Guide PoC : Authentification fédérée Microsoft Azure Active Directory pour Citrix Virtual Apps and Desktops avec NetScaler

Introduction

L’utilisation du Cloud pour fournir des services d’entreprise continue de croître. Les services cloud héritent des avantages intégrés à l’infrastructure cloud, notamment la résilience, l’évolutivité et la portée mondiale. Azure Active Directory (AAD) est le service d’annuaire hébergé Microsoft Azure et fournit les mêmes avantages cloud aux entreprises. AAD permet aux entreprises d’héberger leurs identités de leurs employés dans le cloud et d’accéder en toute sécurité aux services également hébergés dans le Cloud ou sur site.

Citrix Virtual Apps and Desktops fournit des applications virtuelles et des postes de travail à l’aide de ressources hébergées sur site ou dans le Cloud. NetScaler fournit un accès distant sécurisé à ces applications et postes de travail virtuels et peut également être hébergé sur site ou dans le cloud. Avec Citrix Federated Authentication Service, ils peuvent utiliser AAD pour authentifier l’accès des utilisateurs à Citrix Virtual Apps and Desktops depuis n’importe où.

Vue d’ensemble

Le guide explique comment implémenter un environnement de preuve de concept pour l’authentification fédérée Microsoft AAD pour Citrix Virtual Apps and Desktops avec NetScaler à l’aide de SAML. AAD agit en tant que fournisseur d’identité (IdP) tandis que NetScaler agit en tant que fournisseur de services (SP).

Il fait des hypothèses sur l’installation, ou la configuration de certains composants :

• Un serveur Active Directory est installé sur site et vous pouvez vous connecter en tant qu’administrateur de domaine.
• Un client Azure est disponible avec une licence P2 et vous pouvez vous connecter en tant qu’administrateur global.
• Une appliance NetScaler a été installée et sous licence. Il dispose également d’un serveur virtuel NetScaler Gateway configuré pour fournir un accès à un environnement Citrix Virtual Apps and Desktops local. Utilisez la version 13 build 60 ou supérieure.
• 联合国交付控制器,店面VDA是英寸tallés et configurés pour fournir des applications virtuelles ou des postes de travail pour les utilisateurs de domaine. Utilisez la version 2006 ou supérieure.
• Une machine virtuelle est disponible ou un autre serveur dispose d’une capacité suffisante pour installer FAS. Le DDC, FAS et StoreFront sont tous installés sur le même serveur dans ce PDC.
• Le client distant peut lancer une application virtuelle ou un bureau à l’aide de l’application Workspace ou du navigateur. Utilisez Windows Version 20.6.0.38 (2006) ou supérieure.

Config AD et AAD

Pour configurer Active Directory (AD) et Azure Active Directory (AAD), procédez comme suit :

AD

Suffixe用户PrincipalName alternatif(隐喻)

1. Connectez-vous à votre contrôleur de domaine AD.
2. OuvrezGestionnaire de serveur > Outils > Domaines et approbations Active Directory
3. Cliquez avec le bouton droit de la souris, sélectionnezPropriétéset saisissez le suffixe UPN pour les utilisateurs correspondant à l’un de vos domaines AAD.

Utilisateurs AD

1. Sur votre contrôleur de domaine AD, ouvrezGestionnaire de serveur > Outils > Utilisateurs et ordinateurs Active Directory.
2. Cliquez avec le bouton droit de la souris et sélectionnezNouveau > Utilisateurou modifiez un existant
3. Sous Propriétés > Compte, définissez l’UPNsur le nouveau suffixe.

Connexion Microsoft Azure Active Directory

Azure AD Connect est un outil permettant de connecter l’infrastructure d’identité locale à Microsoft Azure AD. Il nous permet de copier les utilisateurs AD vers AAD avec un UPN (UPN) mappé à notre domaine AAD.

1. Connectez-vous à votre contrôleur de domaine AD ou à un autre serveur virtuel sur lequel vous hébergez le processus Microsoft Azure Active Directory Connect.
2. Téléchargez l’exécutable depuis le site de téléchargement MicrosoftMicrosoft Azure Active Directory Connectet lancez-le.
3. Vous êtes invité à accepter d’apporter des modifications à la machine virtuelle et à accepter un contrat de licence sur la page d’accueil.
4. Vous êtes invité à vous connecter en tant qu’administrateur AAD global et en tant qu’administrateur des services de domaine.
5. Pour l’installation sur une seule machine virtuelle AD, vous pouvez suivre les paramètres express. Après avoir vérifié les suffixes UPN, il effectue une synchronisation complète de tous les utilisateurs, groupes et contacts.

