Guía de PoC: Autenticación federada de Active Directory de Microsoft Azure para Citrix Virtual Apps and Desktops con NetScaler

Introducción

El uso de la nube para ofrecer servicios empresariales sigue creciendo. Los servicios en la nube heredan los beneficios incorporados en la infraestructura de nube, incluida la resiliencia, la escalabilidad y el ámbito global. Azure Active Directory (AAD) es el servicio de directorio hospedado de Microsoft Azure y proporciona los mismos beneficios en la nube a las empresas. AAD permite a las empresas alojar sus identidades de empleados en la nube y acceder de forma segura a los servicios también alojados en la nube o en las instalaciones.

Citrix Virtual Apps and Desktops ofrece aplicaciones y escritorios virtuales mediante recursos alojados en las instalaciones o en la nube. NetScaler proporciona acceso remoto seguro a esas aplicaciones virtuales y escritorios, y también se puede hospedar en las instalaciones o en la nube. Junto con Citrix Federated Authentication Service, pueden utilizar AAD para autenticar el acceso de los usuarios a Citrix Virtual Apps and Desktops desde cualquier lugar.

Arquitectura AAD-IDP + CVAD+ FAS + ADC-SP

Introducción

La guía muestra cómo implementar un entorno de prueba de concepto para Microsoft AAD Federated Authentication for Citrix Virtual Apps and Desktops con NetScaler mediante SAML. AAD actúa como proveedor de identidades (IdP) mientras que NetScaler actúa como proveedor de servicios (SP).

Hace suposiciones sobre la instalación o configuración de ciertos componentes:

  • Un servidor de Active Directory se instala en las instalaciones y puede iniciar sesión como Administrador de dominio.
  • Un arrendatario de Azure está disponible con una licencia P2 y puede iniciar sesión como administrador global.
  • Se ha instalado y licenciado un dispositivo NetScaler. También tiene un servidor virtual NetScaler Gateway configurado para proporcionar acceso a un entorno local de Citrix Virtual Apps and Desktops. Utilice la versión 13 compilación 60 o posterio.
  • Se instalan Delivery Controller, StoreFront y VDA y se configuran para entregar aplicaciones virtuales o escritorios para usuarios de dominio. Utilice la versión 2006 o posterior.
  • Hay una máquina virtual disponible o otro servidor tiene la capacidad suficiente para instalar FAS. Los DDC, FAS y StoreFront están instalados en el mismo servidor en este POC.
  • El cliente remoto puede iniciar una aplicación virtual o un escritorio mediante la aplicación Workspace o el explorador. Utilice Windows versión 20.6.0.38 (2006) o posterior.

配置de AD y AAD

Para configurar Active Directory (AD) y Azure Active Directory (AAD), realice los siguientes pasos:

Sufijo UserPrincipalName (UPN) alternativo

  1. Inicie sesión en el controlador de dominio de AD.
  2. AbrirAdministrador del servidor > Herramientas > Dominios y confianzas de Active Directory
  3. Haga clic con el botón secundario, seleccionePropiedadese introduzca el Sufijo UPN para los usuarios correspondientes a uno de sus dominios AAD.Sufijo UPN Alt

Usuarios de AD

  1. En el controlador de dominio de AD abraAdministrador del servidor > Herramientas > Usuarios y equipos de Active Directory.
  2. Haga clic con el botón derecho y seleccioneNuevo > Usuario, o modifique uno existente
  3. En Propiedades > Cuenta, establezca el UPNen el nuevo Sufijo.Usuario de AD

Conexión de Microsoft Azure Active Directory

Azure广告es una herramienta para conectar连接la infraestructura de identidad local a Microsoft Azure AD. Nos permite copiar usuarios de AD a AAD con un UserPrincipalName (UPN) asignado a nuestro dominio AAD.

  1. Inicie sesión en el controlador de dominio de AD u otro servidor virtual donde hospede el proceso de Microsoft Azure Active Directory Connect.
  2. Descargue el archivo ejecutable del sitio de descargas deMicrosoft Azure Active Directory Connecty ejecútelo.
  3. Se le pedira, acepte realizar: en la maquina virtual y acepte un contrato de licencia en la página de bienvenida.Conectar AD
  4. Se le pedirá que inicie sesión como administrador global de AAD y como administrador de Servicios de dominio.
  5. Para la instalación en una única máquina virtual de AD, puede seguir la configuración expresa. Después de verificar los sufijos UPN, realiza una sincronización completa de todos los usuarios, grupos y contactos.

