Tutorial: Integração do logon único do Microsoft Entra ao conector SAML do Citrix ADC para Microsoft Entra ID (autenticação baseada em Kerberos)

  • Artigo

Neste tutorial, você aprenderá a integrar o conector SAML do Citrix ADC para Microsoft Entra ID com o Microsoft Entra ID. Ao integrar o conector SAML do Citrix ADC para Microsoft Entra ID com o Microsoft Entra ID, você poderá:

  • Controlar, no Microsoft Entra ID, quem tem acesso ao conector SAML Citrix ADC para Microsoft Entra ID.
  • Permita que seus usuários entrem automaticamente no conector SAML do Citrix ADC para Microsoft Entra ID com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
  • Assinatura habilitada para SSO (logon único) do conector SAML do Citrix ADC para Microsoft Entra.

Descrição do cenário

Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste. Este tutorial inclui os seguintes cenários:

Para integrar o conector SAML do Citrix ADC para Microsoft Entra ID ao Microsoft Entra ID, primeiro, adicione o conector SAML do Citrix ADC para Microsoft Entra ID da galeria à lista de aplicativos SaaS gerenciados:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.

  3. Na seção Adicionar da galeria, insira o conector SAML do Citrix ADC para Microsoft Entra ID na caixa de pesquisa.

  4. Nos resultados, selecione o conector SAML do Citrix ADC para Microsoft Entra ID e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o conector SAML do Citrix ADC para Microsoft Entra ID

Configure e teste o SSO do Microsoft Entra com o conector SAML do Citrix ADC para Microsoft Entra ID por meio de um usuário de teste chamado B.Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no conector do SAML do Citrix ADC para Microsoft Entra ID.

Para configurar e testar o SSO do Microsoft Entra com o conector SAML do Citrix ADC para Microsoft Entra ID, execute as seguintes etapas:

  1. Configurar o SSO do Microsoft Entra – para permitir que os usuários usem esse recurso.

    1. Criar um usuário de teste do Microsoft Entra: para testar o SSO do Microsoft Entra com B.Fernandes.

    2. Atribuir o usuário de teste do Microsoft Entra – para permitir que B.Fernandes use o SSO do Microsoft Entra.

  2. Configurar o SSO do conector SAML do Citrix ADC para Microsoft Entra – para definir as configurações de SSO no lado do aplicativo.

    1. Criar um usuário de teste do conector SAML do Citrix ADC para Microsoft Entra – para ter um equivalente de B.Fernandes no conector SAML do Citrix ADC para Microsoft Entra ID que esteja vinculado à representação do usuário no Microsoft Entra.

  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Para habilitar o SSO do Microsoft Entra usando o portal do Azure, execute as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até o painel de integração de aplicativos Identidade>Aplicativos>Aplicativos empresariais>Conector SAML do Citrix ADC para Microsoft Entra ID, em Gerenciar, e selecione Logon único.

  3. No painel Selecionar um método de logon único, selecione SAML.

  4. No painel Configurar o Logon Único com o SAML, selecione o ícone de lápis de Configuração Básica do SAML para editar as configurações.

    Screenshot shows to edit Basic SAML Configuration.

  5. Na seção Configuração Básica do SAML, para configurar o aplicativo no modo iniciado por IdP, execute as seguintes etapas:

    1. Na caixa de texto Identificador, digite uma URL com o seguinte padrão: https://<YOUR_FQDN>

    2. Na caixa de texto URL de Resposta, digite uma URL com o seguinte padrão: http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

  6. Para configurar o aplicativo no modo iniciado por SP, selecione Definir URLs adicionais e execute a seguinte etapa:

    • Na caixa de texto URL de Entrada, digite uma URL com o seguinte padrão: https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

    Observação

    • As URLs que são usadas nesta seção não são valores reais. Atualize esses valores com os valores reais do Identificador, da URL de Resposta e da URL de Logon. Entre em contato com a equipe de suporte ao cliente do conector SAML do Citrix ADC para Microsoft Entra para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica do SAML.
    • Para configurar o SSO, as URLs devem ser acessíveis de sites públicos. É necessário habilitar o firewall ou outras configurações de segurança no lado do conector SAML do Citrix ADC para Microsoft Entra ID a fim de permitir que o Microsoft Entra ID publique o token na URL configurada.