Pour plus d’informations, consultez la sectionUtilisation des paramètres express d’Azure AD Connect.

Autorité de certification

Pour ce PDC, nous supposons que vous disposez d’une autorité de certification, y compris l’inscription Web, installée sur un contrôleur de domaine AD. Si vous n’accédez pas àGestionnaire de serveur > Ajouter des rôleset des fonctionnalités et suivez les invites pour installer les services de certificats Active Directory. VoirInstallation de l’autorité de certification Microsoftpour plus d’informations.

1. Prochain lancement MMC
2. SélectionnezAjouter/Supprimer un composant logiciel enfichable > Certificats > Compte d’ordinateur > OK
3. Cliquez avec le bouton droit surPersonnel > Toutes les tâches > Demander un
4. Cliquez sur Suivant et sélectionnez Stratégie d’inscription Active Directory.
5. Sélectionnez Authentification du contrôleur de domaine et cliquez sur Enroll

Azure Active Directory

1. Connectez-vous auportail Azureen tant qu’administrateur global
2. Accédez àAzure Active Directory > Applications d’entreprise
3. Sélectionnez Nouvelle application
4. Sélectionnez une application hors galerie
5. Entrez un nom unique et sélectionnez Ajouter
6. SélectionnezSingle Sign-on > SAMLet sélectionnez l’icône de crayon pour modifier la configuration SAML de base
7. Entrez le nom de domaine complet du serveur virtuel NetScaler Gateway dans le champ Identifiant.
8. Entrez le nom de domaine complet avec l’URI /cgi/samlauth ajouté dans le champ URL de réponse
9. Cliquer sur Save
10. Capturez les informations suivantes à saisir dans la configuration SAML de NetScaler :
    • Sous Certificat de signature SAML - télécharger Certificat (base64)
    • Sous Configuration Citrix FAS - URL de connexion et de déconnexion
11. Sélectionnez Utilisateurs et groupes > Ajouter un utilisateur et sélectionnez les utilisateurs existants ou les groupes qui ont accès à Citrix Virtual Apps and Desktops à l’aide de leurAAD UPN

Configuration NetScaler

Pour configurer NetScaler, procédez comme suit :

1. Connectez-vous一l 'interface utilisateur de NetScaler
2. Accédez àGestion du trafic > SSL> Certificats > Tous les certificatspour vérifier que votre certificat de domaine est installé. Dans cet exemple POC, nous avons utilisé un certificat générique correspondant à notre domaine Active Directory. Consultez la sectionCertificats SSL NetScalerpour plus d’informations.
3. Accédez àSécurité > AAA - Trafic des applications > Serveurs virtuelset sélectionnez Ajouter
4. Entrez les champs suivants et cliquez sur OK :
   • Nom - une valeur unique
   • Type d’adresse IP - Non adressable
5. Sélectionnez Aucun certificat de serveur, sélectionnez le certificat de domaine, cliquez sur Sélectionner, Lier et Continuer.
6. Sélectionnez Aucune stratégie d’authentification, puis Ajouter
7. Entrez un nom, définissez Type d’action sur SAML, puis sélectionnez Ajouter une action
8. Entrez les champs suivants et cliquez sur OK :
   • Nom - une valeur unique
   • Désélectionner Importer des métadonnées
   • URL de redirection - Coller l’URL de connexion copiée à partir de la configuration AAD
   • URL de déconnexion unique : collez l’URL de déconnexion copiée à partir de la configuration AAD
   • Liaison de déconnexion - Redirection
   • Nom du certificat IdP - sélectionnez Ajouter, entrez un nom, sélectionnez Nom du fichier de certificat > local, puis sélectionnez le certificat de signature SAML (base64) téléchargé depuis AAD
   • Signing Certificate Name : sélectionnez le certificat de domaine utilisé par ADC pour signer des demandes à AAD.
   • Nom du problème : entrez le nom de domaine complet de NetScaler Gateway
9. Sélectionnez créer pour créer l’action
10. Entrez true pour l’expression
11. Sélectionnez à nouveau créer pour créer la stratégie Stratégie
12. Sélectionnez bind pour lier la stratégie au serveur virtuel
13. Cliquez sur Continuer pour terminer la configuration du serveur virtuel d’authentification
14. Accédez ensuite àNetScaler Gateway > Serveurs virtuels,然后modifiez le serveur virtuel approprie
15. Si vous disposez d’une stratégie de base liée sous Authentification de base, sélectionnez-la, vérifiez la stratégie et sélectionnez Délier, confirmer et fermer.
16. Dans le menu de droite, sélectionnez Profil d’authentification, puis Ajouter. Entrez un nom, puis cliquez sur la flèche droite sous Authentication Virtual Server. Vérifiez la stratégie Authentification serveur virtuel, puis cliquez sur créer.
17. Cliquez sur OK pour terminer la liaison du serveur virtuel NetScaler AAA au serveur virtuel Gateway.
18. Accédez àNetScaler Gateway > Stratégies > Session, sélectionnez la stratégie de l’application Workspace avec l’expression « Citrix Receiver », puis apportez les modifications suivantes :
    • Sous Applications publiées effacez le champ Single Sign-on Domaine et désactivez Global Remplacer
    • Sous Expérience client dans la liste déroulante Index des informations d’identification, sélectionnez Secondaire
19. Répétez ces étapes pour la stratégie de Workspace pour le Web avec l’expression « Citrix Receiver » (.NOT). Stratégies de sessionGateway

