Configurar o Citrix ADC SAML Connector for Microsoft Entra ID (autenticação baseada em Kerberos) para logon único com o Microsoft Entra ID

Neste artigo, você aprenderá a integrar o Citrix ADC SAML Connector for Microsoft Entra ID à ID do Microsoft Entra. Ao integrar o conector SAML do Citrix ADC para Microsoft Entra ID com o Microsoft Entra ID, você poderá:

• Controlar, no Microsoft Entra ID, quem tem acesso ao conector SAML Citrix ADC para Microsoft Entra ID.
• Permita que seus usuários entrem automaticamente no conector SAML do Citrix ADC para Microsoft Entra ID com suas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se você ainda não tem uma conta, é possível criar uma conta gratuita.
• Uma das seguintes funções:
  • Administrador de Aplicativos
  • Administrador de Aplicativos de Nuvem
  • Proprietário do aplicativo.

• Assinatura habilitada para SSO (logon único) do conector SAML do Citrix ADC para Microsoft Entra.

Descrição do cenário

Neste artigo, você configurará e testará o SSO do Microsoft Entra em um ambiente de teste. O artigo inclui estes cenários:

• SSO iniciado por SP para o conector SAML do Citrix ADC para Microsoft Entra ID.

• Provisionamento de usuário just-in-time para o conector SAML do Citrix ADC para Microsoft Entra ID.

• Autenticação baseada em Kerberos para o conector SAML do Citrix ADC para Microsoft Entra ID.

• Autenticação baseada em cabeçalho para o conector SAML do Citrix ADC para Microsoft Entra ID.

Adicionar o conector SAML do Citrix ADC para Microsoft Entra ID da galeria

Para integrar o conector SAML do Citrix ADC para Microsoft Entra ID ao Microsoft Entra ID, primeiro, adicione o conector SAML do Citrix ADC para Microsoft Entra ID da galeria à lista de aplicativos SaaS gerenciados:

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.

3. Na seção Adicionar da galeria, insira o conector SAML do Citrix ADC para Microsoft Entra ID na caixa de pesquisa.

4. Nos resultados, selecione o conector SAML do Citrix ADC para Microsoft Entra ID e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e também percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o conector SAML do Citrix ADC para Microsoft Entra ID

Configure e teste o SSO do Microsoft Entra com o conector SAML do Citrix ADC para Microsoft Entra ID por meio de um usuário de teste chamado B.Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no conector do SAML do Citrix ADC para Microsoft Entra ID.

Para configurar e testar o SSO do Microsoft Entra com o conector SAML do Citrix ADC para Microsoft Entra ID, execute as seguintes etapas:

1. Configurar o SSO do Microsoft Entra – para permitir que os usuários usem esse recurso.

   1. Crie um usuário de teste do Microsoft Entra para testar o SSO do Microsoft Entra com B. Simon.

   2. Atribua o usuário de teste do Microsoft Entra para permitir que B.Simon utilize o SSO do Microsoft Entra.

2. Configurar o SSO do conector SAML do Citrix ADC para Microsoft Entra – para definir as configurações de SSO no lado do aplicativo.

   1. Crie um usuário de teste do Citrix ADC SAML Connector para Microsoft Entra – para ter um equivalente de B.Simon no Citrix ADC SAML Connector for Microsoft Entra ID, vinculado à representação do usuário no Microsoft Entra.

3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Para habilitar o SSO do Microsoft Entra usando o portal do Azure, execute as seguintes etapas:

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Entra ID>aplicativos empresariais>Citrix ADC SAML Connector for Microsoft Entra ID no painel de integração, em Gerenciar, selecione Logon único.

3. No painel Selecionar um método de logon único, selecione SAML.

4. No painel Configurar o Logon Único com o SAML, selecione o ícone de lápis de Configuração Básica do SAML para editar as configurações.

   

5. Na seção Configuração Básica do SAML, para configurar o aplicativo no modo iniciado por IdP, execute as seguintes etapas:

   1. Na caixa de texto Identificador, digite uma URL com o seguinte padrão: https://<YOUR_FQDN>

   2. Na caixa de texto URL de Resposta, digite uma URL com o seguinte padrão: http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

6. Para configurar o aplicativo no modo iniciado por SP, selecione Definir URLs adicionais e execute a seguinte etapa:

   • Na caixa de texto URL de Entrada, digite uma URL com o seguinte padrão: https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

   Observação

   • As URLs que são usadas nesta seção não são valores reais. Atualize esses valores com os valores reais do Identificador, da URL de Resposta e da URL de Logon. Entre em contato com a equipe de suporte ao cliente do conector SAML do Citrix ADC para Microsoft Entra para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica do SAML.
   • Para configurar o SSO, as URLs devem ser acessíveis de sites públicos. É necessário habilitar o firewall ou outras configurações de segurança no lado do conector SAML do Citrix ADC para Microsoft Entra ID a fim de permitir que o Microsoft Entra ID publique o token na URL configurada.

7. No painel Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, encontre a URL de Metadados de Federação do Aplicativo, copie a URL e salve-a no Bloco de notas.

