Oktatóanyag: A Microsoft Entra egyszeri bejelentkezés integrációja a Citrix ADC-vel (fejlécalapú hitelesítés)
Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja a Citrix ADC-t a Microsoft Entra ID-val. Ha integrálja a Citrix ADC-t a Microsoft Entra ID-val, az alábbiakat teheti:
- A Citrix ADC-hez hozzáféréssel rendelkező Microsoft Entra-azonosító vezérlése.
- Engedélyezze a felhasználóknak, hogy automatikusan bejelentkezhessenek a Citrix ADC-be a Microsoft Entra-fiókjukkal.
- A fiókokat egy központi helyen kezelheti.
Előfeltételek
Első lépésként a következő elemekre van szüksége:
- Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
- Citrix ADC egyszeri bejelentkezésre (SSO) engedélyezett előfizetés.
Forgatókönyv leírása
Ebben az oktatóanyagban a Microsoft Entra SSO-t konfigurálja és teszteli tesztkörnyezetben. Az oktatóanyag az alábbi forgatókönyveket tartalmazza:
SP által kezdeményezett egyszeri bejelentkezés a Citrix ADC-hez
Éppen időben történő felhasználókiépítés a Citrix ADC-hez
Citrix ADC hozzáadása a katalógusból
Ha a Citrix ADC-t a Microsoft Entra ID-val szeretné integrálni, először vegye fel a Citrix ADC-t a felügyelt SaaS-alkalmazások listájára a katalógusból:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
A Gyűjtemény hozzáadása szakaszban írja be a Citrix ADC kifejezést a keresőmezőbe.
Az eredmények között válassza a Citrix ADC elemet, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.
Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.
A Citrix ADC-hez készült Microsoft Entra SSO konfigurálása és tesztelése
A Microsoft Entra SSO konfigurálása és tesztelése a Citrix ADC-vel egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között a Citrix ADC-ben.
A Microsoft Entra SSO Citrix ADC-vel való konfigurálásához és teszteléséhez hajtsa végre a következő lépéseket:
Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.
Microsoft Entra tesztfelhasználó létrehozása – a Microsoft Entra egyszeri bejelentkezés teszteléséhez B.Simon használatával.
Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy B.Simon a Microsoft Entra SSO-t használhassa.
A Citrix ADC SSO konfigurálása – az egyszeri bejelentkezés beállításainak konfigurálása az alkalmazás oldalán.
- Hozzon létre egy Citrix ADC-tesztfelhasználót , hogy a Citrix ADC-ben B.Simon megfelelője legyen, amely a felhasználó Microsoft Entra-ábrázolásához kapcsolódik.
SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.
A Microsoft Entra SSO konfigurálása
Ha engedélyezni szeretné a Microsoft Entra SSO-t az Azure Portal használatával, hajtsa végre az alábbi lépéseket:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>a Citrix ADC alkalmazásintegrációs panelen, a Kezelés területen válassza az Egyszeri bejelentkezés lehetőséget.
A Select a single sign-on method panelen válassza az SAML lehetőséget.
Az egyszeri bejelentkezés beállítása SAML-lel panelen válassza az egyszerű SAML-konfiguráció toll szerkesztése ikonját a beállítások szerkesztéséhez.
Az Egyszerű SAML-konfiguráció szakaszban az alkalmazás IDP által kezdeményezett módban való konfigurálásához:
Az Azonosító szövegmezőbe írjon be egy URL-címet, amely a következő mintával rendelkezik:
https://<Your FQDN>
A Válasz URL-cím szövegmezőbe írja be a következő mintát tartalmazó URL-címet:
https://<Your FQDN>/CitrixAuthService/AuthService.asmx
Ha sp-vezérelt módban szeretné konfigurálni az alkalmazást, válassza a További URL-címek beállítása lehetőséget, és hajtsa végre a következő lépést:
- A Bejelentkezési URL-cím szövegmezőbe írjon be egy olyan URL-címet, amely a következő mintával rendelkezik:
https://<Your FQDN>/CitrixAuthService/AuthService.asmx
Megjegyzés:
- Az ebben a szakaszban használt URL-címek nem valós értékek. Frissítse ezeket az értékeket az azonosító, a válasz URL és a bejelentkezési URL tényleges értékeivel. Az értékek lekéréséhez lépjen kapcsolatba a Citrix ADC ügyféltámogatási csapatával . Az egyszerű SAML-konfiguráció szakaszban látható mintákra is hivatkozhat.
