Tutoriel : Intégration de l’authentification unique Microsoft Entra avec Citrix ADC (authentification basée sur l’en-tête)
Dans ce didacticiel, vous apprendrez comment intégrer Citrix ADC à Microsoft Entra ID. Lorsque vous intégrez Citrix ADC à Microsoft Entra ID, vous pouvez :
- Contrôlez dans Microsoft Entra ID qui a accès à Citrix ADC.
- Permettez à vos utilisateurs d’être automatiquement connectés à Citrix ADC avec leurs comptes Microsoft Entra.
- Gérer vos comptes à partir d’un emplacement central.
Prérequis
Pour commencer, vous devez disposer de ce qui suit :
- Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
- Abonnement Citrix ADC pour lequel l’authentification unique (SSO) est activée.
Description du scénario
Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test. Ce tutoriel inclut les scénarios suivants :
Authentification unique lancée par le fournisseur de services pour Citrix ADC
Provisionnement d’utilisateurs juste-à-temps pour Citrix ADC
Ajout de Citrix ADC à partir de la galerie
Pour intégrer Citrix ADC à Microsoft Entra ID, ajoutez d’abord Citrix ADC à votre liste d’applications SaaS gérées à partir de la galerie :
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
Dans la section Ajouter à partir de la galerie, entrez Citrix ADC dans la zone de recherche.
Dans les résultats, sélectionnez Citrix ADC, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.
Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.
Configurer et tester Microsoft Entra SSO pour Citrix ADC
Configurez et testez Microsoft Entra SSO avec Citrix ADC en utilisant un utilisateur test appelé B.Simon. Pour que SSO fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l’utilisateur associé dans Citrix ADC.
Pour configurer et tester Microsoft Entra SSO avec Citrix ADC, effectuez les étapes suivantes :
Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.
Créer un utilisateur test Microsoft Entra – pour tester Microsoft Entra SSO avec B.Simon.
Attribuer l'utilisateur de test Microsoft Entra – pour permettre à B.Simon d'utiliser Microsoft Entra SSO.
Configurer l’authentification unique Citrix ADC pour configurer les paramètres d’authentification unique côté application.
- Créer un utilisateur test Citrix ADC – pour avoir un homologue de B.Simon dans Citrix ADC qui est lié à la représentation Microsoft Entra de l’utilisateur.
Tester l’authentification unique pour vérifier si la configuration fonctionne.
Configurer Microsoft Entra SSO
Pour activer Microsoft Entra SSO à l’aide du portail Azure, procédez comme suit :
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez au volet d’intégration d’application Identité>Applications>Applications d’entreprise>Citrix ADC. Sous Gérer, sélectionnez Authentification unique.
Dans le volet Sélectionner une méthode d’authentification unique, sélectionnez SAML.
Dans le volet Configurer l’authentification unique avec SAML, sélectionnez l’icône de stylet Modifier pour Configuration SAML de base afin de modifier les paramètres.
Dans la section Configuration SAML de base, pour configurer l’application en mode lancé par le fournisseur d’identité :
Dans la zone de texte Identificateur, entrez une URL au format suivant :
https://<Your FQDN>
Dans la zone de texte URL de réponse, entrez une URL au format suivant :
https://<Your FQDN>/CitrixAuthService/AuthService.asmx
Pour configurer l’application en mode lancé par le fournisseur de services, sélectionnez Définir des URL supplémentaires, puis effectuez les étapes suivantes :
- Dans la zone URL de connexion, entrez une URL au format suivant :
https://<Your FQDN>/CitrixAuthService/AuthService.asmx
Notes
- Les URL utilisées dans cette section ne sont pas des valeurs réelles. Mettez à jour ces valeurs avec les valeurs réelles de l’identificateur, de l’URL de réponse et de l’URL de connexion. Pour obtenir ces valeurs, contactez l’équipe du support technique Citrix ADC. Vous pouvez également consulter les modèles figurant à la section Configuration SAML de base.
- Pour configurer l’authentification unique, les URL doivent être accessibles à partir de sites web publics. Vous devez activer le pare-feu ou d’autres paramètres de sécurité du côté Citrix ADC pour permettre à Microsoft Entra ID de publier le jeton à l’URL configurée.
- Dans la zone URL de connexion, entrez une URL au format suivant :
Dans le volet Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez URL des métadonnées de fédération d’application, copiez cette URL et enregistrez-la dans le Bloc-notes.
L’application Citrix ADC attend des assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à votre configuration des attributs de jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut. Sélectionnez l’icône Modifier et changez les mappages d’attributs.
L’application Citrix ADC s’attend aussi à ce que quelques attributs supplémentaires soient repassés dans la réponse SAML. Dans la boîte de dialogue Attributs utilisateur, sousRevendications des utilisateurs, effectuez les étapes suivantes pour ajouter ces attributs de jeton SAML, comme indiqué dans le tableau :
Nom Attribut source mySecretID user.userprincipalname Sélectionnez Ajouter une nouvelle revendication pour ouvrir la boîte de dialogue Gérer les revendications des utilisateurs.
