Guía de PoC: Autenticación federada de Active Directory de Microsoft Azure para Citrix Virtual Apps and Desktops con NetScaler

Introducción

El uso de la nube para ofrecer servicios empresariales sigue creciendo. Los servicios en la nube heredan los beneficios incorporados en la infraestructura de nube, incluida la resiliencia, la escalabilidad y el ámbito global. Azure Active Directory (AAD) es el servicio de directorio hospedado de Microsoft Azure y proporciona los mismos beneficios en la nube a las empresas. AAD permite a las empresas alojar sus identidades de empleados en la nube y acceder de forma segura a los servicios también alojados en la nube o en las instalaciones.

Citrix Virtual Apps and Desktops ofrece aplicaciones y escritorios virtuales mediante recursos alojados en las instalaciones o en la nube. NetScaler proporciona acceso remoto seguro a esas aplicaciones virtuales y escritorios, y también se puede hospedar en las instalaciones o en la nube. Junto con Citrix Federated Authentication Service, pueden utilizar AAD para autenticar el acceso de los usuarios a Citrix Virtual Apps and Desktops desde cualquier lugar.

Arquitectura AAD-IDP + CVAD+ FAS + ADC-SP

Introducción

La guía muestra cómo implementar un entorno de prueba de concepto para Microsoft AAD Federated Authentication for Citrix Virtual Apps and Desktops con NetScaler mediante SAML. AAD actúa como proveedor de identidades (IdP) mientras que NetScaler actúa como proveedor de servicios (SP).

Hace suposiciones sobre la instalación o configuración de ciertos componentes:

  • Un servidor de Active Directory se instala en las instalaciones y puede iniciar sesión como Administrador de dominio.
  • Un arrendatario de Azure está disponible con una licencia P2 y puede iniciar sesión como administrador global.
  • Se ha instalado y licenciado un dispositivo NetScaler. También tiene un servidor virtual NetScaler Gateway configurado para proporcionar acceso a un entorno local de Citrix Virtual Apps and Desktops. Utilice la versión 13 compilación 60 o posterio.
  • Se instalan Delivery Controller, StoreFront y VDA y se configuran para entregar aplicaciones virtuales o escritorios para usuarios de dominio. Utilice la versión 2006 o posterior.
  • Hay una máquina virtual disponible o otro servidor tiene la capacidad suficiente para instalar FAS. Los DDC, FAS y StoreFront están instalados en el mismo servidor en este POC.
  • El cliente remoto puede iniciar una aplicación virtual o un escritorio mediante la aplicación Workspace o el explorador. Utilice Windows versión 20.6.0.38 (2006) o posterior.

Config de AD y AAD

Para configurar Active Directory (AD) y Azure Active Directory (AAD), realice los siguientes pasos:

Sufijo UserPrincipalName (UPN) alternativo

  1. Inicie sesión en el controlador de dominio de AD.
  2. Abrir Administrador del servidor > Herramientas > Dominios y confianzas de Active Directory
  3. Haga clic con el botón secundario, seleccione Propiedades e introduzca el Sufijo UPN para los usuarios correspondientes a uno de sus dominios AAD. Sufijo UPN Alt

Usuarios de AD

  1. En el controlador de dominio de AD abra Administrador del servidor > Herramientas > Usuarios y equipos de Active Directory.
  2. Haga clic con el botón derecho y seleccione Nuevo > Usuario, o modifique uno existente
  3. En Propiedades > Cuenta, establezca el UPN en el nuevo Sufijo. Usuario de AD

Conexión de Microsoft Azure Active Directory

Azure AD Connect es una herramienta para conectar la infraestructura de identidad local a Microsoft Azure AD. Nos permite copiar usuarios de AD a AAD con un UserPrincipalName (UPN) asignado a nuestro dominio AAD.

  1. Inicie sesión en el controlador de dominio de AD u otro servidor virtual donde hospede el proceso de Microsoft Azure Active Directory Connect.
  2. Descargue el archivo ejecutable del sitio de descargas de Microsoft Azure Active Directory Connect y ejecútelo.
  3. Se le pedirá que acepte realizar cambios en la máquina virtual y acepte un contrato de licencia en la página de bienvenida. Conectar AD
  4. Se le pedirá que inicie sesión como administrador global de AAD y como administrador de Servicios de dominio.
  5. Para la instalación en una única máquina virtual de AD, puede seguir la configuración expresa. Después de verificar los sufijos UPN, realiza una sincronización completa de todos los usuarios, grupos y contactos.