   

8. Na seção Configurar o conector SAML do Citrix ADC para Microsoft Entra ID, copie as URLs relevantes de acordo com suas necessidades.

   

Criar e atribuir um usuário de teste do Microsoft Entra

Siga as diretrizes no início rápido de criação e atribuição de uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Configurar o SSO do conector SAML do Citrix ADC do Microsoft Entra

Selecione um link para as etapas referentes ao tipo de autenticação que você deseja configurar:

• Configurar o SSO do conector SAML do Citrix ADC para Microsoft Entra para autenticação baseada em Kerberos

• Configurar o SSO do conector SAML do Citrix ADC para Microsoft Entra para autenticação baseada em cabeçalho

Publicar o servidor Web

Para criar um servidor virtual:

1. Selecione Gerenciamento de Tráfego>Balanceamento de Carga>Serviços.

2. Selecione Adicionar.

   

3. Defina os seguintes valores para o servidor Web que está executando os aplicativos:

   • Nome do Serviço
   • IP do servidor/servidor existente
   • Protocolo
   • Porta

Configure o balanceador de carga

Para configurar o balanceador de carga:

1. Acesse Gerenciamento de Tráfego>Balanceamento de Carga>Servidores Virtuais.

2. Selecione Adicionar.

3. Defina os valores a seguir, conforme descrito na seguinte captura de tela:

   • Nome
   • Protocolo
   • Endereço IP
   • Porta

4. Selecione OK.

   

Associar o servidor virtual

Para associar o balanceador de carga ao servidor virtual:

1. No painel Serviços e Grupos de Serviços, selecione Nenhuma Associação de Serviço do Servidor Virtual de Balanceamento de Carga.

   

2. Verifique as configurações conforme mostrado na captura de tela a seguir e, em seguida, selecione Fechar.

   

Associar o certificado

Para publicar esse serviço como TLS, associe o certificado do servidor e, em seguida, teste o aplicativo:

1. Em Certificado, selecione Nenhum Certificado do Servidor.

   

2. Verifique as configurações conforme mostrado na captura de tela a seguir e, em seguida, selecione Fechar.

   

Perfil SAML do conector SAML do Citrix ADC do Microsoft Entra

Para configurar o perfil SAML do conector SAML do Citrix ADC para Microsoft Entra, conclua as seções a seguir.

Criar uma política de autenticação

Para criar uma política de autenticação:

1. Acesse Segurança>AAA: Tráfego de Aplicativo>Políticas>Autenticação>Políticas de Autenticação.

2. Selecione Adicionar.

3. No painel Criar Política de Autenticação, insira ou selecione os seguintes valores:

   • Name: insira um nome para a política de autenticação.
   • Ação: insira SAML e selecione Adicionar.
   • Expressão: insira verdadeiro.

   

4. Selecione Criar.

Criar um servidor SAML de autenticação

Para criar um servidor SAML de autenticação, acesse o painel Criar Servidor SAML de Autenticação e, em seguida, conclua as seguintes etapas:

1. Para Nome, insira um nome para o servidor SAML de autenticação.

2. Em Exportar Metadados SAML:

   1. Marque a caixa de seleção Importar Metadados.

   2. Insira a URL de metadados de federação da interface do usuário SAML do Azure que você copiou anteriormente.

3. Para Nome do Emissor, insira a URL relevante.

4. Selecione Criar.

Criar um servidor virtual de autenticação

Para criar um servidor virtual de autenticação:

1. Acesse Segurança>AAA: Tráfego de Aplicativo>Políticas>Autenticação>Servidores Virtuais de Autenticação.

2. Selecione Adicionar e conclua as etapas a seguir:

   1. Para Nome, insira um nome para o servidor virtual de autenticação.

   2. Marque a caixa de seleção Não endereçável.

   3. Em Protocolo, selecione SSL.

   4. Selecione OK.

3. Selecione Continuar.

Configurar o servidor virtual de autenticação para usar o Microsoft Entra ID

Modifique duas seções para o servidor virtual de autenticação:

1. No painel Políticas de Autenticação Avançadas, selecione Nenhuma Política de Autenticação.

   

2. No painel Associação de Política, selecione a política de autenticação e, em seguida, selecione Associar.

   

3. No painel Servidores Virtuais Baseados em Formulário, selecione Nenhum Servidor Virtual de Balanceamento de Carga.

   

4. Para FQDN de Autenticação, insira um FQDN (nome de domínio totalmente qualificado) (obrigatório).

5. Selecione o servidor virtual de balanceamento de carga que você quer proteger com a autenticação do Microsoft Entra.

6. Selecione Associar.

   

   Observação

   Selecione Concluído no painel Configuração do Servidor Virtual de Autenticação.

7. Para verificar as alterações, em um navegador, vá para a URL do aplicativo. Você deve ver sua página de entrada do locatário em vez do acesso não autenticado que você viu anteriormente.

