Partager via


Tutoriel : Intégration de l’authentification unique Microsoft Entra avec Citrix ADC (authentification basée sur l’en-tête)

Dans ce didacticiel, vous apprendrez comment intégrer Citrix ADC à Microsoft Entra ID. Lorsque vous intégrez Citrix ADC à Microsoft Entra ID, vous pouvez :

  • Contrôlez dans Microsoft Entra ID qui a accès à Citrix ADC.
  • Permettez à vos utilisateurs d’être automatiquement connectés à Citrix ADC avec leurs comptes Microsoft Entra.
  • Gérer vos comptes à partir d’un emplacement central.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

  • Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
  • Abonnement Citrix ADC pour lequel l’authentification unique (SSO) est activée.

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test. Ce tutoriel inclut les scénarios suivants :

Pour intégrer Citrix ADC à Microsoft Entra ID, ajoutez d’abord Citrix ADC à votre liste d’applications SaaS gérées à partir de la galerie :

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.

  3. Dans la section Ajouter à partir de la galerie, entrez Citrix ADC dans la zone de recherche.

  4. Dans les résultats, sélectionnez Citrix ADC, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester Microsoft Entra SSO pour Citrix ADC

Configurez et testez Microsoft Entra SSO avec Citrix ADC en utilisant un utilisateur test appelé B.Simon. Pour que SSO fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l’utilisateur associé dans Citrix ADC.

Pour configurer et tester Microsoft Entra SSO avec Citrix ADC, effectuez les étapes suivantes :

  1. Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.

    1. Créer un utilisateur test Microsoft Entra – pour tester Microsoft Entra SSO avec B.Simon.

    2. Attribuer l'utilisateur de test Microsoft Entra – pour permettre à B.Simon d'utiliser Microsoft Entra SSO.

  2. Configurer l’authentification unique Citrix ADC pour configurer les paramètres d’authentification unique côté application.

  3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Pour activer Microsoft Entra SSO à l’aide du portail Azure, procédez comme suit :

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez au volet d’intégration d’application Identité>Applications>Applications d’entreprise>Citrix ADC. Sous Gérer, sélectionnez Authentification unique.

  3. Dans le volet Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  4. Dans le volet Configurer l’authentification unique avec SAML, sélectionnez l’icône de stylet Modifier pour Configuration SAML de base afin de modifier les paramètres.

    Modifier la configuration SAML de base

  5. Dans la section Configuration SAML de base, pour configurer l’application en mode lancé par le fournisseur d’identité :

    1. Dans la zone de texte Identificateur, entrez une URL au format suivant : https://<Your FQDN>

    2. Dans la zone de texte URL de réponse, entrez une URL au format suivant : https://<Your FQDN>/CitrixAuthService/AuthService.asmx

  6. Pour configurer l’application en mode lancé par le fournisseur de services, sélectionnez Définir des URL supplémentaires, puis effectuez les étapes suivantes :

    • Dans la zone URL de connexion, entrez une URL au format suivant : https://<Your FQDN>/CitrixAuthService/AuthService.asmx

    Notes

    • Les URL utilisées dans cette section ne sont pas des valeurs réelles. Mettez à jour ces valeurs avec les valeurs réelles de l’identificateur, de l’URL de réponse et de l’URL de connexion. Pour obtenir ces valeurs, contactez l’équipe du support technique Citrix ADC. Vous pouvez également consulter les modèles figurant à la section Configuration SAML de base.
    • Pour configurer l’authentification unique, les URL doivent être accessibles à partir de sites web publics. Vous devez activer le pare-feu ou d’autres paramètres de sécurité du côté Citrix ADC pour permettre à Microsoft Entra ID de publier le jeton à l’URL configurée.
  7. Dans le volet Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez URL des métadonnées de fédération d’application, copiez cette URL et enregistrez-la dans le Bloc-notes.

    Lien Téléchargement de certificat

  8. L’application Citrix ADC attend des assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à votre configuration des attributs de jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut. Sélectionnez l’icône Modifier et changez les mappages d’attributs.

