Tutorial: Integração do logon único do Microsoft Entra com o Citrix ADC (autenticação baseada em cabeçalho)

Nesse tutorial, você aprenderá a integrar o Citrix ADC ao Microsoft Entra ID. Ao integrar o Citrix ADC ao Microsoft Entra ID, você poderá:

• Controlar no Microsoft Entra ID quem tem acesso ao Citrix ADC.
• Permitir que seus usuários entrem automaticamente no Citrix ADC com as respectivas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

• Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
• Uma assinatura do Citrix ADC habilitada para SSO (logon único).

Descrição do cenário

Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste. Este tutorial inclui os seguintes cenários:

• SSO iniciado por SP para o Citrix ADC

• Provisionamento de usuário Just-In-Time para o Citrix ADC

• Autenticação baseada em cabeçalho para Citrix ADC

• Autenticação baseada em Kerberos para Citrix ADC

Adicionar o Citrix ADC por meio da galeria

Para integrar o Citrix ADC ao Microsoft Entra ID, primeiro adicione o Citrix ADC à sua lista de aplicativos SaaS gerenciados a partir da galeria:

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.

3. Na seção Adicionar por meio da galeria, digite Citrix ADC na caixa de pesquisa.

4. Nos resultados, selecione Citrix ADC e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o Citrix ADC

Configure e teste o SSO do Microsoft Entra com o Citrix ADC usando um usuário de teste chamado B.Fernandes. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário correspondente no Citrix ADC.

Para configurar e testar o SSO do Microsoft Entra com o Citrix ADC, execute as seguintes etapas:

1. Configurar o SSO do Microsoft Entra: para permitir que os usuários usem esse recurso.

   1. Criar um usuário de teste do Microsoft Entra: para testar o SSO do Microsoft Entra com B.Fernandes.

   2. Atribuir o usuário de teste do Microsoft Entra: para permitir que B.Fernandes use o SSO do Microsoft Entra.

2. Configurar o SSO do Citrix ADC – para definir as configurações de SSO no lado do aplicativo.

   • Criar um usuário de teste do Citrix ADC: para ter uma contraparte de B.Fernandes no Citrix ADC que esteja vinculada à representação do usuário no Microsoft Entra.

3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Para habilitar o SSO do Microsoft Entra usando o portal do Azure, execute as seguintes etapas:

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Identidade>Aplicativos>Aplicativos empresariais> página de integração de aplicativos Citrix ADC em Gerenciar e selecione Logon único.

3. No painel Selecionar um método de logon único, selecione SAML.

4. No painel Configurar o logon único com o SAML, selecione o ícone de caneta Editar da Configuração Básica de SAML para editar as configurações.

   

5. Na seção Configuração Básica do SAML, para configurar o aplicativo no modo iniciado por IDP:

   1. Na caixa de texto Identificador, digite uma URL com o seguinte padrão: https://<Your FQDN>

   2. Na caixa de texto URL de Resposta, digite uma URL com o seguinte padrão: https://<Your FQDN>/CitrixAuthService/AuthService.asmx

6. Para configurar o aplicativo no modo Iniciado por SP, selecione Definir URLs adicionais e realize a seguinte etapa:

   • Na caixa de texto URL de Entrada, digite uma URL com o seguinte padrão: https://<Your FQDN>/CitrixAuthService/AuthService.asmx

   Observação

   • As URLs que são usadas nesta seção não são valores reais. Atualize esses valores com os valores reais do Identificador, da URL de Resposta e da URL de Logon. Contate a equipe de suporte ao cliente do Citrix ADC para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica do SAML.
   • Para configurar o SSO, as URLs devem ser acessíveis de sites públicos. Você precisa habilitar o firewall ou outras configurações de segurança no lado do Citrix ADC para habilitar o Microsoft Entra ID a postar o token na URL configurada.

7. No painel Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, encontre a URL de Metadados de Federação do Aplicativo, copie a URL e salve-a no Bloco de notas.

   

8. O aplicativo Citrix ADC espera as declarações SAML em um formato específico, o que exige a adição de mapeamentos de atributo personalizado à configuração de atributos de token SAML. A captura de tela a seguir mostra a lista de atributos padrão. Selecione o ícone Editar e altere os mapeamentos de atributo.

   

9. O aplicativo Citrix ADC também espera que mais alguns atributos sejam transmitidos novamente na resposta SAML. Na caixa de diálogo Atributos do Usuário, em Declarações do usuário, realize as seguintes etapas para adicionar os atributos de token SAML conforme mostrado na tabela:

   Nome	Atributo de origem
   mySecretID	user.userprincipalname

   1. Selecione Adicionar nova declaração para abrir a caixa de diálogo Gerenciar declarações de usuários.

   2. Na caixa de texto Nome, insira o nome do atributo mostrado para essa linha.

   3. Deixe o Namespace em branco.

   4. Para Atributo, selecione Origem.

   5. Na lista Atributo de origem, insira o valor do atributo mostrado para essa linha.

   6. Selecione OK.

   7. Selecione Salvar.

10. Na seção Configurar o Citrix ADC, copie as URLs relevantes de acordo com suas necessidades.

    

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Fernandes.

