Citrix ADC

Configurer Azure AD en tant que fournisseur d’identité SAML et Citrix ADC en tant que SP SAML

Le fournisseur de services SAML (SP) est une entité SAML déployée par le fournisseur de services. Lorsqu’un utilisateur tente d’accéder à une application protégée, le SP évalue la demande du client. Si le client n’est pas authentifié (ne dispose pas d’un cookie NSC_TMAA ou NSC_TMAS valide), le SP redirige la demande vers le fournisseur d’identité SAML (IdP). Le SP valide également les assertions SAML reçues de l’IdP.

L’IdP SAML (Identity Provider) est une entité SAML déployée sur le réseau client. L’IdP reçoit des demandes du SP SAML et redirige les utilisateurs vers une page d’ouverture de session, où ils doivent entrer leurs informations d’identification. L’IdP authentifie ces informations d’identification avec le répertoire utilisateur (serveur d’authentification externe, tel que LDAP), puis génère une assertion SAML envoyée au SP. Le SP valide le jeton, et l’utilisateur est ensuite autorisé à accéder à l’application protégée demandée.

Le diagramme suivant illustre le mécanisme d’authentification SAML.

Mécanisme SAML

Configurations côté Azure AD

Configurez les paramètres d’authentification unique :

  1. Sur le portail Azure, cliquez sur Azure Active Directory.

  2. Sous la section Gérer dans le volet de navigation, cliquez sur Applications d’entreprise. Un échantillon aléatoire des applications de votre locataire Azure AD apparaît.

  3. Dans la barre de recherche, saisissez Citrix ADC.

    ADC de l'application SAML

  4. Dans la section Gérer, sélectionnez Single Sign-On.

  5. Sélectionnez SAML pour configurer l’authentification unique. La page Configurer l’authentification unique avec SAML - Aperçu apparaît. Ici, Azure agit en tant qu’IdP SAML.

  6. Téléchargez le certificat (Base64) présent sous le certificat de signature SAML à utiliser comme SamlidPcertName lors de la configuration de Citrix ADC en tant que SP SAML.

    configuration SAML SSO

  7. Configurez les options SAML de base :

    Identifiant (ID d’entité)  : requis pour certaines applications. Identifie de manière unique l’application pour laquelle l’authentification unique est en cours de configuration. Azure AD envoie l’identificateur à l’application en tant que paramètre d’audience du jeton SAML. L’application est censée le valider. Cette valeur apparaît également sous la forme d’ID d’entité dans toutes les métadonnées SAML fournies par l’application.

    URL de réponse - Obligatoire. Spécifie l’endroit où l’application s’attend à recevoir le jeton SAML. L’URL de réponse est également appelée URL ASSERTION Consumer Service (ACS).

    URL de connexion - Lorsqu’un utilisateur ouvre cette URL, le fournisseur de services redirige vers Azure AD pour s’authentifier et se connecter à l’utilisateur.

    État du relais  : indique à l’application où rediriger l’utilisateur une fois l’authentification terminée.

Configurations côté Citrix ADC

  1. Accédez à Sécurité>Stratégies AAA->Authentification>Stratégies de base>SAML.

  2. Sélectionnez l’onglet Serveurs, cliquez sur Ajouter, entrez des valeurs pour les paramètres suivants, puis cliquez sur Créer.

    Description du paramètre :

    La valeur des paramètres en gras doit être extraites des configurations côté Azure.

    Nom : nom du serveur

    URL de redirection - Entrez l’URL de connexion utilisée précédemment dans la section « Configuration de Citrix ADC » d’Azure AD. https://login.microsoftonline.com/3e6d1786-4e0c-4c70-86d2-ae7811f97f79/saml2

    URL de déconnexion unique - https://login.microsoftonline.com/3e6d1786-4e0c-4c70-86d2-ae7811f97f79/saml2

    Reliure SAML - POST

    Reliure de déconnexion - REDIRECT

    Nom du certificat IDP - Certificat IDPCert (Base64) présent sous le certificat de signature SAML.

    Champ utilisateur - UserPrincipalName. Pris de la section « Attributs et revendications de l’utilisateur » d’Azure IdP.

    Nom du certificat de signature - Non nécessaire pour Azure AD. Sélectionnez le certificat SP SAML (avec clé privée) utilisé par Citrix ADC pour signer des demandes d’authentification à l’IdP. Le même certificat (sans clé privée) doit être importé sur l’IdP, de sorte que l’IdP puisse vérifier la signature de la demande d’authentification. Ce champ n’est pas nécessaire à la plupart des déplacés internes.

    IssuerName - Identifiant. https://idp.g.nssvctesting.net

    Rejeter une assertion non signée - ON

    Audience - Audience pour laquelle une assertion envoyée par IdP est applicable. Il s’agit généralement d’un nom d’entité ou d’une URL qui représente ServiceProvider.

    Algorithme de signature - RSA-SHA256

    Méthode de digest - SHA256

    Groupe d’authentification par défaut : groupe par défaut choisi lorsque l’authentification réussit en plus des groupes extraits.

    Champ Nom du groupe : nom de la balise dans l’assertion contenant des groupes d’utilisateurs.

    Temps d’inclinaison (minutes) : cette option spécifie l’inclinaison d’horloge autorisée en nombre de minutes que Citrix ADC ServiceProvider autorise sur une assertion entrante.

    Deux facteurs - OFF

    Contexte d’authentification demandé - exact

    Type de classe d’authentification - Aucune

    Envoyer une empreinte de pouce - OFF

    Appliquer le nom d’utilisateur - ON

    Forcer l’authentification - OFF

    Réponse SAML de stockage - OFF

De même, créez une stratégie SAML correspondante et liez-la au serveur virtuel d’authentification.

Remarque : Azure AD ne s’attend pas au champ Objet ID dans la demande SAML. Pour que Citrix ADC n’envoie pas le champ ID du sujet, tapez la commande suivante à l’invite de commandes Citrix ADC.

nsapimgr_wr.sh -ys call="ns_saml_dont_send_subject"

Configurer Azure AD en tant que fournisseur d’identité SAML et Citrix ADC en tant que SP SAML