Dans la zone de texte Nom, entrez le nom d’attribut affiché pour cette ligne.
Laissez le champ Espace de noms vide.
Dans le champ Attribut, sélectionnez Source.
Dans la liste Attribut de la source, entrez la valeur d’attribut affichée pour cette ligne.
Sélectionnez OK.
Sélectionnez Enregistrer.
Dans la section Configurer Citrix ADC, copiez la ou les URL pertinentes en fonction de vos besoins.
Créer un utilisateur de test Microsoft Entra
Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.
- Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
- Accédez à Identité>Utilisateurs>Tous les utilisateurs.
- Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
- Dans les propriétés Utilisateur, effectuez les étapes suivantes :
- Dans le champ Nom d’affichage, entrez
B.Simon
. - Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple :
B.Simon@contoso.com
. - Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
- Sélectionnez Revoir + créer.
- Dans le champ Nom d’affichage, entrez
- Sélectionnez Create (Créer).
Attribuer l’utilisateur test Microsoft Entra
Dans cette section, vous allez autoriser l’utilisateur B.Simon à utiliser l’authentification unique Azure en lui accordant l’accès à Citrix ADC.
Accédez à Identité>Applications>Applications d’entreprise.
Dans la liste des applications, sélectionnez Citrix ADC.
Dans la vue d’ensemble de l’application, sous Gérer, sélectionnez Utilisateurs et groupes.
Sélectionnez Ajouter un utilisateur. Ensuite, dans la boîte de dialogue Ajouter une attribution, sélectionnez Utilisateurs et groupes.
Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B.Simon dans la liste Utilisateurs. Choisissez Select.
Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
Dans la boîte de dialogue Ajouter une attribution, sélectionnez Affecter.
Configurer l’authentification unique Citrix ADC
Sélectionnez un lien pour connaître les étapes relatives au type d’authentification que vous voulez configurer :
Configurer l’authentification unique Citrix ADC pour l’authentification par en-tête
Configurer l’authentification unique Citrix ADC pour l’authentification Kerberos
Publier le serveur web
Pour créer un serveur virtuel :
Sélectionnez Gestion du trafic>Équilibrage de charge>Services.
Sélectionnez Ajouter.
Définissez les valeurs suivantes pour le serveur web qui exécute les applications :
Nom du service :
Adresse IP du serveur/ Serveur existant
Protocole
Port
Configurer l’équilibrage de charge
Pour configurer l’équilibrage de charge :
Accédez à Gestion de trafic>Équilibrage de charge>Serveurs virtuels.
Sélectionnez Ajouter.
Définissez les valeurs suivantes comme décrit dans la capture d’écran ci-après :
- Nom
- Protocole
- Adresse IP
- Port
Sélectionnez OK.
Lier le serveur virtuel
Pour lier l’équilibreur de charge au serveur virtuel :
Dans le volet Services et groupes de services, sélectionnez Aucune liaison de service de serveur virtuel d’équilibrage de charge.
Vérifiez les paramètres comme indiqué dans la capture d’écran suivante, puis sélectionnez Fermer.
Lier le certificat
Pour publier ce service en tant que TLS, liez le certificat serveur, puis testez votre application :
Sous Certificat, sélectionnez Aucun certificat de serveur.
Vérifiez les paramètres comme indiqué dans la capture d’écran suivante, puis sélectionnez Fermer.
Profil SAML de Citrix ADC
Pour configurer le profil SAML de Citrix ADC, effectuez les étapes des sections suivantes :
Créer une stratégie d’authentification
Pour créer une stratégie d’authentification :
Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Authentification>Stratégies d’authentification.
Sélectionnez Ajouter.
Dans le volet Créer une stratégie d’authentification, entrez ou sélectionnez les valeurs suivantes :
- Name : Entrez un nom pour votre stratégie d’authentification.
- Action : Entrez SAML, puis sélectionnez Ajouter.
- Expression : Entrez true.
Sélectionnez Create (Créer).
Créer un serveur SAML d’authentification
Pour créer un serveur SAML d’authentification, accédez au volet Créer un serveur SAML d’authentification, puis effectuez les étapes suivantes :
Dans Nom, entrez le nom du serveur SAML d’authentification.
Sous Exporter les métadonnées SAML :
Cochez la case Importer les métadonnées.
Entrez l’URL des métadonnées de fédération à partir de l’interface utilisateur SAML Azure que vous avez copiée précédemment.
Dans Nom de l’émetteur, entrez l’URL pertinente.
Sélectionnez Create (Créer).
Créer un serveur virtuel d’authentification
Pour créer un serveur virtuel d’authentification :
Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Authentification>Serveurs virtuels d’authentification.
Sélectionnez Ajouter, puis effectuez les étapes suivantes :
Dans Nom, entrez le nom du serveur virtuel d’authentification.
Cochez la case Non adressable.
Dans Protocole, sélectionnez SSL.
Sélectionnez OK.
