Guide de validation de concept : authentification fédérée Microsoft Azure Active Directory pour Citrix Virtual Apps and Desktops avec Citrix ADC

Introduction

L’utilisation du Cloud pour fournir des services d’entreprise continue de croître. Les services cloud héritent des avantages intégrés à l’infrastructure cloud, notamment la résilience, l’évolutivité et la portée mondiale. Azure Active Directory (AAD) est le service d’annuaire hébergé Microsoft Azure et fournit les mêmes avantages cloud aux entreprises. AAD permet aux entreprises d’héberger leurs identités de leurs employés dans le cloud et d’accéder en toute sécurité aux services également hébergés dans le Cloud ou sur site.

Citrix Virtual Apps and Desktops fournit des applications virtuelles et des postes de travail à l’aide de ressources hébergées sur site ou dans le Cloud. Citrix ADC fournit un accès distant sécurisé à ces applications et postes de travail virtuels et peut également être hébergé sur site ou dans le Cloud. Avec Citrix Federated Authentication Service, ils peuvent utiliser AAD pour authentifier l’accès des utilisateurs à Citrix Virtual Apps and Desktops depuis n’importe où.

AAD-IDP + CVAD + FAS+ architecture ADC-SP

Aperçu

Le guide explique comment implémenter un environnement de validation de concept pour l’authentification fédérée Microsoft AAD pour Citrix Virtual Apps and Desktops avec Citrix ADC à l’aide de SAML. AAD agit en tant que fournisseur d’identité (IdP) tandis que Citrix ADC agit en tant que fournisseur de services (SP).

Il fait des hypothèses sur l’installation, ou la configuration de certains composants :

  • Un serveur Active Directory est installé sur site et vous pouvez vous connecter en tant qu’administrateur de domaine.
  • Un client Azure est disponible avec une licence P2 et vous pouvez vous connecter en tant qu’administrateur global.
  • Une appliance Citrix ADC a été installée et sous licence. En outre, il dispose d’un serveur virtuel Citrix Gateway configuré pour fournir l’accès à un environnement Citrix Virtual Apps and Desktops local. Utilisez la version 13 build 60 ou supérieure.
  • Un Delivery Controller, StoreFront et VDA sont installés et configurés pour fournir des applications virtuelles ou des postes de travail pour les utilisateurs de domaine. Utilisez la version 2006 ou supérieure.
  • Une machine virtuelle est disponible ou un autre serveur dispose d’une capacité suffisante pour installer FAS. Le DDC, FAS et StoreFront sont tous installés sur le même serveur dans ce PDC.
  • Le client distant peut lancer une application virtuelle ou un bureau à l’aide de l’application Workspace ou du navigateur. Utilisez Windows Version 20.6.0.38 (2006) ou supérieure.

Config AD et AAD

Pour configurer Active Directory (AD) et Azure Active Directory (AAD), procédez comme suit :

Suffixe User PrincipalName (UPN) alternatif

  1. Connectez-vous à votre contrôleur de domaine AD.
  2. Ouvrez Gestionnaire de serveur > Outils > Domaines et approbations Active Directory
  3. Cliquez avec le bouton droit de la souris, sélectionnez Propriétés et saisissez le suffixe UPN pour les utilisateurs correspondant à l’un de vos domaines AAD. Suffixe UPN Alt

Utilisateurs AD

  1. Sur votre contrôleur de domaine AD, ouvrez Gestionnaire de serveur > Outils > Utilisateurs et ordinateurs Active Directory.
  2. Cliquez avec le bouton droit de la souris et sélectionnez Nouveau > Utilisateurou modifiez un existant
  3. Sous Propriétés > Compte, définissez l’UPN sur le nouveau suffixe. Utilisateur AD

Connexion Microsoft Azure Active Directory

Azure AD Connect est un outil permettant de connecter l’infrastructure d’identité locale à Microsoft Azure AD. Il nous permet de copier les utilisateurs AD vers AAD avec un UPN (UPN) mappé à notre domaine AAD.

  1. Connectez-vous à votre contrôleur de domaine AD ou à un autre serveur virtuel sur lequel vous hébergez le processus Microsoft Azure Active Directory Connect.
  2. Téléchargez l’exécutable à partir du site de téléchargement Microsoft Connexion Microsoft Azure Active Directory et lancez-le.
  3. Vous êtes invité à accepter d’apporter des modifications à la machine virtuelle et à accepter un contrat de licence sur la page d’accueil. Connect AD
  4. Vous êtes invité à vous connecter en tant qu’administrateur AAD global et en tant qu’administrateur des services de domaine.
  5. Pour l’installation sur une seule machine virtuelle AD, vous pouvez suivre les paramètres express. Après avoir vérifié les suffixes UPN, il effectue une synchronisation complète de tous les utilisateurs, groupes et contacts.

