Öğretici: Microsoft Entra Id (Kerberos tabanlı kimlik doğrulaması) için Citrix ADC SAML Bağlan or ile Microsoft Entra çoklu oturum açma tümleştirmesi

Bu öğreticide, Citrix ADC SAML Bağlan or for Microsoft Entra ID'yi Microsoft Entra ID ile tümleştirmeyi öğreneceksiniz. Citrix ADC SAML Bağlan or for Microsoft Entra ID'yi Microsoft Entra ID ile tümleştirdiğinizde şunları yapabilirsiniz:

• Microsoft Entra Id için Citrix ADC SAML Bağlan or erişimi olan Microsoft Entra Id denetimi.
• Kullanıcılarınızın Microsoft Entra hesaplarıyla Citrix ADC SAML Bağlan veya Microsoft Entra Id'de otomatik olarak oturum açmasını sağlayın.
• Hesaplarınızı tek bir merkezi konumda yönetin.

Önkoşullar

Başlamak için aşağıdaki öğelere ihtiyacınız vardır:

• Microsoft Entra aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
• Microsoft Entra çoklu oturum açma (SSO) özellikli abonelik için Citrix ADC SAML Bağlan or.

Senaryo açıklaması

Bu öğreticide, Microsoft Entra SSO'sunu bir test ortamında yapılandırıp test edin. Öğretici şu senaryoları içerir:

• Microsoft Entra Id için Citrix ADC SAML Bağlan or için SP tarafından başlatılan SSO.

• Citrix ADC SAML Bağlan veya Microsoft Entra Id için tam zamanında kullanıcı sağlama.

• Microsoft Entra Id için Citrix ADC SAML Bağlan or için Kerberos tabanlı kimlik doğrulaması.

• Microsoft Entra Id için Citrix ADC SAML Bağlan veya üst bilgi tabanlı kimlik doğrulaması.

Galeriden Microsoft Entra Id için Citrix ADC SAML Bağlan or ekleyin

Microsoft Entra ID için Citrix ADC SAML Bağlan or'ı Microsoft Entra ID ile tümleştirmek için, önce galeriden yönetilen SaaS uygulamaları listenize Microsoft Entra ID için Citrix ADC SAML Bağlan or ekleyin:

1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.

3. Galeriden ekle bölümünde, arama kutusuna Citrix ADC SAML Bağlan veya Microsoft Entra ID yazın.

4. Sonuçlarda Microsoft Entra Id için Citrix ADC SAML Bağlan or öğesini seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

Microsoft Entra Id için Citrix ADC SAML Bağlan or için Microsoft Entra SSO'yu yapılandırma ve test edin

B.Simon adlı bir test kullanıcısı kullanarak Microsoft Entra ID için Citrix ADC SAML Bağlan or ile Microsoft Entra SSO'yu yapılandırın ve test edin. SSO'nun çalışması için Microsoft Entra kimliği için Citrix ADC SAML Bağlan or'da bir Microsoft Entra kullanıcısı ile ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.

Microsoft Entra Id için Citrix ADC SAML Bağlan or ile Microsoft Entra SSO'yu yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'sını yapılandırın.

   1. B.Simon ile Microsoft Entra SSO test etmek için bir Microsoft Entra test kullanıcısı oluşturun.

   2. B.Simon'un Microsoft Entra SSO kullanmasını sağlamak için Microsoft Entra test kullanıcısını atayın.

2. Microsoft Entra SSO için Citrix ADC SAML Bağlan veya uygulama tarafında SSO ayarlarını yapılandırmak için yapılandırın.

   1. Microsoft Entra test kullanıcısı için Citrix ADC SAML Bağlan or oluşturun- Kullanıcının Microsoft Entra gösterimine bağlı Olan Citrix ADC SAML Bağlan or'da B.Simon'un bir karşılığına sahip olmak için.

3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.

Microsoft Entra SSO'sını yapılandırma

Azure portalını kullanarak Microsoft Entra SSO'nun etkinleştirilmesi için şu adımları tamamlayın:

1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Citrix ADC SAML Bağlan veya Microsoft Entra ID uygulama tümleştirme bölmesine gidin, Yönet'in altında Çoklu oturum açma'yı seçin.

3. Çoklu oturum açma yöntemi seçin bölmesinde SAML'yi seçin.

4. SAML ile Çoklu Oturum Açmayı Ayarla bölmesinde, ayarları düzenlemek için Temel SAML Yapılandırması'nın kalem simgesini seçin.

   

5. Temel SAML Yapılandırması bölümünde, uygulamayı IDP tarafından başlatılan modda yapılandırmak için aşağıdaki adımları gerçekleştirin:

   1. Tanımlayıcı metin kutusuna aşağıdaki desene sahip bir URL girin:https://<YOUR_FQDN>

   2. Yanıt URL'si metin kutusuna aşağıdaki desene sahip bir URL girin:http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

6. Uygulamayı SP ile başlatılan modda yapılandırmak için Ek URL'leri ayarla'yı seçin ve aşağıdaki adımı gerçekleştirin:

   • Oturum açma URL'si metin kutusuna aşağıdaki desene sahip bir URL girin:https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

   Not

   • Bu bölümde kullanılan URL'ler gerçek değerler değildir. Bu değerleri Tanımlayıcı, Yanıt URL'si ve Oturum Açma URL'si için gerçek değerlerle güncelleştirin. Bu değerleri almak için Citrix ADC SAML Bağlan veya Microsoft Entra istemci destek ekibine başvurun. Temel SAML Yapılandırması bölümünde gösterilen desenlere de başvurabilirsiniz.
   • SSO'nun ayarlanması için URL'lere genel web sitelerinden erişilebilir olması gerekir. Microsoft Entra Id'nin yapılandırılan URL'ye belirteci göndermesini sağlamak için Microsoft Entra ID için Citrix ADC SAML Bağlan or'da güvenlik duvarını veya diğer güvenlik ayarlarını etkinleştirmeniz gerekir.

7. SAML ile Çoklu Oturum Açmayı Ayarla bölmesindeki SAML İmzalama Sertifikası bölümünde, Uygulama Federasyonu Meta Veri Url'si için URL'yi kopyalayın ve Not Defteri kaydedin.

   

8. Microsoft Entra Id için Citrix ADC SAML Bağlan or ayarlama bölümünde, gereksinimlerinize göre ilgili URL'leri kopyalayın.

   

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.
2. Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.
3. Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
   1. Görünen ad alanına girinB.Simon.
   2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
   3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
   4. Gözden geçir ve oluştur’u seçin.
5. Oluştur'u belirleyin.

Microsoft Entra test kullanıcısını atama

Bu bölümde, B.Simon kullanıcısına Microsoft Entra ID için Citrix ADC SAML Bağlan veya erişimi vererek Azure SSO kullanmasını sağlayacaksınız.

1. Kimlik>Uygulamaları>Kurumsal uygulamaları'na göz atın.

2. Uygulamalar listesinde Microsoft Entra ID için Citrix ADC SAML Bağlan or öğesini seçin.

3. Uygulamaya genel bakış bölümünde Yönet'in altında Kullanıcılar ve gruplar'ı seçin.

4. Kullanıcı ekle'yi seçin. Ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ı seçin.

5. Kullanıcılar ve gruplar iletişim kutusunda Kullanıcılar listesinden B.Simon'ı seçin. Seç'i seçin.

6. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmamışsa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.

7. Atama Ekle iletişim kutusunda Ata'yı seçin.

Microsoft Entra SSO için Citrix ADC SAML Bağlan or yapılandırma

Yapılandırmak istediğiniz kimlik doğrulaması türüne yönelik adımlar için bir bağlantı seçin:

• Kerberos tabanlı kimlik doğrulaması için Microsoft Entra SSO için Citrix ADC SAML Bağlan or yapılandırma

• Üst bilgi tabanlı kimlik doğrulaması için Microsoft Entra SSO için Citrix ADC SAML Bağlan or yapılandırma

Web sunucusunu yayımlama

Sanal sunucu oluşturmak için:

1. Trafik Yönetimi>Yük Dengeleme Hizmetleri'ne> tıklayın.

2. Ekle'yi seçin.

   

3. Uygulamaları çalıştıran web sunucusu için aşağıdaki değerleri ayarlayın:

   • Hizmet Adı
   • Sunucu IP'si/ Var Olan Sunucu
   • Protokol
   • Bağlantı noktası

Yük dengeleyiciyi yapılandırma

Yük dengeleyiciyi yapılandırmak için:

1. Trafik Yönetimi>Yük Dengeleme>Sanal Sunucuları'na gidin.

2. Ekle'yi seçin.

3. Aşağıdaki ekran görüntüsünde açıklandığı gibi aşağıdaki değerleri ayarlayın:

   • Ad
   • Protokol
   • IP Address
   • Bağlantı noktası

4. Tamam'ı seçin.

   

Sanal sunucuyu bağlama

Yük dengeleyiciyi sanal sunucuya bağlamak için:

1. Hizmetler ve Hizmet Grupları bölmesinde Yük Dengeleme Yok Sanal Sunucu Hizmeti Bağlama'yı seçin.

   

2. Aşağıdaki ekran görüntüsünde gösterildiği gibi ayarları doğrulayın ve kapat'ı seçin.

   

Sertifikayı bağlama

Bu hizmeti TLS olarak yayımlamak için sunucu sertifikasını bağlayın ve uygulamanızı test edin:

1. Sertifika'nın altında Sunucu Sertifikası Yok'a tıklayın.

   

2. Aşağıdaki ekran görüntüsünde gösterildiği gibi ayarları doğrulayın ve kapat'ı seçin.

   

Microsoft Entra SAML profili için Citrix ADC SAML Bağlan or

Microsoft Entra SAML profili için Citrix ADC SAML Bağlan or yapılandırmak için aşağıdaki bölümleri tamamlayın.

Kimlik doğrulama ilkesi oluşturma

Kimlik doğrulama ilkesi oluşturmak için:

1. Güvenlik>AAA – Uygulama Trafiği>İlkeleri Kimlik Doğrulama>İlkeleri'ne> gidin.

2. Ekle'yi seçin.

3. Kimlik Doğrulama İlkesi Oluştur bölmesinde aşağıdaki değerleri girin veya seçin:

   • Ad: Kimlik doğrulama ilkeniz için bir ad girin.
   • Eylem: SAML girin ve Ekle'yi seçin.
   • İfade: True girin.

   

4. Oluştur'u belirleyin.

Kimlik doğrulaması SAML sunucusu oluşturma

Kimlik doğrulaması SAML sunucusu oluşturmak için, Kimlik Doğrulaması SAML Sunucusu Oluştur bölmesine gidin ve aşağıdaki adımları tamamlayın:

1. Ad alanına, kimlik doğrulaması SAML sunucusu için bir ad girin.

2. SAML Meta Verilerini Dışarı Aktar altında:

   1. Meta Verileri İçeri Aktar onay kutusunu seçin.

   2. Daha önce kopyaladığınız Azure SAML kullanıcı arabiriminden federasyon meta veri URL'sini girin.

3. Veren Adı için ilgili URL'yi girin.

4. Oluştur'u belirleyin.

Kimlik doğrulaması sanal sunucusu oluşturma

Kimlik doğrulaması sanal sunucusu oluşturmak için:

1. Güvenlik>AAA - Uygulama Trafik>İlkeleri> Kimlik Doğrulaması>Sanal Sunucuları'na gidin.

2. Ekle'yi seçin ve aşağıdaki adımları tamamlayın:

   1. Ad alanına kimlik doğrulaması sanal sunucusu için bir ad girin.

   2. Adreslenemeyen onay kutusunu seçin.

   3. Protokol için SSL'yi seçin.

   4. Tamam'ı seçin.

3. Devam'ı seçin.

Kimlik doğrulama sanal sunucusunu Microsoft Entra Id kullanacak şekilde yapılandırma

Kimlik doğrulama sanal sunucusu için iki bölümü değiştirin:

1. Gelişmiş Kimlik Doğrulama İlkeleri bölmesinde Kimlik Doğrulama İlkesi Yok'u seçin.

   

2. İlke Bağlama bölmesinde kimlik doğrulama ilkesini ve ardından Bağla'yı seçin.

   

3. Form Tabanlı Sanal Sunucular bölmesinde Yük Dengeleme Sanal Sunucusu Yok'a tıklayın.

   

4. Kimlik Doğrulaması FQDN'sine tam etki alanı adı (FQDN) (gerekli) girin.

5. Microsoft Entra kimlik doğrulaması ile korumak istediğiniz yük dengeleme sanal sunucusunu seçin.

6. Bağla'yı seçin.

   

   Not

   Kimlik Doğrulaması Sanal Sunucu Yapılandırması bölmesinde Bitti'yi seçtiğinizden emin olun.

7. Değişikliklerinizi doğrulamak için tarayıcıda uygulama URL'sine gidin. Daha önce göreceğiniz kimliği doğrulanmamış erişim yerine kiracı oturum açma sayfanızı görmeniz gerekir.

   

Kerberos tabanlı kimlik doğrulaması için Microsoft Entra SSO için Citrix ADC SAML Bağlan or yapılandırma

Microsoft Entra Id için Citrix ADC SAML Bağlan or için Kerberos temsilci hesabı oluşturma

1. Bir kullanıcı hesabı oluşturun (bu örnekte AppDelegation kullanıyoruz).

   

2. Bu hesap için bir HOST SPN ayarlayın.

   Örnek: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

   Bu örnekte:

   • IDENTT.WORK FQDN etki alanıdır.
   • identt , etki alanı NetBIOS adıdır.
   • appdelegation temsilci kullanıcı hesabı adıdır.

3. Aşağıdaki ekran görüntüsünde gösterildiği gibi web sunucusu için temsilci seçmeyi yapılandırın:

   

   Not

   Ekran görüntüsü örneğinde, Windows Tümleşik Kimlik Doğrulaması (WIA) sitesini çalıştıran iç web sunucusu adı CWEB2'dir.

Microsoft Entra AAA KCD için Citrix ADC SAML Bağlan or (Kerberos temsilci hesapları)

Microsoft Entra AAA KCD hesabı için Citrix ADC SAML Bağlan or yapılandırmak için:

1. Citrix Gateway>AAA KCD (Kerberos Kısıtlanmış Temsilci) Hesapları'na gidin.

2. Ekle'yi seçin ve ardından aşağıdaki değerleri girin veya seçin:

   • Ad: KCD hesabı için bir ad girin.

   • Bölge: Etki alanını ve uzantıyı büyük harfle girin.

   • Hizmet SPN'si: http/<host/fqdn>@<DOMAIN.COM>.

     Not

     @DOMAIN.COM gereklidir ve büyük harf olmalıdır. Örnek: http/cweb2@IDENTT.WORK.

   • Temsilci Kullanıcı: Temsilci kullanıcı adını girin.

   • Temsilci Kullanıcı Parolası onay kutusunu seçin ve bir parola girip onaylayın.

3. Tamam'ı seçin.

   

Citrix trafik ilkesi ve trafik profili

Citrix trafik ilkesini ve trafik profilini yapılandırmak için:

1. Güvenlik>AAA - Uygulama Trafik>İlkeleri Trafik İlkeleri>, Profiller ve Form SSO ProfilleriTraffic İlkeleri'ne gidin.

2. Trafik Profilleri'ne tıklayın.

3. Ekle'yi seçin.

4. Trafik profilini yapılandırmak için aşağıdaki değerleri girin veya seçin.

   • Ad: Trafik profili için bir ad girin.

   • Çoklu Oturum Açma: AÇILDI'yi seçin.

   • KCD Hesabı: Önceki bölümde oluşturduğunuz KCD hesabını seçin.

5. Tamam'ı seçin.

   

6. Trafik İlkesi'ni seçin.

7. Ekle'yi seçin.

8. Trafik ilkesini yapılandırmak için aşağıdaki değerleri girin veya seçin:

   • Ad: Trafik ilkesi için bir ad girin.

   • Profil: Önceki bölümde oluşturduğunuz trafik profilini seçin.

   • İfade: True girin.

9. Tamam'ı seçin.

   

Citrix'te bir trafik ilkesini sanal sunucuya bağlama

GUI kullanarak bir trafik ilkesini sanal sunucuya bağlamak için:

1. Trafik Yönetimi>Yük Dengeleme>Sanal Sunucuları'na gidin.

2. Sanal sunucular listesinde, yeniden yazma ilkesini bağlamak istediğiniz sanal sunucuyu seçin ve ardından Aç'ı seçin.

3. Yük Dengeleme Sanal Sunucusu bölmesindeki Gelişmiş Ayarlar altında İlkeler'i seçin. NetScaler örneğiniz için yapılandırılan tüm ilkeler listede görünür.

   

   

4. Bu sanal sunucuya bağlamak istediğiniz ilkenin adının yanındaki onay kutusunu seçin.

   

5. Tür Seç iletişim kutusunda:

   1. İlke Seç için Trafik'i seçin.

   2. Tür Seç için İstek'i seçin.

   

6. İlke bağlı olduğunda Bitti'yi seçin.

   

7. WIA web sitesini kullanarak bağlamayı test edin.

   

Microsoft Entra test kullanıcısı için Citrix ADC SAML Bağlan or oluşturma

Bu bölümde, Microsoft Entra Id için Citrix ADC SAML Bağlan or'da B.Simon adlı bir kullanıcı oluşturulur. Microsoft Entra ID için Citrix ADC SAML Bağlan or, varsayılan olarak etkin olan tam zamanında kullanıcı sağlamayı destekler. Bu bölümde gerçekleştirmeniz gereken bir işlem yoktur. Microsoft Entra Id için Citrix ADC SAML Bağlan or'da bir kullanıcı zaten yoksa, kimlik doğrulaması sonrasında yeni bir kullanıcı oluşturulur.

Not

El ile kullanıcı oluşturmanız gerekiyorsa, Microsoft Entra istemci destek ekibi için Citrix ADC SAML Bağlan or ile iletişime geçin.

SSO'ları test edin

Bu bölümde, Microsoft Entra çoklu oturum açma yapılandırmanızı aşağıdaki seçeneklerle test edin.

• Bu uygulamayı test et'e tıklayın, bu, oturum açma akışını başlatabileceğiniz Microsoft Entra Oturum Açma URL'si için Citrix ADC SAML Bağlan or'a yönlendirilir.

• Doğrudan Citrix ADC SAML Bağlan or Microsoft Entra Oturum Açma URL'sine gidin ve buradan oturum açma akışını başlatın.

• Microsoft Uygulamalarım kullanabilirsiniz. Uygulamalarım Citrix ADC SAML Bağlan or For Microsoft Entra ID kutucuğuna tıkladığınızda, bu, Microsoft Entra Oturum Açma URL'si için Citrix ADC SAML Bağlan or'a yönlendirilir. Uygulamalarım hakkında daha fazla bilgi için bkz. Uygulamalarım giriş.

Sonraki adımlar

Microsoft Entra ID için Citrix ADC SAML Bağlan or'ı yapılandırdıktan sonra, kuruluşunuzun hassas verilerini gerçek zamanlı olarak sızdırmayı ve sızmayı koruyan oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.