PoC-Handbuch: Verbundene Authentifizierung von Microsoft Azure Active Directory für Citrix Virtual Apps and Desktops mit NetScaler

Einführung

Die Nutzung der Cloud zur Bereitstellung von Unternehmensdiensten nimmt weiter zu. Cloud-Dienste erben die in die Cloud-Infrastruktur integrierten Vorteile, einschließlich Ausfallsicherheit, Skalierbarkeit und globaler Reichweite. Azure Active Directory (AAD) ist der von Microsoft Azure gehostete Verzeichnisdienst und bietet Unternehmen dieselben Cloud-Vorteile. AAD ermöglicht es Unternehmen, ihre Mitarbeiteridentitäten in der Cloud zu hosten und sicher auf Dienste zuzugreifen, die auch in der Cloud oder on-premises gehostet werden.

Citrix Virtual Apps and Desktops stellt virtuelle Apps und Desktops mit Ressourcen bereit, die on-premises oder in der Cloud gehostet werden. NetScaler bietet sicheren Remote-Zugriff auf diese virtuellen Apps und Desktops und kann auch on-premises oder in der Cloud gehostet werden. Zusammen mit dem Citrix Federated Authentication Service können sie AAD nutzen, um den Benutzerzugriff auf Citrix Virtual Apps and Desktops von überall aus zu authentifizieren.

AAD-IdP + CVAD + FAS + ADC-SP Architektur

Übersicht

Der Leitfaden zeigt, wie Sie eine Proof of Concept-Umgebung für Microsoft AAD Federated Authentication for Citrix Virtual Apps and Desktops mit NetScaler unter Verwendung von SAML implementieren. AAD agiert als Identity Provider (IdP), während NetScaler als Service Provider (SP) fungiert.

Es macht Annahmen über die Installation oder Konfiguration bestimmter Komponenten:

  • Ein Active Directory-Server wird on-premises installiert und Sie können sich als Domänenadministrator anmelden.
  • Ein Azure-Mandant ist mit einer P2-Lizenz verfügbar und Sie können sich als Global Admin anmelden.
  • Eine NetScaler Appliance wurde installiert und lizenziert. Außerdem hat es einen virtuellen NetScaler Gateway-Server, der so konfiguriert ist, dass er Zugriff auf eine on-premises Citrix Virtual Apps and Desktops-Umgebung bietet. Verwenden Sie Version 13 Build 60 oder höher.
  • Ein Delivery Controller, StoreFront und VDA werden installiert und für die Bereitstellung virtueller Apps oder Desktops für Domänenbenutzer konfiguriert. Verwenden Sie Version 2006 oder höher.
  • Eine virtuelle Maschine ist verfügbar oder ein anderer Server verfügt über genügend Kapazität, um FAS zu installieren. Die DDC, FAS und StoreFront sind alle auf demselben Server in diesem POC installiert.
  • Der Remote Client kann eine virtuelle App oder einen Desktop mit der Workspace App oder dem Browser starten. Verwenden Sie Windows Version 20.6.0.38 (2006) oder höher.

AD und AAD Config

Um Active Directory (AD) und Azure Active Directory (AAD) zu konfigurieren, führen Sie die folgenden Schritte aus:

Alternatives UserPrincipalName (UPN) Suffix

  1. Melden Sie sich bei Ihrem AD-Domänencontroller an
  2. Öffnen Sie den Server-Manager > Tools > Active Directory-Domänen und Trusts
  3. Klicken Sie mit der rechten Maustaste, wählen Sie Eigenschaften und geben Sie das UPN-Suffix für Benutzer ein, die einer Ihrer AAD-Domänen entsprechen. Alt-UPN-Suffix

AD-Nutzer

  1. Öffnen Sie auf Ihrem AD-Domänencontroller den Server Manager > Tools > Active Directory-Benutzer und -Computer.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie Neu > Benutzeroder bearbeiten Sie eine vorhandene
  3. Legen Sie unter Eigenschaften > Konto den UPN auf das neue Suffix fest. AD-Benutzer

Microsoft Azure Active Directory Connect

Azure AD Connect ist ein Tool zur Verbindung einer on-premises Identitätsinfrastruktur mit Microsoft Azure AD. Es ermöglicht uns, AD-Benutzer mit einem UserPrincipalName (UPN), der unserer AAD-Domain zugeordnet ist, nach AAD zu kopieren.

