilisateur test Microsoft Entra – pour tester Microsoft Entra SSO avec B.Simon.

   2. Attribuer l'utilisateur test Microsoft Entra – pour permettre à B.Simon d'utiliser Microsoft Entra SSO.

2. Configurez l’authentification unique pour le connecteur Citrix ADC SAML pour Microsoft Entra pour configurer les paramètres d’authentification unique côté application.

   1. Créez un utilisateur de test pour le connecteur Citrix ADC SAML pour Microsoft Entra pour avoir un équivalent de B.Simon dans le connecteur Citrix ADC SAML pour Microsoft Entra ID lié à la représentation de l’utilisateur dans Microsoft Entra.

3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Pour activer Microsoft Entra SSO à l’aide du portail Azure, procédez comme suit :

1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez au volet d’intégration d’application Identité>Applications>Applications d’entreprise>Connecteur Citrix ADC SAML pour Microsoft Entra ID. Sous Gérer, sélectionnez Authentification unique.

3. Dans le volet Sélectionner une méthode d’authentification unique, sélectionnez SAML.

4. Dans le volet Configurer l’authentification unique avec SAML, sélectionnez l’icône de crayon pour Configuration SAML de base afin de modifier les paramètres.

   

5. Dans la section Configuration SAML de base, pour configurer l’application en mode lancé par le fournisseur d’identité, effectuez les étapes suivantes :

   1. Dans la zone de texte Identifiant, saisissez une URL au format suivant : https://<YOUR_FQDN>

   2. Dans la zone de texte URL de réponse, saisissez une URL au format suivant : http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

6. Pour configurer l’application en mode lancé par le fournisseur de services, sélectionnez Définir des URL supplémentaires, puis effectuez les étapes suivantes :

   • Dans la zone URL de connexion, saisissez une URL au format suivant : https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

   Remarque

   • Les URL utilisées dans cette section ne sont pas des valeurs réelles. Mettez à jour ces valeurs avec les valeurs réelles de l’identifiant, de l’URL de réponse et de l’URL de connexion. Pour obtenir ces valeurs, contactez l’équipe de support du connecteur Citrix ADC SAML pour Microsoft Entra. Vous pouvez également consulter les modèles figurant à la section Configuration SAML de base.
   • Pour configurer l’authentification unique, les URL doivent être accessibles à partir de sites web publics. Vous devez activer le pare-feu ou d’autres paramètres de sécurité côté connecteur Citrix ADC SAML pour Microsoft Entra ID pour permettre à Microsoft Entra ID de poster le jeton sur l’URL configurée.

7. Dans le volet Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez URL des métadonnées de fédération d’application, copiez cette URL et enregistrez-la dans le Bloc-notes.

   

8. Dans la section Configurer le connecteur Citrix ADC SAML pour Microsoft Entra ID, copiez la ou les URL pertinentes en fonction de vos besoins.

   

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous créez une utilisatrice test appelée B.Simon.

1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de l’utilisateur.
2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
   1. Dans le champ Nom d’affichage, entrez B.Simon.
   2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
   3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
   4. Sélectionnez Revoir + créer.
5. Sélectionnez Créer.

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez autoriser l’utilisateur B.Simon à utiliser l’authentification unique Azure en lui accordant l’accès au connecteur Citrix ADC SAML pour Microsoft Entra ID.

1. Accédez à Identité>Applications>Applications d’entreprise.

2. Dans la liste d’applications, sélectionnez Connecteur Citrix ADC SAML pour Microsoft Entra ID.

3. Dans la vue d’ensemble de l’application, sous Gérer, sélectionnez Utilisateurs et groupes.

4. Sélectionnez Ajouter un utilisateur. Ensuite, dans la boîte de dialogue Ajouter une attribution, sélectionnez Utilisateurs et groupes.

5. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B.Simon dans la liste Utilisateurs. Choisissez Sélectionner.

6. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle. Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.

7. Dans la boîte de dialogue Ajouter une attribution, sélectionnez Affecter.

Configurer l’authentification unique pour le connecteur Citrix ADC SAML pour Microsoft Entra

Sélectionnez un lien pour connaître les étapes relatives au type d’authentification que vous voulez configurer :

• Configurer l’authentification unique pour le connecteur Citrix ADC SAML pour Microsoft Entra pour l’authentification Kerberos

• Configurer l’authentification unique pour le connecteur Citrix SAML ADC pour Microsoft Entra pour l’authentification basée sur l’en-tête

Publier le serveur web

Pour créer un serveur virtuel :

1. Sélectionnez Gestion du trafic>Équilibrage de charge>Services.

2. Sélectionnez Ajouter.

   

3. Définissez les valeurs suivantes pour le serveur web qui exécute les applications :

   • Nom du service
   • Adresse IP du serveur/ Serveur existant
   • Protocole
   • Port

Configurer l’équilibrage de charge

Pour configurer l’équilibrage de charge :

1. Accédez à Gestion de trafic>Équilibrage de charge>Serveurs virtuels.

2. Sélectionnez Ajouter.

3. Définissez les valeurs suivantes comme décrit dans la capture d’écran ci-après :

   • Nom
   • Protocole
   • Adresse IP
   • Port

4. Sélectionnez OK.

   

Lier le serveur virtuel

Pour lier l’équilibreur de charge au serveur virtuel :

1. Dans le volet Services et groupes de services, sélectionnez Aucune liaison de service de serveur virtuel d’équilibrage de charge.