    Modifier le mappage d’attributs SAML

  9. L’application Citrix ADC s’attend aussi à ce que quelques attributs supplémentaires soient repassés dans la réponse SAML. Dans la boîte de dialogue Attributs utilisateur, sousRevendications des utilisateurs, effectuez les étapes suivantes pour ajouter ces attributs de jeton SAML, comme indiqué dans le tableau :

    Nom Attribut source
    mySecretID user.userprincipalname
    1. Sélectionnez Ajouter une nouvelle revendication pour ouvrir la boîte de dialogue Gérer les revendications des utilisateurs.

    2. Dans la zone de texte Nom, entrez le nom d’attribut affiché pour cette ligne.

    3. Laissez le champ Espace de noms vide.

    4. Dans le champ Attribut, sélectionnez Source.

    5. Dans la liste Attribut de la source, entrez la valeur d’attribut affichée pour cette ligne.

    6. Sélectionnez OK.

    7. Sélectionnez Enregistrer.

  10. Dans la section Configurer Citrix ADC, copiez la ou les URL pertinentes en fonction de vos besoins.

    Copier les URL de configuration

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
  4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
    1. Dans le champ Nom d’affichage, entrez B.Simon.
    2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
    3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
    4. Sélectionnez Revoir + créer.
  5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez autoriser l’utilisateur B.Simon à utiliser l’authentification unique Azure en lui accordant l’accès à Citrix ADC.

  1. Accédez à Identité>Applications>Applications d’entreprise.

  2. Dans la liste des applications, sélectionnez Citrix ADC.

  3. Dans la vue d’ensemble de l’application, sous Gérer, sélectionnez Utilisateurs et groupes.

  4. Sélectionnez Ajouter un utilisateur. Ensuite, dans la boîte de dialogue Ajouter une attribution, sélectionnez Utilisateurs et groupes.

  5. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B.Simon dans la liste Utilisateurs. Choisissez Select.

  6. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.

  7. Dans la boîte de dialogue Ajouter une attribution, sélectionnez Affecter.

Configurer l’authentification unique Citrix ADC

Sélectionnez un lien pour connaître les étapes relatives au type d’authentification que vous voulez configurer :

Publier le serveur web

Pour créer un serveur virtuel :

  1. Sélectionnez Gestion du trafic>Équilibrage de charge>Services.

  2. Sélectionnez Ajouter.

    Configuration de Citrix ADC - volet Services

  3. Définissez les valeurs suivantes pour le serveur web qui exécute les applications :

    • Nom du service :

    • Adresse IP du serveur/ Serveur existant

    • Protocole

    • Port

      Volet de configuration de Citrix ADC

Configurer l’équilibrage de charge

Pour configurer l’équilibrage de charge :

  1. Accédez à Gestion de trafic>Équilibrage de charge>Serveurs virtuels.

  2. Sélectionnez Ajouter.

  3. Définissez les valeurs suivantes comme décrit dans la capture d’écran ci-après :

    • Nom
    • Protocole
    • Adresse IP
    • Port
  4. Sélectionnez OK.

    Configuration de Citrix ADC - volet Paramètres de base

Lier le serveur virtuel

Pour lier l’équilibreur de charge au serveur virtuel :

  1. Dans le volet Services et groupes de services, sélectionnez Aucune liaison de service de serveur virtuel d’équilibrage de charge.

    Configuration de Citrix ADC - volet Liaison de service de serveur virtuel d’équilibrage de charge

  2. Vérifiez les paramètres comme indiqué dans la capture d’écran suivante, puis sélectionnez Fermer.

    Configuration de Citrix ADC - vérifier la liaison des services de serveur virtuel

Lier le certificat

Pour publier ce service en tant que TLS, liez le certificat serveur, puis testez votre application :

  1. Sous Certificat, sélectionnez Aucun certificat de serveur.

    Configuration de Citrix ADC - volet Certificat de serveur

  2. Vérifiez les paramètres comme indiqué dans la capture d’écran suivante, puis sélectionnez Fermer.

    Configuration de Citrix ADC - vérifier le certificat

Profil SAML de Citrix ADC

Pour configurer le profil SAML de Citrix ADC, effectuez les étapes des sections suivantes :

Créer une stratégie d’authentification

Pour créer une stratégie d’authentification :

  1. Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Authentification>Stratégies d’authentification.