Consultez utilisation des paramètres express Azure AD Connect pour de plus amples informations.

Autorité de certification

Pour ce PDC, nous supposons que vous disposez d’une autorité de certification, y compris l’inscription Web, installée sur un contrôleur de domaine AD. Si vous n’accédez pas à Gestionnaire de serveur > Ajouter des rôles et des fonctionnalités et suivez les invites pour installer les services de certificats Active Directory. Consultez Installation de l’autorité de certification Microsoft pour de plus amples informations.

  1. Prochain lancement MMC
  2. Sélectionnez Ajouter/Supprimer un composant logiciel enfichable > Certificats > Compte d’ordinateur > OK
  3. Cliquez avec le bouton droit sur Personnel > Toutes les tâches > Demander un
  4. Cliquez sur Suivant et sélectionnez Stratégie d’inscription Active Directory.
  5. Sélectionnez Authentification contrôleur de domaine et cliquez sur Inscrire Application AAD non-galerie

Azure Active Directory

  1. Connectez-vous à Portail Azure en tant qu’administrateur global
  2. Accédez à Azure Active Directory > Applications d’entreprise
  3. Sélectionnez Nouvelle application
  4. Sélectionner une application autre que Gallery Application AAD non-galerie
  5. Entrez un nom unique et sélectionnez Ajouter
  6. Sélectionnez Single Sign-on > SAML et sélectionnez l’icône de crayon pour modifier la configuration SAML de base
  7. Entrez le nom de domaine complet du serveur virtuel de passerelle Citrix ADC dans le champ Identificateur.
  8. Entrez le nom de domaine complet avec l’URI /cgi/samlauth ajouté dans le champ URL de réponse Configuration SAML de base
  9. Cliquer sur Save
  10. Capturez les éléments suivants à saisir dans la configuration SAML Citrix ADC :
    • Sous Certificat de signature SAML - télécharger Certificat (base64)
    • Sous Configuration Citrix FAS - URL de connexion et de déconnexion Paramètres AAD
  11. Sélectionnez Utilisateurs et groupes > Ajouter un utilisateur et sélectionner des utilisateurs existants ou des groupes ayant accès à Citrix Virtual Apps and Desktops à l’aide de leur UPN AAD Configuration SAML de base

Config Citrix ADC

Pour configurer Citrix ADC, effectuez les opérations suivantes :

  1. Connectez-vous à l’interface utilisateur Citrix ADC
  2. Accédez à Gestion du trafic > SSL> Certificats > Tous les certificats pour vérifier que votre certificat de domaine est installé. Dans cet exemple POC, nous avons utilisé un certificat générique correspondant à notre domaine Active Directory. Consultez Certificats SSL Citrix ADC pour de plus amples informations.
  3. Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels et sélectionnez Ajouter
  4. Entrez les champs suivants et cliquez sur OK :
    • Nom - une valeur unique
    • Type d’adresse IP - Non adressable Configuration SAML de base
  5. Sélectionnez Aucun certificat de serveur, sélectionnez le certificat de domaine, cliquez sur Sélectionner, Lier et Continuer.
  6. Sélectionnez Aucune stratégie d’authentification, puis Ajouter
  7. Entrez un nom, définissez Type d’action sur SAML, puis sélectionnez Ajouter une action
  8. Entrez les champs suivants et cliquez sur OK :
    • Nom - une valeur unique
    • Désélectionner Importer des métadonnées
    • URL de redirection - Coller l’URL de connexion copiée à partir de la configuration AAD
    • URL de déconnexion unique : collez l’URL de déconnexion copiée à partir de la configuration AAD
    • Liaison de déconnexion - Redirection
    • Nom du certificat IdP - sélectionnez Ajouter, entrez un nom, sélectionnez Nom du fichier de certificat > local, puis sélectionnez le certificat de signature SAML (base64) téléchargé depuis AAD
    • Signing Certificate Name : sélectionnez le certificat de domaine utilisé par ADC pour signer des demandes à AAD.
    • Nom du problème : entrez le nom de domaine complet de Citrix ADC Gateway Action d'authentification SAML
  9. Sélectionnez créer pour créer l’action
  10. Entrez true pour l’expression
  11. Sélectionnez à nouveau créer pour créer la stratégie Stratégie d'authentification
  12. Sélectionnez la liaison pour lier la stratégie au serveur virtuel Authentification serveur virtuel
  13. Cliquez sur Continuer pour terminer la configuration du serveur virtuel d’authentification
  14. Accédez ensuite à Citrix Gateway > Serveurs virtuelset modifiez le serveur virtuel pertinent
  15. Si vous disposez d’une stratégie de base liée sous Authentification de base, sélectionnez-la, vérifiez la stratégie et sélectionnez Délier, confirmer et fermer.
  16. Dans le menu de droite, sélectionnez Profil d’authentification, puis Ajouter. Entrez un nom, puis cliquez sur la flèche droite sous Authentication Virtual Server. Vérifiez la stratégie Authentification serveur virtuel, puis cliquez sur créer. Créer un profil d'authentification
  17. Cliquez sur OK pour terminer la liaison du serveur virtuel Citrix ADC AAA au serveur virtuel Gateway. Créer un profil d'authentification
  18. Accédez à Citrix Gateway > Stratégies > Session, sélectionnez la stratégie Workspace App avec l’expression « Citrix Receiver » et apportez les modifications suivantes :
    • Sous Applications publiées effacez le champ Single Sign-on Domaine et désactivez Global Remplacer
    • Sous Expérience client dans la liste déroulante Index des informations d’identification, sélectionnez Secondaire
  19. Répétez ces étapes pour la stratégie Workspace pour Web avec l’expression “Citrix Receiver”).NOT Stratégies de session de passerelle ADC