ConsulteUso de la configuración rápida de Azure AD Connectpara obtener más información.

Entidad de certificación

Para este POC suponemos que tiene una entidad emisora de certificados, incluida la inscripción web, instalada en un DC de AD. Si no, vaya alAdministrador del servidor > Agregar rolesy funciones y siga las instrucciones para instalar Servicios de Certificate Server de Active Directory. ConsulteInstalación de entidades de certificación de Microsoftpara obtener más información.

  1. Próximo lanzamiento de MMC
  2. SeleccioneAgregar o quitar complemento > Certificados > Cuenta de equipo > Aceptar
  3. Haga clic con el botón derechoPersonal > Todas las tareas > Solicitar nuevo certificado
  4. Haga clic en Siguiente y seleccione Directiva de inscripción de Active Directory
  5. Seleccione Autenticación de controlador de dominio y haga clic enInscribir una aplicación

Azure Active Directory

  1. Inicie sesión enAzure Portalcomo administrador global
  2. Navegue aAzure Active Directory > Aplicaciones empresariales
  3. Seleccione Nueva aplicación
  4. Seleccionar aplicación no perteneciente a la GaleríaAplicación no perteneciente a Gallery
  5. Introduzca un nombre único y seleccione Agregar
  6. Seleccione elinicio de sesión único > SAMLy seleccione el icono de lápiz para modificar la configuración básica de SAML
  7. Introduzca el FQDN del servidor virtual NetScaler gateway en el campo Identificador.
  8. Introduzca el FQDN con el URI /cgi/samlauth agregado en el campo URL de respuesta配置uración básica de SAML
  9. Hacer clic en Save
  10. Capture lo siguiente para introducirlo en la configuración SAML de NetScaler:
    • Bajo certificado de firma SAML - descargar Certificado (base64)
    • En Configuración de Citrix FAS: URL de inicio de sesión y cierre de sesión配置uración de AAD
  11. Seleccione Usuarios y grupos > Agregar usuario y seleccione los usuarios existentes o los grupos que tienen acceso a Citrix Virtual Apps and Desktops mediante suconfiguración SAML básicade UPN de AAD.

配置uración de NetScaler

Para configurar NetScaler, realice los siguientes pasos:

  1. Inicie sesión en la interfaz de usuario de NetScaler
  2. Vaya aAdministración de Tráfico > SSL> Certificados > Todos los certificadospara comprobar que tiene instalado el certificado de dominio. En este ejemplo POC utilizamos un certificado comodín correspondiente a nuestro dominio de Active Directory. Consulte loscertificados SSL de NetScalerpara obtener más información.
  3. Vaya aSeguridad > AAA - Tráfico de aplicaciones > Servidores virtualesy seleccione Agregar
  4. Introduzca los siguientes campos y haga clic en Aceptar:
    • Nombre: Un valor único
    • Tipo de dirección IP: No direccionable配置uración básica de SAML
  5. Seleccione Sin certificado de servidor, seleccione el certificado de dominio, haga clic en Seleccionar, Enlazar y Continuar
  6. Seleccione Sin directiva de autenticación y seleccione Agregar
  7. Escriba un nombre, establezca Tipo de acción en SAML y seleccione Agregar acción
  8. Introduzca los siguientes campos y haga clic en Aceptar:
    • Nombre: Un valor único
    • Anula selección de importación de metadatos
    • Redirigir URL: Pegue la URL de inicio de sesión copiada desde la configuración de AAD
    • URL de cierre de sesión único: Pegue la URL de cierre de sesión copiada desde la configuración de AAD
    • Enlace de cierre de sesión - Redirigir
    • Nombre del certificado de IdP: Seleccione Agregar, escriba un nombre, seleccione Nombre de archivo de certificado > local y seleccione el certificado de firma SAML (base64) descargado de AAD
    • Nombre de certificado de firma: Seleccione el certificado de dominio que utiliza ADC para firmar solicitudes en AAD.
    • Nombre del problema: Introduzca el FQDN de NetScaler GatewayAcción de autenticación SAML
  9. Seleccione crear para crear la acción
  10. Escriba true para la expresión
  11. Seleccione crear de nuevo para crear la directiva Directivade autenticación
  12. Seleccione bind para vincular la directiva al servidor virtual deautenticación del servidor virtual
  13. Haga clic en continuar para completar la configuración del servidor virtual de autenticación.
  14. A continuación, vaya aNetScalerGateway > Servidores virtualesy modifique el servidor virtual pertinente
  15. Si tiene una directiva básica existente enlazada en Autenticación básica, selecciónela, compruebe la directiva y seleccione Desenlazar, confirmar y cerrar.
  16. En el menú de la derecha, seleccione Perfil de autenticación y seleccione Agregar. Escriba un nombre y haga clic en la flecha derecha en Servidor virtual de autenticación. Compruebe la directiva Servidor virtual Autenticación y haga clic en crear.Crear perfil de autenticación
  17. Haga clic en Aceptar para completar el enlace del servidor virtual NetScaler AAA al servidor virtual Gateway.Crear perfil de autenticación
  18. Vaya aNetScalerGateway > Directivas > Sesióny seleccione la directiva de la aplicación Workspace con la expresión “Citrix Receiver” y realice los siguientes cambios:
    • En Aplicaciones publicadas, desactive el campo Dominio de inicio de sesión único y desactive la Anulación global
    • En Experiencia del cliente en la lista desplegable Índice de credenciales, seleccione Secundaria
  19. Repita esos pasos para la directiva Workspace for web con lasDirectivas de sesión de NetScaler Gatewayde la expresión “Citrix Receiver”).NOT.