Configurer le serveur virtuel d'authentification pour utiliser Microsoft Entra ID
Modifiez deux sections pour le serveur virtuel d’authentification :
Dans le volet Stratégies d’authentification avancées, sélectionnez Aucune stratégie d’authentification.
Dans le volet Liaison des stratégies, sélectionnez la stratégie d’authentification, puis sélectionnez Lier.
Dans le volet Serveurs virtuels basés sur un formulaire, sélectionnez Aucun serveur virtuel d’équilibrage de charge.
Dans FQDN d’authentification, saisissez un nom de domaine complet (FQDN) (obligatoire).
Sélectionnez le serveur virtuel d'équilibrage de charge que vous souhaitez protéger avec l'authentification Microsoft Entra.
Sélectionnez Lier.
Notes
Veillez à sélectionner Terminé dans le volet Configuration du serveur virtuel d’authentification.
Pour vérifier vos modifications, dans un navigateur, accédez à l’URL de l’application. Votre page de connexion de locataire doit s’afficher au lieu de l’accès non authentifié que vous auriez pu voir précédemment.
Configurer l’authentification unique Citrix ADC pour l’authentification par en-tête
Configurer Citrix ADC
Pour configurer Citrix ADC pour l’authentification par en-tête, effectuez les étapes des sections suivantes.
Créer une action de réécriture
Accédez à AppExpert>Réécrire>Actions de réécriture.
Sélectionnez Ajouter, puis effectuez les étapes suivantes :
Dans le champ Nom, entrez un nom pour l’action de réécriture.
Dans le champ Type, entrez INSERT_HTTP_HEADER.
Dans le champ Nom de l’en-tête, entrez un nom d’en-tête (dans cet exemple, nous utilisons SecretID).
Pour Expression, entrez aaa.USER.ATTRIBUTE("mySecretID"), où mySecretID est la revendication Microsoft Entra SAML qui a été envoyée à Citrix ADC.
Sélectionnez Créer.
Créer une stratégie de réécriture
Accédez à AppExpert>Réécrire>Stratégies de réécriture.
Sélectionnez Ajouter, puis effectuez les étapes suivantes :
Dans le champ Nom, entrez un nom pour la stratégie de réécriture.
Dans le champ Action, sélectionnez l’action de réécriture que vous avez créée dans la section précédente.
Dans le champ Expression, entrez true.
Sélectionnez Create (Créer).
Lier une stratégie de réécriture à un serveur virtuel
Pour lier une stratégie de réécriture à un serveur virtuel à l’aide de l’interface graphique utilisateur :
Accédez à Gestion de trafic>Équilibrage de charge>Serveurs virtuels.
Dans la liste des serveurs virtuels, sélectionnez le serveur virtuel auquel lier la stratégie de réécriture, puis sélectionnez Ouvrir.
Dans le volet Serveur virtuel d’équilibrage de charge, sous Paramètres avancés, sélectionnez Stratégies. Toutes les stratégies configurées pour votre instance de NetScaler figurent dans la liste.
Cochez la case située en regard du nom de la stratégie que vous voulez lier à ce serveur virtuel.
Dans la boîte de dialogue Choisir un type :
Pour Choisir une stratégie, sélectionnez Trafic.
Pour Choisir un type, sélectionnez Requête.
Sélectionnez OK. Dans la barre d’état, un message indique que la stratégie a été configurée avec succès.
Modifier le serveur SAML pour extraire les attributs d’une revendication
Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Authentification>Stratégies avancées>Actions>Serveurs.
Sélectionnez le serveur SAML d’authentification approprié pour l’application.
Dans le volet Attributs, entrez les attributs SAML à extraire, séparés par des virgules. Dans notre exemple, nous entrons l’attribut
mySecretID
.Pour vérifier l’accès, accédez à l’URL dans un navigateur, recherchez l’attribut SAML sous Collection d’en-têtes.
Créer un utilisateur de test Citrix ADC
Dans cette section, un utilisateur appelé B.Simon est créé dans Citrix ADC. Citrix ADC prend en charge l’attribution d’utilisateurs juste-à-temps, qui est activée par défaut. Vous n’avez aucune opération à effectuer dans cette section. Si l’utilisateur souhaité n’existe pas déjà dans Citrix ADC, il est créé après l’authentification.
Notes
Si vous avez besoin de créer un utilisateur manuellement, contactez l’équipe du support technique de Citrix ADC.
Tester l’authentification unique (SSO)
Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.
Cliquez sur Tester cette application. Vous êtes alors redirigé vers l’URL de connexion à Citrix ADC, d’où vous pouvez lancer le flux de connexion.
Accédez directement à l’URL de connexion Citrix ADC pour lancer le processus de connexion.
Vous pouvez utiliser Mes applications de Microsoft. Le fait de cliquer sur la vignette Citrix ADC dans Mes applications vous redirige vers l’URL de connexion Citrix ADC. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.
Étapes suivantes
Après avoir configuré Citrix ADC, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.