Integrasi satu kali masuk Microsoft Entra dengan Citrix ADC SAML Connector untuk Microsoft Entra ID (autentikasi berbasis Kerberos)

Dalam artikel ini, Anda akan mempelajari cara mengintegrasikan Citrix ADC SAML Connector untuk MICROSOFT Entra ID dengan MICROSOFT Entra ID. Saat mengintegrasikan Citrix ADC SAML Connector untuk MICROSOFT Entra ID dengan Microsoft Entra ID, Anda dapat:

• Mengontrol siapa saja yang memiliki akses ke Citrix ADC SAML Connector untuk Microsoft Entra ID di Microsoft Entra ID.
• Aktifkan pengguna Anda agar masuk otomatis ke Citrix ADC SAML Connector untuk Microsoft Entra ID dengan akun Microsoft Entra mereka.
• Kelola akun Anda di satu lokasi pusat.

Prasyarat

Skenario yang diuraikan dalam artikel ini mengasumsikan bahwa Anda sudah memiliki prasyarat berikut:

• Akun pengguna Microsoft Entra dengan langganan aktif. Jika Anda belum memilikinya, Anda dapat Membuat akun secara gratis.
• Salah satu peran berikut:
  • Administrator Aplikasi
  • Administrator Aplikasi Cloud
  • Pemilik Aplikasi .

• Langganan yang diaktifkan dengan konektor SAML Citrix ADC untuk Microsoft Entra single sign-on (SSO).

Deskripsi Skenario

Dalam artikel ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian. Artikel ini mencakup skenario ini:

• SP yang diinisiasi SSO untuk Citrix ADC SAML Connector untuk Microsoft Entra ID.

• Provisi pengguna tepat waktu untuk Citrix ADC SAML Connector untuk Microsoft Entra ID.

• Autentikasi berbasis Kerberos untuk Penghubung SAML Citrix ADC untuk Microsoft Entra ID.

• Autentikasi berbasis header untuk Citrix ADC SAML Connector untuk Microsoft Entra ID.

Tambahkan Citrix ADC SAML Connector untuk Microsoft Entra ID dari galeri

Untuk mengintegrasikan Citrix ADC SAML Connector untuk MICROSOFT Entra ID dengan Microsoft Entra ID, pertama-tama tambahkan Citrix ADC SAML Connector untuk MICROSOFT Entra ID ke daftar aplikasi SaaS terkelola Anda dari galeri:

1. Masuk ke Pusat Admin Microsoft Entra sebagai setidaknya seorang Administrator Aplikasi Cloud.

2. Telusuri Identity>Applications>Aplikasi Enterprise>Aplikasi baru.

3. Di bagian Tambahkan dari galeri , masukkan Citrix ADC SAML Connector untuk Microsoft Entra ID di kotak pencarian.

4. Dalam hasilnya, pilih Citrix ADC SAML Connector untuk MICROSOFT Entra ID, lalu tambahkan aplikasi. Harap tunggu beberapa detik saat aplikasi ditambahkan ke tenant Anda.

Atau, Anda juga dapat menggunakan Wizard Konfigurasi Aplikasi Perusahaan. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Konfigurasikan dan uji Microsoft Entra SSO untuk Citrix ADC SAML Connector untuk Entra ID Microsoft

Konfigurasikan dan uji SSO Microsoft Entra dengan Citrix ADC SAML Connector untuk Microsoft Entra ID dengan menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di Citrix ADC SAML Connector untuk ID Microsoft Entra.

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan Citrix ADC SAML Connector untuk Microsoft Entra ID, lakukan langkah-langkah berikut:

1. Konfigurasikan SSO Microsoft Entra - untuk memungkinkan pengguna Anda menggunakan fitur ini.

   1. Buat pengguna uji Microsoft Entra - untuk menguji Microsoft Entra SSO dengan B.Simon.

   2. Tetapkan pengguna uji Microsoft Entra - untuk mengaktifkan B.Simon untuk menggunakan Microsoft Entra SSO.

2. Konfigurasikan Citrix ADC SAML Connector untuk Microsoft Entra SSO - untuk mengonfigurasi pengaturan SSO di sisi aplikasi.

   1. Uji pengguna Citrix ADC SAML Connector untuk Microsoft Entra - untuk membuat padanan B.Simon di Citrix ADC SAML Connector untuk ID Microsoft Entra yang terhubung dengan representasi pengguna di Microsoft Entra.

