Bagikan melalui

Tutorial: Integrasi akses menyeluruh Microsoft Entra dengan Citrix ADC (autentikasi berbasis header)

  • Artikel

Dalam tutorial ini, Anda akan mempelajari cara mengintegrasikan Citrix ADC dengan Microsoft Entra ID. Saat mengintegrasikan Citrix ADC dengan Microsoft Entra ID, Anda dapat:

  • Mengontrol microsoft Entra ID yang memiliki akses ke Citrix ADC.
  • Memungkinkan pengguna Anda untuk masuk secara otomatis ke Citrix ADC dengan akun Microsoft Entra mereka.
  • Kelola akun Anda di satu lokasi pusat.

Prasyarat

Untuk memulai, Anda memerlukan item berikut:

  • Langganan Microsoft Entra. Jika Anda tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
  • Langganan yang diaktifkan akses menyeluruh (SSO) Citrix ADC.

Deskripsi skenario

Dalam tutorial ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian. Tutorial ini mencakup skenario ini:

Untuk mengintegrasikan Citrix ADC dengan Microsoft Entra ID, pertama-tama tambahkan Citrix ADC ke daftar aplikasi SaaS terkelola Anda dari galeri:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.

  3. Di bagian Tambahkan dari galeri , masukkan Citrix ADC di kotak pencarian.

  4. Dalam hasilnya, pilih Citrix ADC, lalu tambahkan aplikasi. Tunggu beberapa detik saat aplikasi ditambahkan ke penyewa Anda.

Atau, Anda juga dapat menggunakan Wizard Konfigurasi Aplikasi Perusahaan. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji Microsoft Entra SSO untuk Citrix ADC

Konfigurasikan dan uji SSO Microsoft Entra dengan Citrix ADC dengan menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di Citrix ADC.

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan Citrix ADC, lakukan langkah-langkah berikut:

  1. Konfigurasikan SSO Microsoft Entra - untuk memungkinkan pengguna Anda menggunakan fitur ini.

    1. Buat pengguna uji Microsoft Entra - untuk menguji Microsoft Entra SSO dengan B.Simon.

    2. Tetapkan pengguna uji Microsoft Entra - untuk mengaktifkan B.Simon untuk menggunakan Microsoft Entra SSO.

  2. Konfigurasikan SSO Citrix ADC - untuk mengonfigurasi pengaturan SSO di sisi aplikasi.

    • Buat pengguna uji Citrix ADC - untuk memiliki mitra B.Simon di Citrix ADC yang ditautkan ke representasi Microsoft Entra pengguna.

  3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasi SSO Microsoft Entra

Untuk mengaktifkan SSO Microsoft Entra dengan menggunakan portal Azure, selesaikan langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri ke panel integrasi aplikasi Citrix ADC aplikasi>Identity>Applications>Enterprise, di bawah Kelola, pilih Akses menyeluruh.

  3. Pada panel Pilih metode akses menyeluruh, pilih SAML.

  4. Pada panel Siapkan Akses Menyeluruh dengan SAML, pilih ikon Edit pena untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.

    Edit Konfigurasi SAML Dasar

  5. Di bagian Konfigurasi SAML Dasar, untuk mengonfigurasi aplikasi dalam mode yang dimulai IDP:

    1. Dalam kotak teks Pengidentifikasi , masukkan URL yang memiliki pola berikut: https://<Your FQDN>

    2. Dalam kotak teks URL Balasan, masukkan URL yang memiliki pola berikut: https://<Your FQDN>/CitrixAuthService/AuthService.asmx

  6. Untuk mengonfigurasi aplikasi dalam mode yang dimulai SP, pilih Atur URL tambahan dan selesaikan langkah-langkah berikut:

    • Dalam kotak teks URL Masuk, masukkan URL yang memiliki pola berikut: https://<Your FQDN>/CitrixAuthService/AuthService.asmx