   

2. Vérifiez les paramètres comme indiqué dans la capture d’écran suivante, puis sélectionnez Fermer.

   

Lier le certificat

Pour publier ce service en tant que TLS, liez le certificat serveur, puis testez votre application :

1. Sous Certificat, sélectionnez Aucun certificat de serveur.

   

2. Vérifiez les paramètres comme indiqué dans la capture d’écran suivante, puis sélectionnez Fermer.

   

Profil SAML du connecteur Citrix ADC SAML pour Microsoft Entra

Pour configurer le profil SAML du connecteur Citrix ADC SAML pour Microsoft Entra, effectuez les étapes des sections suivantes.

Créer une stratégie d’authentification

Pour créer une stratégie d’authentification :

1. Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Authentification>Stratégies d’authentification.

2. Sélectionnez Ajouter.

3. Dans le volet Créer une stratégie d’authentification, saisissez ou sélectionnez les valeurs suivantes :

   • Nom : Saisissez un nom pour votre stratégie d’authentification.
   • Action : Saisissez SAML, puis sélectionnez Ajouter.
   • Expression : Saisissez true.

   

4. Sélectionnez Créer.

Créer un serveur SAML d’authentification

Pour créer un serveur SAML d’authentification, accédez au volet Créer un serveur SAML d’authentification, puis effectuez les étapes suivantes :

1. Dans Nom, saisissez le nom du serveur SAML d’authentification.

2. Sous Exporter les métadonnées SAML :

   1. Cochez la case Importer les métadonnées.

   2. Saisissez l’URL des métadonnées de fédération à partir de l’interface utilisateur SAML Azure que vous avez copiée précédemment.

3. Dans Nom de l’émetteur, saisissez l’URL pertinente.

4. Sélectionnez Créer.

Créer un serveur virtuel d’authentification

Pour créer un serveur virtuel d’authentification :

1. Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Authentification>Serveurs virtuels d’authentification.

2. Sélectionnez Ajouter, puis effectuez les étapes suivantes :

   1. Dans Nom, saisissez le nom du serveur virtuel d’authentification.

   2. Cochez la case Non adressable.

   3. Dans Protocole, sélectionnez SSL.

   4. Sélectionnez OK.

3. Sélectionnez Continuer.

Configurer le serveur virtuel d'authentification pour utiliser Microsoft Entra ID

Modifiez deux sections pour le serveur virtuel d’authentification :

1. Dans le volet Stratégies d’authentification avancées, sélectionnez Aucune stratégie d’authentification.

   

2. Dans le volet Liaison des stratégies, sélectionnez la stratégie d’authentification, puis sélectionnez Lier.

   

3. Dans le volet Serveurs virtuels basés sur un formulaire, sélectionnez Aucun serveur virtuel d’équilibrage de charge.

   

4. Dans FQDN d’authentification, saisissez un nom de domaine complet (FQDN) (obligatoire).

5. Sélectionnez le serveur virtuel d'équilibrage de charge que vous souhaitez protéger avec l'authentification Microsoft Entra.

6. Sélectionnez Lier.

   

   Remarque

   Veillez à sélectionner Terminé dans le volet Configuration du serveur virtuel d’authentification.

7. Pour vérifier vos modifications, dans un navigateur, accédez à l’URL de l’application. Votre page de connexion de client doit s’afficher au lieu de l’accès non authentifié que vous auriez pu voir précédemment.

   

Configurer l’authentification unique pour le connecteur Citrix ADC SAML pour Microsoft Entra pour l’authentification Kerberos

Créer un compte de délégation Kerberos pour le connecteur Citrix ADC SAML pour Microsoft Entra ID

1. Créez un compte d’utilisateur (dans cet exemple, nous utilisons AppDelegation).

   

2. Configurez un nom de principal du service (SPN) hôte pour ce compte.

   Exemple : setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

   Dans cet exemple :

   • IDENTT.WORK est le nom de domaine complet du domaine.
   • identt est le nom NetBIOS du domaine.
   • appdelegation est le nom du compte d’utilisateur de délégation.

3. Configurez la délégation pour le serveur web comme indiqué dans la capture d’écran suivante :

   

   Remarque

   Dans l’exemple de capture d’écran, le nom du serveur w&eb interne exécutant le site d’authentification intégrée Windows est CWEB2.