- Az egyszeri bejelentkezés beállításához az URL-címeknek nyilvános webhelyekről kell elérhetőknek lenniük. Engedélyeznie kell a tűzfalat vagy más biztonsági beállításokat a Citrix ADC oldalán ahhoz, hogy a Microsoft Entra ID közzétehesse a jogkivonatot a konfigurált URL-címen.
- A Bejelentkezési URL-cím szövegmezőbe írjon be egy olyan URL-címet, amely a következő mintával rendelkezik:
Az egyszeri bejelentkezés beállítása AZ SAML-lel panel SAML aláíró tanúsítvány szakasz alkalmazás-összevonási metaadatok URL-címéhez másolja ki az URL-címet, és mentse Jegyzettömb.
A Citrix ADC-alkalmazás elvárja, hogy az SAML-állítások egy adott formátumban legyenek, amihez egyéni attribútumleképezéseket kell hozzáadnia az SAML-tokenattribútumok konfigurációjához. Az alábbi képernyőképen az alapértelmezett attribútumok listája látható. Válassza a Szerkesztés ikont, és módosítsa az attribútumleképezéseket.
A Citrix ADC-alkalmazás várhatóan még néhány attribútumot ad vissza az SAML-válaszban. A Felhasználói attribútumok párbeszédpanel Felhasználói jogcímek területén hajtsa végre a következő lépéseket az SAML-tokenattribútumok hozzáadásához a táblázatban látható módon:
Name Forrásattribútum mySecretID user.userprincipalname Válassza az Új jogcím hozzáadása lehetőséget a felhasználói jogcímek kezelése párbeszédpanel megnyitásához.
A Név szövegmezőbe írja be az adott sor attribútumnevét.
Hagyja üresen a névteret .
Attribútum esetén válassza a Forrás lehetőséget.
A Forrás attribútumlistában adja meg az adott sor attribútumértékét.
Kattintson az OK gombra.
Válassza a Mentés parancsot.
A Citrix ADC beállítása szakaszban másolja ki a vonatkozó URL-címeket a követelmények alapján.
Microsoft Entra-tesztfelhasználó létrehozása
Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói Rendszergazda istratorként.
- Tallózással keresse meg az Identitásfelhasználók>>minden felhasználót.
- Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
- A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
- A Megjelenítendő név mezőbe írja be a következőt
B.Simon
: - A Felhasználónév mezőbe írja be a következőtusername@companydomain.extension: . For example,
B.Simon@contoso.com
. - Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
- Select Review + create.
- A Megjelenítendő név mezőbe írja be a következőt
- Select Create.
A Microsoft Entra tesztfelhasználó hozzárendelése
Ebben a szakaszban engedélyezi a B.Simon felhasználó számára az Azure SSO használatát azáltal, hogy hozzáférést ad a felhasználónak a Citrix ADC-hez.
Keresse meg az Identity>Applications>Enterprise-alkalmazásokat.
Az alkalmazások listájában válassza a Citrix ADC elemet.
Az alkalmazás áttekintésében, a Kezelés csoportban válassza a Felhasználók és csoportok lehetőséget.
Válassza a Felhasználó hozzáadása lehetőséget. Ezután a Hozzárendelés hozzáadása párbeszédpanelen válassza a Felhasználók és csoportok lehetőséget.
A Felhasználók és csoportok párbeszédpanelen válassza a B.Simon lehetőséget a Felhasználók listából. Válassza a Kiválasztás lehetőséget
Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.
A Hozzárendelés hozzáadása párbeszédpanelen válassza a Hozzárendelés lehetőséget.
Citrix ADC SSO konfigurálása
Válassza ki a konfigurálni kívánt hitelesítés típusának lépéseire mutató hivatkozást:
A webkiszolgáló közzététele
Virtuális kiszolgáló létrehozása:
Válassza a Forgalomkezelési>terheléselosztási>szolgáltatások lehetőséget.
Select Add.
Állítsa be az alkalmazásokat futtató webkiszolgáló alábbi értékeit:
Szolgáltatásnév
Kiszolgáló IP-címe/ Meglévő kiszolgáló
Protokoll
Port
A terheléselosztó konfigurálása
A terheléselosztó konfigurálása:
Nyissa meg a forgalomkezelési>terheléselosztási>virtuális kiszolgálókat.
Select Add.
