Tutorial: Integração de logon único do Microsoft Entra com o Citrix ADC SAML Connector for Microsoft Entra ID (autenticação baseada em Kerberos)

Neste tutorial, você aprenderá como integrar o Citrix ADC SAML Connector for Microsoft Entra ID com o Microsoft Entra ID. Ao integrar o Citrix ADC SAML Connector for Microsoft Entra ID com o Microsoft Entra ID, você pode:

• Controle no Microsoft Entra ID quem tem acesso ao Citrix ADC SAML Connector for Microsoft Entra ID.
• Permita que seus usuários entrem automaticamente no Citrix ADC SAML Connector for Microsoft Entra ID com suas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisa dos seguintes itens:

• Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
• Citrix ADC SAML Connector para Microsoft Entra logon único (SSO) habilitado para assinatura.

Descrição do cenário

Neste tutorial, você configura e testa o Microsoft Entra SSO em um ambiente de teste. O tutorial inclui estes cenários:

• SSO iniciado por SP para Citrix ADC SAML Connector for Microsoft Entra ID.

• Provisionamento de usuário Just in time para o Citrix ADC SAML Connector for Microsoft Entra ID.

• Autenticação baseada em Kerberos para Citrix ADC SAML Connector for Microsoft Entra ID.

• Autenticação baseada em cabeçalho para o Citrix ADC SAML Connector for Microsoft Entra ID.

Adicionar Citrix ADC SAML Connector for Microsoft Entra ID da galeria

Para integrar o Citrix ADC SAML Connector for Microsoft Entra ID com o Microsoft Entra ID, primeiro adicione o Citrix ADC SAML Connector for Microsoft Entra ID à sua lista de aplicativos SaaS gerenciados da galeria:

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.

3. Na seção Adicionar da galeria, digite Citrix ADC SAML Connector for Microsoft Entra ID na caixa de pesquisa.

4. Nos resultados, selecione Citrix ADC SAML Connector for Microsoft Entra ID e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para Citrix ADC SAML Connector for Microsoft Entra ID

Configure e teste o Microsoft Entra SSO com o Citrix ADC SAML Connector para Microsoft Entra ID usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Citrix ADC SAML Connector for Microsoft Entra ID.

Para configurar e testar o Microsoft Entra SSO com o Citrix ADC SAML Connector para Microsoft Entra ID, execute as seguintes etapas:

1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.

   1. Crie um usuário de teste do Microsoft Entra - para testar o Microsoft Entra SSO com B.Simon.

   2. Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o Microsoft Entra SSO.

2. Configure o Citrix ADC SAML Connector for Microsoft Entra SSO - para definir as configurações de SSO no lado do aplicativo.

   1. Create Citrix ADC SAML Connector for Microsoft Entra test user - para ter um equivalente de B.Simon no Citrix ADC SAML Connector for Microsoft Entra ID que esteja vinculado à representação do usuário do Microsoft Entra.

3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Para habilitar o Microsoft Entra SSO usando o portal do Azure, conclua estas etapas:

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Identity>Applications>Enterprise applications>Citrix ADC SAML Connector for Microsoft Entra ID application integration pane, em Gerenciar, selecione Logon único.

3. No painel Selecionar um método de logon único, selecione SAML.

4. No painel Configurar Logon Único com SAML, selecione o ícone de lápis para Configuração Básica de SAML para editar as configurações.