  2. Sélectionnez Ajouter.

  3. Dans le volet Créer une stratégie d’authentification, entrez ou sélectionnez les valeurs suivantes :

    • Name : Entrez un nom pour votre stratégie d’authentification.
    • Action : Entrez SAML, puis sélectionnez Ajouter.
    • Expression : Entrez true.

    Configuration de Citrix ADC - volet Créer une stratégie d’authentification

  4. Sélectionnez Create (Créer).

Créer un serveur SAML d’authentification

Pour créer un serveur SAML d’authentification, accédez au volet Créer un serveur SAML d’authentification, puis effectuez les étapes suivantes :

  1. Dans Nom, entrez le nom du serveur SAML d’authentification.

  2. Sous Exporter les métadonnées SAML :

    1. Cochez la case Importer les métadonnées.

    2. Entrez l’URL des métadonnées de fédération à partir de l’interface utilisateur SAML Azure que vous avez copiée précédemment.

  3. Dans Nom de l’émetteur, entrez l’URL pertinente.

  4. Sélectionnez Create (Créer).

Configuration de Citrix ADC - volet Créer un serveur SAML d’authentification

Créer un serveur virtuel d’authentification

Pour créer un serveur virtuel d’authentification :

  1. Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Authentification>Serveurs virtuels d’authentification.

  2. Sélectionnez Ajouter, puis effectuez les étapes suivantes :

    1. Dans Nom, entrez le nom du serveur virtuel d’authentification.

    2. Cochez la case Non adressable.

    3. Dans Protocole, sélectionnez SSL.

    4. Sélectionnez OK.

    Configuration de Citrix ADC - Volet Serveur virtuel d’authentification

Configurer le serveur virtuel d'authentification pour utiliser Microsoft Entra ID

Modifiez deux sections pour le serveur virtuel d’authentification :

  1. Dans le volet Stratégies d’authentification avancées, sélectionnez Aucune stratégie d’authentification.

    Configuration de Citrix ADC - volet Stratégies d’authentification avancées

  2. Dans le volet Liaison des stratégies, sélectionnez la stratégie d’authentification, puis sélectionnez Lier.

    Configuration de Citrix ADC - volet Liaison des stratégies

  3. Dans le volet Serveurs virtuels basés sur un formulaire, sélectionnez Aucun serveur virtuel d’équilibrage de charge.

    Configuration de Citrix ADC - volet Serveurs virtuels basés sur un formulaire

  4. Dans FQDN d’authentification, saisissez un nom de domaine complet (FQDN) (obligatoire).

  5. Sélectionnez le serveur virtuel d'équilibrage de charge que vous souhaitez protéger avec l'authentification Microsoft Entra.

  6. Sélectionnez Lier.

    Configuration de Citrix ADC - volet Liaison de serveur virtuel d’équilibrage de charge

    Notes

    Veillez à sélectionner Terminé dans le volet Configuration du serveur virtuel d’authentification.

  7. Pour vérifier vos modifications, dans un navigateur, accédez à l’URL de l’application. Votre page de connexion de locataire doit s’afficher au lieu de l’accès non authentifié que vous auriez pu voir précédemment.

    Configuration de Citrix ADC - Page de connexion dans un navigateur web

Configurer l’authentification unique Citrix ADC pour l’authentification par en-tête

Configurer Citrix ADC

Pour configurer Citrix ADC pour l’authentification par en-tête, effectuez les étapes des sections suivantes.

Créer une action de réécriture

  1. Accédez à AppExpert>Réécrire>Actions de réécriture.

    Configuration de Citrix ADC - Volet Actions de réécriture

  2. Sélectionnez Ajouter, puis effectuez les étapes suivantes :

    1. Dans le champ Nom, entrez un nom pour l’action de réécriture.

    2. Dans le champ Type, entrez INSERT_HTTP_HEADER.

    3. Dans le champ Nom de l’en-tête, entrez un nom d’en-tête (dans cet exemple, nous utilisons SecretID).

    4. Pour Expression, entrez aaa.USER.ATTRIBUTE("mySecretID"), où mySecretID est la revendication Microsoft Entra SAML qui a été envoyée à Citrix ADC.