Állítsa be a következő értékeket az alábbi képernyőképen leírtak szerint:
- Név
- Protokoll
- IP Address
- Port
Kattintson az OK gombra.
A virtuális kiszolgáló kötése
A terheléselosztó és a virtuális kiszolgáló összekapcsolása:
A Szolgáltatások és szolgáltatáscsoportok panelen válassza a Nincs terheléselosztási virtuális kiszolgáló szolgáltatáskötése lehetőséget.
Ellenőrizze a beállításokat az alábbi képernyőképen látható módon, majd válassza a Bezárás lehetőséget.
A tanúsítvány kötése
A szolgáltatás TLS-ként való közzétételéhez kösse össze a kiszolgálótanúsítványt, majd tesztelje az alkalmazást:
A Tanúsítvány területen válassza a Nincs kiszolgálói tanúsítvány lehetőséget.
Ellenőrizze a beállításokat az alábbi képernyőképen látható módon, majd válassza a Bezárás lehetőséget.
Citrix ADC SAML-profil
A Citrix ADC SAML-profil konfigurálásához végezze el a következő szakaszokat:
Hitelesítési szabályzat létrehozása
Hitelesítési szabályzat létrehozása:
Lépjen a Biztonsági>AAA – Alkalmazásforgalmi>szabályzatok>hitelesítési>hitelesítési házirendjeihez.
Select Add.
A Hitelesítési házirend létrehozása panelen adja meg vagy válassza ki a következő értékeket:
- Név: Adja meg a hitelesítési szabályzat nevét.
- Művelet: Adja meg az SAML értéket, majd válassza a Hozzáadás lehetőséget.
- Kifejezés: Adja meg az igaz értéket.
Select Create.
Hitelesítési SAML-kiszolgáló létrehozása
Hitelesítési SAML-kiszolgáló létrehozásához lépjen a Hitelesítési SAML-kiszolgáló létrehozása panelre, majd hajtsa végre a következő lépéseket:
A Név mezőben adja meg a hitelesítési SAML-kiszolgáló nevét.
Az SAML-metaadatok exportálása csoportban:
Jelölje be a Metaadatok importálása jelölőnégyzetet.
Adja meg a korábban másolt Azure SAML felhasználói felület összevonási metaadat-URL-címét.
A Kiállító neve mezőben adja meg a megfelelő URL-címet.
Select Create.
Hitelesítési virtuális kiszolgáló létrehozása
Hitelesítési virtuális kiszolgáló létrehozása:
Nyissa meg a Biztonsági>AAA – Alkalmazásforgalmi>szabályzatok>hitelesítési>virtuális kiszolgálóit.
Válassza a Hozzáadás lehetőséget, majd hajtsa végre a következő lépéseket:
A Név mezőben adja meg a hitelesítési virtuális kiszolgáló nevét.
Jelölje be a Nem címezhető jelölőnégyzetet.
Protokoll esetén válassza az SSL lehetőséget.
Kattintson az OK gombra.
A hitelesítési virtuális kiszolgáló konfigurálása a Microsoft Entra-azonosító használatára
Módosítsa a hitelesítési virtuális kiszolgáló két szakaszát:
A Speciális hitelesítési szabályzatok panelen válassza a Nincs hitelesítési házirend lehetőséget.
A Szabályzatkötés panelen válassza ki a hitelesítési házirendet, majd válassza a Kötés lehetőséget.
Az Űrlapalapú virtuális kiszolgálók panelen válassza a Nincs terheléselosztási virtuális kiszolgáló lehetőséget.
A hitelesítési teljes tartománynévhez adjon meg egy teljes tartománynevet (FQDN) (kötelező).
Válassza ki a Microsoft Entra-hitelesítéssel védeni kívánt terheléselosztási virtuális kiszolgálót.
Válassza a Kötés lehetőséget.
Megjegyzés:
Győződjön meg arról, hogy a Hitelesítés virtuális kiszolgáló konfiguráció paneljén válassza a Kész lehetőséget.
A módosítások ellenőrzéséhez nyissa meg a böngészőben az alkalmazás URL-címét. A korábban látott hitelesítés nélküli hozzáférés helyett a bérlő bejelentkezési oldalát kell látnia.
A Citrix ADC SSO konfigurálása fejlécalapú hitelesítéshez
A Citrix ADC konfigurálása
A Citrix ADC fejlécalapú hitelesítéshez való konfigurálásához végezze el az alábbi szakaszokat.
