Tutorial: Integrasi akses menyeluruh Microsoft Entra dengan Citrix ADC SAML Connector untuk MICROSOFT Entra ID (autentikasi berbasis Kerberos)
Dalam tutorial ini, Anda akan mempelajari cara mengintegrasikan Citrix ADC SAML Connector untuk MICROSOFT Entra ID dengan MICROSOFT Entra ID. Saat mengintegrasikan Citrix ADC SAML Connector untuk MICROSOFT Entra ID dengan Microsoft Entra ID, Anda dapat:
- Mengontrol microsoft Entra ID yang memiliki akses ke Citrix ADC SAML Connector untuk Microsoft Entra ID.
- Memungkinkan pengguna Anda untuk masuk secara otomatis ke Citrix ADC SAML Connector untuk MICROSOFT Entra ID dengan akun Microsoft Entra mereka.
- Kelola akun Anda di satu lokasi pusat.
Prasyarat
Untuk memulai, Anda memerlukan item berikut:
- Langganan Microsoft Entra. Jika Anda tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
- Langganan akses menyeluruh (SSO) Citrix ADC SAML Connector for Microsoft Entra diaktifkan.
Deskripsi skenario
Dalam tutorial ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian. Tutorial ini mencakup skenario ini:
SSO yang diinisiasi SP untuk Citrix ADC SAML Connector untuk MICROSOFT Entra ID.
Provisi pengguna just-in-time untuk Citrix ADC SAML Connector untuk MICROSOFT Entra ID.
Autentikasi berbasis Kerberos untuk Citrix ADC SAML Connector untuk MICROSOFT Entra ID.
Autentikasi berbasis header untuk Citrix ADC SAML Connector untuk MICROSOFT Entra ID.
Menambahkan Citrix ADC SAML Connector untuk Microsoft Entra ID dari galeri
Untuk mengintegrasikan Citrix ADC SAML Connector untuk MICROSOFT Entra ID dengan Microsoft Entra ID, pertama-tama tambahkan Citrix ADC SAML Connector untuk MICROSOFT Entra ID ke daftar aplikasi SaaS terkelola Anda dari galeri:
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
Di bagian Tambahkan dari galeri , masukkan Citrix ADC SAML Connector untuk Microsoft Entra ID di kotak pencarian.
Dalam hasilnya, pilih Citrix ADC SAML Connector untuk MICROSOFT Entra ID, lalu tambahkan aplikasi. Tunggu beberapa detik saat aplikasi ditambahkan ke penyewa Anda.
Atau, Anda juga dapat menggunakan Wizard Konfigurasi Aplikasi Perusahaan. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.
Mengonfigurasi dan menguji Microsoft Entra SSO untuk Citrix ADC SAML Connector untuk Microsoft Entra ID
Konfigurasikan dan uji SSO Microsoft Entra dengan Citrix ADC SAML Connector untuk Microsoft Entra ID dengan menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di Citrix ADC SAML Connector untuk ID Microsoft Entra.
Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan Citrix ADC SAML Connector untuk Microsoft Entra ID, lakukan langkah-langkah berikut:
Konfigurasikan SSO Microsoft Entra - untuk memungkinkan pengguna Anda menggunakan fitur ini.
Buat pengguna uji Microsoft Entra - untuk menguji Microsoft Entra SSO dengan B.Simon.
Tetapkan pengguna uji Microsoft Entra - untuk mengaktifkan B.Simon untuk menggunakan Microsoft Entra SSO.
Konfigurasikan Citrix ADC SAML Connector untuk Microsoft Entra SSO - untuk mengonfigurasi pengaturan SSO di sisi aplikasi.
- Buat pengguna uji Citrix ADC SAML Connector untuk Microsoft Entra - untuk memiliki mitra B.Simon di Citrix ADC SAML Connector untuk ID Microsoft Entra yang ditautkan ke representasi Microsoft Entra pengguna.
Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.
Mengonfigurasi SSO Microsoft Entra
Untuk mengaktifkan SSO Microsoft Entra dengan menggunakan portal Azure, selesaikan langkah-langkah berikut:
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
Telusuri aplikasi Identity>Applications>Enterprise>Citrix ADC SAML Connector untuk panel integrasi aplikasi Microsoft Entra ID, di bawah Kelola, pilih Akses menyeluruh.
Pada panel Pilih metode akses menyeluruh, pilih SAML.
Pada panel Siapkan Akses Menyeluruh dengan SAML , pilih ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.
