Öğretici: Microsoft Entra ID (Kerberos tabanlı kimlik doğrulaması) için Citrix ADC SAML Bağlayıcısı ile Microsoft Entra çoklu oturum açma tümleştirmesi

Bu öğreticide, Microsoft Entra Id için Citrix ADC SAML Connector'ı Microsoft Entra ID ile tümleştirmeyi öğreneceksiniz. Microsoft Entra Id için Citrix ADC SAML Connector'ı Microsoft Entra ID ile tümleştirdiğinizde şunları yapabilirsiniz:

• Microsoft Entra Id'de Microsoft Entra Id için Citrix ADC SAML Bağlayıcısı'na kimlerin erişimi olduğunu denetleyin.
• Kullanıcılarınızın Microsoft Entra id için Citrix ADC SAML Bağlayıcısı'nda Microsoft Entra hesaplarıyla otomatik olarak oturum açmasını sağlayın.
• Hesaplarınızı tek bir merkezi konumda yönetin.

Önkoşullar

Başlamak için aşağıdaki öğelere ihtiyacınız vardır:

• Microsoft Entra aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
• Microsoft Entra çoklu oturum açma (SSO) özellikli abonelik için Citrix ADC SAML Bağlayıcısı.

Senaryo açıklaması

Bu öğreticide, Microsoft Entra SSO'sunu bir test ortamında yapılandırıp test edin. Öğretici şu senaryoları içerir:

• Microsoft Entra Id için Citrix ADC SAML Bağlayıcısı için SP tarafından başlatılan SSO.

• Microsoft Entra Id için Citrix ADC SAML Bağlayıcısı için tam zamanında kullanıcı sağlama.

• Microsoft Entra Id için Citrix ADC SAML Bağlayıcısı için Kerberos tabanlı kimlik doğrulaması.

• Microsoft Entra Id için Citrix ADC SAML Bağlayıcısı için üst bilgi tabanlı kimlik doğrulaması.

Galeriden Microsoft Entra Kimliği için Citrix ADC SAML Bağlayıcısı ekleme

Microsoft Entra ID için Citrix ADC SAML Bağlayıcısı'nı Microsoft Entra ID ile tümleştirmek için, önce galeriden yönetilen SaaS uygulamaları listenize Microsoft Entra ID için Citrix ADC SAML Bağlayıcısı ekleyin:

1. Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.

2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.

3. Galeriden ekle bölümünde, arama kutusuna Microsoft Entra Id için Citrix ADC SAML Bağlayıcısı yazın.

4. Sonuçlarda, Microsoft Entra Id için Citrix ADC SAML Bağlayıcısı'nı seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

Microsoft Entra ID için Citrix ADC SAML Bağlayıcısı için Microsoft Entra SSO'yu yapılandırma ve test edin

B.Simon adlı bir test kullanıcısı kullanarak Microsoft Entra ID için Citrix ADC SAML Bağlayıcısı ile Microsoft Entra SSO'yu yapılandırın ve test edin. SSO'nun çalışması için, Microsoft Entra kimliği için Citrix ADC SAML Bağlayıcısı'nda bir Microsoft Entra kullanıcısı ile ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.

Microsoft Entra Id için Citrix ADC SAML Connector ile Microsoft Entra SSO'yu yapılandırmak ve test etmek için aşağıdaki adımları uygulayın:

1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'sını yapılandırın.

   1. B.Simon ile Microsoft Entra SSO test etmek için bir Microsoft Entra test kullanıcısı oluşturun.

   2. B.Simon'un Microsoft Entra SSO kullanmasını sağlamak için Microsoft Entra test kullanıcısını atayın.

2. Uygulama tarafında SSO ayarlarını yapılandırmak için Microsoft Entra SSO için Citrix ADC SAML Bağlayıcısı'nı yapılandırın.

   1. Microsoft Entra test kullanıcısı için Citrix ADC SAML Bağlayıcısı oluşturma - Kullanıcının Microsoft Entra gösterimine bağlı Olan Microsoft Entra Kimliği için Citrix ADC SAML Bağlayıcısı'nda B.Simon'ın bir karşılığına sahip olmak için.

