Megosztás a következőn keresztül:

Oktatóanyag: A Microsoft Entra egyszeri bejelentkezés integrációja a Citrix ADC-vel (fejlécalapú hitelesítés)

  • Cikk

Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja a Citrix ADC-t a Microsoft Entra ID-val. Ha integrálja a Citrix ADC-t a Microsoft Entra ID-val, az alábbiakat teheti:

  • A Citrix ADC-hez hozzáféréssel rendelkező Microsoft Entra-azonosító vezérlése.
  • Engedélyezze a felhasználóknak, hogy automatikusan bejelentkezhessenek a Citrix ADC-be a Microsoft Entra-fiókjukkal.
  • A fiókokat egy központi helyen kezelheti.

Előfeltételek

Első lépésként a következő elemekre van szüksége:

  • Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
  • Citrix ADC egyszeri bejelentkezésre (SSO) engedélyezett előfizetés.

Forgatókönyv leírása

Ebben az oktatóanyagban a Microsoft Entra SSO-t konfigurálja és teszteli tesztkörnyezetben. Az oktatóanyag az alábbi forgatókönyveket tartalmazza:

Ha a Citrix ADC-t a Microsoft Entra ID-val szeretné integrálni, először vegye fel a Citrix ADC-t a felügyelt SaaS-alkalmazások listájára a katalógusból:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.

  3. A Gyűjtemény hozzáadása szakaszban írja be a Citrix ADC kifejezést a keresőmezőbe.

  4. Az eredmények között válassza a Citrix ADC elemet, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

A Citrix ADC-hez készült Microsoft Entra SSO konfigurálása és tesztelése

A Microsoft Entra SSO konfigurálása és tesztelése a Citrix ADC-vel egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között a Citrix ADC-ben.

A Microsoft Entra SSO Citrix ADC-vel való konfigurálásához és teszteléséhez hajtsa végre a következő lépéseket:

  1. Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.

    1. Microsoft Entra tesztfelhasználó létrehozása – a Microsoft Entra egyszeri bejelentkezés teszteléséhez B.Simon használatával.

    2. Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy B.Simon a Microsoft Entra SSO-t használhassa.

  2. A Citrix ADC SSO konfigurálása – az egyszeri bejelentkezés beállításainak konfigurálása az alkalmazás oldalán.

  3. SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.

A Microsoft Entra SSO konfigurálása

Ha engedélyezni szeretné a Microsoft Entra SSO-t az Azure Portal használatával, hajtsa végre az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>a Citrix ADC alkalmazásintegrációs panelen, a Kezelés területen válassza az Egyszeri bejelentkezés lehetőséget.

  3. A Select a single sign-on method panelen válassza az SAML lehetőséget.

  4. Az egyszeri bejelentkezés beállítása SAML-lel panelen válassza az egyszerű SAML-konfiguráció toll szerkesztése ikonját a beállítások szerkesztéséhez.

    Edit Basic SAML Configuration

  5. Az Egyszerű SAML-konfiguráció szakaszban az alkalmazás IDP által kezdeményezett módban való konfigurálásához:

    1. Az Azonosító szövegmezőbe írjon be egy URL-címet, amely a következő mintával rendelkezik:https://<Your FQDN>

    2. A Válasz URL-cím szövegmezőbe írja be a következő mintát tartalmazó URL-címet:https://<Your FQDN>/CitrixAuthService/AuthService.asmx

  6. Ha sp-vezérelt módban szeretné konfigurálni az alkalmazást, válassza a További URL-címek beállítása lehetőséget, és hajtsa végre a következő lépést:

    • A Bejelentkezési URL-cím szövegmezőbe írjon be egy olyan URL-címet, amely a következő mintával rendelkezik:https://<Your FQDN>/CitrixAuthService/AuthService.asmx

    Megjegyzés:

    • Az ebben a szakaszban használt URL-címek nem valós értékek. Frissítse ezeket az értékeket az azonosító, a válasz URL és a bejelentkezési URL tényleges értékeivel. Az értékek lekéréséhez lépjen kapcsolatba a Citrix ADC ügyféltámogatási csapatával . Az egyszerű SAML-konfiguráció szakaszban látható mintákra is hivatkozhat.
    • Az egyszeri bejelentkezés beállításához az URL-címeknek nyilvános webhelyekről kell elérhetőknek lenniük. Engedélyeznie kell a tűzfalat vagy más biztonsági beállításokat a Citrix ADC oldalán ahhoz, hogy a Microsoft Entra ID közzétehesse a jogkivonatot a konfigurált URL-címen.

  7. Az egyszeri bejelentkezés beállítása AZ SAML-lel panel SAML aláíró tanúsítvány szakasz alkalmazás-összevonási metaadatok URL-címéhez másolja ki az URL-címet, és mentse Jegyzettömb.