3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasi Microsoft Entra SSO

Untuk mengaktifkan SSO Microsoft Entra dengan menggunakan portal Azure, selesaikan langkah-langkah berikut:

1. Masuk ke Pusat Admin Microsoft Entra sebagai setidaknya seorang Administrator Aplikasi Cloud.

2. Telusuri ke Identity>Applications>Enterprise applications>Citrix ADC SAML Connector untuk Microsoft Entra ID pada panel integrasi aplikasi, di bawah Kelola, pilih Autentikasi sekali masuk.

3. Di panel Pilih metode SSO, pilih SAML.

4. Di halaman Siapkan Akses Menyeluruh dengan SAML, pilih ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.

   

5. Pada bagian Konfigurasi SAML Dasar, jika Anda ingin mengonfigurasi aplikasi dalam mode diinisiasi IDP, lakukan langkah-langkah berikut:

   1. Di kotak teks Pengidentifikasi, masukkan URL yang memiliki pola berikut: https://<YOUR_FQDN>

   2. Di kotak teks URL Balasan, masukkan URL yang memiliki pola berikut: http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

6. Untuk mengonfigurasi aplikasi di mode yangdiinisiasi SP, pilih Atur URL tambahan dan lakukan langkah berikut:

   • Di kotak teks URL Masuk, masukkan URL yang memiliki pola berikut: https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

   Catatan

   • URL yang digunakan di bagian ini bukanlah nilai nyata. Perbarui nilai-nilai ini dengan nilai pengidentifikasi, URL Balasan, dan URL Masuk yang sesungguhnya. Hubungi tim dukungan klien Citrix ADC SAML Connector untuk Microsoft Entra untuk mendapatkan nilai-nilai ini. Anda juga dapat merujuk ke pola yang ditampilkan di bagian Konfigurasi SAML Dasar.
   • Untuk menyiapkan SSO, URL harus dapat diakses dari situs web publik. Anda harus mengaktifkan firewall atau pengaturan keamanan lainnya pada sisi Citrix ADC SAML Connector untuk Microsoft Entra ID agar Microsoft Entra ID dapat mengirimkan token ke URL yang dikonfigurasi.

7. Di panel Siapkan Akses Menyeluruh dengan SAML, pada bagian Sertifikat Penandatanganan SAML, untuk URL Metadata Federasi Aplikasi, salin URL dan simpan di Notepad.

   

8. Di bagian Siapkan Citrix ADC SAML Connector untuk MICROSOFT Entra ID , salin URL yang relevan berdasarkan kebutuhan Anda.

   

Membuat dan menetapkan pengguna uji Microsoft Entra

Ikuti prosedur dalam panduan cepat membuat dan menetapkan akun pengguna untuk membuat akun pengguna uji bernama B.Simon.

Mengonfigurasi Citrix ADC SAML Connector untuk Microsoft Entra SSO

Pilih tautan untuk langkah-langkah untuk jenis autentikasi yang ingin Anda konfigurasi:

• Mengonfigurasi Citrix ADC SAML Connector untuk Microsoft Entra SSO untuk autentikasi berbasis Kerberos

• Mengonfigurasi Citrix ADC SAML Connector untuk Microsoft Entra SSO untuk autentikasi berbasis header

Terbitkan server web

Untuk membuat server virtual:

1. Pilih Manajemen Lalu Lintas>Penyeimbangan Beban>Layanan.

2. Pilih Tambahkan.

   

3. Atur nilai berikut untuk server web yang menjalankan aplikasi:

   • Nama Layanan
   • IP Server/ Server yang Ada
   • Protokol
   • Port

Konfigurasikan penyeimbang beban

Untuk mengonfigurasikan penyeimbang beban:

1. Buka Manajemen Lalu Lintas>Penyeimbangan Beban>Server Virtual.

2. Pilih Tambahkan.

3. Atur nilai berikut seperti yang dideskripsikan di cuplikan layar berikut ini:

   • Nama
   • Protokol
   • Alamat IP
   • Port

4. Pilih OK.

   

Mengikat server virtual

Untuk mengikat penyeimbang beban dengan server virtual:

1. Di panel Layanan dan Grup Layanan, pilih Pengikatan Layanan Server Virtual Tanpa Penyeimbangan Beban.

   

2. Verifikasi pengaturan seperti yang ditunjukkan di cuplikan layar berikut, lalu pilih Tutup.

   

Mengikat sertifikat

Untuk menerbitkan layanan ini sebagai TLS, ikat sertifikat server, lalu uji aplikasi Anda:

1. Di bawah Sertifikat, pilih Tanpa Sertifikat Server.

   

2. Verifikasi pengaturan seperti yang ditunjukkan di cuplikan layar berikut, lalu pilih Tutup.

   

Citrix ADC SAML Connector untuk profil Microsoft Entra SAML

Untuk mengonfigurasi profil Citrix ADC SAML Connector untuk Microsoft Entra SAML, selesaikan bagian berikut.