    5. Sélectionnez Créer.

    Configuration de Citrix ADC - Volet Créer une action de réécriture

Créer une stratégie de réécriture

  1. Accédez à AppExpert>Réécrire>Stratégies de réécriture.

    Configuration de Citrix ADC - Volet Stratégies de réécriture

  2. Sélectionnez Ajouter, puis effectuez les étapes suivantes :

    1. Dans le champ Nom, entrez un nom pour la stratégie de réécriture.

    2. Dans le champ Action, sélectionnez l’action de réécriture que vous avez créée dans la section précédente.

    3. Dans le champ Expression, entrez true.

    4. Sélectionnez Create (Créer).

    Configuration de Citrix ADC - Volet Créer une stratégie de réécriture

Lier une stratégie de réécriture à un serveur virtuel

Pour lier une stratégie de réécriture à un serveur virtuel à l’aide de l’interface graphique utilisateur :

  1. Accédez à Gestion de trafic>Équilibrage de charge>Serveurs virtuels.

  2. Dans la liste des serveurs virtuels, sélectionnez le serveur virtuel auquel lier la stratégie de réécriture, puis sélectionnez Ouvrir.

  3. Dans le volet Serveur virtuel d’équilibrage de charge, sous Paramètres avancés, sélectionnez Stratégies. Toutes les stratégies configurées pour votre instance de NetScaler figurent dans la liste. Configuration de Citrix ADC - Volet Serveur virtuel d’équilibrage de charge

  4. Cochez la case située en regard du nom de la stratégie que vous voulez lier à ce serveur virtuel.

    Configuration de Citrix ADC - volet Liaison de stratégie de trafic de serveur virtuel d’équilibrage de charge

  5. Dans la boîte de dialogue Choisir un type :

    1. Pour Choisir une stratégie, sélectionnez Trafic.

    2. Pour Choisir un type, sélectionnez Requête.

    Configuration de Citrix ADC - Boîte de dialogue Stratégies

  6. Sélectionnez OK. Dans la barre d’état, un message indique que la stratégie a été configurée avec succès.

Modifier le serveur SAML pour extraire les attributs d’une revendication

  1. Accédez à Sécurité>AAA - Trafic d’application>Stratégies>Authentification>Stratégies avancées>Actions>Serveurs.

  2. Sélectionnez le serveur SAML d’authentification approprié pour l’application.

    Configuration de Citrix ADC - Volet Configurer un serveur SAML d’authentification

  3. Dans le volet Attributs, entrez les attributs SAML à extraire, séparés par des virgules. Dans notre exemple, nous entrons l’attribut mySecretID.

    Configuration de Citrix ADC - Volet Attributs

  4. Pour vérifier l’accès, accédez à l’URL dans un navigateur, recherchez l’attribut SAML sous Collection d’en-têtes.

    Configuration de Citrix ADC - Collection d’en-têtes à l’URL

Créer un utilisateur de test Citrix ADC

Dans cette section, un utilisateur appelé B.Simon est créé dans Citrix ADC. Citrix ADC prend en charge l’attribution d’utilisateurs juste-à-temps, qui est activée par défaut. Vous n’avez aucune opération à effectuer dans cette section. Si l’utilisateur souhaité n’existe pas déjà dans Citrix ADC, il est créé après l’authentification.

Notes

Si vous avez besoin de créer un utilisateur manuellement, contactez l’équipe du support technique de Citrix ADC.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

  • Cliquez sur Tester cette application. Vous êtes alors redirigé vers l’URL de connexion à Citrix ADC, d’où vous pouvez lancer le flux de connexion.

  • Accédez directement à l’URL de connexion Citrix ADC pour lancer le processus de connexion.

  • Vous pouvez utiliser Mes applications de Microsoft. Le fait de cliquer sur la vignette Citrix ADC dans Mes applications vous redirige vers l’URL de connexion Citrix ADC. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Après avoir configuré Citrix ADC, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.