Guía de prueba de concepto: Autenticación federada de Microsoft Azure Active Directory para Citrix Virtual Apps and Desktops con Citrix ADC

Introducción

El uso de la nube para ofrecer servicios empresariales sigue creciendo. Los servicios en la nube heredan los beneficios incorporados en la infraestructura de nube, incluida la resiliencia, la escalabilidad y el alcance global. Azure Active Directory (AAD) es el servicio de directorio hospedado de Microsoft Azure y proporciona los mismos beneficios en la nube a las empresas. AAD permite a las empresas alojar sus identidades de empleados en la nube y acceder de forma segura a los servicios también alojados en la nube o en las instalaciones.

Citrix Virtual Apps and Desktops ofrece aplicaciones y escritorios virtuales mediante recursos alojados en las instalaciones o en la nube. Citrix ADC proporciona acceso remoto seguro a esas aplicaciones virtuales y escritorios, y también se puede hospedar en las instalaciones o en la nube. Junto con Citrix Federated Authentication Service, pueden utilizar AAD para autenticar el acceso de los usuarios a Citrix Virtual Apps and Desktops desde cualquier lugar.

Arquitectura AAD-IDP + CVAD+ FAS + ADC-SP

Información general

La guía muestra cómo implementar un entorno de prueba de concepto para Microsoft AAD Federated Authentication for Citrix Virtual Apps and Desktops con Citrix ADC mediante SAML. AAD actúa como proveedor de identidades (IdP) mientras que Citrix ADC actúa como proveedor de servicios (SP).

Hace suposiciones sobre la instalación o configuración de ciertos componentes:

  • Un servidor de Active Directory se instala en las instalaciones y puede iniciar sesión como Administrador de dominio.
  • Un arrendatario de Azure está disponible con una licencia P2 y puede iniciar sesión como administrador global.
  • Se ha instalado y licenciado un dispositivo Citrix ADC. También tiene un servidor virtual Citrix Gateway configurado para proporcionar acceso a un entorno local de Citrix Virtual Apps and Desktops. Utilice la versión 13 compilación 60 o superior.
  • Se instalan Delivery Controller, StoreFront y VDA y se configuran para entregar aplicaciones virtuales o escritorios para usuarios de dominio. Utilice la versión 2006 o posterior.
  • Hay una máquina virtual disponible o otro servidor tiene la capacidad suficiente para instalar FAS. Los DDC, FAS y StoreFront están instalados en el mismo servidor en este POC.
  • El cliente remoto puede iniciar una aplicación virtual o un escritorio mediante la aplicación Workspace o el explorador. Utilice Windows versión 20.6.0.38 (2006) o posterior.

Config de AD y AAD

Para configurar Active Directory (AD) y Azure Active Directory (AAD), realice los siguientes pasos:

ANUNCIO

Sufijo UserPrincipalName (UPN) alternativo

  1. Inicie sesión en el controlador de dominio de AD.
  2. Abrir Administrador del servidor > Herramientas > Dominios y confianzas de Active Directory
  3. Haga clic con el botón derecho, seleccione Propiedades e introduzca el Sufijo UPN para los usuarios correspondientes a uno de sus dominios AAD. Sufijo UPN Alt

Usuarios de AD

  1. En el controlador de dominio de AD abra Administrador del servidor > Herramientas > Usuarios y equipos de Active Directory.
  2. Haga clic con el botón derecho y seleccione Nuevo > Usuario, o modifique uno existente
  3. En Propiedades > Cuenta, establezca el UPN en el nuevo Sufijo. Usuario de AD

Conexión de Microsoft Azure Active Directory

Azure AD Connect es una herramienta para conectar la infraestructura de identidad local a Microsoft Azure AD. Nos permite copiar usuarios de AD a AAD con un UserPrincipalName (UPN) asignado a nuestro dominio AAD.

  1. Inicie sesión en el controlador de dominio de AD u otro servidor virtual donde hospede el proceso de Microsoft Azure Active Directory Connect.
  2. Descargue el archivo ejecutable desde el sitio de descargas de Microsoft Conexión de Microsoft Azure Active Directory y léguelo.
  3. Se le pedirá que acepte realizar cambios en la máquina virtual y acepte un contrato de licencia en la página de bienvenida. Conectar AD
  4. Se le pedirá que inicie sesión como administrador global de AAD y como administrador de Servicios de dominio.
  5. Para la instalación en una única máquina virtual de AD, puede seguir la configuración expresa. Después de verificar los sufijos UPN, realiza una sincronización completa de todos los usuarios, grupos y contactos.