Buat kebijakan autentikasi

Untuk membuat kebijakan autentikasi:

1. Buka Keamanan>AAA – Lalu Lintas Aplikasi>Kebijakan>Autentikasi>Kebijakan Autentikasi.

2. Pilih Tambahkan.

3. Di panel Buat Kebijakan Autentikasi, masukkan atau pilih nilai berikut ini:

   • Nama: Masukkan nama untuk kebijakan autentikasi Anda.
   • Tindakan: Masukkan SAML, lalu pilih Tambahkan.
   • Ekspresi: Masukkan benar.

   

4. Pilih Buat.

Buat server SAML autentikasi

Untuk membuat server SAML autentikasi, masuk ke panel Buat Server SAML Autentikasi, lalu selesaikan langkah berikut ini:

1. Untuk Nama, masukkan nama untuk server SAML autentikasi.

2. Di bagian Ekspor Metadata SAML:

   1. Pilih kotak centang Impor Metadata.

   2. Masukkan URL metadata federasi dari UI SAML Azure yang Anda salin sebelumnya.

3. Untuk Nama Pengeluar Sertifikat, masukkan URL yang relevan.

4. Pilih Buat.

Buat server autentikasi virtual

Untuk membuat server virtual autentikasi:

1. Buka Keamanan>AAA - Lalu Lintas Aplikasi>Kebijakan>Autentikasi>Server Virtual Autentikasi.

2. Pilih Tambahkan, lalu selesaikan langkah berikut ini:

   1. Untuk Nama, masukkan nama untuk server virtual autentikasi.

   2. Pilih kotak centang Tidak Dapat Dialamatkan.

   3. Untuk Protokol, pilih SSL.

   4. Pilih OK.

3. Pilih Lanjutkan.

Mengonfigurasi server virtual autentikasi untuk menggunakan ID Microsoft Entra

Ubah dua bagian untuk server virtual autentikasi:

1. Di panel Kebijakan Autentikasi Tingkat Lanjut, pilihTanpa Kebijakan Autentikasi.

   

2. Di panel Pengikatan Kebijakan, pilih autentikasi kebijakan, lalu pilih Ikat.

   

3. Pada panel Server Virtual Berbasis Formulir, pilih Tanpa Virtual Server Penyeimbang Beban.

   

4. Untuk FQDN Autentikasi, masukkan nama domain yang sepenuhnya memenuhi syarat (FQDN) (diperlukan).

5. Pilih server virtual penyeimbang beban yang ingin Anda lindungi dengan autentikasi Microsoft Entra.

6. Pilih Mengikat.

   

   Catatan

   Pastikan pilih Selesai pada panel Konfigurasi Server Virtual Autentikasi.

7. Untuk memverifikasi perubahan Anda, di browser, buka URL aplikasi. Anda seharusnya melihat halaman masuk penyewa Anda, bukan akses tanpa autentikasi yang sebelumnya Anda lihat.

   

Mengonfigurasi Citrix ADC SAML Connector untuk Microsoft Entra SSO untuk autentikasi berbasis Kerberos

Buat akun delegasi Kerberos untuk Citrix ADC SAML Connector untuk Microsoft Entra ID

1. Buat Akun pengguna (contohnya, kami menggunakan AppDelegation).

   

2. Siapkan HOST SPN untuk akun ini.

   Contoh: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

   Dalam contoh ini:

   • IDENTT.WORK adalah domain FQDN.
   • identt nama domain NetBIOS.
   • appdelegation nama akun pengguna delegasi.

3. Konfigurasikan delegasi untuk server web seperti yang diperlihatkan dalam tangkapan layar berikut:

   

   Catatan

   Dalam contoh tangkapan layar, nama server web internal yang menjalankan situs Windows Integrated Authentication (WIA) adalah CWEB2.

Citrix ADC Penghubung SAML untuk Microsoft Entra AAA KCD (akun delegasi Kerberos)

Untuk mengonfigurasi Citrix ADC SAML Connector untuk akun Microsoft Entra AAA KCD:

1. Buka Akun Citrix Gateway>AAA KCD (Delegasi Terbatas Kerberos).

2. Pilih Tambahkan, lalu masukkan atau pilih nilai berikut ini:

   • Nama: Masukkan nama untuk akun KCD.

   • Realm: Masukkan domain dan ekstensi dalam huruf besar.