1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
2. Navegue até Identidade>Usuários>Todos os usuários.
3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
4. Nas propriedades do Usuário, siga estas etapas:
   1. No campo Nome de exibição, insira B.Simon.
   2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
   3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
   4. Selecione Examinar + criar.
5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que B.Fernandes use o SSO do Azure concedendo-lhe acesso ao Citrix ADC.

1. Navegue até Identidade>Aplicativos>Aplicativos empresariais.

2. Na lista de aplicativos, selecione Citrix ADC.

3. Na visão geral do aplicativo, em Gerenciar, selecione Usuários e grupos.

4. Selecione Adicionar usuário. Em seguida, na caixa de diálogo Adicionar Atribuição, selecione Usuários e grupos.

5. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários. Escolha Selecionar.

6. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.

7. Na caixa de diálogo Adicionar Atribuição, selecione Atribuir.

Configurar o SSO do Citrix ADC

Selecione um link para as etapas referentes ao tipo de autenticação que você deseja configurar:

• Configurar o SSO do Citrix ADC para autenticação baseada em cabeçalho

• Configurar o SSO do Citrix ADC para autenticação baseada em Kerberos

Publicar o servidor Web

Para criar um servidor virtual:

1. Selecione Gerenciamento de Tráfego>Balanceamento de Carga>Serviços.

2. Selecione Adicionar.

   

3. Defina os seguintes valores para o servidor Web que está executando os aplicativos:

   • Nome do Serviço

   • IP do servidor/servidor existente

   • Protocolo

   • Porta

     

Configure o balanceador de carga

Para configurar o balanceador de carga:

1. Acesse Gerenciamento de Tráfego>Balanceamento de Carga>Servidores Virtuais.

2. Selecione Adicionar.

3. Defina os valores a seguir, conforme descrito na seguinte captura de tela:

   • Nome
   • Protocolo
   • Endereço IP
   • Porta

4. Selecione OK.

   

Associar o servidor virtual

Para associar o balanceador de carga ao servidor virtual:

1. No painel Serviços e Grupos de Serviços, selecione Nenhuma Associação de Serviço do Servidor Virtual de Balanceamento de Carga.

   

2. Verifique as configurações conforme mostrado na captura de tela a seguir e, em seguida, selecione Fechar.

   

Associar o certificado

Para publicar esse serviço como TLS, associe o certificado do servidor e, em seguida, teste o aplicativo:

1. Em Certificado, selecione Nenhum Certificado do Servidor.

   

2. Verifique as configurações conforme mostrado na captura de tela a seguir e, em seguida, selecione Fechar.

   

Perfil SAML do Citrix ADC

Para configurar o perfil SAML do Citrix ADC, conclua as seções a seguir:

Criar uma política de autenticação

Para criar uma política de autenticação:

1. Acesse Segurança>AAA: Tráfego de Aplicativo>Políticas>Autenticação>Políticas de Autenticação.

2. Selecione Adicionar.

3. No painel Criar Política de Autenticação, insira ou selecione os seguintes valores:

   • Name: insira um nome para a política de autenticação.
   • Ação: insira SAML e selecione Adicionar.
   • Expressão: insira verdadeiro.

   

4. Selecione Criar.

Criar um servidor SAML de autenticação

Para criar um servidor SAML de autenticação, acesse o painel Criar Servidor SAML de Autenticação e, em seguida, conclua as seguintes etapas:

1. Para Nome, insira um nome para o servidor SAML de autenticação.

2. Em Exportar Metadados SAML:

   1. Marque a caixa de seleção Importar Metadados.

   2. Insira a URL de metadados de federação da interface do usuário SAML do Azure que você copiou anteriormente.

3. Para Nome do Emissor, insira a URL relevante.

4. Selecione Criar.

Criar um servidor virtual de autenticação

Para criar um servidor virtual de autenticação:

1. Acesse Segurança>AAA: Tráfego de Aplicativo>Políticas>Autenticação>Servidores Virtuais de Autenticação.

2. Selecione Adicionar e conclua as etapas a seguir:

   1. Para Nome, insira um nome para o servidor virtual de autenticação.

   2. Marque a caixa de seleção Não endereçável.

   3. Em Protocolo, selecione SSL.

   4. Selecione OK.

   

Configurar o servidor virtual de autenticação para usar o Microsoft Entra ID

Modifique duas seções para o servidor virtual de autenticação:

1. No painel Políticas de Autenticação Avançadas, selecione Nenhuma Política de Autenticação.

   

2. No painel Associação de Política, selecione a política de autenticação e, em seguida, selecione Associar.

   

3. No painel Servidores Virtuais Baseados em Formulário, selecione Nenhum Servidor Virtual de Balanceamento de Carga.

   

4. Para FQDN de Autenticação, insira um FQDN (nome de domínio totalmente qualificado) (obrigatório).

5. Selecione o servidor virtual de balanceamento de carga que você quer proteger com a autenticação do Microsoft Entra.

6. Selecione Associar.

   

   Observação

   Selecione Concluído no painel Configuração do Servidor Virtual de Autenticação.