  1. Melden Sie sich bei Ihrem AD-Domänencontroller oder einem anderen virtuellen Server an, auf dem Sie den Microsoft Azure Active Directory Connect-Prozess hosten.
  2. Laden Sie die ausführbare Datei von der Microsoft-Downloadseite Microsoft Azure Active Directory Connect herunter und starten Sie sie.
  3. Sie werden aufgefordert, Änderungen an der virtuellen Maschine zu akzeptieren und eine Lizenzvereinbarung auf der Willkommensseite zu akzeptieren. AD verbinden
  4. Sie werden aufgefordert, sich als globaler AAD-Administrator und als Administrator für Domänendienste anzumelden.
  5. Für die Installation auf einer einzelnen virtuellen AD-Maschine können Sie den Express-Einstellungen folgen. Nachdem UPN Suffixes überprüft wurden, wird eine vollständige Synchronisierung aller Benutzer, Gruppen und Kontakte durchgeführt.

Weitere Informationen finden Sie unter Azure AD Connect Express-Einstellungen verwenden.

Zertifizierungsstelle

Für diesen POC gehen wir davon aus, dass Sie eine Zertifizierungsstelle, einschließlich Web Enrollment, auf einem AD DC installiert haben. Wenn nicht, navigieren Sie zu Server Manager > Rollen und Funktionen hinzufügen und befolgen Sie die Anweisungen zur Installation von Active Directory-Zertifikatdiensten. Weitere Informationen finden Sie unter Installation der Microsoft-Zertifizierungsstelle.

  1. Nächster Start MMC
  2. Wählen Sie Snap-In hinzufügen/entfernen > Zertifikate > Computerkonto > Ok
  3. Rechtsklick auf Persönlich > Alle Aufgaben > Neues Zertifikat anfordern
  4. Klicken Sie auf Weiter und wählen Sie Active Directory-Registrierungsrichtlinie
  5. Wählen Sie Domain Controller Authentication und klicken Sie auf AAD Non-Gallery-Anwendung

Azure Active Directory

  1. Melden Sie sich als globaler Administrator beim Azure-Portal an
  2. Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen
  3. Wählen Neue Anwendung
  4. Nicht-Galerie-Anwendung auswählen AAD Nicht-Gallery-Anwendung
  5. Geben Sie einen eindeutigen Namen ein und wählen Sie Hinzufügen
  6. Wählen Sie Single Sign-On > SAML und wählen Sie das Bleistiftsymbol aus, um die Basic SAML Configuration zu bearbeiten
  7. Geben Sie den FQDN des virtuellen NetScaler-Gateway-Servers in das Feld Identifier ein.
  8. Geben Sie den FQDN mit der URI /cgi/samlauth ein, die im Feld Antwort-URL hinzugefügt wurde Basic SAML Configuration
  9. Speichern klicken
  10. Erfassen Sie Folgendes, um in der NetScaler SAML-Konfiguration eingetragen zu werden:
    • Unter SAML Signing Certificate - Zertifikat herunterladen (base64)
    • Unter Setup Citrix FAS - Anmelden- und Abmelde-URL AAD-Einstellungen
  11. Wählen Sie Benutzer und Gruppen > Benutzer hinzufügen aus und wählen Sie vorhandene Benutzer oder Gruppen aus, die über ihre AAD UPN Basic SAML ConfigurationZugriff auf Citrix Virtual Apps and Desktops haben