   

5. Na seção Configuração Básica do SAML, para configurar o aplicativo no modo iniciado pelo IDP, execute as seguintes etapas:

   1. Na caixa de texto Identificador , insira uma URL com o seguinte padrão: https://<YOUR_FQDN>

   2. Na caixa de texto URL de resposta, insira uma URL que tenha o seguinte padrão:http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

6. Para configurar o aplicativo no modo iniciado pelo SP, selecione Definir URLs adicionais e execute a seguinte etapa:

   • Na caixa de texto URL de início de sessão, introduza um URL com o seguinte padrão:https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

   Nota

   • Os URLs usados nesta seção não são valores reais. Atualize esses valores com os valores reais para Identificador, URL de resposta e URL de entrada. Entre em contato com a equipe de suporte ao cliente Citrix ADC SAML Connector for Microsoft Entra para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica de SAML.
   • Para configurar o SSO, as URLs devem estar acessíveis a partir de sites públicos. Você deve habilitar o firewall ou outras configurações de segurança no Citrix ADC SAML Connector for Microsoft Entra ID side para permitir que o Microsoft Entra ID publique o token na URL configurada.

7. No painel Configurar Logon Único com SAML, na seção Certificado de Assinatura SAML, para URL de Metadados de Federação de Aplicativos, copie a URL e salve-a no Bloco de Notas.

   

8. Na seção Configurar o Citrix ADC SAML Connector para Microsoft Entra ID , copie as URLs relevantes com base em suas necessidades.

   

Criar um usuário de teste do Microsoft Entra

Nesta seção, você cria um usuário de teste chamado B.Simon.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
3. Selecione Novo usuário Criar novo usuário>, na parte superior da tela.
4. Nas propriedades do usuário , siga estas etapas:
   1. No campo Nome para exibição , digite B.Simon.
   2. No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo, B.Simon@contoso.com.
   3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
   4. Selecione Rever + criar.
5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você habilita o usuário B.Simon para usar o Azure SSO concedendo ao usuário acesso ao Citrix ADC SAML Connector for Microsoft Entra ID.

1. Navegue até Aplicativos de identidade>>Aplicativos corporativos.

2. Na lista de aplicativos, selecione Citrix ADC SAML Connector for Microsoft Entra ID.

3. Na visão geral do aplicativo, em Gerenciar, selecione Usuários e grupos.

4. Selecione Adicionar utilizador. Em seguida, na caixa de diálogo Adicionar Atribuição , selecione Usuários e grupos.

5. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários. Escolha Selecionar.

6. Se você estiver esperando que uma função seja atribuída aos usuários, poderá selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.

7. Na caixa de diálogo Adicionar Atribuição, selecione Atribuir.

Configurar o Citrix ADC SAML Connector para Microsoft Entra SSO

Selecione um link para as etapas para o tipo de autenticação que você deseja configurar:

• Configurar o Citrix ADC SAML Connector para Microsoft Entra SSO para autenticação baseada em Kerberos

• Configurar o Citrix ADC SAML Connector para Microsoft Entra SSO para autenticação baseada em cabeçalho

Publicar o servidor Web

Para criar um servidor virtual:

1. Selecione Serviços de balanceamento>de carga de gerenciamento de>tráfego.

2. Selecione Adicionar.

   

3. Defina os seguintes valores para o servidor Web que está executando os aplicativos:

   • Nome do Serviço
   • IP do servidor/ Servidor existente
   • Protocolo
   • Porta

Configurar o balanceador de carga

Para configurar o balanceador de carga:

1. Vá para Servidores Virtuais de Balanceamento de Carga>de Gerenciamento de>Tráfego.

2. Selecione Adicionar.

3. Defina os seguintes valores conforme descrito na captura de tela a seguir:

   • Nome
   • Protocolo
   • Endereço IP
   • Porta

4. Selecione OK.

   

Vincular o servidor virtual

Para vincular o balanceador de carga ao servidor virtual:

1. No painel Serviços e Grupos de Serviços, selecione Sem Vinculação de Serviço de Servidor Virtual de Balanceamento de Carga.

   

2. Verifique as configurações conforme mostrado na captura de tela a seguir e selecione Fechar.

   

Vincular o certificado

Para publicar esse serviço como TLS, vincule o certificado do servidor e teste seu aplicativo:

1. Em Certificado, selecione Sem Certificado de Servidor.

   

2. Verifique as configurações conforme mostrado na captura de tela a seguir e selecione Fechar.

   

Citrix ADC SAML Connector para Microsoft Entra SAML perfil

Para configurar o Citrix ADC SAML Connector para o perfil SAML do Microsoft Entra, conclua as seções a seguir.