    The Certificate download link

  8. A Citrix ADC-alkalmazás elvárja, hogy az SAML-állítások egy adott formátumban legyenek, amihez egyéni attribútumleképezéseket kell hozzáadnia az SAML-tokenattribútumok konfigurációjához. Az alábbi képernyőképen az alapértelmezett attribútumok listája látható. Válassza a Szerkesztés ikont, és módosítsa az attribútumleképezéseket.

    Edit the SAML attribute mapping

  9. A Citrix ADC-alkalmazás várhatóan még néhány attribútumot ad vissza az SAML-válaszban. A Felhasználói attribútumok párbeszédpanel Felhasználói jogcímek területén hajtsa végre a következő lépéseket az SAML-tokenattribútumok hozzáadásához a táblázatban látható módon:

    Name Forrásattribútum
    mySecretID user.userprincipalname

    1. Válassza az Új jogcím hozzáadása lehetőséget a felhasználói jogcímek kezelése párbeszédpanel megnyitásához.

    2. A Név szövegmezőbe írja be az adott sor attribútumnevét.

    3. Hagyja üresen a névteret .

    4. Attribútum esetén válassza a Forrás lehetőséget.

    5. A Forrás attribútumlistában adja meg az adott sor attribútumértékét.

    6. Kattintson az OK gombra.

    7. Válassza a Mentés parancsot.

  10. A Citrix ADC beállítása szakaszban másolja ki a vonatkozó URL-címeket a követelmények alapján.

    Copy configuration URLs

Microsoft Entra-tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói Rendszergazda istratorként.
  2. Tallózással keresse meg az Identitásfelhasználók>>minden felhasználót.
  3. Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
  4. A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
    1. A Megjelenítendő név mezőbe írja be a következőtB.Simon:
    2. A Felhasználónév mezőbe írja be a következőtusername@companydomain.extension: . For example, B.Simon@contoso.com.
    3. Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
    4. Select Review + create.
  5. Select Create.

A Microsoft Entra tesztfelhasználó hozzárendelése

Ebben a szakaszban engedélyezi a B.Simon felhasználó számára az Azure SSO használatát azáltal, hogy hozzáférést ad a felhasználónak a Citrix ADC-hez.

  1. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat.

  2. Az alkalmazások listájában válassza a Citrix ADC elemet.

  3. Az alkalmazás áttekintésében, a Kezelés csoportban válassza a Felhasználók és csoportok lehetőséget.

  4. Válassza a Felhasználó hozzáadása lehetőséget. Ezután a Hozzárendelés hozzáadása párbeszédpanelen válassza a Felhasználók és csoportok lehetőséget.

  5. A Felhasználók és csoportok párbeszédpanelen válassza a B.Simon lehetőséget a Felhasználók listából. Válassza a Kiválasztás lehetőséget

  6. Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.

  7. A Hozzárendelés hozzáadása párbeszédpanelen válassza a Hozzárendelés lehetőséget.

Citrix ADC SSO konfigurálása

Válassza ki a konfigurálni kívánt hitelesítés típusának lépéseire mutató hivatkozást:

A webkiszolgáló közzététele

Virtuális kiszolgáló létrehozása:

  1. Válassza a Forgalomkezelési>terheléselosztási>szolgáltatások lehetőséget.

  2. Select Add.

    Citrix ADC configuration - Services pane

  3. Állítsa be az alkalmazásokat futtató webkiszolgáló alábbi értékeit:

    • Szolgáltatásnév

    • Kiszolgáló IP-címe/ Meglévő kiszolgáló

    • Protokoll

    • Port

      Citrix ADC configuration pane

A terheléselosztó konfigurálása

A terheléselosztó konfigurálása:

  1. Nyissa meg a forgalomkezelési>terheléselosztási>virtuális kiszolgálókat.

  2. Select Add.

  3. Állítsa be a következő értékeket az alábbi képernyőképen leírtak szerint:

    • Név
    • Protokoll
    • IP Address
    • Port

  4. Kattintson az OK gombra.

    Citrix ADC configuration - Basic Settings pane

A virtuális kiszolgáló kötése

A terheléselosztó és a virtuális kiszolgáló összekapcsolása:

  1. A Szolgáltatások és szolgáltatáscsoportok panelen válassza a Nincs terheléselosztási virtuális kiszolgáló szolgáltatáskötése lehetőséget.