Consulte usar la configuración Express de Azure AD Connect para obtener más información.

Entidad de certificación

Para este POC suponemos que tiene una entidad emisora de certificados, incluida la inscripción web, instalada en un DC de AD. Si no, vaya al Administrador del servidor > Agregar roles y funciones y siga las instrucciones para instalar Servicios de Certificate Server de Active Directory. Consulte Instalación de la entidad de certificación de Microsoft para obtener más información.

  1. Próximo lanzamiento de MMC
  2. Seleccione Agregar o quitar complemento > Certificados > Cuenta de equipo > Aceptar
  3. Haga clic con el botón derecho Personal > Todas las tareas > Solicitar nuevo certificado
  4. Haga clic en Siguiente y seleccione Directiva de inscripción de Active Directory
  5. Seleccione la autenticación de controlador de dominio y haga clic en Inscribir Aplicación AAD que no sea de Galería

Azure Active Directory

  1. Inicie sesión en Portal de Azure como administrador global
  2. Navegue a Azure Active Directory > Aplicaciones empresariales
  3. Seleccione Nueva aplicación
  4. Seleccionar aplicación que no sea de la Galería Aplicación AAD que no sea de Galería
  5. Introduzca un nombre único y seleccione Agregar
  6. Seleccione el inicio de sesión único > SAML y seleccione el icono de lápiz para modificar la configuración básica de SAML
  7. Introduzca el FQDN del servidor virtual Citrix ADC gateway en el campo Identificador.
  8. Introduzca el FQDN con el URI /cgi/samlauth agregado en el campo URL de respuesta Configuración básica de SAML
  9. Clic en Guardar.
  10. Capture lo siguiente para introducirlo en la configuración SAML de Citrix ADC:
    • Bajo certificado de firma SAML - descargar Certificado (base64)
    • En Configuración de Citrix FAS: URL de inicio de sesión y cierre de sesión Configuración de AAD
  11. Seleccione Usuarios y grupos > Agregar usuario y seleccione usuarios existentes o grupos que tengan acceso a Citrix Virtual Apps and Desktops mediante su UPN de AAD Configuración básica de SAML

Configuración de Citrix ADC

Para configurar Citrix ADC, realice los siguientes pasos:

  1. Inicie sesión en la interfaz de usuario de Citrix ADC
  2. Vaya a Administración de Tráfico > SSL> Certificados > Todos los certificados para comprobar que tiene instalado el certificado de dominio. En este ejemplo POC utilizamos un certificado comodín correspondiente a nuestro dominio de Active Directory. Consulte Certificados SSL de Citrix ADC para obtener más información.
  3. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales y seleccione Agregar
  4. Introduzca los siguientes campos y haga clic en Aceptar:
    • Nombre: Un valor único
    • Tipo de dirección IP: No direccionable Configuración básica de SAML
  5. Seleccione Sin certificado de servidor, seleccione el certificado de dominio, haga clic en Seleccionar, Enlazar y Continuar
  6. Seleccione Sin directiva de autenticación y seleccione Agregar
  7. Escriba un nombre, establezca Tipo de acción en SAML y seleccione Agregar acción
  8. Introduzca los siguientes campos y haga clic en Aceptar:
    • Nombre: Un valor único
    • Anula selección de importación de metadatos
    • Redirigir URL: Pegue la URL de inicio de sesión copiada desde la configuración de AAD
    • URL de cierre de sesión único: Pegue la URL de cierre de sesión copiada desde la configuración de AAD
    • Enlace de cierre de sesión - Redirigir
    • Nombre del certificado de IdP: Seleccione Agregar, escriba un nombre, seleccione Nombre de archivo de certificado > local y seleccione el certificado de firma SAML (base64) descargado de AAD
    • Nombre de certificado de firma: Seleccione el certificado de dominio que utiliza ADC para firmar solicitudes en AAD.
    • Nombre del problema: Introduzca el FQDN de Citrix ADC Gateway Acción de autenticación SAML
  9. Seleccione crear para crear la acción
  10. Escriba true para la expresión
  11. Seleccione crear de nuevo para crear la directiva Directiva de autenticación
  12. Seleccione enlazar para enlazar la directiva al servidor virtual Servidor virtual de autenticación
  13. Haga clic en continuar para completar la configuración del servidor virtual de autenticación.
  14. A continuación, vaya a Citrix Gateway > Servidores virtualesy modifique el servidor virtual pertinente
  15. Si tiene una directiva básica existente enlazada en Autenticación básica, selecciónela, compruebe la directiva y seleccione Desenlazar, confirmar y cerrar.
  16. En el menú de la derecha, seleccione Perfil de autenticación y seleccione Agregar. Escriba un nombre y haga clic en la flecha derecha en Servidor virtual de autenticación. Compruebe la directiva Servidor virtual Autenticación y haga clic en crear. Crear perfil de autenticación
  17. Haga clic en Aceptar para completar el enlace del servidor virtual Citrix ADC AAA al servidor virtual Gateway. Crear perfil de autenticación
  18. Vaya a Citrix Gateway > Directivas > Sesióny seleccione la directiva de la aplicación Workspace con la expresión “Citrix Receiver” y realice los siguientes cambios:
    • En Aplicaciones publicadas, desactive el campo Dominio de inicio de sesión único y desactive la Anulación global
    • En Experiencia del cliente en la lista desplegable Índice de credenciales, seleccione Secundaria
  19. Repita estos pasos para la directiva Workspace for Web con la expresión “Citrix Receiver”).NOT Directivas de sesión de gateway de ADC