ConsultezNetScalerpour plus d’informations.

Config Citrix Virtual Apps and Desktops

Pour intégrer les composants Citrix Virtual Apps and Desktops avec FAS, effectuez les opérations suivantes :

StoreFront

Activer FAS sur StoreFront

• Ouvrez PowerShell en tant qu’administrateur et exécutez :
  • Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
  • $StoreVirtualPath = "/Citrix/Store"
  • $store = Get-STFStoreService -VirtualPath $StoreVirtualPath $auth = Get-STFAuthenticationService -StoreService $store
  • Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
  • Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"

Pour plus d’informations, consultezla section Activer le plug-in FAS sur les magasins StoreFront.

Configurer StoreFront pour NetScaler Gateway

1. Connectez-vous à la machine virtuelle StoreFront (qui héberge également FAS, et le DDC dans notre POC) et lancez l’interface graphique StoreFront
2. Sélectionnez Gérer les méthodes d’authentification dans le menu de droite
3. Sélectionnez Pass-through depuis NetScaler Gateway
4. Sélectionnez la flèche vers le bas en regard de l’engrenage, puis sélectionnez Configurer l’authentification déléguée
5. 
6. Sélectionnez Gérer Citrix Gateways dans le menu de droite
7. Modifiez l’entrée NetScaler Gateway pertinente
8. Sous Paramètres d’authentification, l’URL de rappel doit être configurée si ce n’est pas déjà fait. En règle générale, vous pouvez mettre à jour le DNS interne ou, pour une seule instance de StoreFront, mettre à jour le fichier hôte local afin de mapper l’adresse IP privée du serveur virtuel de passerelle au nom de domaine complet (FQDN)

Delivery Controller

Ensuite, configurez Desktops Delivery Controller pour qu’il fasse confiance aux serveurs StoreFront pouvant s’y connecter.

• Ouvrez PowerShell en tant qu’administrateur et exécutez
  • Add-PSSnapin Citrix*(à condition que tous les composants logiciels enfichables Citrix ne soient pas chargés) Reportez-vous à la sectionInstaller et configurer FASpour plus d’informations
  • Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

VoirConfigurer le Delivery Controllerpour plus d’informations.