    Nota

    • URL yang digunakan di bagian ini bukan nilai nyata. Perbarui nilai-nilai ini dengan nilai aktual untuk Pengidentifikasi, URL Balasan, dan URL Masuk. Hubungi tim dukungan klien Citrix ADC untuk mendapatkan nilai-nilai ini. Anda juga dapat merujuk ke pola yang ditampilkan di bagian Konfigurasi SAML Dasar.
    • Untuk menyiapkan SSO, URL harus dapat diakses dari situs web publik. Anda harus mengaktifkan firewall atau pengaturan keamanan lainnya di sisi Citrix ADC untuk mengaktifkan ID Microsoft Entra untuk memposting token di URL yang dikonfigurasi.

  7. Pada panel Siapkan Akses Menyeluruh dengan SAML , di bagian Sertifikat Penandatanganan SAML, untuk Url Metadata Federasi Aplikasi, salin URL dan simpan di Notepad.

    Tautan Unduhan sertifikat

  8. Aplikasi Citrix ADC mengharapkan pernyataan SAML berada dalam format tertentu, yang mengharuskan Anda untuk menambahkan pemetaan atribut kustom ke konfigurasi atribut token SAML Anda. Cuplikan layar berikut menunjukkan daftar atribut default. Pilih ikon Edit dan ubah pemetaan atribut.

    Mengedit pemetaan atribut SAML

  9. Aplikasi Citrix ADC juga mengharapkan beberapa atribut lagi untuk diteruskan kembali dalam respons SAML. Dalam kotak dialog Atribut Pengguna, di bawah Klaim Pengguna, selesaikan langkah-langkah berikut untuk menambahkan atribut token SAML seperti yang ditunjukkan dalam tabel:

    Nama Atribut sumber
    mySecretID user.userprincipalname

    1. Pilih Tambahkan klaim baru untuk membuka kotak dialog Kelola klaim pengguna.

    2. Dalam kotak teks Nama , masukkan nama atribut yang ditampilkan untuk baris tersebut.

    3. Biarkan Namespace kosong.

    4. Untuk Atribut, pilih Sumber.

    5. Di daftar Atribut sumber, masukkan nilai atribut yang ditampilkan untuk baris tersebut.

    6. Pilih OK.

    7. Pilih Simpan.

  10. Di bagian Siapkan Citrix ADC , salin URL yang relevan berdasarkan kebutuhan Anda.

    Salin URL konfigurasi

Membuat pengguna uji Microsoft Entra

Di bagian ini, Anda akan membuat pengguna uji bernama B.Simon.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
  2. Telusuri ke Pengguna>Identitas>Semua pengguna.
  3. Pilih Pengguna>baru Buat pengguna baru, di bagian atas layar.
  4. Di properti Pengguna, ikuti langkah-langkah berikut:
    1. Di bidang Nama tampilan, masukkan B.Simon.
    2. Di bidang Nama prinsipal pengguna, masukkan username@companydomain.extension. Misalnya, B.Simon@contoso.com.
    3. Pilih kotak centang Perlihatkan kata sandi , lalu tuliskan nilai yang ditampilkan dalam kotak Kata Sandi .
    4. Pilih Tinjau + buat.
  5. Pilih Buat.

Menetapkan pengguna uji Microsoft Entra

Di bagian ini, Anda mengaktifkan pengguna B.Simon untuk menggunakan Azure SSO dengan memberikan akses pengguna ke Citrix ADC.

  1. Telusuri aplikasi Identity>Applications>Enterprise.

  2. Dalam daftar aplikasi, pilih Citrix ADC.

  3. Pada gambaran umum aplikasi, di bawah Kelola, pilih Pengguna dan grup.

  4. Pilih Tambahkan pengguna. Lalu, dalam kotak dialog Tambahkan Penugasan , pilih Pengguna dan grup.

  5. Dalam kotak dialog Pengguna dan grup , pilih B.Simon dari daftar Pengguna . Pilih Pilih.

  6. Jika Anda mengharapkan peran ditetapkan kepada pengguna, Anda dapat memilihnya dari menu dropdown Pilih peran . Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" dipilih.