Átírási művelet létrehozása
Nyissa meg az AppExpert>Újraírása>műveletek elemet.
Válassza a Hozzáadás lehetőséget, majd hajtsa végre a következő lépéseket:
A Név mezőben adja meg az átírási művelet nevét.
A Típus mezőbe írja be az IN Standard kiadásRT_HTTP_HEADER értéket.
Fejlécnévként adjon meg egy fejlécnevet (ebben a példában a SecretID-et használjuk).
Kifejezés esetén adja meg az aaa értéket. U Standard kiadás R.ATTRIBUTE("mySecretID"), ahol a mySecretID a Citrix ADC-nek küldött Microsoft Entra SAML-jogcím.
Select Create.
Újraírási szabályzat létrehozása
Nyissa meg az AppExpert>újraírási>szabályzatokat.
Válassza a Hozzáadás lehetőséget, majd hajtsa végre a következő lépéseket:
A Név mezőbe írja be az átírási szabályzat nevét.
Művelet esetén válassza ki az előző szakaszban létrehozott újraírási műveletet.
A Kifejezés mezőbe írja be a true (igaz) értéket.
Select Create.
Újraírási szabályzat kötése virtuális kiszolgálóhoz
Átírási szabályzat kötése virtuális kiszolgálóhoz a grafikus felhasználói felület használatával:
Nyissa meg a forgalomkezelési>terheléselosztási>virtuális kiszolgálókat.
A virtuális kiszolgálók listájában válassza ki azt a virtuális kiszolgálót, amelyhez az újraírási szabályzatot meg szeretné kötni, majd válassza a Megnyitás lehetőséget.
A Terheléselosztás virtuális kiszolgáló panel Speciális Gépház területén válassza a Szabályzatok lehetőséget. A NetScaler-példányhoz konfigurált összes szabályzat megjelenik a listában.
Jelölje be a virtuális kiszolgálóhoz kötni kívánt szabályzat neve melletti jelölőnégyzetet.
A Típus kiválasztása párbeszédpanelen:
A Házirend kiválasztása beállításnál válassza a Forgalom lehetőséget.
A Típus kiválasztása beállításhoz válassza a Kérés lehetőséget.
Kattintson az OK gombra. Az állapotsoron lévő üzenet azt jelzi, hogy a szabályzat sikeresen konfigurálva lett.
Az SAML-kiszolgáló módosítása attribútumok jogcímből való kinyeréséhez
Lépjen a Biztonsági>AAA – Alkalmazásforgalmi>szabályzatok>hitelesítése>speciális szabályzatművelet-kiszolgálókra.>>
Válassza ki az alkalmazáshoz megfelelő hitelesítési SAML-kiszolgálót.
Az Attribútumok fájdalmában adja meg a kinyerni kívánt SAML-attribútumokat vesszővel elválasztva. A példában az attribútumot
mySecretID
írjuk be.A hozzáférés ellenőrzéséhez a böngésző URL-címében keresse meg az SAML attribútumot a Fejlécek gyűjtemény alatt.
Citrix ADC-tesztfelhasználó létrehozása
Ebben a szakaszban egy B.Simon nevű felhasználó jön létre a Citrix ADC-ben. A Citrix ADC támogatja az igény szerinti felhasználói kiépítést, amely alapértelmezés szerint engedélyezve van. Ebben a szakaszban nem hajthat végre műveletet. Ha egy felhasználó még nem létezik a Citrix ADC-ben, a hitelesítés után létrejön egy új felhasználó.
Megjegyzés:
Ha manuálisan kell létrehoznia egy felhasználót, lépjen kapcsolatba a Citrix ADC ügyféltámogatási csapatával.
Egyszeri bejelentkezés tesztelése
Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.
Kattintson az alkalmazás tesztelésére, ez átirányítja a Citrix ADC bejelentkezési URL-címére, ahol elindíthatja a bejelentkezési folyamatot.
Lépjen közvetlenül a Citrix ADC bejelentkezési URL-címére, és indítsa el onnan a bejelentkezési folyamatot.
Használhatja a Microsoft Saját alkalmazások. Amikor a Saját alkalmazások Citrix ADC csempéjére kattint, a rendszer átirányítja a Citrix ADC bejelentkezési URL-címére. A Saját alkalmazások további információ: Bevezetés a Saját alkalmazások.
Következő lépések
A Citrix ADC konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: