Integratie van eenmalige aanmelding van Microsoft Entra met Citrix ADC SAML Connector voor Microsoft Entra ID (kerberos-verificatie)

In dit artikel leert u hoe u Citrix ADC SAML Connector voor Microsoft Entra ID integreert met Microsoft Entra ID. Wanneer u Citrix ADC SAML Connector voor Microsoft Entra ID integreert met Microsoft Entra ID, kunt u het volgende doen:

• In Microsoft Entra ID beheren wie toegang heeft tot Citrix ADC SAML Connector voor Microsoft Entra ID.
• Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij Citrix ADC SAML Connector voor Microsoft Entra-id.
• Beheer uw accounts op één centrale locatie.

Vereisten

In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:

• Een Microsoft Entra-gebruikersaccount met een actief abonnement. Als u er nog geen hebt, kunt u Gratis een account maken.
• Een van de volgende rollen:
  • toepassingsbeheerder
  • cloudtoepassingsbeheerder
  • applicatie-eigenaar.

• Een abonnement op de Citrix ADC SAML-connector voor Microsoft Entra met ingeschakelde single sign-on.

Beschrijving van scenario

In dit artikel configureert en test u Single Sign-On van Microsoft Entra in een testomgeving. Het artikel bevat de volgende scenario's:

• Door SP geïnitieerde Single Sign-On voor Citrix ADC SAML Connector voor Microsoft Entra ID.

• Just-in-time-gebruikersvoorziening voor Citrix ADC SAML Connector voor Microsoft Entra ID.

• Verificatie op basis van Kerberos voor Citrix ADC SAML Connector voor Microsoft Entra ID.

• Verificatie op basis van headers voor Citrix ADC SAML Connector voor Microsoft Entra ID.

Citrix ADC SAML Connector voor Microsoft Entra ID toevoegen vanuit de galerie

Als u Citrix ADC SAML Connector voor Microsoft Entra ID wilt integreren met Microsoft Entra ID, voegt u eerst Citrix ADC SAML Connector voor Microsoft Entra ID toe aan uw lijst met beheerde SaaS-apps uit de galerie:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.

2. Blader naar Identiteit>Toepassingen>Ondernemingstoepassingen>Nieuwe toepassing.

3. Voer in de sectie Toevoegen uit de galerie Citrix ADC SAML Connector voor Microsoft Entra ID in het zoekvak in.

4. Selecteer Citrix ADC SAML Connector voor Microsoft Entra ID in de resultaten en voeg vervolgens de app toe. Wacht enkele seconden terwijl de app aan de tenant wordt toegevoegd.

U kunt ook de Enterprise App Configuration-wizard gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en ook de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Configureer en test Microsoft Entra Single Sign-On (SSO) voor Citrix ADC SAML Connector voor Microsoft Entra ID

Configureer en test Microsoft Entra Single Sign-On met Citrix ADC SAML Connector voor Microsoft Entra ID, met behulp van een testgebruiker genaamd B.Simon. Om Single Sign-On te laten werken, moet u een koppelingsrelatie tot stand brengen tussen een Microsoft Entra-gebruiker en de gerelateerde gebruiker in de Citrix ADC SAML Connector voor Microsoft Entra ID.

Volg deze stappen om Microsoft Entra SSO (eenmalige aanmelding) met Citrix ADC SAML Connector voor Microsoft Entra ID te configureren en testen:

1. Configureer Microsoft Entra SSO zodat uw gebruikers deze functie kunnen gebruiken.

   1. Maak een Microsoft Entra-testgebruiker om de Microsoft Entra Single Sign-On (SSO) met B.Simon te testen.

   2. Wijs de testgebruiker van Microsoft Entra toe om B.Simon in staat te stellen Microsoft Entra SSO te gebruiken.

2. Configureer Citrix ADC SAML Connector voor Microsoft Entra SSO - om de instellingen voor eenmalige aanmelding aan de applicatiekant te configureren.

   1. Maak een testgebruiker voor Citrix ADC SAML Connector voor Microsoft Entra - om een tegenhanger van B.Simon in Citrix ADC SAML Connector voor Microsoft Entra ID te hebben, die is gekoppeld aan de Microsoft Entra-representatie van de gebruiker.

3. Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Microsoft Entra SSO configureren

Voer de volgende stappen uit om Microsoft Entra Single Sign-On in te schakelen met behulp van de Azure-portal:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloud Application Administrator.

2. Blader naar Identity>Applications>Enterprise-toepassingen>Citrix ADC SAML Connector voor Microsoft Entra ID-toepassingsintegratiepaneel, selecteer onder Beheren de optie Eenmalige aanmelding.