7. Para verificar as alterações, em um navegador, vá para a URL do aplicativo. Você deve ver sua página de entrada do locatário em vez do acesso não autenticado que você viu anteriormente.

   

Configurar o SSO do Citrix ADC para autenticação baseada em cabeçalho

Configurar o Citrix ADC

Para configurar o Citrix ADC para autenticação baseada em cabeçalho, conclua as seções a seguir.

Criar uma ação de reescrita

1. Acesse AppExpert>Reescrita>Ações de Reescrita.

   

2. Selecione Adicionar e conclua as etapas a seguir:

   1. Para Nome, insira um nome para a ação de reescrita.

   2. Para Tipo, insira INSERT_HTTP_HEADER.

   3. Para Nome do Cabeçalho, insira um nome de cabeçalho (neste exemplo, usamos SecretID).

   4. Para Expressão, insira aaa.USER.ATTRIBUTE("mySecretID"), onde mySecretID é a declaração SAML do Microsoft Entra que foi enviada ao Citrix ADC.

   5. Selecione Criar.

   

Crie uma política de reescrita

1. Acesse AppExpert>Reescrita>Políticas de Reescrita.

   

2. Selecione Adicionar e conclua as etapas a seguir:

   1. Para Nome, insira um nome para a política de reescrita.

   2. Para Ação, selecione a ação de reescrita criada na seção anterior.

   3. Para Expressão, digite true.

   4. Selecione Criar.

   

Associar a política de reescrita a um servidor virtual

Para associar uma política de reescrita a um servidor virtual usando a GUI:

1. Acesse Gerenciamento de Tráfego>Balanceamento de Carga>Servidores Virtuais.

2. Na lista de servidores virtuais, selecione o servidor virtual ao qual deseja associar a política de reescrita e, em seguida, seleciona Abrir.

3. No painel Servidor Virtual de Balanceamento de Carga, em Configurações Avançadas, selecione Políticas. Todas as políticas que são configuradas para sua instância do NetScaler aparecem na lista.

   

   

4. Marque a caixa de seleção ao lado do nome da política que deseja associar a esse servidor virtual.

   

5. Na caixa de diálogo Escolher Tipo:

   1. Em Escolher Política, selecione Tráfego.

   2. Em Escolher Tipo, selecione Solicitação.

   

6. Selecione OK. Uma mensagem na barra de status indica que a política foi configurada com êxito.

Modificar o servidor SAML para extrair atributos de uma declaração

1. Acesse Segurança>AAA: Tráfego de Aplicativo>Políticas>Autenticação>Políticas Avançadas>Ações>Servidores.

2. Selecione o Servidor SAML de Autenticação apropriado para o aplicativo.

   

3. No painel Atributos, insira os atributos SAML que você deseja extrair, separados por vírgulas. Em nosso exemplo, inserimos o atributo mySecretID.

   

4. Para verificar o acesso, na URL em um navegador, procure o atributo SAML em Coleção de Cabeçalhos.

   

Criar um usuário de teste do Citrix ADC

Nesta seção, um usuário de nome B.Fernandes é criado no Citrix ADC. O Citrix ADC é compatível com o provisionamento de usuários Just-In-Time, que está habilitado por padrão. Não há nenhuma ação para você executar nesta seção. Se um usuário ainda não existir no Citrix ADC, um será criado após a autenticação.

Observação

Se for necessário criar um usuário manualmente, contate a equipe de suporte ao Cliente do Citrix ADC.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

• Clique em Testar este aplicativo, isso redirecionará você à URL de logon do Citrix ADC, onde poderá iniciar o fluxo de logon.

• Acesse a URL de Entrada do Citrix ADC diretamente e inicie o fluxo de logon nesse local.

• Você pode usar os Meus Aplicativos da Microsoft. Quando você clicar no bloco do Citrix ADC em Meus Aplicativos, isso redirecionará você à URL de Logon do Citrix ADC. Para obter mais informações sobre os Meus Aplicativos, confira Introdução aos Meus Aplicativos.

Próximas etapas

Depois de configurar o Citrix ADC, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.