  7. No painel Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, encontre a URL de Metadados de Federação do Aplicativo, copie a URL e salve-a no Bloco de notas.

    Screenshot shows the Certificate download link.

  8. Na seção Configurar o conector SAML do Citrix ADC para Microsoft Entra ID, copie as URLs relevantes de acordo com suas necessidades.

    Screenshot shows to copy configuration URLs.

Criar um usuário de teste do Microsoft Entra

Nesta seção, crie um usuário de teste chamado B.Simon.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
  4. Nas propriedades do Usuário, siga estas etapas:
    1. No campo Nome de exibição, insira B.Simon.
    2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
    4. Selecione Examinar + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que o usuário B.Fernandes use o SSO do Azure concedendo-lhe acesso ao conector SAML do Citrix ADC para Microsoft Entra ID.

  1. Navegue até Identidade>Aplicativos>Aplicativos empresariais.

  2. Na lista de aplicativos, selecione Conector SAML do Citrix ADC para Microsoft Entra ID.

  3. Na visão geral do aplicativo, em Gerenciar, selecione Usuários e grupos.

  4. Selecione Adicionar usuário. Em seguida, na caixa de diálogo Adicionar Atribuição, selecione Usuários e grupos.

  5. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários. Escolha Selecionar.

  6. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.

  7. Na caixa de diálogo Adicionar Atribuição, selecione Atribuir.

Configurar o SSO do conector SAML do Citrix ADC do Microsoft Entra

Selecione um link para as etapas referentes ao tipo de autenticação que você deseja configurar:

Publicar o servidor Web

Para criar um servidor virtual:

  1. Selecione Gerenciamento de Tráfego>Balanceamento de Carga>Serviços.

  2. Selecione Adicionar.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Services pane.

  3. Defina os seguintes valores para o servidor Web que está executando os aplicativos:

    • Nome do Serviço
    • IP do servidor/servidor existente
    • Protocolo
    • Porta

Configure o balanceador de carga

Para configurar o balanceador de carga:

  1. Acesse Gerenciamento de Tráfego>Balanceamento de Carga>Servidores Virtuais.

  2. Selecione Adicionar.

  3. Defina os valores a seguir, conforme descrito na seguinte captura de tela:

    • Nome
    • Protocolo
    • Endereço IP
    • Porta

  4. Selecione OK.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Basic Settings pane.

Associar o servidor virtual

Para associar o balanceador de carga ao servidor virtual:

  1. No painel Serviços e Grupos de Serviços, selecione Nenhuma Associação de Serviço do Servidor Virtual de Balanceamento de Carga.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Load Balancing Virtual Server Service Binding pane.

  2. Verifique as configurações conforme mostrado na captura de tela a seguir e, em seguida, selecione Fechar.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Verify the virtual server services binding.

Associar o certificado

Para publicar esse serviço como TLS, associe o certificado do servidor e, em seguida, teste o aplicativo:

  1. Em Certificado, selecione Nenhum Certificado do Servidor.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Server Certificate pane.

  2. Verifique as configurações conforme mostrado na captura de tela a seguir e, em seguida, selecione Fechar.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Verify the certificate.

Perfil SAML do conector SAML do Citrix ADC do Microsoft Entra

Para configurar o perfil SAML do conector SAML do Citrix ADC para Microsoft Entra, conclua as seções a seguir.

Criar uma política de autenticação

Para criar uma política de autenticação:

  1. Acesse Segurança>AAA: Tráfego de Aplicativo>Políticas>Autenticação>Políticas de Autenticação.

  2. Selecione Adicionar.

  3. No painel Criar Política de Autenticação, insira ou selecione os seguintes valores:

    • Name: insira um nome para a política de autenticação.
    • Ação: insira SAML e selecione Adicionar.
    • Expressão: insira verdadeiro.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Create Authentication Policy pane.