Consulte Citrix ADC para obtener más información.

Configuración de Citrix Virtual Apps and Desktops

Para integrar componentes de Citrix Virtual Apps and Desktops con FAS, realice los siguientes pasos:

StoreFront

Habilitar FAS en StoreFront

  • Abra PowerShell como administrador y ejecute:
    • Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    • $StoreVirtualPath = "/Citrix/Store"
    • $store = Get-STFStoreService -VirtualPath $StoreVirtualPath $auth = Get-STFAuthenticationService -StoreService $store
    • Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    • Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"

Consulte Habilitar el plug-in de FAS en servidores de StoreFront para obtener más información.

Configurar StoreFront para Citrix Gateway

  1. Inicie sesión en la máquina virtual StoreFront (que también aloja FAS y el DDC en nuestro POC) e inicie la GUI de StoreFront
  2. Seleccione Administrar métodos de autenticación en el menú de la derecha
  3. Seleccione PassThrough en Citrix Gateway
  4. Seleccione la flecha hacia abajo situada junto al engranaje y seleccione Configurar autenticación delegada.
  5. Compruebe Delegar completamente la validación de credenciales en Citrix Gateway y haga clic en Aceptar dos veces. Crear perfil de autenticación
  6. Seleccione Administrar métodos de autenticación en el menú de la derecha
  7. Modificar la entrada pertinente de Citrix Gateway
  8. En Configuración de autenticación, la URL de devolución de llamada debe estar configurada si aún no se ha hecho. Normalmente, puede actualizar el DNS interno o, para una única instancia de StoreFront, actualizar el archivo host local para asignar la IP privada del servidor virtual de puerta de enlace al FQDN Crear perfil de autenticación

Delivery Controller

A continuación, configure Desktops Delivery Controller para que confíe en los servidores StoreFront que pueden conectarse a él.

  • Abra PowerShell como administrador y ejecute
    • Add-PSSnapin Citrix* ( siempre que no tenga todos los complementos de Citrix cargados) Consulte Instalar y configurar FAS para obtener más información
    • Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Consulte Configurar el Delivery Controller para obtener más información.

Configuración del servicio de autenticación federada de Citrix

Para configurar FAS, realice los siguientes pasos:

  1. Cargue la imagen ISO de Citrix Virtual Apps and Desktops en la máquina virtual FAS
  2. Seleccione FAS para iniciar la instalación Instalación de FAS
  3. Lea el Contrato de licencia de Citrix y haga clic en Siguiente
  4. Seleccione el directorio de instalación y haga clic en Siguiente
  5. Actualice el firewall del host para permitir el puerto 80 y haga clic en Siguiente Puertos FAS
  6. Pulse Finalizar.
  7. Revise la configuración que ha realizado y haga clic en Instalar
  8. Después de la instalación correcta haga clic en Finalizar de nuevo Finalizado FAS]
  9. En “C:\Program Files\ Citrix\ Federated Authentication Service”, comparta el contenido del directorio PolicyDefinions y el subdirectorio “en-us” Copia de definiciones de directivas FAS
  10. En “C:\Program Files\ Citrix\ Federated Authentication Service” péguelos en el controlador de dominio en C:\Windows\PolicyDefinions y ..\ es-US, respectivamente. Los archivos incluyen:
    • Definiciones de directivas\ CitrixBase.admx
    • PolicyDefinitions\ CitrixFederatedAuthenticationService.admx
    • PolicyDefinitions\es-ES\CitrixBase.adml
    • PolicyDefinitions\ CitrixFederatedAuthenticationService.adml Definiciones de directivas FAS Pegar
  11. Abrir Administrador del servidor > Herramientas > Administración de directivas de grupo
    • a. Haga clic con el botón derecho para crear nuevo o modificar un objeto de directiva de grupo existente que se aplique a todos los VDA pertinentes y Delivery Controllers. (Utilizamos la directiva Controladores de dominio predeterminados para el POC. Para la producción suele crear una nueva directiva o modificar otra directiva pertinente.) GPO * b. Vaya a Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Citrix > Autenticación* c. Haga clic con el botón derecho en Servicio de autenticación federada* d. Seleccione modificar * e. Seleccione Mostrar DNS * f. Introduzca el FQDN del servidor FAS, haga clic en Aceptar dos veces y cierre el editor de administración de directivas de FAS GPO * g. Vaya a cada Delivery Controller y VDA), abra un símbolo de MS-DOS como Administrador y ejecute gpupdate /force Actualización de GPO de FAS * h. Para comprobar que se ha aplicado, abra regedit.exe y vaya a: /Computer\ HKLM\ SOFTWARE\ Policies\ Citrix\ Authentication\ UserCredentialService\ Address1 entrada establecida en el FQDN aplicado a través del GPO. Si no aparece, es posible que tenga que reiniciar la máquina virtual respectiva. Registro de GPO FAS * i. A continuación, regrese a la máquina virtual FAS para comenzar la instalación del servicio. (Hospedamos FAS, StoreFront y DDC en la misma máquina virtual para el POC. Para la producción, normalmente los hospedaría en diferentes máquinas virtuales para mejorar la escalabilidad y la compatibilidad.) * j. Ejecute el programa Citrix Federated Authentication Service. Seleccione cada uno de los cinco pasos en secuencia y siga las instrucciones: * i. Implementar plantillas de certificados* ii. Establecer una entidad de certificación * iii. Autorizar este servicio: Para este paso regrese a la CA para emitir una solicitud pendiente. La CA está alojada en el controlador de dominio en este ejemplo de POC. * iv. Crear regla: Aquí especifique la CA y el certificado ya configurado. También filtre los agentes VDA y los usuarios a los que se les permite utilizar el servicio FAS. * v. (Conectarse a Citrix Cloud: En esta guía utilizamos aplicaciones virtuales y escritorios de Citrix Virtual Apps and Desktops locales)

Consulte documentación de FAS para obtener más información.

Validación de cliente de Citrix Workspace

Para validar el POC, realice los siguientes pasos:

Workspace para Web

  1. Abra un explorador y navegue hasta el FQDN de dominio administrado por Citrix ADC. Observe que Citrix Gateway redirige a AAD.
  2. Inicie sesión con el UPN de un usuario configurado para formar parte del entorno FAS Iniciar sesión
  3. Verifique que las aplicaciones virtuales de los usuarios y los escritorios estén enumerados, e inicie una vez que haya iniciado sesión con el UPN a través del objeto de usuario AAD Se ha iniciado sesión

Resumen

Citrix Virtual Apps and Desktops ha sido una tecnología resistente durante décadas. La identidad alojada en la nube ofrece a las empresas un servicio aún más confiable. La implementación del POC descrito en esta guía demuestra cómo lograrlo mediante la integración de AAD como IdP y Citrix ADC como proveedor de servicios. Para obtener más información sobre los precios y el empaquetado de Citrix, visite el sitio web de Citrix y para obtener más información sobre las capacidades técnicas de Citrix Citrix.com, visite Citrix TechZone.

Guía de prueba de concepto: Autenticación federada de Microsoft Azure Active Directory para Citrix Virtual Apps and Desktops con Citrix ADC