Di bagian Konfigurasi SAML Dasar, untuk mengonfigurasi aplikasi dalam mode yang dimulai IDP, lakukan langkah-langkah berikut:
Dalam kotak teks Pengidentifikasi , masukkan URL yang memiliki pola berikut:
https://<YOUR_FQDN>
Dalam kotak teks URL Balasan, masukkan URL yang memiliki pola berikut:
http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth
Untuk mengonfigurasi aplikasi dalam mode yang dimulai SP, pilih Atur URL tambahan dan lakukan langkah-langkah berikut:
- Dalam kotak teks URL Masuk, masukkan URL yang memiliki pola berikut:
https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx
Nota
- URL yang digunakan di bagian ini bukan nilai nyata. Perbarui nilai-nilai ini dengan nilai aktual untuk Pengidentifikasi, URL Balasan, dan URL Masuk. Hubungi tim dukungan klien Citrix ADC SAML Connector untuk Microsoft Entra untuk mendapatkan nilai-nilai ini. Anda juga dapat merujuk ke pola yang ditampilkan di bagian Konfigurasi SAML Dasar.
- Untuk menyiapkan SSO, URL harus dapat diakses dari situs web publik. Anda harus mengaktifkan firewall atau pengaturan keamanan lainnya pada sisi Citrix ADC SAML Connector untuk Microsoft Entra ID untuk mengaktifkan MICROSOFT Entra ID untuk memposting token di URL yang dikonfigurasi.
- Dalam kotak teks URL Masuk, masukkan URL yang memiliki pola berikut:
Pada panel Siapkan Akses Menyeluruh dengan SAML , di bagian Sertifikat Penandatanganan SAML, untuk Url Metadata Federasi Aplikasi, salin URL dan simpan di Notepad.
Di bagian Siapkan Citrix ADC SAML Connector untuk MICROSOFT Entra ID , salin URL yang relevan berdasarkan kebutuhan Anda.
Membuat pengguna uji Microsoft Entra
Di bagian ini, Anda membuat pengguna uji bernama B.Simon.
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
- Telusuri ke Pengguna>Identitas>Semua pengguna.
- Pilih Pengguna>baru Buat pengguna baru, di bagian atas layar.
- Di properti Pengguna, ikuti langkah-langkah berikut:
- Di bidang Nama tampilan, masukkan
B.Simon
. - Di bidang Nama prinsipal pengguna, masukkan username@companydomain.extension. Misalnya,
B.Simon@contoso.com
. - Pilih kotak centang Perlihatkan kata sandi , lalu tuliskan nilai yang ditampilkan dalam kotak Kata Sandi .
- Pilih Tinjau + buat.
- Di bidang Nama tampilan, masukkan
- Pilih Buat.
Menetapkan pengguna uji Microsoft Entra
Di bagian ini, Anda mengaktifkan pengguna B.Simon untuk menggunakan Azure SSO dengan memberikan akses pengguna ke Citrix ADC SAML Connector untuk MICROSOFT Entra ID.
Telusuri aplikasi Identity>Applications>Enterprise.
Dalam daftar aplikasi, pilih Citrix ADC SAML Connector untuk MICROSOFT Entra ID.
Pada gambaran umum aplikasi, di bawah Kelola, pilih Pengguna dan grup.
Pilih Tambahkan pengguna. Lalu, dalam kotak dialog Tambahkan Penugasan , pilih Pengguna dan grup.
Dalam kotak dialog Pengguna dan grup , pilih B.Simon dari daftar Pengguna . Pilih Pilih.
Jika Anda mengharapkan peran ditetapkan kepada pengguna, Anda dapat memilihnya dari menu dropdown Pilih peran . Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" dipilih.
Dalam kotak dialog Tambahkan Penugasan , pilih Tetapkan.
Mengonfigurasi Citrix ADC SAML Connector untuk Microsoft Entra SSO
Pilih tautan untuk langkah-langkah untuk jenis autentikasi yang ingin Anda konfigurasi:
Mengonfigurasi Citrix ADC SAML Connector untuk Microsoft Entra SSO untuk autentikasi berbasis header
Menerbitkan server web
Untuk membuat server virtual:
Pilih Layanan Penyeimbangan>Beban Manajemen>Lalu Lintas.
Pilih Tambahkan.
Atur nilai berikut untuk server web yang menjalankan aplikasi:
- Nama Layanan
- IP Server/ Server yang Ada
- Protokol
- Pelabuhan
Mengonfigurasi load balancer
Untuk mengonfigurasi load balancer:
Buka Server Virtual Penyeimbangan>Beban Manajemen>Lalu Lintas.
Pilih Tambahkan.
Atur nilai berikut seperti yang dijelaskan dalam cuplikan layar berikut:
- Nama
- Protokol
- Alamat IP
- Pelabuhan
Pilih OK.