Consultez Citrix ADC pour de plus amples informations.

Config Citrix Virtual Apps and Desktops

Pour intégrer les composants Citrix Virtual Apps and Desktops avec FAS, effectuez les opérations suivantes :

StoreFront

Activer FAS sur StoreFront

  • Ouvrez PowerShell en tant qu’administrateur et exécutez :
    • Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    • $StoreVirtualPath = "/Citrix/Store"
    • $store = Get-STFStoreService -VirtualPath $StoreVirtualPath $auth = Get-STFAuthenticationService -StoreService $store
    • Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    • Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"

Consultez Activer le plug-in FAS sur des magasins StoreFront pour de plus amples informations.

Configurer StoreFront pour Citrix Gateway

  1. Connectez-vous à la machine virtuelle StoreFront (qui héberge également FAS, et le DDC dans notre POC) et lancez l’interface graphique StoreFront
  2. Sélectionnez Gérer les méthodes d’authentification dans le menu de droite
  3. Sélectionnez Pass-through à partir de Citrix Gateway
  4. Sélectionnez la flèche vers le bas en regard de l’engrenage, puis sélectionnez Configurer l’authentification déléguée
  5. Vérifiez la validation des informations d’identification de délégation complète à Citrix Gateway, puis cliquez deux fois sur OK Créer un profil d'authentification
  6. Sélectionnez Gérer les méthodes d’authentification dans le menu de droite
  7. Modifier l’entrée Citrix Gateway pertinente
  8. Sous Paramètres d’authentification, l’URL de rappel doit être configurée si ce n’est pas déjà fait. Généralement, vous pouvez mettre à jour le DNS interne ou, pour une seule instance StoreFront, mettre à jour le fichier hôte local pour mapper l’adresse IP privée du serveur virtuel de passerelle au nom de domaine complet Créer un profil d'authentification

Delivery Controller

Ensuite, configurez Desktops Delivery Controller pour qu’il fasse confiance aux serveurs StoreFront pouvant s’y connecter.

  • Ouvrez PowerShell en tant qu’administrateur et exécutez
    • Add-PSSnapin Citrix* (à condition que tous les composants logiciels enfichables Citrix ne soient pas chargés) Pour plus d’informations, reportez-vous à Installer et configurer FAS
    • Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Consultez Configurer le Delivery Controller pour de plus amples informations.

Config du service d’authentification fédérée Citrix

Pour configurer FAS, effectuez les opérations suivantes :