  4. Selecione Criar.

Criar um servidor SAML de autenticação

Para criar um servidor SAML de autenticação, acesse o painel Criar Servidor SAML de Autenticação e, em seguida, conclua as seguintes etapas:

  1. Para Nome, insira um nome para o servidor SAML de autenticação.

  2. Em Exportar Metadados SAML:

    1. Marque a caixa de seleção Importar Metadados.

    2. Insira a URL de metadados de federação da interface do usuário SAML do Azure que você copiou anteriormente.

  3. Para Nome do Emissor, insira a URL relevante.

  4. Selecione Criar.

Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Create Authentication SAML Server pane.

Criar um servidor virtual de autenticação

Para criar um servidor virtual de autenticação:

  1. Acesse Segurança>AAA: Tráfego de Aplicativo>Políticas>Autenticação>Servidores Virtuais de Autenticação.

  2. Selecione Adicionar e conclua as etapas a seguir:

    1. Para Nome, insira um nome para o servidor virtual de autenticação.

    2. Marque a caixa de seleção Não endereçável.

    3. Em Protocolo, selecione SSL.

    4. Selecione OK.

  3. Selecione Continuar.

Configurar o servidor virtual de autenticação para usar o Microsoft Entra ID

Modifique duas seções para o servidor virtual de autenticação:

  1. No painel Políticas de Autenticação Avançadas, selecione Nenhuma Política de Autenticação.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Advanced Authentication Policies pane.

  2. No painel Associação de Política, selecione a política de autenticação e, em seguida, selecione Associar.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Policy Binding pane

  3. No painel Servidores Virtuais Baseados em Formulário, selecione Nenhum Servidor Virtual de Balanceamento de Carga.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Form Based Virtual Servers pane.

  4. Para FQDN de Autenticação, insira um FQDN (nome de domínio totalmente qualificado) (obrigatório).

  5. Selecione o servidor virtual de balanceamento de carga que você quer proteger com a autenticação do Microsoft Entra.

  6. Selecione Associar.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Load Balancing Virtual Server Binding pane.

    Observação

    Selecione Concluído no painel Configuração do Servidor Virtual de Autenticação.

  7. Para verificar as alterações, em um navegador, vá para a URL do aplicativo. Você deve ver sua página de entrada do locatário em vez do acesso não autenticado que você viu anteriormente.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - A sign-in page in a web browser.

Configurar o SSO do conector SAML do Citrix ADC para Microsoft Entra para autenticação baseada em Kerberos

Criar uma conta de delegação Kerberos para o conector SAML do Citrix ADC para Microsoft Entra ID

  1. Crie uma Conta de usuário (neste exemplo AppDelegation).

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Properties pane.

  2. Configure um SPN de HOST nessas contas.

    Exemplo: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

    Neste exemplo:

    • IDENTT.WORK é o FQDN do domínio.
    • identt é o nome NetBIOS do domínio.
    • appdelegation é o nome da conta de usuário de delegação.

  3. Configure a delegação para o servidor Web, conforme mostrado na seguinte captura de tela:

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Delegation under Properties pane.

    Observação

    No exemplo da captura de tela, o nome do servidor Web interno que executa o site da WIA (Autenticação Integrada do Windows) é CWEB2.

AAA KCD (contas de delegação Kerberos) do conector SAML do Citrix ADC para Microsoft Entra

Para configurar a conta AAA KCD do conector SAML do Citrix ADC para Microsoft Entra:

  1. Acesse o Gateway do Citrix>Contas AAA KCD (Delegação Restrita do Kerberos).

  2. Selecione Adicionar e, em seguida, insira ou selecione os seguintes valores:

    • Name: insira um nome para a conta da KCD.

    • Realm: insira o domínio e a extensão em letras maiúsculas.

    • SPN de serviço: http/<host/fqdn>@<DOMAIN.COM>.

      Observação

      @DOMAIN.COM é necessário e deve estar em letras maiúsculas. Exemplo: http/cweb2@IDENTT.WORK.