Consulte Uso de la configuración rápida de Azure AD Connect para obtener más información.

Entidad de certificación

Para este POC suponemos que tiene una entidad emisora de certificados, incluida la inscripción web, instalada en un DC de AD. Si no, vaya al Administrador del servidor > Agregar roles y funciones y siga las instrucciones para instalar Servicios de Certificate Server de Active Directory. Consulte Instalación de entidades de certificación de Microsoft para obtener más información.

  1. Próximo lanzamiento de MMC
  2. Seleccione Agregar o quitar complemento > Certificados > Cuenta de equipo > Aceptar
  3. Haga clic con el botón derecho Personal > Todas las tareas > Solicitar nuevo certificado
  4. Haga clic en Siguiente y seleccione Directiva de inscripción de Active Directory
  5. Seleccione Autenticación de controlador de dominio y haga clic en Inscribir una aplicación

Azure Active Directory

  1. Inicie sesión en Azure Portal como administrador global
  2. Navegue a Azure Active Directory > Aplicaciones empresariales
  3. Seleccione Nueva aplicación
  4. Seleccionar aplicación no perteneciente a la Galería Aplicación no perteneciente a Gallery
  5. Introduzca un nombre único y seleccione Agregar
  6. Seleccione el inicio de sesión único > SAML y seleccione el icono de lápiz para modificar la configuración básica de SAML
  7. Introduzca el FQDN del servidor virtual NetScaler gateway en el campo Identificador.
  8. Introduzca el FQDN con el URI /cgi/samlauth agregado en el campo URL de respuesta Configuración básica de SAML
  9. Hacer clic en Save
  10. Capture lo siguiente para introducirlo en la configuración SAML de NetScaler:
    • Bajo certificado de firma SAML - descargar Certificado (base64)
    • En Configuración de Citrix FAS: URL de inicio de sesión y cierre de sesión Configuración de AAD
  11. Seleccione Usuarios y grupos > Agregar usuario y seleccione los usuarios existentes o los grupos que tienen acceso a Citrix Virtual Apps and Desktops mediante su configuración SAML básicade UPN de AAD.

Configuración de NetScaler

Para configurar NetScaler, realice los siguientes pasos:

  1. Inicie sesión en la interfaz de usuario de NetScaler
  2. Vaya a Administración de Tráfico > SSL> Certificados > Todos los certificados para comprobar que tiene instalado el certificado de dominio. En este ejemplo POC utilizamos un certificado comodín correspondiente a nuestro dominio de Active Directory. Consulte los certificados SSL de NetScaler para obtener más información.
  3. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales y seleccione Agregar
  4. Introduzca los siguientes campos y haga clic en Aceptar:
    • Nombre: Un valor único
    • Tipo de dirección IP: No direccionable Configuración básica de SAML
  5. Seleccione Sin certificado de servidor, seleccione el certificado de dominio, haga clic en Seleccionar, Enlazar y Continuar
  6. Seleccione Sin directiva de autenticación y seleccione Agregar
  7. Escriba un nombre, establezca Tipo de acción en SAML y seleccione Agregar acción
  8. Introduzca los siguientes campos y haga clic en Aceptar:
    • Nombre: Un valor único
    • Anula selección de importación de metadatos
    • Redirigir URL: Pegue la URL de inicio de sesión copiada desde la configuración de AAD
    • URL de cierre de sesión único: Pegue la URL de cierre de sesión copiada desde la configuración de AAD
    • Enlace de cierre de sesión - Redirigir
    • Nombre del certificado de IdP: Seleccione Agregar, escriba un nombre, seleccione Nombre de archivo de certificado > local y seleccione el certificado de firma SAML (base64) descargado de AAD
    • Nombre de certificado de firma: Seleccione el certificado de dominio que utiliza ADC para firmar solicitudes en AAD.
    • Nombre del problema: Introduzca el FQDN de NetScaler Gateway Acción de autenticación SAML
  9. Seleccione crear para crear la acción
  10. Escriba true para la expresión
  11. Seleccione crear de nuevo para crear la directiva Directiva de autenticación
  12. Seleccione bind para vincular la directiva al servidor virtual de autenticación del servidor virtual
  13. Haga clic en continuar para completar la configuración del servidor virtual de autenticación.
  14. A continuación, vaya a NetScaler Gateway > Servidores virtualesy modifique el servidor virtual pertinente
  15. Si tiene una directiva básica existente enlazada en Autenticación básica, selecciónela, compruebe la directiva y seleccione Desenlazar, confirmar y cerrar.
  16. En el menú de la derecha, seleccione Perfil de autenticación y seleccione Agregar. Escriba un nombre y haga clic en la flecha derecha en Servidor virtual de autenticación. Compruebe la directiva Servidor virtual Autenticación y haga clic en crear. Crear perfil de autenticación
  17. Haga clic en Aceptar para completar el enlace del servidor virtual NetScaler AAA al servidor virtual Gateway. Crear perfil de autenticación
  18. Vaya a NetScaler Gateway > Directivas > Sesióny seleccione la directiva de la aplicación Workspace con la expresión “Citrix Receiver” y realice los siguientes cambios:
    • En Aplicaciones publicadas, desactive el campo Dominio de inicio de sesión único y desactive la Anulación global
    • En Experiencia del cliente en la lista desplegable Índice de credenciales, seleccione Secundaria
  19. Repita esos pasos para la directiva Workspace for web con las Directivas de sesión de NetScaler Gateway de la expresión “Citrix Receiver”).NOT.