   • Layanan SPN: http/<host/fqdn>@<DOMAIN.COM>.

     Catatan

     @DOMAIN.COM diperlukan dan harus huruf besar. Contoh: http/cweb2@IDENTT.WORK.

   • Pengguna yang Didelegasikan: Masukkan nama pengguna yang didelegasikan.

   • Pilih kotak centang Kata Sandi untuk Pengguna yang Didelegasikan, dan masukkan dan konfirmasi kata sandi.

3. Pilih OK.

Kebijakan lalu lintas dan profil lalu lintas Citrix

Untuk mengonfigurasi kebijakan lalu lintas dan profil lalu lintas Citrix:

1. Buka Keamanan>AAA - Lalu Lintas Aplikasi>Kebijakan>Profil Kebijakan Lalu Lintas, Profil dan Profil SSO Formulir.

2. Pilih Profil Lalu Lintas.

3. Pilih Tambahkan.

4. Untuk mengonfigurasi profil lalu lintas, masukkan atau pilih nilai berikut.

   • Nama: Masukkan nama untuk profil lalu lintas.

   • Akses Menyeluruh: Pilih AKTIF.

   • Akun KCD: Pilih akun KCD yang Anda buat di bagian sebelumnya.

5. Pilih OK.

   

6. Pilih Kebijakan Lalu Lintas.

7. Pilih Tambahkan.

8. Untuk mengonfigurasi profil lalu lintas, masukkan atau pilih nilai berikut:

   • Nama: Masukkan nama untuk profil lalu lintas.

   • Profil: Pilih profil lalu lintas yang Anda buat di bagian sebelumnya.

   • Ekspresi: Masukkan benar.

9. Pilih OK.

   

Mengikat kebijakan lalu lintas ke server virtual di Citrix

Untuk mengikat kebijakan lalu lintas ke server virtual dengan menggunakan GUI:

1. Buka Manajemen Lalu Lintas>Penyeimbangan Beban>Server Virtual.

2. Di daftar server virtual, pilih server virtual yang ingin Anda ikat kebijakan regenerasi, lalu pilih Buka.

3. Di panel Server Virtual Penyeimbangan Beban, di bawah Pengaturan Tingkat Lanjut, pilih Kebijakan. Semua kebijakan yang dikonfigurasi untuk instans NetScaler Anda muncul di daftar.

   

   

4. Pilih kotak centang di samping nama kebijakan yang ingin Anda ikat ke server virtual ini.

   

5. Di kotak dialog Pilih Jenis:

   1. Untuk Pilih Kebijakan, pilih Pengaturan Lalu Lintas.

   2. Untuk Pilih Jenis, pilih Permintaan.

   

6. Saat kebijakan terikat, pilih Selesai.

   

7. Uji pengikatan dengan menggunakan situs web WIA.

   

Membuat konektor Citrix ADC SAML untuk pengguna uji Microsoft Entra

Di bagian ini, pengguna bernama B.Simon dibuat di Citrix ADC SAML Connector untuk MICROSOFT Entra ID. Citrix ADC SAML Connector untuk Microsoft Entra ID mendukung penyediaan pengguna secara langsung, yang diaktifkan secara default. Tidak ada tindakan yang perlu Anda lakukan di bagian ini. Jika pengguna belum ada di Citrix ADC SAML Connector untuk MICROSOFT Entra ID, pengguna baru dibuat setelah autentikasi.

Catatan

Jika Anda perlu membuat pengguna secara manual, hubungi tim dukungan klien Citrix ADC SAML Connector untuk Microsoft Entra.

Menguji SSO

Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Entra dengan opsi berikut.

• Klik pada Uji aplikasi ini, Anda akan dialihkan ke URL Masuk Citrix ADC SAML Connector untuk Microsoft Entra di mana Anda dapat memulai alur masuk.

• Pergi ke URL Masuk Citrix ADC SAML Connector untuk Microsoft Entra secara langsung dan mulai proses masuk dari sana.

• Anda dapat menggunakan Microsoft My Apps. Saat Anda mengklik ubin Citrix ADC SAML Connector untuk Microsoft Entra ID di Aplikasi Saya, Anda akan dialihkan ke URL Masuk Citrix ADC SAML Connector untuk Microsoft Entra. Untuk informasi selengkapnya tentang Aplikasi Saya, lihat Pengantar Aplikasi Saya.

Konten terkait

Setelah mengonfigurasi Citrix ADC SAML Connector untuk MICROSOFT Entra ID, Anda dapat menerapkan kontrol sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol sesi diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.