Criar uma política de autenticação

Para criar uma política de autenticação:

1. Vá para Segurança>AAA – Políticas de Autenticação de Políticas de Tráfego de Aplicativos, Políticas de>>Autenticação.>

2. Selecione Adicionar.

3. No painel Criar Política de Autenticação, insira ou selecione os seguintes valores:

   • Nome: insira um nome para sua política de autenticação.
   • Ação: Digite SAML e selecione Adicionar.
   • Expressão: Digite true.

   

4. Selecione Criar.

Criar um servidor SAML de autenticação

Para criar um servidor SAML de autenticação, vá para o painel Criar Servidor SAML de Autenticação e conclua as seguintes etapas:

1. Em Nome, insira um nome para o servidor SAML de autenticação.

2. Em Exportar metadados SAML:

   1. Marque a caixa de seleção Importar metadados .

   2. Insira a URL de metadados de federação da interface do usuário SAML do Azure que você copiou anteriormente.

3. Em Nome do emissor, insira o URL relevante.

4. Selecione Criar.

Criar um servidor virtual de autenticação

Para criar um servidor virtual de autenticação:

1. Vá para Security>AAA - Application Traffic Policies>>Authentication>Authentication Virtual Servers.

2. Selecione Adicionar e conclua as seguintes etapas:

   1. Em Nome, insira um nome para o servidor virtual de autenticação.

   2. Marque a caixa de seleção Não endereçável .

   3. Em Protocolo, selecione SSL.

   4. Selecione OK.

3. Selecione Continuar.

Configurar o servidor virtual de autenticação para usar o Microsoft Entra ID

Modifique duas seções para o servidor virtual de autenticação:

1. No painel Políticas de Autenticação Avançadas, selecione Sem Política de Autenticação.

   

2. No painel Vinculação de Política, selecione a política de autenticação e selecione Vincular.

   

3. No painel Servidores Virtuais Baseados em Formulário , selecione Sem Servidor Virtual de Balanceamento de Carga.

   

4. Para FQDN de autenticação, insira um nome de domínio totalmente qualificado (FQDN) (obrigatório).

5. Selecione o servidor virtual de balanceamento de carga que você deseja proteger com a autenticação do Microsoft Entra.

6. Selecione Vincular.

   

   Nota

   Certifique-se de selecionar Concluído no painel Configuração do Servidor Virtual de Autenticação.

7. Para verificar as alterações, num browser, aceda ao URL da aplicação. Deverá ver a página de início de sessão do inquilino em vez do acesso não autenticado que teria visto anteriormente.

   

Configurar o Citrix ADC SAML Connector para Microsoft Entra SSO para autenticação baseada em Kerberos

Criar uma conta de delegação Kerberos para o Citrix ADC SAML Connector for Microsoft Entra ID

1. Crie uma conta de usuário (neste exemplo, usamos AppDelegation).

   

2. Configure um SPN HOST para esta conta.

   Exemplo: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

   Neste exemplo:

   • IDENTT.WORK é o FQDN do domínio.
   • identt é o nome NetBIOS do domínio.
   • appdelegation é o nome da conta de usuário da delegação.

3. Configure a delegação para o servidor Web conforme mostrado na captura de tela a seguir:

   

   Nota

   No exemplo da captura de tela, o nome do servidor Web interno que executa o site de Autenticação Integrada do Windows (WIA) é CWEB2.

Citrix ADC SAML Connector para Microsoft Entra AAA KCD (contas de delegação Kerberos)

Para configurar o Citrix ADC SAML Connector para conta KCD Microsoft Entra AAA:

1. Vá para Contas KCD (Kerberos Constrained Delegation) do Citrix Gateway>AAA.

2. Selecione Adicionar e, em seguida, insira ou selecione os seguintes valores:

   • Nome: insira um nome para a conta KCD.