3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.

Microsoft Entra SSO'sını yapılandırma

Azure portalını kullanarak Microsoft Entra SSO'nun etkinleştirilmesi için şu adımları tamamlayın:

1. Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.

2. Microsoft Entra ID uygulama tümleştirme bölmesi için Kimlik>Uygulamaları>Kurumsal uygulamaları>Citrix ADC SAML Bağlayıcısı'na göz atın, Yönet'in altında Çoklu oturum açma'yı seçin.

3. Çoklu oturum açma yöntemi seçin bölmesinde SAML'yi seçin.

4. SAML ile Çoklu Oturum Açmayı Ayarla bölmesinde, ayarları düzenlemek için Temel SAML Yapılandırması'nın kalem simgesini seçin.

   

5. Temel SAML Yapılandırması bölümünde, uygulamayı IDP tarafından başlatılan modda yapılandırmak için aşağıdaki adımları gerçekleştirin:

   1. Tanımlayıcı metin kutusuna aşağıdaki desene sahip bir URL girin:https://<YOUR_FQDN>

   2. Yanıt URL'si metin kutusuna aşağıdaki desene sahip bir URL girin:http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

6. Uygulamayı SP ile başlatılan modda yapılandırmak için Ek URL'leri ayarla'yı seçin ve aşağıdaki adımı gerçekleştirin:

   • Oturum açma URL'si metin kutusuna aşağıdaki desene sahip bir URL girin:https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

   Not

   • Bu bölümde kullanılan URL'ler gerçek değerler değildir. Bu değerleri Tanımlayıcı, Yanıt URL'si ve Oturum Açma URL'si için gerçek değerlerle güncelleştirin. Bu değerleri almak için Microsoft Entra istemci destek ekibi için Citrix ADC SAML Bağlayıcısı'na başvurun. Temel SAML Yapılandırması bölümünde gösterilen desenlere de başvurabilirsiniz.
   • SSO'nun ayarlanması için URL'lere genel web sitelerinden erişilebilir olması gerekir. Microsoft Entra Id'nin yapılandırılan URL'de belirteci göndermesini sağlamak için Citrix ADC SAML Connector for Microsoft Entra ID tarafında güvenlik duvarını veya diğer güvenlik ayarlarını etkinleştirmeniz gerekir.

7. SAML ile Çoklu Oturum Açmayı Ayarla bölmesindeki SAML İmzalama Sertifikası bölümünde, Uygulama Federasyonu Meta Veri Url'si için URL'yi kopyalayın ve Not Defteri'ne kaydedin.

   

8. Microsoft Entra Id için Citrix ADC SAML Bağlayıcısını Ayarlama bölümünde, gereksinimlerinize göre ilgili URL'leri kopyalayın.

   

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

1. Microsoft Entra yönetim merkezinde en az Bir Kullanıcı Yöneticisi olarak oturum açın.
2. Kimlik>Kullanıcıları Tüm kullanıcılar'a> göz atın.
3. Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
   1. Görünen ad alanına girinB.Simon.
   2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
   3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
   4. Gözden geçir ve oluştur'u seçin.
5. Oluştur'u seçin.

Microsoft Entra test kullanıcısını atama

Bu bölümde, B.Simon kullanıcısına Microsoft Entra Kimliği için Citrix ADC SAML Bağlayıcısı'na erişim vererek Azure SSO kullanmasını sağlayacaksınız.

1. Kimlik>Uygulamaları>Kurumsal uygulamaları'na göz atın.

2. Uygulamalar listesinde Microsoft Entra Id için Citrix ADC SAML Connector'ı seçin.

3. Uygulamaya genel bakış bölümünde Yönet'in altında Kullanıcılar ve gruplar'ı seçin.

4. Kullanıcı ekle'yi seçin. Ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ı seçin.

5. Kullanıcılar ve gruplar iletişim kutusunda Kullanıcılar listesinden B.Simon'ı seçin. Seç'i seçin.

6. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmamışsa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.