3. Selecteer in het deelvenster Selecteer een methode voor eenmalige aanmelding de optie SAML.

4. Selecteer op de pagina Eenmalige aanmelding instellen met SAML het potloodpictogram voor Standaard-SAML-configuratie om de instellingen te bewerken.

   

5. In de sectie Standaard-SAML-configuratie voert u de volgende stappen uit om de toepassing in de door IDP geïnitieerde modus te configureren:

   1. Typ in het tekstvak Id een URL met het volgende patroon: https://<YOUR_FQDN>

   2. Typ in het tekstvak Antwoord-URL een URL met het volgende patroon: http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth

6. Als u de toepassing in de door SP geïnitieerde modus wilt configureren, selecteert u Extra URL's instellen en voert u de volgende stap uit:

   • Typ in het tekstvak Aanmeldings-URL een URL met het volgende patroon: https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx

   Notitie

   • De URL’s die in deze sectie worden gebruikt, zijn geen echte waarden. Werk deze waarden bij met de werkelijke waarden voor Id, Antwoord-URL en Aanmeldings-URL. Neem contact op met het ondersteuningsteam van Citrix ADC SAML Connector voor Microsoft Entra om deze waarden te verkrijgen. U kunt ook verwijzen naar de patronen die worden weergegeven in de sectie Standaard SAML-configuratie .
   • Om Single Sign-On (SSO) in te stellen, moeten de URL’s toegankelijk zijn vanaf openbare websites. U moet de firewall of andere beveiligingsinstellingen inschakelen op de Citrix ADC SAML Connector voor Microsoft Entra ID, zodat Microsoft Entra ID het token kan plaatsen op de geconfigureerde URL.

7. Op het venster Eenmalige aanmelding met SAML instellen, in de sectie Certificaat voor ondertekening met SAML, voor App-URL voor federatieve metagegevens, kopieert u de URL en slaat u deze op in *Notepad*.

   

8. Kopieer in de sectie Citrix ADC SAML Connector voor Microsoft Entra ID de relevante URL's op basis van uw vereisten.

   

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruikersbeheerder.
2. Blader naar Identiteit>Gebruikers>Alle gebruikers.
3. Selecteer Nieuwe gebruiker>Nieuwe gebruiker maken bovenaan het scherm.
4. Voer in de gebruikerseigenschappen de volgende stappen uit:
   1. Voer in het veld Weergavenaam de tekst in B.Simon.
   2. Voer in het veld User Principal Name de username@companydomain.extensionnaam in. Bijvoorbeeld: B.Simon@contoso.com.
   3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
   4. Kies Controleren en maken.
5. Selecteer Maken.

De Microsoft Entra-testgebruiker toewijzen

In deze sectie geeft u de gebruiker B.Simon toestemming om eenmalige aanmelding van Azure te gebruiken door de gebruiker toegang te geven tot Citrix ADC SAML Connector voor Microsoft Entra ID.

1. Blader naar Identiteit>Toepassingen>Bedrijfstoepassingen.

2. Selecteer Citrix ADC SAML Connector voor Microsoft Entra ID in de lijst met toepassingen.

3. In het app-overzicht onder Beheren selecteert u Gebruikers en groepen.

4. Selecteer Gebruiker toevoegen. Selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.

5. Selecteer in het dialoogvenster Gebruikers en groepenB.Simon in de lijst Gebruikers. Kies Selecteren.

6. Als u verwacht dat er een rol aan de gebruikers moet worden toegewezen, kunt u de rol selecteren in de vervolgkeuzelijst Selecteer een rol. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.

7. Selecteer Toewijzen in het dialoogvenster Toewijzing toevoegen.

Citrix ADC SAML-connector configureren voor Microsoft Entra SSO

Selecteer een koppeling voor stappen voor het soort verificatie dat u wilt configureren:

• Citrix ADC SAML Connector configureren voor Microsoft Entra Single Sign-On voor Kerberos-gebaseerde verificatie

• Citrix ADC SAML Connector voor Microsoft Entra SSO configureren voor verificatie op basis van headers

De webserver publiceren

Ga als volgt te werk om een virtuele server te maken:

1. Selecteer Verkeersbeheer>Taakverdeling>Services.

2. Selecteer Toevoegen.

   

3. Stel de volgende waarden in voor de webserver die de toepassingen uitvoert:

   • Servicenaam
   • IP-adres van de server/Bestaande server
   • Protocol
   • Poort

De load balancer configureren

Ga als volgt te werk om de load balancer te configureren:

1. Ga naar Verkeersbeheer>Taakverdeling>Virtuele servers.

2. Selecteer Toevoegen.

3. Stel de volgende waarden in zoals beschreven in de volgende schermopname:

   • Naam
   • Protocol
   • IP-adres
   • Poort

4. Selecteer OK.

   

De virtuele server binden

Ga als volgt te werk om de load balancer aan de virtuele server te binden:

1. Selecteer in het deelvenster Services en servicegroepen de optie Geen servicebinding van taakverdelende virtuele server.

   

2. Verifieer de instellingen zoals weergegeven in de volgende schermopname, en selecteer vervolgens Sluiten.

   

Het certificaat binden

Om deze service als TLS te publiceren, bindt u het servercertificaat en test u uw toepassing:

1. Onder Certificaat selecteert u Geen servercertificaat.

   

2. Verifieer de instellingen zoals weergegeven in de volgende schermopname, en selecteer vervolgens Sluiten.

   

Citrix ADC SAML Connector voor Microsoft Entra SAML-profiel

Voltooi de volgende secties om het Citrix ADC SAML-connector voor Microsoft Entra SAML-profiel te configureren.

Een verificatiebeleid maken

Ga als volgt te werk om een verificatiebeleid te maken:

1. Ga naar Beveiliging>AAA – Toepassingsverkeer>Beleidsregels>Verificatie>Verificatiebeleid.

2. Selecteer Toevoegen.

3. Typ of selecteer in het deelvenster Verificatiebeleid maken de volgende waarden:

   • Naam: Voer een naam in voor uw verificatiebeleid.
   • Actie: Voer SAML in en selecteer Toevoegen.
   • Expressie: Voer waar in.

   

4. Selecteer Maken.

Een verificatie-SAML-server maken

Om een verificatie-SAML-server te maken, gaat u naar het deelvenster Verificatie-SAML-server maken en voert u de volgende stappen uit:

1. Bij Naam voert u een naam in voor de verificatie-SAML-server.

2. Doe het volgende onder SAML-metagegevens exporteren:

   1. Schakel het selectievakje Metagegevens importeren in.

   2. Voer de URL voor federatieve metagegevens in die u eerder hebt gekopieerd uit de Azure SAML-gebruikersinterface.

3. Bij Naam van uitgever voert u de relevante URL in.

4. Kies Maken.

Een virtuele verificatieserver maken

Ga als volgt te werk om een virtuele verificatieserver te maken:

1. Ga naar Beveiliging>AAA – Toepassingsverkeer>Beleidsregels>Verificatie>Virtuele verificatieservers.

2. Selecteer Toevoegen en voltooi de volgende stappen:

   1. Bij Naam voert u een naam in voor de virtuele verificatieserver.

   2. Schakel het selectievakje Niet-adresseerbaar in.

   3. Bij Protocol selecteert u SSL.

   4. Selecteer OK.

3. Selecteer Doorgaan.

De virtuele verificatieserver configureren voor het gebruik van Microsoft Entra-id

Wijzig de twee secties voor de virtuele verificatieserver:

1. In het deelvenster Geavanceerd verificatiebeleid selecteert u Geen verificatiebeleid.

   

2. In het deelvenster Beleidsbinding selecteert u het verificatiebeleid en selecteert u vervolgens Binden.

   

3. In het deelvenster Formuliergebaseerde virtuele servers selecteert u Geen taakverdelende virtuele server.

   

4. Bij Verificatie-FQDN voert u een Fully Qualified Domain Name (FQDN) in (vereist).

5. Selecteer de virtuele server voor taakverdeling die u wilt beveiligen met Microsoft Entra-verificatie.

6. Selecteer Verbind.

   

   Notitie

   Zorg ervoor dat u Gereed selecteert in het deelvenster Configuratie van virtuele verificatieserver.

7. Om uw wijzigingen te verifiëren, gaat u in een browser naar de toepassings-URL. U zou de aanmeldingspagina van uw tenant moeten zien in plaats van de niet-geverifieerde toegang die u eerder zou hebben gezien.

   

Citrix ADC SAML Connector configureren voor Microsoft Entra SSO met Kerberos-gebaseerde verificatie.

Een Kerberos-delegatieaccount maken voor Citrix ADC SAML Connector voor Microsoft Entra ID

1. Maak een gebruikersaccount (in dit voorbeeld gebruiken we AppDelegation).

   

2. Stel de HOST SPN voor dit account in.

   Voorbeeld: setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation

   In dit voorbeeld:

   • IDENTT.WORK is de FQDN van het domein.
   • identt is de NetBIOS-naam van het domein.
   • appdelegation is de naam van het gebruikersaccount voor delegatie.

3. Configureer de delegatie voor de webserver, zoals wordt weergegeven in de volgende schermafbeelding:

   

   Notitie

   In het de schermafbeeldingsvoorbeeld is CWEB2 de naam van de interne webserver waarop de WIA-site (Windows Integrated Authentication) wordt uitgevoerd.