Mengikat server virtual
Untuk mengikat load balancer dengan server virtual:
Di panel Grup Layanan dan Layanan, pilih Tidak Ada Pengikatan Layanan Server Virtual Penyeimbangan Beban.
Verifikasi pengaturan seperti yang diperlihatkan dalam cuplikan layar berikut, lalu pilih Tutup.
Mengikat sertifikat
Untuk menerbitkan layanan ini sebagai TLS, ikat sertifikat server, lalu uji aplikasi Anda:
Di bawah Sertifikat, pilih Tidak Ada Sertifikat Server.
Verifikasi pengaturan seperti yang diperlihatkan dalam cuplikan layar berikut, lalu pilih Tutup.
Citrix ADC SAML Connector untuk profil Microsoft Entra SAML
Untuk mengonfigurasi profil Citrix ADC SAML Connector untuk Microsoft Entra SAML, selesaikan bagian berikut.
Membuat kebijakan autentikasi
Untuk membuat kebijakan autentikasi:
Buka AAA Keamanan>– Kebijakan Lalu Lintas>>Aplikasi Kebijakan Autentikasi Kebijakan Autentikasi.>
Pilih Tambahkan.
Pada panel Buat Kebijakan Autentikasi, masukkan atau pilih nilai berikut ini:
- Nama: Masukkan nama untuk kebijakan autentikasi Anda.
- Tindakan: Masukkan SAML, lalu pilih Tambahkan.
- Ekspresi: Masukkan true.
Pilih Buat.
Membuat server SAML autentikasi
Untuk membuat server SAML autentikasi, buka panel Buat Server SAML Autentikasi, lalu selesaikan langkah-langkah berikut:
Untuk Nama, masukkan nama untuk server SAML autentikasi.
Di bawah Ekspor Metadata SAML:
Pilih kotak centang Impor Metadata .
Masukkan URL metadata federasi dari UI SAML Azure yang Anda salin sebelumnya.
Untuk Nama Penerbit, masukkan URL yang relevan.
Pilih Buat.
Membuat server virtual autentikasi
Untuk membuat server virtual autentikasi:
Buka AAA Keamanan>- Server Virtual Autentikasi>Kebijakan>Lalu Lintas>Aplikasi.
Pilih Tambahkan, lalu selesaikan langkah-langkah berikut:
Untuk Nama, masukkan nama untuk server virtual autentikasi.
Pilih kotak centang Tidak Dapat Diatasi .
Untuk Protokol, pilih SSL.
Pilih OK.
Pilih Lanjutkan.
Mengonfigurasi server virtual autentikasi untuk menggunakan ID Microsoft Entra
Ubah dua bagian untuk server virtual autentikasi:
Pada panel Kebijakan Autentikasi Tingkat Lanjut, pilih Tidak Ada Kebijakan Autentikasi.
Pada panel Pengikatan Kebijakan, pilih kebijakan autentikasi, lalu pilih Ikat.
Pada panel Server Virtual Berbasis Formulir, pilih Tanpa Load Balancing Virtual Server.
Untuk Autentikasi FQDN, masukkan nama domain yang sepenuhnya memenuhi syarat (FQDN) (diperlukan).
Pilih server virtual penyeimbang beban yang ingin Anda lindungi dengan autentikasi Microsoft Entra.
Pilih Ikat.
Nota
Pastikan untuk memilih Selesai pada panel Konfigurasi Server Virtual Autentikasi.
Untuk memverifikasi perubahan Anda, di browser, buka URL aplikasi. Anda akan melihat halaman masuk penyewa Anda alih-alih akses tidak terautentikasi yang akan Anda lihat sebelumnya.
Mengonfigurasi Citrix ADC SAML Connector untuk Microsoft Entra SSO untuk autentikasi berbasis Kerberos
Membuat akun delegasi Kerberos untuk Citrix ADC SAML Connector untuk MICROSOFT Entra ID
Buat akun pengguna (dalam contoh ini, kami menggunakan AppDelegation).
Siapkan HOST SPN untuk akun ini.
Contoh:
setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation
Dalam contoh ini:
IDENTT.WORK
adalah domain FQDN.identt
adalah nama domain NetBIOS.appdelegation
adalah nama akun pengguna delegasi.
Konfigurasikan delegasi untuk server web seperti yang ditunjukkan pada cuplikan layar berikut:
Nota
Dalam contoh cuplikan layar, nama server web internal yang menjalankan situs Autentikasi Terintegrasi Windows (WIA) adalah CWEB2.
Citrix ADC SAML Connector untuk Microsoft Entra AAA KCD (akun delegasi Kerberos)
Untuk mengonfigurasi Citrix ADC SAML Connector untuk akun Microsoft Entra AAA KCD:
Buka Akun Citrix Gateway>AAA KCD (Delegasi yang Dibatasi Kerberos).