7. Atama Ekle iletişim kutusunda Ata'yı seçin.

Microsoft Entra SSO için Citrix ADC SAML Bağlayıcısı'nı yapılandırma

Yapılandırmak istediğiniz kimlik doğrulaması türüne yönelik adımlar için bir bağlantı seçin:

• Kerberos tabanlı kimlik doğrulaması için Microsoft Entra SSO için Citrix ADC SAML Bağlayıcısı'nı yapılandırma

• Üst bilgi tabanlı kimlik doğrulaması için Microsoft Entra SSO için Citrix ADC SAML Bağlayıcısı'nı yapılandırma

Web sunucusunu yayımlama

Sanal sunucu oluşturmak için:

1. Trafik Yönetimi>Yük Dengeleme Hizmetleri'ne> tıklayın.

2. Ekle'yi seçin.

   

3. Uygulamaları çalıştıran web sunucusu için aşağıdaki değerleri ayarlayın:

   • Hizmet Adı
   • Sunucu IP'si/ Var Olan Sunucu
   • Protokol
   • Liman

Yük dengeleyiciyi yapılandırma

Yük dengeleyiciyi yapılandırmak için:

1. Trafik Yönetimi>Yük Dengeleme>Sanal Sunucuları'na gidin.

2. Ekle'yi seçin.

3. Aşağıdaki ekran görüntüsünde açıklandığı gibi aşağıdaki değerleri ayarlayın:

   • Ad
   • Protokol
   • IP Adresi
   • Liman

4. Tamam'ı seçin.

   

Sanal sunucuyu bağlama

Yük dengeleyiciyi sanal sunucuya bağlamak için:

1. Hizmetler ve Hizmet Grupları bölmesinde Yük Dengeleme Yok Sanal Sunucu Hizmeti Bağlama'yı seçin.

   

2. Aşağıdaki ekran görüntüsünde gösterildiği gibi ayarları doğrulayın ve kapat'ı seçin.

   

Sertifikayı bağlama

Bu hizmeti TLS olarak yayımlamak için sunucu sertifikasını bağlayın ve uygulamanızı test edin:

1. Sertifika'nın altında Sunucu Sertifikası Yok'a tıklayın.

   

2. Aşağıdaki ekran görüntüsünde gösterildiği gibi ayarları doğrulayın ve kapat'ı seçin.

   

Microsoft Entra SAML profili için Citrix ADC SAML Bağlayıcısı

Microsoft Entra SAML profili için Citrix ADC SAML Bağlayıcısı'nı yapılandırmak için aşağıdaki bölümleri tamamlayın.

Kimlik doğrulama ilkesi oluşturma

Kimlik doğrulama ilkesi oluşturmak için:

1. Güvenlik>AAA – Uygulama Trafiği>İlkeleri Kimlik Doğrulama>İlkeleri'ne> gidin.

2. Ekle'yi seçin.

3. Kimlik Doğrulama İlkesi Oluştur bölmesinde aşağıdaki değerleri girin veya seçin:

   • Ad: Kimlik doğrulama ilkeniz için bir ad girin.
   • Eylem: SAML girin ve Ekle'yi seçin.
   • İfade: True girin.

   

4. Oluştur'u seçin.

Kimlik doğrulaması SAML sunucusu oluşturma

Kimlik doğrulaması SAML sunucusu oluşturmak için, Kimlik Doğrulaması SAML Sunucusu Oluştur bölmesine gidin ve aşağıdaki adımları tamamlayın:

1. Ad alanına, kimlik doğrulaması SAML sunucusu için bir ad girin.

2. SAML Meta Verilerini Dışarı Aktar altında:

   1. Meta Verileri İçeri Aktar onay kutusunu seçin.

   2. Daha önce kopyaladığınız Azure SAML kullanıcı arabiriminden federasyon meta veri URL'sini girin.

3. Veren Adı için ilgili URL'yi girin.

4. Oluştur'u seçin.

Kimlik doğrulaması sanal sunucusu oluşturma

Kimlik doğrulaması sanal sunucusu oluşturmak için:

1. Güvenlik>AAA - Uygulama Trafik>İlkeleri> Kimlik Doğrulaması>Sanal Sunucuları'na gidin.

2. Ekle'yi seçin ve aşağıdaki adımları tamamlayın:

   1. Ad alanına kimlik doğrulaması sanal sunucusu için bir ad girin.

   2. Adreslenemeyen onay kutusunu seçin.

   3. Protokol için SSL'yi seçin.

   4. Tamam'ı seçin.

3. Devam'ı seçin.

Kimlik doğrulama sanal sunucusunu Microsoft Entra Id kullanacak şekilde yapılandırma

Kimlik doğrulama sanal sunucusu için iki bölümü değiştirin:

1. Gelişmiş Kimlik Doğrulama İlkeleri bölmesinde Kimlik Doğrulama İlkesi Yok'u seçin.

   

2. İlke Bağlama bölmesinde kimlik doğrulama ilkesini ve ardından Bağla'yı seçin.

   

3. Form Tabanlı Sanal Sunucular bölmesinde Yük Dengeleme Sanal Sunucusu Yok'a tıklayın.

   

4. Kimlik Doğrulaması FQDN'sine tam etki alanı adı (FQDN) (gerekli) girin.

5. Microsoft Entra kimlik doğrulaması ile korumak istediğiniz yük dengeleme sanal sunucusunu seçin.

6. Bağla'ya tıklayın.

   

   Not

   Kimlik Doğrulaması Sanal Sunucu Yapılandırması bölmesinde Bitti'yi seçtiğinizden emin olun.

7. Değişikliklerinizi doğrulamak için tarayıcıda uygulama URL'sine gidin. Daha önce göreceğiniz kimliği doğrulanmamış erişim yerine kiracı oturum açma sayfanızı görmeniz gerekir.

   

Kerberos tabanlı kimlik doğrulaması için Microsoft Entra SSO için Citrix ADC SAML Bağlayıcısı'nı yapılandırma

Microsoft Entra Id için Citrix ADC SAML Bağlayıcısı için Kerberos temsilci hesabı oluşturma

1. Bir kullanıcı hesabı oluşturun (bu örnekte AppDelegation kullanıyoruz).

   

2. Bu hesap için bir HOST SPN ayarlayın.

   Örnek: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

   Bu örnekte:

   • IDENTT.WORK FQDN etki alanıdır.
   • identt , etki alanı NetBIOS adıdır.
   • appdelegation temsilci kullanıcı hesabı adıdır.

3. Aşağıdaki ekran görüntüsünde gösterildiği gibi web sunucusu için temsilci seçmeyi yapılandırın:

   

   Not

   Ekran görüntüsü örneğinde, Windows Tümleşik Kimlik Doğrulaması (WIA) sitesini çalıştıran iç web sunucusu adı CWEB2'dir.

Microsoft Entra AAA KCD için Citrix ADC SAML Bağlayıcısı (Kerberos temsilci hesapları)

Microsoft Entra AAA KCD hesabı için Citrix ADC SAML Bağlayıcısı'nı yapılandırmak için:

1. Citrix Gateway>AAA KCD (Kerberos Kısıtlanmış Temsilci) Hesapları'na gidin.

2. Ekle'yi seçin ve ardından aşağıdaki değerleri girin veya seçin:

   • Ad: KCD hesabı için bir ad girin.

   • Bölge: Etki alanını ve uzantıyı büyük harfle girin.

   • Hizmet SPN'si: http/<host/fqdn>@<DOMAIN.COM>.

     Not

     @DOMAIN.COM gereklidir ve büyük harf olmalıdır. Örnek: http/cweb2@IDENTT.WORK.

   • Temsilci Kullanıcı: Temsilci kullanıcı adını girin.

   • Temsilci Kullanıcı Parolası onay kutusunu seçin ve bir parola girip onaylayın.

3. Tamam'ı seçin.

Citrix trafik ilkesi ve trafik profili

Citrix trafik ilkesini ve trafik profilini yapılandırmak için:

1. Güvenlik>AAA - Uygulama Trafik>İlkeleri Trafik İlkeleri>, Profiller ve Form SSO ProfilleriTraffic İlkeleri'ne gidin.

2. Trafik Profilleri'ne tıklayın.

3. Ekle'yi seçin.

4. Trafik profilini yapılandırmak için aşağıdaki değerleri girin veya seçin.

   • Ad: Trafik profili için bir ad girin.

   • Çoklu Oturum Açma: AÇILDI'yi seçin.

   • KCD Hesabı: Önceki bölümde oluşturduğunuz KCD hesabını seçin.

5. Tamam'ı seçin.

   

6. Trafik İlkesi'ni seçin.

7. Ekle'yi seçin.

8. Trafik ilkesini yapılandırmak için aşağıdaki değerleri girin veya seçin:

   • Ad: Trafik ilkesi için bir ad girin.

   • Profil: Önceki bölümde oluşturduğunuz trafik profilini seçin.

   • İfade: True girin.

9. Tamam'ı seçin.

   

Citrix'te bir trafik ilkesini sanal sunucuya bağlama

GUI kullanarak bir trafik ilkesini sanal sunucuya bağlamak için:

1. Trafik Yönetimi>Yük Dengeleme>Sanal Sunucuları'na gidin.

2. Sanal sunucular listesinde, yeniden yazma ilkesini bağlamak istediğiniz sanal sunucuyu seçin ve ardından Aç'ı seçin.

3. Yük Dengeleme Sanal Sunucusu bölmesindeki Gelişmiş Ayarlar'ın altında İlkeler'i seçin. NetScaler örneğiniz için yapılandırılan tüm ilkeler listede görünür.

   

   

4. Bu sanal sunucuya bağlamak istediğiniz ilkenin adının yanındaki onay kutusunu seçin.

   

5. Tür Seç iletişim kutusunda:

   1. İlke Seç için Trafik'i seçin.

   2. Tür Seç için İstek'i seçin.

   

6. İlke bağlı olduğunda Bitti'yi seçin.

   

7. WIA web sitesini kullanarak bağlamayı test edin.

   

Microsoft Entra test kullanıcısı için Citrix ADC SAML Bağlayıcısı oluşturma

Bu bölümde, Microsoft Entra Id için Citrix ADC SAML Bağlayıcısı'nda B.Simon adlı bir kullanıcı oluşturulur. Microsoft Entra ID için Citrix ADC SAML Bağlayıcısı, varsayılan olarak etkin olan tam zamanında kullanıcı sağlamayı destekler. Bu bölümde gerçekleştirmeniz gereken bir işlem yoktur. Microsoft Entra Id için Citrix ADC SAML Bağlayıcısı'nda bir kullanıcı zaten yoksa, kimlik doğrulaması sonrasında yeni bir kullanıcı oluşturulur.

Not

El ile kullanıcı oluşturmanız gerekiyorsa, Microsoft Entra istemci destek ekibi için Citrix ADC SAML Bağlayıcısı'na başvurun.

SSO'ları test edin

Bu bölümde, Microsoft Entra çoklu oturum açma yapılandırmanızı aşağıdaki seçeneklerle test edin.

• Bu uygulamayı test et'e tıklayın; bu, oturum açma akışını başlatabileceğiniz Microsoft Entra Oturum Açma URL'si için Citrix ADC SAML Bağlayıcısı'na yönlendirilir.

• Doğrudan Microsoft Entra Oturum Açma URL'si için Citrix ADC SAML Bağlayıcısı'na gidin ve oturum açma akışını buradan başlatın.

• Microsoft Uygulamalarım kullanabilirsiniz. Uygulamalarım Citrix ADC SAML Connector for Microsoft Entra ID kutucuğuna tıkladığınızda, bu, Microsoft Entra Oturum Açma URL'si için Citrix ADC SAML Bağlayıcısı'na yönlendirilir. Uygulamalarım hakkında daha fazla bilgi için bkz. Uygulamalarım giriş.

Sonraki adımlar

Microsoft Entra Id için Citrix ADC SAML Bağlayıcısı'nı yapılandırdıktan sonra, kuruluşunuzun hassas verilerini gerçek zamanlı olarak sızdırmayı ve sızmayı koruyan oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.