Citrix ADC SAML Connector voor Microsoft Entra AAA KCD (Kerberos-delegatieaccounts)

De Citrix ADC SAML Connector configureren voor microsoft Entra AAA KCD-account:

1. Ga naar Citrix Gateway>AAA KCD-accounts (beperkte delegatie van Kerberos).

2. Selecteer Toevoegen en voer de volgende waarden in of selecteer deze:

   • Naam: Voer een naam in voor het KCD-account.

   • Realm: Voer het domein en de extensie in hoofdletters in.

   • SPN van de service: http/<host/fqdn>@<DOMAIN.COM>.

     Notitie

     @DOMAIN.COM is verplicht en moet in hoofdletters zijn. Voorbeeld: http/cweb2@IDENTT.WORK.

   • Gedelegeerde gebruiker: voer de gedelegeerde gebruikersnaam in.

   • Schakel het selectievakje Wachtwoord voor gedelegeerde gebruiker in, voer een wachtwoord in en bevestig dit.

3. Selecteer OK.

Beleid voor Citrix-verkeer en -verkeersprofiel

Het Citrix-verkeersbeleid en -verkeersprofiel configureren:

1. Ga naar Beveiliging>AAA – Toepassingsverkeer>Beleidsregels>Verkeersbeleid, Profielen en Formulier Verkeersbeleid SSO-profielen.

2. Selecteer Verkeersprofielen.

3. Selecteer Toevoegen.

4. Als u een verkeersprofiel wilt configureren, voert u de volgende waarden in of selecteert u deze.

   • Naam: Voer een naam in voor het verkeersprofiel.

   • Eenmalige aanmelding: Select ON.

   • KCD-account: selecteer het KCD-account dat u in de vorige sectie hebt gemaakt.

5. Selecteer OK.

   

6. Selecteer Verkeersbeleid.

7. Selecteer Toevoegen.

8. Als u verkeersbeleid wilt configureren, voert u de volgende waarden in of selecteert u deze.

   • Naam: Voer een naam in voor het verkeersbeleid.

   • Profiel: Selecteer het verkeersprofiel dat u in de vorige sectie hebt gemaakt.

   • Expressie: Voer true in.

9. Selecteer OK.

   

Een verkeersbeleid binden aan een virtuele server in Citrix

Ga als volgt te werk om een verkeersbeleid te binden aan een virtuele server met behulp van de GUI:

1. Ga naar Verkeersbeheer>Taakverdeling>Virtuele servers.

2. In de lijst met virtuele servers selecteert u de virtuele server waaraan u het herschrijfbeleid wilt binden, en vervolgens selecteert u Openen.

3. In het deelvenster Taakverdelende virtuele server onder Geavanceerde instellingen selecteert u Beleidsregels. Alle beleidsregels die voor uw NetScaler-exemplaar zijn geconfigureerd, worden in de lijst weergegeven.

   

   

4. Schakel het selectievakje in naast de naam van het beleid dat u aan deze virtuele server wilt binden.

   

5. Doe het volgende in het dialoogvenster Type kiezen:

   1. Bij Beleid kiezen selecteert u Verkeer.

   2. Bij Type kiezen selecteert u Aanvraag.

   

6. Wanneer het beleid is gebonden, selecteert u Gereed.

   

7. Test de verbinding met de WIA-website.

   

Maak een testgebruiker voor Citrix ADC SAML Connector voor Microsoft Entra

In deze sectie wordt een gebruiker met de naam B.Simon gemaakt in Citrix ADC SAML Connector voor Microsoft Entra ID. Citrix ADC SAML Connector voor Microsoft Entra ID ondersteunt just-in-time gebruikersvoorziening, een functie die standaard is ingeschakeld. U hoeft geen handelingen uit te voeren in deze sectie. Als er nog geen gebruiker bestaat in Citrix ADC SAML Connector voor Microsoft Entra ID, wordt er een nieuwe gemaakt na verificatie.

Test SSO

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

• Klik op Deze toepassing testen. U wordt omgeleid naar de aanmeldings-URL van Citrix ADC SAML Connector voor Microsoft Entra, waar u de aanmeldingsstroom kunt initiëren.

• Ga rechtstreeks naar de aanmeldings-URL van Citrix ADC SAML Connector voor Microsoft Entra en initieer de aanmeldingsstroom daar.

• U kunt Microsoft Mijn apps gebruiken. Wanneer u in de Mijn apps op de tegel Citrix ADC SAML Connector for Microsoft Entra ID klikt, wordt u omgeleid naar de aanmeldings-URL van Citrix ADC SAML Connector voor Microsoft Entra. Zie Introduction to My Apps (Inleiding tot Mijn apps) voor meer informatie over Mijn apps.

Verwante inhoud

Zodra u Citrix ADC SAML Connector voor Microsoft Entra ID hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.