    • Usuário Delegado: insira o nome de usuário delegado.

    • Marque a caixa de seleção Senha para Usuário Delegado e digite e confirme uma senha.

  3. Selecione OK.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Configure KCD Account pane

Política de tráfego e perfil de tráfego do Citrix

Para configurar a política de tráfego e perfil de tráfego do Citrix:

  1. Acesse Segurança>AAA – Tráfego de Aplicativo>Políticas>Políticas de Tráfego, Perfis e Formulários Perfis de SSO Políticas de Tráfego.

  2. Selecione Perfis de Tráfego.

  3. Selecione Adicionar.

  4. Para configurar um perfil de tráfego, digite ou selecione os valores a seguir.

    • Name: insira um nome para o perfil de tráfego.

    • Logon único: selecione ATIVADO.

    • Conta da KCD: selecione a conta da KCD criada na seção anterior.

  5. Selecione OK.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Configure Traffic Profile pane.

  6. Selecione Política de Tráfego.

  7. Selecione Adicionar.

  8. Para configurar uma política de tráfego, digite ou selecione os valores a seguir:

    • Name: insira um nome para a política de tráfego.

    • Perfil: selecione o perfil de tráfego criado na seção anterior.

    • Expressão: insira verdadeiro.

  9. Selecione OK.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Configure Traffic Policy pane

Associar uma política de tráfego a um servidor virtual no Citrix

Para associar uma política de Tráfego a um servidor virtual usando a GUI:

  1. Acesse Gerenciamento de Tráfego>Balanceamento de Carga>Servidores Virtuais.

  2. Na lista de servidores virtuais, selecione o servidor virtual ao qual deseja associar a política de reescrita e, em seguida, seleciona Abrir.

  3. No painel Servidor Virtual de Balanceamento de Carga, em Configurações Avançadas, selecione Políticas. Todas as políticas que são configuradas para sua instância do NetScaler aparecem na lista.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Load Balancing Virtual Server pane.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Policies dialog box.

  4. Marque a caixa de seleção ao lado do nome da política que deseja associar a esse servidor virtual.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Load Balancing Virtual Server Traffic Policy Binding pane.

  5. Na caixa de diálogo Escolher Tipo:

    1. Em Escolher Política, selecione Tráfego.

    2. Em Escolher Tipo, selecione Solicitação.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Choose Type pane.

  6. Quando a política estiver associada, selecione Concluído.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - Policies pane.

  7. Teste a associação usando o site do WIA.

    Screenshot of Citrix ADC SAML Connector for Microsoft Entra configuration - A test page in a web browser

Criar usuário de teste do conector SAML do Citrix ADC do Microsoft Entra

Nesta seção, um usuário chamado B.Fernandes será criado no conector SAML do Citrix ADC para Microsoft Entra ID. O conector SAML do Citrix ADC para Microsoft Entra ID dá suporte ao provisionamento de usuário just-in-time, que é habilitado por padrão. Não há nenhuma ação para você executar nesta seção. Se ainda não houver um usuário no conector SAML do Citrix ADC para Microsoft Entra ID, ele será criado após a autenticação.

Observação

Caso precise criar um usuário manualmente, entre em contato com a equipe de suporte ao cliente do conector SAML do Citrix ADC para Microsoft Entra.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

  • Clique em Testar este aplicativo para ser redirecionado à URL de logon do conector SAML do Citrix ADC para Microsoft Entra, onde você poderá iniciar o fluxo de logon.

  • Acesse diretamente a URL de logon do conector SAML do Citrix ADC para Microsoft Entra e inicie o fluxo de logon aí.

  • Você pode usar os Meus Aplicativos da Microsoft. Ao clicar no bloco do conector SAML do Citrix ADC para Microsoft Entra ID em Meus Aplicativos, você será redirecionado à URL de logon do conector SAML do Citrix ADC para Microsoft Entra. Para obter mais informações sobre os Meus Aplicativos, confira Introdução aos Meus Aplicativos.

Próximas etapas

Depois de configurar o conector SAML do Citrix ADC para Microsoft Entra ID, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.