   • Realm: insira o domínio e a extensão em maiúsculas.

   • SPN de serviço: http/<host/fqdn>@<DOMAIN.COM>.

     Nota

     @DOMAIN.COM é obrigatório e deve ser maiúsculo. Exemplo: http/cweb2@IDENTT.WORK.

   • Usuário delegado: insira o nome de usuário delegado.

   • Marque a caixa de seleção Senha para Usuário Delegado e digite e confirme uma senha.

3. Selecione OK.

   

Política de tráfego e perfil de tráfego da Citrix

Para configurar a política de tráfego e o perfil de tráfego da Citrix:

1. Vá para Segurança>AAA - Políticas>de Tráfego de Aplicativos Políticas de Tráfego, Perfis e Perfis SSO de FormulárioPolíticas de>Tráfego.

2. Selecione Perfis de tráfego.

3. Selecione Adicionar.

4. Para configurar um perfil de tráfego, insira ou selecione os seguintes valores.

   • Nome: insira um nome para o perfil de tráfego.

   • Logon único: selecione ON.

   • Conta KCD: Selecione a conta KCD que você criou na seção anterior.

5. Selecione OK.

   

6. Selecione Política de Tráfego.

7. Selecione Adicionar.

8. Para configurar uma política de tráfego, insira ou selecione os seguintes valores:

   • Nome: insira um nome para a política de tráfego.

   • Perfil: Selecione o perfil de tráfego que você criou na seção anterior.

   • Expressão: Digite true.

9. Selecione OK.

   

Vincular uma política de tráfego a um servidor virtual no Citrix

Para vincular uma política de tráfego a um servidor virtual usando a GUI:

1. Vá para Servidores Virtuais de Balanceamento de Carga>de Gerenciamento de>Tráfego.

2. Na lista de servidores virtuais, selecione o servidor virtual ao qual você deseja vincular a política de regravação e selecione Abrir.

3. No painel Servidor Virtual de Balanceamento de Carga, em Configurações Avançadas, selecione Políticas. Todas as políticas configuradas para sua instância do NetScaler aparecem na lista.

   

   

4. Marque a caixa de seleção ao lado do nome da política que você deseja vincular a esse servidor virtual.

   

5. Na caixa de diálogo Escolher tipo:

   1. Em Choose Policy, selecione Traffic.

   2. Em Choose Type, selecione Request.

   

6. Quando a política estiver vinculada, selecione Concluído.

   

7. Teste a vinculação usando o site da WIA.

   

Criar conector SAML Citrix ADC para usuário de teste do Microsoft Entra

Nesta seção, um usuário chamado B.Simon é criado no Citrix ADC SAML Connector para Microsoft Entra ID. O Citrix ADC SAML Connector for Microsoft Entra ID suporta provisionamento de usuário just-in-time, que é habilitado por padrão. Não há nenhuma ação a ser tomada nesta seção. Se um usuário ainda não existir no Citrix ADC SAML Connector for Microsoft Entra ID, um novo será criado após a autenticação.

Nota

Se você precisar criar um usuário manualmente, entre em contato com a equipe de suporte ao cliente Citrix ADC SAML Connector for Microsoft Entra.

SSO de teste

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

• Clique em Testar este aplicativo, isso redirecionará para o Citrix ADC SAML Connector for Microsoft Entra Sign-on URL onde você pode iniciar o fluxo de login.

• Vá diretamente para o Citrix ADC SAML Connector for Microsoft Entra Sign-on URL e inicie o fluxo de login a partir daí.

• Você pode usar o Microsoft My Apps. Quando você clica no bloco Citrix ADC SAML Connector for Microsoft Entra ID em Meus Aplicativos, isso redirecionará para o Citrix ADC SAML Connector for Microsoft Entra Sign-on URL. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Próximos passos

Depois de configurar o Citrix ADC SAML Connector para Microsoft Entra ID, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.