ConsulteNetScalerpara obtener más información.

配置uración de Citrix Virtual Apps and Desktops

Para integrar componentes de Citrix Virtual Apps and Desktops con FAS, realice los siguientes pasos:

StoreFront

Habilitar FAS在店面

  • Abra PowerShell como administrador y ejecute:
    • Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    • $StoreVirtualPath = "/Citrix/Store"
    • $store = Get-STFStoreService -VirtualPath $StoreVirtualPath $auth = Get-STFAuthenticationService -StoreService $store
    • Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    • Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"

ConsulteHabilitar el complemento FAS en los almacenes de StoreFrontpara obtener más información.

配置urar StoreFront para NetScaler Gateway

  1. Inicie sesión en la máquina virtual StoreFront (que también aloja FAS y el DDC en nuestro POC) e inicie la GUI de StoreFront
  2. Seleccione Administrar métodos de autenticación en el menú de la derecha
  3. Seleccione PassThrough en NetScaler Gateway
  4. Seleccione la flecha hacia abajo situada junto al engranaje y seleccione Configurar autenticación delegada.
  5. Marque Delegar completamente la validación de credenciales a NetScaler Gateway y haga clic en Aceptar dos vecesCrear perfil de autenticación
  6. Seleccione Administrar Citrix Gateways en el menú de la derecha
  7. Modificar la entrada pertinente de NetScaler Gateway
  8. En Configuración de autenticación, la URL de devolución de llamada debe estar configurada si aún no se ha hecho. Por lo general, puede actualizar el DNS interno o, para una sola instancia de StoreFront, actualizar el archivo de host local para asignar la IP privada del servidor virtual Gateway al FQDNCreate Authentication Profile.

Delivery Controller

A continuación, configure Desktops Delivery Controller para que confíe en los servidores StoreFront que pueden conectarse a él.

  • Abra PowerShell como administrador y ejecute
    • Add-PSSnapin Citrix*(siempre que no tenga todos los complementos de Citrix cargados) ConsulteInstalar y configurar FASpara obtener más información
    • Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Consulte配置urar el Delivery Controllerpara obtener más información.

配置uración del servicio de autenticación federada de Citrix

Para configurar FAS, realice los siguientes pasos:

  1. Cargue la imagen ISO de Citrix Virtual Apps and Desktops en la máquina virtual FAS
  2. Seleccione FAS para iniciar la instalación Instalaciónde FAS
  3. Lea el Contrato de licencia de Citrix y haga clic en Siguiente
  4. Seleccione el directorio de instalación y haga clic en Siguiente
  5. Actualice el firewall del host para permitir el puerto 80 y haga clic en NextFAS Ports
  6. Pulse Finalizar.
  7. Revise la configuración que ha realizado y haga clic en Instalar
  8. Después de la instalación correcta haga clic en Finalizar de nuevo ![FASFinalizado]
  9. En “C:\Program Files\ Citrix\ Federated Authentication Service”, comparta el contenido del directorio PolicyDefinions y el subdirectorio “en-us”FAS Policy Definitions Copy
  10. En “C:\Program Files\ Citrix\ Federated Authentication Service” péguelos en el controlador de dominio en C:\Windows\PolicyDefinions y ..\ es-US, respectivamente. Los archivos incluyen:
    • Definiciones de directivas\ CitrixBase.admx
    • PolicyDefinitions\ CitrixFederatedAuthenticationService.admx
    • PolicyDefinitions\es-ES\CitrixBase.adml
    • PolicyDefinitions\ CitrixFederatedAuthenticationService.admlDefiniciones de directivas FAS Pegar
  11. AbrirAdministrador del servidor > Herramientas > Administración de directivas de grupo
    • a. Haga clic con el botón secundario para crear nuevo o modificar un objeto de directiva de grupo existente que se aplique a todos los VDA pertinentes y Delivery Controllers. (Utilizamos la directiva Controladores de dominio predeterminados para el POC. Para la producción suele crear una nueva directiva o modificar otra directiva pertinente.)GPO* b. Vaya a配置uración del equipo > Directivas > Plantillas administrativas > Componentes de Citrix > Autenticación* c. Haga clic con el botón secundario en Servicio de autenticación federadad. Seleccione modificar * e. Seleccione Mostrar DNS * f. Introduzca el FQDN del servidor FAS, haga clic en Aceptar dos veces y cierre el editor de administración de directivas de grupoFAS GPO* g. Vaya a cada Delivery Controller y VDA), abra un indicador de MS-DOS como administrador y ejecute lagpupdate /forceactualización de GPO de FAS* h. Para comprobar que se ha aplicado, abra regedit.exe y vaya a: /Computer\ HKLM\ SOFTWARE\ Policies\ Citrix\ Authentication\ UserCredentialService\ Address1 entrada establecida en el FQDN aplicado a través del GPO. Si no aparece, es posible que tenga que reiniciar la máquina virtual respectiva.Registro FAS GPO* i. A continuación, regrese a la máquina virtual FAS para comenzar la instalación del servicio. (Hospedamos FAS, StoreFront y DDC en la misma máquina virtual para el POC. Para la producción, normalmente los hospedaría en diferentes máquinas virtuales para mejorar la escalabilidad y la compatibilidad.) * j. Ejecute el programa Citrix Federated Authentication Service. Seleccione cada uno de los cinco pasos en secuencia y siga las instrucciones: * i. Implementar plantillas de certificadosii. Establecer una entidad de certificación * iii. Autorizar este servicio: Para este paso regrese a la CA para emitir una solicitud pendiente. La CA está alojada en el controlador de dominio en este ejemplo de POC. * iv. Crear regla: Aquí especifique la CA y el certificado ya configurado. También filtre los agentes VDA y los usuarios a los que se les permite utilizar el servicio FAS. * v. (Conectarse a Citrix Cloud: En esta guía utilizamos aplicaciones virtuales y escritorios de Citrix Virtual Apps and Desktops locales)

Consultela documentación de FASpara obtener más información.

Validación de cliente de Citrix Workspace

Para validar el POC, realice los siguientes pasos:

Workspace para Web

  1. Abra un explorador y navegue hasta el FQDN de dominio administrado por NetScaler. Observe que NetScaler Gateway redirige a AAD.
  2. Iniciar sesión con el UPN de un usuario configurado para formar parte del entorno FASIniciar sesión
  3. Verifique que los usuarios, las aplicaciones virtuales y los escritorios estén enumerados e inicie una vez que haya iniciado sesión con el UPN mediante el objeto de usuario de AADIniciado sesión

Resumen

Citrix Virtual Apps and Desktops ha sido una tecnología resistente durante décadas. La identidad alojada en la nube ofrece a las empresas un servicio aún más fiable. La implementación del POC descrito en esta guía demuestra cómo lograrlo mediante la integración de AAD como IdP y NetScaler como proveedor de servicios. Para obtener más información sobre los precios y el embalaje de Citrix, visite el sitio web de CitrixCitrix.comy para obtener más información sobre las capacidades técnicas de Citrix, visiteCitrix TechZone.

Guía de PoC: Autenticación federada de Active Directory de Microsoft Azure para Citrix Virtual Apps and Desktops con NetScaler