  1. Charger l’image ISO Citrix Virtual Apps and Desktops sur la machine virtuelle FAS
  2. Sélectionnez FAS pour commencer l’installation Installation FAS
  3. Lisez le contrat de licence Citrix et cliquez sur Suivant
  4. Sélectionnez le répertoire d’installation et cliquez sur Suivant
  5. Mettez à jour le pare-feu hôte pour autoriser le port 80 et cliquez sur Suivant Ports FAS
  6. Cliquez sur Terminer
  7. Vérifiez les paramètres que vous avez définis et cliquez sur Installer
  8. Après avoir réussi l’installation, cliquez à nouveau sur Terminer. FAS Terminé]
  9. Sous “C:\Program Files \ Citrix \ Federated Authentication Service », partagez le contenu du répertoire PolicyDefinions et le sous-répertoire « en-us » Copie des définitions de stratégie SAF
  10. Sous “C:\Program Files \ Citrix \ Federated Authentication Service », collez les sur le contrôleur de domaine à C:\Windows\PolicyDefinions, et..  \ en-US respectivement. Les fichiers incluent :
    • PolicyDefinitions\CitrixBase.admx
    • PolicyDefinitions\CitrixFederatedAuthenticationService.admx
    • PolicyDefinitions\en-US\CitrixBase.adml
    • PolicyDefinitions\CitrixFederatedAuthenticationService.adml Coller des définitions de stratégie FAS
  11. Ouvrir Gestionnaire de serveur > Outils > Gestion des stratégies de groupe
    • a. Cliquez avec le bouton droit de la souris pour créer un objet de stratégie de groupe existant ou modifier un objet de stratégie de groupe existant qui s’applique à tous les VDA et Delivery Controller pertinents. (Nous utilisons la stratégie Contrôleurs de domaine par défaut pour le POC. Pour la production, vous devez généralement créer une nouvelle stratégie ou modifier une autre stratégie pertinente.) GPO * b. Accédez à Configuration ordinateur > Stratégies > Modèles d’administration > Composants Citrix > Authentification * c. Cliquez avec le bouton droit sur Federated Authentication Service * d. Sélectionnez éditer * e. Sélectionnez Afficher DNS * f. Entrez le nom de domaine complet du serveur FAS, cliquez deux fois sur OK et fermez l’éditeur de gestion des stratégies de groupe FAS GPO * g. Accédez à chaque Delivery Controller et VDA), ouvrez une invite MS-DOS en tant qu’administrateur et exécutez gpupdate /force Mise à jour du GPO FAS * h. Pour vérifier qu’il a été appliqué, ouvrez regedit.exe et accédez à : /Computer \ HKLM \ SOFTWARE \ Policies \ Citrix \ Authentication \ UserCredentialService \ Adresses Address1 entrée définie au nom de domaine complet appliqué via l’objet de stratégie de groupe. S’il n’apparaît pas, vous devrez peut-être redémarrer la machine virtuelle correspondante. Registre des objets de stratégie de groupe FAS * i. Revenez ensuite à la machine virtuelle FAS pour commencer l’installation du service. (Nous hébergeons FAS, StoreFront et le DDC sur la même machine virtuelle pour le PDC. Pour la production, vous les hébergerez généralement sur différentes machines virtuelles pour améliorer l’évolutivité et la prise en charge.) * j. Exécutez le programme Citrix Federated Authentication Service. Sélectionnez chacune des cinq étapes dans l’ordre et suivez les instructions :* i. Déployer des modèles de certificat * ii. Mise en place d’une autorité de certification * iii. Autoriser ce service - pour cette étape, revenez à l’autorité de certification pour émettre une demande en attente. L’autorité de certification est hébergée sur le contrôleur de domaine dans cet exemple de PDC. * iv. Créer une règle - spécifiez ici l’autorité de certification et le certificat déjà configuré. Filtrez également les VDA et les utilisateurs autorisés à utiliser le service FAS. * v. (Se connecter à Citrix Cloud - dans ce guide, nous utilisons Citrix Virtual Apps and Desktops locaux)

Consultez documentation FAS pour de plus amples informations.

Validation du client Citrix Workspace

Pour valider le PDC, effectuez les opérations suivantes :

Workspace pour Web

  1. Ouvrez un navigateur et accédez au nom de domaine complet géré par Citrix ADC. Notez que Citrix Gateway redirige vers AAD.
  2. Connectez-vous avec l’UPN d’un utilisateur configuré pour faire partie de l’environnement FAS Connexion
  3. Vérifiez que les applications virtuelles des utilisateurs et les postes de travail sont énumérées et lancez une fois connecté avec l’UPN via l’objet utilisateur AAD Connecté

Résumé

Citrix Virtual Apps and Desktops est une technologie résiliente depuis des décennies. Cloud Hosted Identity offre aux entreprises un service encore plus fiable. La mise en œuvre du PDC décrit dans ce guide montre comment y parvenir en intégrant AAD en tant qu’IdP et Citrix ADC en tant que fournisseur de services. Pour en savoir plus sur la tarification Citrix et l’emballage, visitez le site Web Citrix Citrix.com, et pour en savoir plus sur les fonctionnalités techniques Citrix, visitez Citrix TechZone.

Guide de validation de concept : authentification fédérée Microsoft Azure Active Directory pour Citrix Virtual Apps and Desktops avec Citrix ADC