    Citrix ADC configuration - Load Balancing Virtual Server Service Binding pane

  2. Ellenőrizze a beállításokat az alábbi képernyőképen látható módon, majd válassza a Bezárás lehetőséget.

    Citrix ADC configuration - Verify the virtual server services binding

A tanúsítvány kötése

A szolgáltatás TLS-ként való közzétételéhez kösse össze a kiszolgálótanúsítványt, majd tesztelje az alkalmazást:

  1. A Tanúsítvány területen válassza a Nincs kiszolgálói tanúsítvány lehetőséget.

    Citrix ADC configuration - Server Certificate pane

  2. Ellenőrizze a beállításokat az alábbi képernyőképen látható módon, majd válassza a Bezárás lehetőséget.

    Citrix ADC configuration - Verify the certificate

Citrix ADC SAML-profil

A Citrix ADC SAML-profil konfigurálásához végezze el a következő szakaszokat:

Hitelesítési szabályzat létrehozása

Hitelesítési szabályzat létrehozása:

  1. Lépjen a Biztonsági>AAA – Alkalmazásforgalmi>szabályzatok>hitelesítési>hitelesítési házirendjeihez.

  2. Select Add.

  3. A Hitelesítési házirend létrehozása panelen adja meg vagy válassza ki a következő értékeket:

    • Név: Adja meg a hitelesítési szabályzat nevét.
    • Művelet: Adja meg az SAML értéket, majd válassza a Hozzáadás lehetőséget.
    • Kifejezés: Adja meg az igaz értéket.

    Citrix ADC configuration - Create Authentication Policy pane

  4. Select Create.

Hitelesítési SAML-kiszolgáló létrehozása

Hitelesítési SAML-kiszolgáló létrehozásához lépjen a Hitelesítési SAML-kiszolgáló létrehozása panelre, majd hajtsa végre a következő lépéseket:

  1. A Név mezőben adja meg a hitelesítési SAML-kiszolgáló nevét.

  2. Az SAML-metaadatok exportálása csoportban:

    1. Jelölje be a Metaadatok importálása jelölőnégyzetet.

    2. Adja meg a korábban másolt Azure SAML felhasználói felület összevonási metaadat-URL-címét.

  3. A Kiállító neve mezőben adja meg a megfelelő URL-címet.

  4. Select Create.

Citrix ADC configuration - Create Authentication SAML Server pane

Hitelesítési virtuális kiszolgáló létrehozása

Hitelesítési virtuális kiszolgáló létrehozása:

  1. Nyissa meg a Biztonsági>AAA – Alkalmazásforgalmi>szabályzatok>hitelesítési>virtuális kiszolgálóit.

  2. Válassza a Hozzáadás lehetőséget, majd hajtsa végre a következő lépéseket:

    1. A Név mezőben adja meg a hitelesítési virtuális kiszolgáló nevét.

    2. Jelölje be a Nem címezhető jelölőnégyzetet.

    3. Protokoll esetén válassza az SSL lehetőséget.

    4. Kattintson az OK gombra.

    Citrix ADC configuration - Authentication Virtual Server pane

A hitelesítési virtuális kiszolgáló konfigurálása a Microsoft Entra-azonosító használatára

Módosítsa a hitelesítési virtuális kiszolgáló két szakaszát:

  1. A Speciális hitelesítési szabályzatok panelen válassza a Nincs hitelesítési házirend lehetőséget.

    Citrix ADC configuration - Advanced Authentication Policies pane

  2. A Szabályzatkötés panelen válassza ki a hitelesítési házirendet, majd válassza a Kötés lehetőséget.

    Citrix ADC configuration - Policy Binding pane

  3. Az Űrlapalapú virtuális kiszolgálók panelen válassza a Nincs terheléselosztási virtuális kiszolgáló lehetőséget.

    Citrix ADC configuration - Form Based Virtual Servers pane

  4. A hitelesítési teljes tartománynévhez adjon meg egy teljes tartománynevet (FQDN) (kötelező).

  5. Válassza ki a Microsoft Entra-hitelesítéssel védeni kívánt terheléselosztási virtuális kiszolgálót.

  6. Válassza a Kötés lehetőséget.

    Citrix ADC configuration - Load Balancing Virtual Server Binding pane

    Megjegyzés:

    Győződjön meg arról, hogy a Hitelesítés virtuális kiszolgáló konfiguráció paneljén válassza a Kész lehetőséget.

  7. A módosítások ellenőrzéséhez nyissa meg a böngészőben az alkalmazás URL-címét. A korábban látott hitelesítés nélküli hozzáférés helyett a bérlő bejelentkezési oldalát kell látnia.

    Citrix ADC configuration - A sign-in page in a web browser

A Citrix ADC SSO konfigurálása fejlécalapú hitelesítéshez

A Citrix ADC konfigurálása

A Citrix ADC fejlécalapú hitelesítéshez való konfigurálásához végezze el az alábbi szakaszokat.