Pilih Tambahkan, lalu masukkan atau pilih nilai berikut:
Nama: Masukkan nama untuk akun KCD.
Realm: Masukkan domain dan ekstensi dalam huruf besar.
SPN Layanan:
http/<host/fqdn>@<DOMAIN.COM>
.Nota
@DOMAIN.COM
diperlukan dan harus huruf besar. Contoh:http/cweb2@IDENTT.WORK
.Pengguna yang Didelegasikan: Masukkan nama pengguna yang didelegasikan.
Pilih kotak centang Kata Sandi untuk Pengguna yang Didelegasikan, dan masukkan dan konfirmasi kata sandi.
Pilih OK.
Kebijakan lalu lintas citrix dan profil lalu lintas
Untuk mengonfigurasi kebijakan lalu lintas Citrix dan profil lalu lintas:
Buka AAA Keamanan>- Kebijakan>Lalu Lintas>Aplikasi Kebijakan Lalu Lintas, Profil, dan Formulir Profil SSOKeamanan Lalu Lintas.
Pilih Profil Lalu Lintas.
Pilih Tambahkan.
Untuk mengonfigurasi profil lalu lintas, masukkan atau pilih nilai berikut.
Nama: Masukkan nama untuk profil lalu lintas.
Akses Menyeluruh: Pilih AKTIF.
Akun KCD: Pilih akun KCD yang Anda buat di bagian sebelumnya.
Pilih OK.
Pilih Kebijakan Lalu Lintas.
Pilih Tambahkan.
Untuk mengonfigurasi kebijakan lalu lintas, masukkan atau pilih nilai berikut:
Nama: Masukkan nama untuk kebijakan lalu lintas.
Profil: Pilih profil lalu lintas yang Anda buat di bagian sebelumnya.
Ekspresi: Masukkan true.
Pilih OK.
Mengikat kebijakan lalu lintas ke server virtual di Citrix
Untuk mengikat kebijakan lalu lintas ke server virtual dengan menggunakan GUI:
Buka Server Virtual Penyeimbangan>Beban Manajemen>Lalu Lintas.
Dalam daftar server virtual, pilih server virtual tempat Anda ingin mengikat kebijakan penulisan ulang, lalu pilih Buka.
Pada panel Load Balancing Virtual Server , di bawah Pengaturan Tingkat Lanjut, pilih Kebijakan. Semua kebijakan yang dikonfigurasi untuk instans NetScaler Anda muncul dalam daftar.
Pilih kotak centang di samping nama kebijakan yang ingin Anda ikat ke server virtual ini.
Dalam kotak dialog Pilih Jenis :
Untuk Pilih Kebijakan, pilih Lalu Lintas.
Untuk Pilih Jenis, pilih Permintaan.
Saat kebijakan terikat, pilih Selesai.
Uji pengikatan dengan menggunakan situs web WIA.
Membuat pengguna uji Citrix ADC SAML Connector untuk Microsoft Entra
Di bagian ini, pengguna bernama B.Simon dibuat di Citrix ADC SAML Connector untuk MICROSOFT Entra ID. Citrix ADC SAML Connector untuk Microsoft Entra ID mendukung provisi pengguna just-in-time, yang diaktifkan secara default. Tidak ada tindakan yang harus Anda ambil di bagian ini. Jika pengguna belum ada di Citrix ADC SAML Connector untuk MICROSOFT Entra ID, pengguna baru dibuat setelah autentikasi.
Nota
Jika Anda perlu membuat pengguna secara manual, hubungi tim dukungan klien Citrix ADC SAML Connector untuk Microsoft Entra.
Uji SSO
Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Entra dengan opsi berikut.
Klik Uji aplikasi ini, ini akan dialihkan ke URL Masuk Citrix ADC SAML Connector untuk Microsoft Entra tempat Anda dapat memulai alur masuk.
Buka URL Masuk Citrix ADC SAML Connector untuk Microsoft Entra secara langsung dan mulai alur masuk dari sana.
Anda dapat menggunakan Microsoft Aplikasi Saya. Saat Anda mengklik petak Peta Citrix ADC SAML Connector untuk Microsoft Entra ID di Aplikasi Saya, anda akan dialihkan ke URL Masuk Citrix ADC SAML Connector for Microsoft Entra. Untuk informasi selengkapnya tentang Aplikasi Saya, lihat Pengantar Aplikasi Saya.
Langkah berikutnya
Setelah mengonfigurasi Citrix ADC SAML Connector untuk MICROSOFT Entra ID, Anda dapat menerapkan kontrol sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol sesi diperluas dari Akses Bersyar. Pelajari cara menerapkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.