NetScaler Konfig

Um den NetScaler zu konfigurieren, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich bei der NetScaler UI an
  2. Navigieren Sie zu Traffic Management > SSL> Zertifikate > Alle Zertifikate, um zu überprüfen, ob Sie Ihr Domain-Zertifikat installiert haben. In diesem POC-Beispiel haben wir ein Platzhalterzertifikat verwendet, das unserer Active Directory-Domäne entspricht. Weitere Informationen finden Sie unter NetScaler SSL-Zertifikate.
  3. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Server und wählen Sie Hinzufügen
  4. Geben Sie die folgenden Felder ein und klicken Sie auf OK:
    • Name - ein eindeutiger Wert
    • IP-Adresstyp - Nicht adressierbar Grundlegende SAML-Konfiguration
  5. Wählen Sie Kein Serverzertifikat aus, wählen Sie das Domänenzertifikat aus, klicken Sie auf Auswählen, binden und
  6. Wählen Sie Keine Authentifizierungsrichtlinie aus und wählen Sie Hinzufügen
  7. Geben Sie einen Namen ein, legen Sie Aktionstyp auf SAML fest und wählen Sie Aktion hinzufügen
  8. Geben Sie die folgenden Felder ein und klicken Sie auf OK:
    • Name - ein eindeutiger Wert
    • Auswahl von Importdaten aufheben
    • Redirect URL - Fügen Sie die Login-URL ein, die aus der AAD-Konfiguration kopiert wurde
    • Einzelne Logout-URL - fügt die Logout-URL ein, die aus der AAD-Konfiguration kopiert wurde
    • Logout-Bindung - Redirect
    • IdP-Zertifikatsname - wählen Sie Hinzufügen aus, geben Sie einen Namen ein, wählen Sie Zertifikatdateiname > lokal und wählen Sie das von AAD heruntergeladene SAML-Signaturzertifikat (base64)
    • Signieren des Zertifikatsnamens - wählen Sie das Domänenzertifikat aus, das der ADC zum Signieren von Anfragen an A
    • Problemname - geben Sie den FQDN des NetScaler Gateway ein SAML-Authentifizierungsaktion
  9. Wählen Sie Erstellen aus, um die Aktion zu erstellen
  10. Geben Sie “true” für den Ausdruck
  11. Wählen Sie erneut Erstellen, um die Richtlinie zu erstellen Authentifizierungsrichtlinie
  12. Wählen Sie Binden, um die Richtlinie an den virtuellen Server Authentication Serverzu binden
  13. Klicken Sie auf “Weiter”, um die Konfiguration des virtuellen Authentifizierungsservers abzuschließen
  14. Navigieren Sie als Nächstes zu NetScaler Gateway > Virtual Serversund bearbeiten Sie den entsprechenden virtuellen Server
  15. Wenn Sie eine vorhandene Grundrichtlinie unter Standardauthentifizierung gebunden haben, wählen Sie sie aus, überprüfen Sie die Richtlinie und wählen Sie Bindung aufheben, bestätigen und schließen aus.
  16. Wählen Sie im Menü auf der rechten Seite Authentifizierungsprofil aus und wählen Sie Hinzufügen aus. Geben Sie einen Namen ein und klicken Sie unter Authentifizierungsserver auf den Pfeil nach rechts. Überprüfen Sie die Richtlinie Virtueller Authentifizierungsserver und klicken Sie auf Erstellen. Authentifizierungsprofil erstellen
  17. Klicken Sie auf OK, um die Bindung des virtuellen NetScaler AAA-Servers an den virtuellen Gateway-Server abzuschließen. Authentifizierungsprofil erstellen
  18. Navigieren Sie zu NetScaler Gateway > Richtlinien > Session, wählen Sie die Workspace App-Richtlinie mit dem Ausdruck “Citrix Receiver” aus und nehmen Sie die folgenden Änderungen vor:
    • Deaktivieren Sie unter Veröffentlichte Anwendungen das Feld Single Sign-On Domain, und deaktivieren Sie Global Override
    • Wählen Sie unter Clienterfahrung aus der Dropdown-Liste Anmeldeindex die Option Sek
  19. Wiederholen Sie diese Schritte für die Workspace für Web-Richtlinie mit dem Ausdruck “Citrix Receiver”).NOT NetScaler Gateway Session Policies

Weitere Informationen finden Sie unter NetScaler.

Citrix Virtual Apps and Desktops-Konfiguration

Um Komponenten von Citrix Virtual Apps and Desktops in FAS zu integrieren, führen Sie die folgenden Schritte durch:

StoreFront

Aktivieren von FAS auf StoreFront

  • Öffnen Sie PowerShell als Administrator und führen Sie Folgendes aus:
    • Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    • $StoreVirtualPath = "/Citrix/Store"
    • $store = Get-STFStoreService -VirtualPath $StoreVirtualPath $auth = Get-STFAuthenticationService -StoreService $store
    • Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    • Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"

Weitere Informationen finden Sie unter Aktivieren des FAS-Plug-Ins für StoreFront-Stores.