Átírási művelet létrehozása

  1. Nyissa meg az AppExpert>Újraírása>műveletek elemet.

    Citrix ADC configuration - Rewrite Actions pane

  2. Válassza a Hozzáadás lehetőséget, majd hajtsa végre a következő lépéseket:

    1. A Név mezőben adja meg az átírási művelet nevét.

    2. A Típus mezőbe írja be az IN Standard kiadásRT_HTTP_HEADER értéket.

    3. Fejlécnévként adjon meg egy fejlécnevet (ebben a példában a SecretID-et használjuk).

    4. Kifejezés esetén adja meg az aaa értéket. U Standard kiadás R.ATTRIBUTE("mySecretID"), ahol a mySecretID a Citrix ADC-nek küldött Microsoft Entra SAML-jogcím.

    5. Select Create.

    Citrix ADC configuration - Create Rewrite Action pane

Újraírási szabályzat létrehozása

  1. Nyissa meg az AppExpert>újraírási>szabályzatokat.

    Citrix ADC configuration - Rewrite Policies pane

  2. Válassza a Hozzáadás lehetőséget, majd hajtsa végre a következő lépéseket:

    1. A Név mezőbe írja be az átírási szabályzat nevét.

    2. Művelet esetén válassza ki az előző szakaszban létrehozott újraírási műveletet.

    3. A Kifejezés mezőbe írja be a true (igaz) értéket.

    4. Select Create.

    Citrix ADC configuration - Create Rewrite Policy pane

Újraírási szabályzat kötése virtuális kiszolgálóhoz

Átírási szabályzat kötése virtuális kiszolgálóhoz a grafikus felhasználói felület használatával:

  1. Nyissa meg a forgalomkezelési>terheléselosztási>virtuális kiszolgálókat.

  2. A virtuális kiszolgálók listájában válassza ki azt a virtuális kiszolgálót, amelyhez az újraírási szabályzatot meg szeretné kötni, majd válassza a Megnyitás lehetőséget.

  3. A Terheléselosztás virtuális kiszolgáló panel Speciális Gépház területén válassza a Szabályzatok lehetőséget. A NetScaler-példányhoz konfigurált összes szabályzat megjelenik a listában.

    Screenshot that shows the

    Citrix ADC configuration - Load Balancing Virtual Server pane

  4. Jelölje be a virtuális kiszolgálóhoz kötni kívánt szabályzat neve melletti jelölőnégyzetet.

    Citrix ADC configuration - Load Balancing Virtual Server Traffic Policy Binding pane

  5. A Típus kiválasztása párbeszédpanelen:

    1. A Házirend kiválasztása beállításnál válassza a Forgalom lehetőséget.

    2. A Típus kiválasztása beállításhoz válassza a Kérés lehetőséget.

    Citrix ADC configuration - Policies dialog box

  6. Kattintson az OK gombra. Az állapotsoron lévő üzenet azt jelzi, hogy a szabályzat sikeresen konfigurálva lett.

Az SAML-kiszolgáló módosítása attribútumok jogcímből való kinyeréséhez

  1. Lépjen a Biztonsági>AAA – Alkalmazásforgalmi>szabályzatok>hitelesítése>speciális szabályzatművelet-kiszolgálókra.>>

  2. Válassza ki az alkalmazáshoz megfelelő hitelesítési SAML-kiszolgálót.

    Citrix ADC configuration - Configure Authentication SAML Server pane

  3. Az Attribútumok fájdalmában adja meg a kinyerni kívánt SAML-attribútumokat vesszővel elválasztva. A példában az attribútumot mySecretIDírjuk be.

    Citrix ADC configuration - Attributes pane

  4. A hozzáférés ellenőrzéséhez a böngésző URL-címében keresse meg az SAML attribútumot a Fejlécek gyűjtemény alatt.

    Citrix ADC configuration - Headers Collection at the URL

Citrix ADC-tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű felhasználó jön létre a Citrix ADC-ben. A Citrix ADC támogatja az igény szerinti felhasználói kiépítést, amely alapértelmezés szerint engedélyezve van. Ebben a szakaszban nem hajthat végre műveletet. Ha egy felhasználó még nem létezik a Citrix ADC-ben, a hitelesítés után létrejön egy új felhasználó.

Megjegyzés:

Ha manuálisan kell létrehoznia egy felhasználót, lépjen kapcsolatba a Citrix ADC ügyféltámogatási csapatával.

Egyszeri bejelentkezés tesztelése

Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.

  • Kattintson az alkalmazás tesztelésére, ez átirányítja a Citrix ADC bejelentkezési URL-címére, ahol elindíthatja a bejelentkezési folyamatot.

  • Lépjen közvetlenül a Citrix ADC bejelentkezési URL-címére, és indítsa el onnan a bejelentkezési folyamatot.

  • Használhatja a Microsoft Saját alkalmazások. Amikor a Saját alkalmazások Citrix ADC csempéjére kattint, a rendszer átirányítja a Citrix ADC bejelentkezési URL-címére. A Saját alkalmazások további információ: Bevezetés a Saját alkalmazások.

Következő lépések

A Citrix ADC konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.