  7. Dalam kotak dialog Tambahkan Penugasan , pilih Tetapkan.

Mengonfigurasi SSO Citrix ADC

Pilih tautan untuk langkah-langkah untuk jenis autentikasi yang ingin Anda konfigurasi:

Menerbitkan server web

Untuk membuat server virtual:

  1. Pilih Layanan Penyeimbangan>Beban Manajemen>Lalu Lintas.

  2. Pilih Tambahkan.

    Konfigurasi Citrix ADC - Panel layanan

  3. Atur nilai berikut untuk server web yang menjalankan aplikasi:

    • Nama Layanan

    • IP Server/ Server yang Ada

    • Protokol

    • Pelabuhan

      Panel konfigurasi Citrix ADC

Mengonfigurasi load balancer

Untuk mengonfigurasi load balancer:

  1. Buka Server Virtual Penyeimbangan>Beban Manajemen>Lalu Lintas.

  2. Pilih Tambahkan.

  3. Atur nilai berikut seperti yang dijelaskan dalam cuplikan layar berikut:

    • Nama
    • Protokol
    • Alamat IP
    • Pelabuhan

  4. Pilih OK.

    Konfigurasi Citrix ADC - Panel Pengaturan Dasar

Mengikat server virtual

Untuk mengikat load balancer dengan server virtual:

  1. Di panel Grup Layanan dan Layanan, pilih Tidak Ada Pengikatan Layanan Server Virtual Penyeimbangan Beban.

    Konfigurasi Citrix ADC - Panel Pengikatan Layanan Server Virtual Load Balancing

  2. Verifikasi pengaturan seperti yang diperlihatkan dalam cuplikan layar berikut, lalu pilih Tutup.

    Konfigurasi Citrix ADC - Memverifikasi pengikatan layanan server virtual

Mengikat sertifikat

Untuk menerbitkan layanan ini sebagai TLS, ikat sertifikat server, lalu uji aplikasi Anda:

  1. Di bawah Sertifikat, pilih Tidak Ada Sertifikat Server.

    Konfigurasi Citrix ADC - Panel Sertifikat Server

  2. Verifikasi pengaturan seperti yang diperlihatkan dalam cuplikan layar berikut, lalu pilih Tutup.

    Konfigurasi Citrix ADC - Verifikasi sertifikat

Profil SAML Citrix ADC

Untuk mengonfigurasi profil SAML Citrix ADC, selesaikan bagian berikut:

Membuat kebijakan autentikasi

Untuk membuat kebijakan autentikasi:

  1. Buka AAA Keamanan>– Kebijakan Lalu Lintas>>Aplikasi Kebijakan Autentikasi Kebijakan Autentikasi.>

  2. Pilih Tambahkan.

  3. Pada panel Buat Kebijakan Autentikasi, masukkan atau pilih nilai berikut ini:

    • Nama: Masukkan nama untuk kebijakan autentikasi Anda.
    • Tindakan: Masukkan SAML, lalu pilih Tambahkan.
    • Ekspresi: Masukkan true.

    Konfigurasi Citrix ADC - Panel Buat Kebijakan Autentikasi

  4. Pilih Buat.

Membuat server SAML autentikasi

Untuk membuat server SAML autentikasi, buka panel Buat Server SAML Autentikasi, lalu selesaikan langkah-langkah berikut:

  1. Untuk Nama, masukkan nama untuk server SAML autentikasi.

  2. Di bawah Ekspor Metadata SAML:

    1. Pilih kotak centang Impor Metadata .

    2. Masukkan URL metadata federasi dari UI SAML Azure yang Anda salin sebelumnya.

  3. Untuk Nama Penerbit, masukkan URL yang relevan.

  4. Pilih Buat.

Konfigurasi Citrix ADC - Buat panel Server SAML Autentikasi

Membuat server virtual autentikasi

Untuk membuat server virtual autentikasi:

  1. Buka AAA Keamanan>- Server Virtual Autentikasi>Kebijakan>Lalu Lintas>Aplikasi.

  2. Pilih Tambahkan, lalu selesaikan langkah-langkah berikut:

    1. Untuk Nama, masukkan nama untuk server virtual autentikasi.

    2. Pilih kotak centang Tidak Dapat Diatasi .

    3. Untuk Protokol, pilih SSL.

    4. Pilih OK.

    Konfigurasi Citrix ADC - Panel Server Virtual Autentikasi

Mengonfigurasi server virtual autentikasi untuk menggunakan ID Microsoft Entra

Ubah dua bagian untuk server virtual autentikasi:

  1. Pada panel Kebijakan Autentikasi Tingkat Lanjut, pilih Tidak Ada Kebijakan Autentikasi.

    Konfigurasi Citrix ADC - Panel Kebijakan Autentikasi Tingkat Lanjut

  2. Pada panel Pengikatan Kebijakan, pilih kebijakan autentikasi, lalu pilih Ikat.

    Konfigurasi Citrix ADC - Panel Pengikatan Kebijakan

  3. Pada panel Server Virtual Berbasis Formulir, pilih Tanpa Load Balancing Virtual Server.

    Konfigurasi Citrix ADC - Panel Server Virtual Berbasis Formulir

  4. Untuk Autentikasi FQDN, masukkan nama domain yang sepenuhnya memenuhi syarat (FQDN) (diperlukan).

  5. Pilih server virtual penyeimbang beban yang ingin Anda lindungi dengan autentikasi Microsoft Entra.

  6. Pilih Ikat.

    Konfigurasi Citrix ADC - Panel Pengikatan Server Virtual Load Balancing

    Nota

    Pastikan untuk memilih Selesai pada panel Konfigurasi Server Virtual Autentikasi.

  7. Untuk memverifikasi perubahan Anda, di browser, buka URL aplikasi. Anda akan melihat halaman masuk penyewa Anda alih-alih akses tidak terautentikasi yang akan Anda lihat sebelumnya.

    Konfigurasi Citrix ADC - Halaman masuk di browser web

Mengonfigurasi SSO Citrix ADC untuk autentikasi berbasis header

Mengonfigurasi Citrix ADC

Untuk mengonfigurasi Citrix ADC untuk autentikasi berbasis header, selesaikan bagian berikut.

Membuat tindakan penulisan ulang

  1. Buka AppExpert>Tulis Ulang>Tindakan Penulisan Ulang.

    Konfigurasi Citrix ADC - Panel Tindakan Penulisan Ulang

  2. Pilih Tambahkan, lalu selesaikan langkah-langkah berikut:

    1. Untuk Nama, masukkan nama untuk tindakan penulisan ulang.

    2. Untuk Jenis, masukkan INSERT_HTTP_HEADER.

    3. Untuk Nama Header, masukkan nama header (dalam contoh ini, kami menggunakan SecretID).

    4. Untuk Ekspresi, masukkan aaa. PENGGUNA. ATTRIBUTE("mySecretID"), di mana mySecretID adalah klaim MICROSOFT Entra SAML yang dikirim ke Citrix ADC.