Config du service d’authentification fédérée Citrix

Pour configurer FAS, effectuez les opérations suivantes :

1. Charger l’image ISO Citrix Virtual Apps and Desktops sur la machine virtuelle FAS
2. Sélectionnez FAS pour commencer l’installation
3. Lisez le contrat de licence Citrix et cliquez sur Suivant
4. Sélectionnez le répertoire d’installation et cliquez sur Suivant
5. Mettez à jour le pare-feu hôte pour autoriser le port 80 et cliquez sur Next
6. Cliquez sur Terminer
7. Vérifiez les paramètres que vous avez définis et cliquez sur Installer
8. Après avoir réussi l’installation, cliquez à nouveau sur Terminer. ![FASTerminé]
9. Sous « C:\Program Files\Citrix\Federated Authentication Service », partagez le contenu du répertoire PolicyDefinions et le sous-répertoire « en-us »
10. Sous “C:\Program Files\Citrix\Federated Authentication Service”, collez les sur le contrôleur de domaine à C:\Windows\PolicyDefinions, et.. \en-US respectivement. Les fichiers incluent :
    • PolicyDefinitions\CitrixBase.admx
    • PolicyDefinitions\CitrixFederatedAuthenticationService.admx
    • PolicyDefinitions\en-US\CitrixBase.adml
    • PolicyDefinitions\CitrixFederatedAuthenticationService.adml
11. OuvrirGestionnaire de serveur > Outils > Gestion des stratégies de groupe
    • a. Cliquez avec le bouton droit de la souris pour créer un objet de stratégie de groupe existant ou modifier un objet de stratégie de groupe existant qui s’applique à tous les VDA et Delivery Controller pertinents. (Nous utilisons la stratégie Contrôleurs de domaine par défaut pour le POC. Pour la production, vous devez généralement créer une nouvelle stratégie ou modifier une autre stratégie pertinente.)* b. Accédez àConfiguration ordinateur > Stratégies > Modèles d’administration > Composants Citrix > Authentification* c. Cliquez avec le bouton droit sur Federated Authentication Service * d. Sélectionnez éditer * e. Sélectionnez Afficher DNS * f. Entrez le nom de domaine complet du serveur FAS, cliquez deux fois sur OK et fermez l’éditeur de gestion des stratégies de groupe* g. Accédez à chaque Delivery Controller et VDA), ouvrez une invite MS-DOS en tant qu’administrateur et exécutez lagpupdate /force* h. Pour vérifier qu’il a été appliqué, ouvrez regedit.exe et accédez à : /Computer\HKLM\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\Addresses Address1 entrée définie au nom de domaine complet appliqué via l’objet de stratégie de groupe. S’il n’apparaît pas, vous devrez peut-être redémarrer la machine virtuelle correspondante.* i. Revenez ensuite à la machine virtuelle FAS pour commencer l’installation du service. (Nous hébergeons FAS, StoreFront et le DDC sur la même machine virtuelle pour le PDC. Pour la production, vous les hébergerez généralement sur différentes machines virtuelles pour améliorer l’évolutivité et la prise en charge.) * j. Exécutez le programme Citrix Federated Authentication Service. Sélectionnez chacune des cinq étapes dans l’ordre et suivez les instructions :* i. Déployer des modèles de certificat * ii. Mise en place d’une autorité de certification * iii. Autoriser ce service - pour cette étape, revenez à l’autorité de certification pour émettre une demande en attente. L’autorité de certification est hébergée sur le contrôleur de domaine dans cet exemple de PDC. * iv. Créer une règle - spécifiez ici l’autorité de certification et le certificat déjà configuré. Filtrez également les VDA et les utilisateurs autorisés à utiliser le service FAS. * v. (Se connecter à Citrix Cloud - dans ce guide, nous utilisons Citrix Virtual Apps and Desktops locaux)

Consultez ladocumentation FASpour plus d’informations.

Validation du client Citrix Workspace

Pour valider le PDC, effectuez les opérations suivantes :

Workspace pour Web

1. Ouvrez un navigateur et accédez au nom de domaine complet du domaine géré par NetScaler. Notez que NetScaler Gateway redirige vers AAD.
2. 
3. Vérifiez que les utilisateurs, les applications virtuelles et les bureaux sont énumérés, et lancez-les une fois connecté avec l’UPN via l’objet utilisateur AAD

Résumé

Citrix虚拟应用程序和桌面是一个技术ie résiliente depuis des décennies. Cloud Hosted Identity offre aux entreprises un service encore plus fiable. La mise en œuvre du POC décrit dans ce guide montre comment y parvenir en intégrant AAD en tant qu’IdP et NetScaler en tant que fournisseur de services. Pour en savoir plus sur la tarification et l’emballage Citrix, visitez le site Web de CitrixCitrix.com, et pour en savoir plus sur les fonctionnalités techniques de Citrix, rendez-vous surCitrix TechZone.