Konfigurieren von StoreFront für NetScaler Gateway

  1. Melden Sie sich bei der virtuellen StoreFront-Maschine an (die auch FAS und das DDC in unserem POC hostet) und starten Sie die StoreFront-GUI
  2. Wählen Sie Authentifizierungsmethoden verwalten aus dem Menü auf der rechten Seite
  3. Wählen Sie Passthrough von NetScaler Gateway
  4. Wählen Sie den Pfeil nach unten neben dem Zahnrad und wählen Sie Delegierte Authentifizierung konfigurieren
  5. Aktivieren Sie die Überprüfung der Anmeldeinformationen vollständig an NetScaler Gateway delegieren, und klicken Sie zweimal auf OK Create Authentication Profile
  6. Wählen Sie im Menü rechts die Option Citrix Gateways verwalten aus.
  7. Bearbeiten Sie den entsprechenden NetScaler Gateway-Eintrag
  8. Unter Authentifizierungseinstellungen muss die Callback-URL konfiguriert werden, falls dies nicht bereits geschehen ist. In der Regel können Sie das interne DNS aktualisieren oder für eine einzelne StoreFront-Instanz die lokale Hostdatei aktualisieren, um die private IP des virtuellen Gateway-Servers dem FQDN Create Authentication Profilezuzuordnen.

Delivery Controller

Konfigurieren Sie als Nächstes den Desktops Delivery Controller, um den StoreFront-Servern zu vertrauen, die sich mit ihm verbinden können

  • Öffnen Sie PowerShell als Administrator und führen Sie
    • Add-PSSnapin Citrix* (vorausgesetzt, Sie haben nicht alle Citrix Snap-Ins geladen) Weitere Informationen finden Sie unter Installieren und Einrichten von FAS
    • Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Weitere Informationen finden Sie unter Delivery Controller konfigurieren.

Citrix Federated Authentication Service-Konfiguration

So konfigurieren Sie FAS führen Sie die folgenden Schritte aus:

  1. Laden Sie das ISO-Image von Citrix Virtual Apps and Desktops auf der FAS Virtual Machine
  2. Wählen Sie FAS, um mit der Installation zu beginnen FAS Installation
  3. Lesen Sie den Citrix Lizenzvertrag und klicken Sie auf Weiter
  4. Wählen Sie das Installationsverzeichnis aus und klicken Sie auf Weiter
  5. Aktualisieren Sie die Host-Firewall so, dass sie Port 80 zulässt, und klicken Sie auf
  6. Klicken Sie auf Fertig
  7. Überprüfen Sie die von Ihnen vorgenommenen Einstellungen und klicken Sie auf “Installieren”
  8. Klicken Sie nach erfolgreicher Installation erneut auf Fertig stellen ![FAS Beendet]
  9. Geben Sie unter “C:\Program Files\ Citrix\ Federated Authentication Service” den Inhalt des PolicyDefinitions-Verzeichnisses und das Unterverzeichnis “en-us” frei FAS Policy Definitions Copy
  10. Fügen Sie sie unter “C:\Program Files\Citrix\Federated Authentication Service” unter C:\Windows\PolicyDefinions in den Domänencontroller ein, und.. \ de-DE jeweils. Zu den Dateien gehören:
    • PolicyDefinitions\CitrixBase.admx
    • PolicyDefinitions\CitrixFederatedAuthenticationService.admx
    • PolicyDefinitions\en-US\CitrixBase.adml
    • PolicyDefinitions\CitrixFederatedAuthenticationService.adml FAS-Richtliniendefinitionen einfügen
  11. Öffnen Sie den Server Manager > Tools > Gruppenrichtlinienverwaltung
    • a. Klicken Sie mit der rechten Maustaste, um ein vorhandenes Gruppenrichtlinienobjekt zu erstellen oder zu bearbeiten, das für alle relevanten VDAs und Delivery Controller gilt. (Wir verwenden die Richtlinie “Default Domain Controller” für den POC. Für die Produktion würden Sie normalerweise eine neue Richtlinie erstellen oder eine andere relevante Richtlinie bearbeiten.) Gruppenrichtlinienobjekt * b. Navigieren Sie zu Computerkonfiguration > Richtlinien > Administrative Vorlagen > Citrix-Komponenten > Authentifizierung * c. Klicken Sie mit der rechten Maustaste auf Federated Authentication Service * d. Wählen Sie edit * e. Wählen Sie DNS anzeigen * f. Geben Sie den FQDN des FAS-Servers ein, klicken Sie zweimal auf OK, und schließen Sie den Gruppenrichtlinienverwaltungs-Editor FAS GPO * g. Navigieren Sie zu jedem Delivery Controller und VDA), öffnen Sie eine MS-DOS-Eingabeaufforderung als Administrator und führen Sie das gpupdate /force FAS-GPO-Update * h aus. Um zu überprüfen, ob es angewendet wurde, öffnen Sie regedit.exe und navigieren Sie zu: /Computer\ HKLM\ SOFTWARE\ Policies\ Citrix\ Authentication\ UserCredentialService\ Addresses Address1 Eintrag, der auf den über das GPO angewendeten FQDN festgelegt ist. Wenn dies nicht der Fall ist, müssen Sie möglicherweise die entsprechende virtuelle Maschine neu starten. FAS-GPO-Registrierung * i. Kehren Sie als nächstes zur virtuellen FAS-Maschine zurück, um mit der Dienstinstallation zu beginnen. (Wir hosten FAS, StoreFront und die DDC auf derselben VM für den POC. Für die Produktion würden Sie sie normalerweise auf verschiedenen VMs hosten, um die Skalierbarkeit und Unterstützbarkeit zu verbessern.) * j. Führen Sie das Citrix Federated Authentication Service-Programm aus. Wählen Sie jeden der fünf Schritte nacheinander aus und folgen Sie den Anweisungen: * i. Stellen Sie Zertifikatvorlagen bereit * ii. Richten Sie eine Zertifizierungsstelle ein * iii. Autorisieren Sie diesen Service - kehren Sie für diesen Schritt zur CA zurück, um eine ausstehende Anfrage zu stellen. Die CA wird in diesem POC-Beispiel auf dem Domain Controller gehostet. * iv. Regel erstellen - geben Sie hier die Zertifizierungsstelle und das bereits konfigurierte Zertifikat an. Filtern Sie auch die VDAs und Benutzer, die den FAS-Dienst nutzen dürfen. * v. (Mit Citrix Cloud verbinden - in diesem Handbuch verwenden wir on-premises Citrix Virtual Apps and Desktops)

Weitere Informationen finden Sie in der FAS-Dokumentation.

Citrix Workspace Client-Validierung

Um den POC zu validieren, führen Sie die folgenden Schritte aus:

Workspace für Web

  1. Öffnen Sie einen Browser und navigieren Sie zu dem Domänen-FQDN, der vom NetScaler verwaltet wird. Beachten Sie, dass das NetScaler Gateway an AAD umleitet.
  2. Melden Sie sich mit dem UPN eines Benutzers an, der als Teil der FAS-Umgebung konfiguriert ist Anmelden
  3. Stellen Sie sicher, dass die virtuellen Apps und Desktops der Benutzer aufgelistet sind, und starten Sie sie, sobald Sie mit dem UPN über das AAD-Benutzerobjekt Angemeldet sind.

Zusammenfassung

Citrix Virtual Apps and Desktops ist seit Jahrzehnten eine robuste Technologie. Cloud Hosted Identity bietet Unternehmen noch zuverlässigere Services. Die Implementierung des in diesem Leitfaden beschriebenen POC zeigt, wie dies durch die Integration von AAD als IdP und NetScaler als Service Provider erreicht wird. Weitere Informationen zu Preisen und Paketen von Citrix finden Sie auf der Citrix-Website Citrix.com. Weitere Informationen zu den technischen Funktionen von Citrix finden Sie unter Citrix TechZone.

PoC-Handbuch: Verbundene Authentifizierung von Microsoft Azure Active Directory für Citrix Virtual Apps and Desktops mit NetScaler