    5. Pilih Buat.

    Konfigurasi Citrix ADC - Buat panel Tindakan Penulisan Ulang

Membuat kebijakan penulisan ulang

  1. Buka Kebijakan Penulisan Ulang> AppExpert.>

    Konfigurasi Citrix ADC - Panel Kebijakan Penulisan Ulang

  2. Pilih Tambahkan, lalu selesaikan langkah-langkah berikut:

    1. Untuk Nama, masukkan nama untuk kebijakan penulisan ulang.

    2. Untuk Tindakan, pilih tindakan penulisan ulang yang Anda buat di bagian sebelumnya.

    3. Untuk Ekspresi, masukkan true.

    4. Pilih Buat.

    Konfigurasi Citrix ADC - Buat panel Kebijakan Penulisan Ulang

Mengikat kebijakan penulisan ulang ke server virtual

Untuk mengikat kebijakan penulisan ulang ke server virtual dengan menggunakan GUI:

  1. Buka Server Virtual Penyeimbangan>Beban Manajemen>Lalu Lintas.

  2. Dalam daftar server virtual, pilih server virtual tempat Anda ingin mengikat kebijakan penulisan ulang, lalu pilih Buka.

  3. Pada panel Load Balancing Virtual Server , di bawah Pengaturan Tingkat Lanjut, pilih Kebijakan. Semua kebijakan yang dikonfigurasi untuk instans NetScaler Anda muncul dalam daftar. Konfigurasi Citrix ADC - Panel Load Balancing Virtual Server

  4. Pilih kotak centang di samping nama kebijakan yang ingin Anda ikat ke server virtual ini.

    Konfigurasi Citrix ADC - Panel Pengikatan Kebijakan Lalu Lintas Server Virtual Load Balancing

  5. Dalam kotak dialog Pilih Jenis :

    1. Untuk Pilih Kebijakan, pilih Lalu Lintas.

    2. Untuk Pilih Jenis, pilih Permintaan.

    Konfigurasi Citrix ADC - Kotak dialog Kebijakan

  6. Pilih OK. Pesan di bilah status menunjukkan bahwa kebijakan telah berhasil dikonfigurasi.

Mengubah server SAML untuk mengekstrak atribut dari klaim

  1. Buka AAA Keamanan>- Autentikasi>Kebijakan>Lalu Lintas>Aplikasi Server Tindakan>Kebijakan>Tingkat Lanjut.

  2. Pilih server SAML autentikasi yang sesuai untuk aplikasi.

    Konfigurasi Citrix ADC - Mengonfigurasi panel Server SAML Autentikasi

  3. Dalam nyeri Atribut, masukkan atribut SAML yang ingin Anda ekstrak, dipisahkan oleh koma. Dalam contoh kami, kita memasukkan atribut mySecretID.

    Konfigurasi Citrix ADC - Panel atribut

  4. Untuk memverifikasi akses, di URL di browser, cari atribut SAML di bawah Koleksi Header.

    Konfigurasi Citrix ADC - Koleksi Header di URL

Membuat pengguna uji Citrix ADC

Di bagian ini, pengguna bernama B.Simon dibuat di Citrix ADC. Citrix ADC mendukung provisi pengguna just-in-time, yang diaktifkan secara default. Tidak ada tindakan yang harus Anda ambil di bagian ini. Jika pengguna belum ada di Citrix ADC, pengguna baru dibuat setelah autentikasi.

Nota

Jika Anda perlu membuat pengguna secara manual, hubungi tim dukungan klien Citrix ADC.

Uji SSO

Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Entra dengan opsi berikut.

  • Klik Uji aplikasi ini, ini akan dialihkan ke URL Masuk Citrix ADC tempat Anda dapat memulai alur masuk.

  • Buka URL Masuk Citrix ADC secara langsung dan mulai alur masuk dari sana.

  • Anda dapat menggunakan Microsoft Aplikasi Saya. Saat Anda mengklik petak peta Citrix ADC di Aplikasi Saya, Anda akan dialihkan ke URL Masuk Citrix ADC. Untuk informasi selengkapnya tentang Aplikasi Saya, lihat Pengantar Aplikasi Saya.

Langkah berikutnya

Setelah mengonfigurasi Citrix ADC, Anda dapat menerapkan kontrol sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol sesi diperluas dari Akses Bersyar. Pelajari cara menerapkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.