Consulte NetScaler para obtener más información.

Configuración de Citrix Virtual Apps and Desktops

Para integrar componentes de Citrix Virtual Apps and Desktops con FAS, realice los siguientes pasos:

StoreFront

Habilitar FAS en StoreFront

  • Abra PowerShell como administrador y ejecute:
    • Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    • $StoreVirtualPath = "/Citrix/Store"
    • $store = Get-STFStoreService -VirtualPath $StoreVirtualPath $auth = Get-STFAuthenticationService -StoreService $store
    • Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    • Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"

Consulte Habilitar el complemento FAS en los almacenes de StoreFront para obtener más información.

Configurar StoreFront para NetScaler Gateway

  1. Inicie sesión en la máquina virtual StoreFront (que también aloja FAS y el DDC en nuestro POC) e inicie la GUI de StoreFront
  2. Seleccione Administrar métodos de autenticación en el menú de la derecha
  3. Seleccione PassThrough en NetScaler Gateway
  4. Seleccione la flecha hacia abajo situada junto al engranaje y seleccione Configurar autenticación delegada.
  5. Marque Delegar completamente la validación de credenciales a NetScaler Gateway y haga clic en Aceptar dos veces Crear perfil de autenticación
  6. Seleccione Administrar Citrix Gateways en el menú de la derecha
  7. Modificar la entrada pertinente de NetScaler Gateway
  8. En Configuración de autenticación, la URL de devolución de llamada debe estar configurada si aún no se ha hecho. Por lo general, puede actualizar el DNS interno o, para una sola instancia de StoreFront, actualizar el archivo de host local para asignar la IP privada del servidor virtual Gateway al FQDN Create Authentication Profile.

Delivery Controller

A continuación, configure Desktops Delivery Controller para que confíe en los servidores StoreFront que pueden conectarse a él.

  • Abra PowerShell como administrador y ejecute
    • Add-PSSnapin Citrix* (siempre que no tenga todos los complementos de Citrix cargados) Consulte Instalar y configurar FAS para obtener más información
    • Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Consulte Configurar el Delivery Controller para obtener más información.

Configuración del servicio de autenticación federada de Citrix

Para configurar FAS, realice los siguientes pasos:

  1. Cargue la imagen ISO de Citrix Virtual Apps and Desktops en la máquina virtual FAS
  2. Seleccione FAS para iniciar la instalación Instalación de FAS
  3. Lea el Contrato de licencia de Citrix y haga clic en Siguiente
  4. Seleccione el directorio de instalación y haga clic en Siguiente
  5. Actualice el firewall del host para permitir el puerto 80 y haga clic en Next FAS Ports
  6. Pulse Finalizar.
  7. Revise la configuración que ha realizado y haga clic en Instalar
  8. Después de la instalación correcta haga clic en Finalizar de nuevo ![FAS Finalizado]
  9. En “C:\Program Files\ Citrix\ Federated Authentication Service”, comparta el contenido del directorio PolicyDefinions y el subdirectorio “en-us” FAS Policy Definitions Copy
  10. En “C:\Program Files\ Citrix\ Federated Authentication Service” péguelos en el controlador de dominio en C:\Windows\PolicyDefinions y ..\ es-US, respectivamente. Los archivos incluyen:
    • Definiciones de directivas\ CitrixBase.admx
    • PolicyDefinitions\ CitrixFederatedAuthenticationService.admx
    • PolicyDefinitions\es-ES\CitrixBase.adml
    • PolicyDefinitions\ CitrixFederatedAuthenticationService.adml Definiciones de directivas FAS Pegar
  11. Abrir Administrador del servidor > Herramientas > Administración de directivas de grupo
    • a. Haga clic con el botón secundario para crear nuevo o modificar un objeto de directiva de grupo existente que se aplique a todos los VDA pertinentes y Delivery Controllers. (Utilizamos la directiva Controladores de dominio predeterminados para el POC. Para la producción suele crear una nueva directiva o modificar otra directiva pertinente.) GPO * b. Vaya a Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Citrix > Autenticación * c. Haga clic con el botón secundario en Servicio de autenticación federadad. Seleccione modificar * e. Seleccione Mostrar DNS * f. Introduzca el FQDN del servidor FAS, haga clic en Aceptar dos veces y cierre el editor de administración de directivas de grupo FAS GPO * g. Vaya a cada Delivery Controller y VDA), abra un indicador de MS-DOS como administrador y ejecute la gpupdate /force actualización de GPO de FAS * h. Para comprobar que se ha aplicado, abra regedit.exe y vaya a: /Computer\ HKLM\ SOFTWARE\ Policies\ Citrix\ Authentication\ UserCredentialService\ Address1 entrada establecida en el FQDN aplicado a través del GPO. Si no aparece, es posible que tenga que reiniciar la máquina virtual respectiva. Registro FAS GPO * i. A continuación, regrese a la máquina virtual FAS para comenzar la instalación del servicio. (Hospedamos FAS, StoreFront y DDC en la misma máquina virtual para el POC. Para la producción, normalmente los hospedaría en diferentes máquinas virtuales para mejorar la escalabilidad y la compatibilidad.) * j. Ejecute el programa Citrix Federated Authentication Service. Seleccione cada uno de los cinco pasos en secuencia y siga las instrucciones: * i. Implementar plantillas de certificados ii. Establecer una entidad de certificación * iii. Autorizar este servicio: Para este paso regrese a la CA para emitir una solicitud pendiente. La CA está alojada en el controlador de dominio en este ejemplo de POC. * iv. Crear regla: Aquí especifique la CA y el certificado ya configurado. También filtre los agentes VDA y los usuarios a los que se les permite utilizar el servicio FAS. * v. (Conectarse a Citrix Cloud: En esta guía utilizamos aplicaciones virtuales y escritorios de Citrix Virtual Apps and Desktops locales)

Consulte la documentación de FAS para obtener más información.

Validación de cliente de Citrix Workspace

Para validar el POC, realice los siguientes pasos:

Workspace para Web

  1. Abra un explorador y navegue hasta el FQDN de dominio administrado por NetScaler. Observe que NetScaler Gateway redirige a AAD.
  2. Iniciar sesión con el UPN de un usuario configurado para formar parte del entorno FAS Iniciar sesión
  3. Verifique que los usuarios, las aplicaciones virtuales y los escritorios estén enumerados e inicie una vez que haya iniciado sesión con el UPN mediante el objeto de usuario de AAD Iniciado sesión

Resumen

Citrix Virtual Apps and Desktops ha sido una tecnología resistente durante décadas. La identidad alojada en la nube ofrece a las empresas un servicio aún más fiable. La implementación del POC descrito en esta guía demuestra cómo lograrlo mediante la integración de AAD como IdP y NetScaler como proveedor de servicios. Para obtener más información sobre los precios y el embalaje de Citrix, visite el sitio web de Citrix Citrix.comy para obtener más información sobre las capacidades técnicas de Citrix, visite Citrix TechZone.

Guía de PoC: Autenticación federada de Active Directory de Microsoft Azure para Citrix Virtual Apps and Desktops con NetScaler