Connecteur Citrix ADC SAML pour Microsoft Entra AAA KCD (comptes de délégation Kerberos)

Pour configurer les comptes AAA KCD du connecteur Citrix ADC SAML pour Microsoft Entra :

1. Accédez à Passerelle Citrix>Comptes AAA KCD (délégation Kerberos contrainte).

2. Sélectionnez Ajouter, puis saisissez ou sélectionnez les valeurs suivantes :

   • Name : Saisissez un nom pour le compte KCD.

   • Realm : Saisissez le domaine et l’extension en majuscules.

   • SPN de service : http/<host/fqdn>@<DOMAIN.COM>.

     Remarque

     @DOMAIN.COM est obligatoire et doit être en majuscules. Exemple : http/cweb2@IDENTT.WORK.

   • Utilisateur délégué : Saisissez le nom d’utilisateur délégué.

   • Cochez la case Mot de passe de l’utilisateur délégué, puis saisissez et confirmez un mot de passe.

3. Sélectionnez OK.

Stratégie de trafic Citrix et profil de trafic

Pour configurer la stratégie de trafic Citrix et le profil de trafic :

1. Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Stratégies de trafic, profils de trafic et profils d’authentification unique par formulaire.

2. Sélectionnez Profils de trafic.

3. Sélectionnez Ajouter.

4. Pour configurer un profil de trafic, saisissez ou sélectionnez les valeurs suivantes.

   • Nom : Saisissez un nom pour le profil de trafic.

   • Authentification unique : Sélectionnez ACTIVÉ.

   • Compte KCD : Sélectionnez le compte KCD que vous avez créée dans la section précédente.

5. Sélectionnez OK.

   

6. Sélectionnez Stratégie de trafic.

7. Sélectionnez Ajouter.

8. Pour configurer une stratégie de trafic, saisissez ou sélectionnez les valeurs suivantes :

   • Nom : Saisissez un nom pour la stratégie de trafic.

   • Profil : Sélectionnez le profil de trafic que vous avez créé dans la section précédente.

   • Expression : Saisissez true.

9. Sélectionnez OK.

   

Lier une stratégie de trafic à un serveur virtuel dans Citrix

Pour lier une stratégie de trafic à un serveur virtuel à l’aide de l’interface graphique utilisateur :

1. Accédez à Gestion de trafic>Équilibrage de charge>Serveurs virtuels.

2. Dans la liste des serveurs virtuels, sélectionnez le serveur virtuel auquel lier la stratégie de réécriture, puis sélectionnez Ouvrir.

3. Dans le volet Serveur virtuel d’équilibrage de charge, sous Paramètres avancés, sélectionnez Stratégies. Toutes les stratégies configurées pour votre instance de NetScaler figurent dans la liste.

   

   

4. Cochez la case située en regard du nom de la stratégie que vous voulez lier à ce serveur virtuel.

   

5. Dans la boîte de dialogue Choisir un type :

   1. Pour Choisir une stratégie, sélectionnez Trafic.

   2. Pour Choisir un type, sélectionnez Requête.

   

6. Quand la stratégie est liée, sélectionnez Terminé.

   

7. Testez la liaison à l’aide du site web d’authentification intégrée Windows.

   

Créer un utilisateur de test pour le connecteur Citrix ADC SAML pour Microsoft Entra

Dans cette section, un utilisateur appelé B.Simon est créé dans le connecteur Citrix ADC SAML pour Microsoft Entra ID. Le connecteur Citrix ADC SAML pour Microsoft Entra ID prend en charge l’attribution d’utilisateurs juste-à-temps, qui est activé par défaut. Vous n’avez aucune opération à effectuer dans cette section. S’il n’existe pas encore d’utilisateur dans le connecteur Citrix ADC SAML pour Microsoft Entra ID, un utilisateur est créé après l’authentification.

Remarque

Si vous avez besoin de créer un utilisateur manuellement, contactez l’équipe de support du connecteur Citrix ADC SAML pour Microsoft Entra.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

• Cliquez sur Tester cette application, vous êtes alors redirigé vers l’URL de connexion au connecteur Citrix ADC SAML pour Microsoft Entra à partir de laquelle vous pouvez lancer le flux de connexion.

• Accédez directement à l’URL de connexion au connecteur Citrix ADC SAML pour Microsoft Entra pour initier le flux de connexion.

• Vous pouvez utiliser Mes applications Microsoft. Lorsque vous cliquez sur la vignette du connecteur Citrix ADC SAML pour Microsoft Entra ID dans Mes applications, cette opération redirige vers l’URL de connexion du connecteur Citrix ADC SAML pour Microsoft Entra. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Après avoir configuré le connecteur Citrix ADC SAML pour Microsoft Entra ID, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.