   

Configurar o SSO do conector SAML do Citrix ADC para Microsoft Entra para autenticação baseada em Kerberos

Criar uma conta de delegação Kerberos para o conector SAML do Citrix ADC para Microsoft Entra ID

1. Crie uma Conta de usuário (neste exemplo AppDelegation).

   

2. Configure um SPN de HOST nessas contas.

   Exemplo: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

   Neste exemplo:

   • IDENTT.WORK é o FQDN do domínio.
   • identt é o nome NetBIOS do domínio.
   • appdelegation é o nome da conta de usuário de delegação.

3. Configure a delegação para o servidor Web, conforme mostrado na seguinte captura de tela:

   

   Observação

   No exemplo da captura de tela, o nome do servidor Web interno que executa o site da WIA (Autenticação Integrada do Windows) é CWEB2.

AAA KCD (contas de delegação Kerberos) do conector SAML do Citrix ADC para Microsoft Entra

Para configurar a conta AAA KCD do conector SAML do Citrix ADC para Microsoft Entra:

1. Acesse o Gateway do Citrix>Contas AAA KCD (Delegação Restrita do Kerberos).

2. Selecione Adicionar e, em seguida, insira ou selecione os seguintes valores:

   • Name: insira um nome para a conta da KCD.

   • Realm: insira o domínio e a extensão em letras maiúsculas.

   • SPN de serviço: http/<host/fqdn>@<DOMAIN.COM>.

     Observação

     @DOMAIN.COM é necessário e deve estar em letras maiúsculas. Exemplo: http/cweb2@IDENTT.WORK.

   • Usuário Delegado: insira o nome de usuário delegado.

   • Marque a caixa de seleção Senha para Usuário Delegado e digite e confirme uma senha.

3. Selecione OK.

Política de tráfego e perfil de tráfego do Citrix

Para configurar a política de tráfego e perfil de tráfego do Citrix:

1. Acesse Segurança>AAA – Tráfego de Aplicativo>Políticas>Políticas de Tráfego, Perfis e Formulários Perfis de SSO Políticas de Tráfego.

2. Selecione Perfis de Tráfego.

3. Selecione Adicionar.

4. Para configurar um perfil de tráfego, digite ou selecione os valores a seguir.

   • Name: insira um nome para o perfil de tráfego.

   • Logon único: selecione ATIVADO.

   • Conta da KCD: selecione a conta da KCD criada na seção anterior.

5. Selecione OK.

   

6. Selecione Política de Tráfego.

7. Selecione Adicionar.

8. Para configurar uma política de tráfego, digite ou selecione os valores a seguir:

   • Name: insira um nome para a política de tráfego.

   • Perfil: selecione o perfil de tráfego criado na seção anterior.

   • Expressão: insira verdadeiro.

9. Selecione OK.

   

Associar uma política de tráfego a um servidor virtual no Citrix

Para associar uma política de Tráfego a um servidor virtual usando a GUI:

1. Acesse Gerenciamento de Tráfego>Balanceamento de Carga>Servidores Virtuais.

2. Na lista de servidores virtuais, selecione o servidor virtual ao qual deseja associar a política de reescrita e, em seguida, seleciona Abrir.

3. No painel Servidor Virtual de Balanceamento de Carga, em Configurações Avançadas, selecione Políticas. Todas as políticas que são configuradas para sua instância do NetScaler aparecem na lista.

   

   

4. Marque a caixa de seleção ao lado do nome da política que deseja associar a esse servidor virtual.

   

5. Na caixa de diálogo Escolher Tipo:

   1. Em Escolher Política, selecione Tráfego.

   2. Em Escolher Tipo, selecione Solicitação.

   

6. Quando a política estiver associada, selecione Concluído.

   

7. Teste a associação usando o site do WIA.

   

Criar usuário de teste do conector SAML do Citrix ADC do Microsoft Entra

Nesta seção, um usuário chamado B.Fernandes será criado no conector SAML do Citrix ADC para Microsoft Entra ID. O conector SAML do Citrix ADC para Microsoft Entra ID dá suporte ao provisionamento de usuário just-in-time, que é habilitado por padrão. Não há nenhuma ação para você executar nesta seção. Se ainda não houver um usuário no conector SAML do Citrix ADC para Microsoft Entra ID, ele será criado após a autenticação.

Observação

Caso precise criar um usuário manualmente, entre em contato com a equipe de suporte ao cliente do conector SAML do Citrix ADC para Microsoft Entra.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

• Selecione Testar este aplicativo, essa opção redireciona para a URL de Logon do Citrix ADC SAML Connector for Microsoft Entra, na qual você pode iniciar o fluxo de logon.

• Acesse diretamente a URL de logon do conector SAML do Citrix ADC para Microsoft Entra e inicie o fluxo de logon aí.

• Você pode usar os Meus Aplicativos da Microsoft. Quando você seleciona o bloco Citrix ADC SAML Connector for Microsoft Entra ID em Meus Aplicativos, essa opção redireciona para a URL de Login do Citrix ADC SAML Connector para Microsoft Entra. Para obter mais informações sobre os Meus Aplicativos, confira Introdução aos Meus Aplicativos.

Conteúdo relacionado

Depois de configurar o conector SAML do Citrix ADC para Microsoft Entra ID, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.