Guide PoC : Authentification fédérée Microsoft Azure Active Directory pour Citrix Virtual Apps and Desktops avec NetScaler

Introduction

L’utilisation du Cloud pour fournir des services d’entreprise continue de croître. Les services cloud héritent des avantages intégrés à l’infrastructure cloud, notamment la résilience, l’évolutivité et la portée mondiale. Azure Active Directory (AAD) est le service d’annuaire hébergé Microsoft Azure et fournit les mêmes avantages cloud aux entreprises. AAD permet aux entreprises d’héberger leurs identités de leurs employés dans le cloud et d’accéder en toute sécurité aux services également hébergés dans le Cloud ou sur site.

Citrix Virtual Apps and Desktops fournit des applications virtuelles et des postes de travail à l’aide de ressources hébergées sur site ou dans le Cloud. NetScaler fournit un accès distant sécurisé à ces applications et postes de travail virtuels et peut également être hébergé sur site ou dans le cloud. Avec Citrix Federated Authentication Service, ils peuvent utiliser AAD pour authentifier l’accès des utilisateurs à Citrix Virtual Apps and Desktops depuis n’importe où.

AAD-IDP + CVAD + FAS+ architecture ADC-SP

Vue d’ensemble

Le guide explique comment implémenter un environnement de preuve de concept pour l’authentification fédérée Microsoft AAD pour Citrix Virtual Apps and Desktops avec NetScaler à l’aide de SAML. AAD agit en tant que fournisseur d’identité (IdP) tandis que NetScaler agit en tant que fournisseur de services (SP).

Il fait des hypothèses sur l’installation, ou la configuration de certains composants :

  • Un serveur Active Directory est installé sur site et vous pouvez vous connecter en tant qu’administrateur de domaine.
  • Un client Azure est disponible avec une licence P2 et vous pouvez vous connecter en tant qu’administrateur global.
  • Une appliance NetScaler a été installée et sous licence. Il dispose également d’un serveur virtuel NetScaler Gateway configuré pour fournir un accès à un environnement Citrix Virtual Apps and Desktops local. Utilisez la version 13 build 60 ou supérieure.
  • Un Delivery Controller, StoreFront et VDA sont installés et configurés pour fournir des applications virtuelles ou des postes de travail pour les utilisateurs de domaine. Utilisez la version 2006 ou supérieure.
  • Une machine virtuelle est disponible ou un autre serveur dispose d’une capacité suffisante pour installer FAS. Le DDC, FAS et StoreFront sont tous installés sur le même serveur dans ce PDC.
  • Le client distant peut lancer une application virtuelle ou un bureau à l’aide de l’application Workspace ou du navigateur. Utilisez Windows Version 20.6.0.38 (2006) ou supérieure.

Config AD et AAD

Pour configurer Active Directory (AD) et Azure Active Directory (AAD), procédez comme suit :

Suffixe User PrincipalName (UPN) alternatif

  1. Connectez-vous à votre contrôleur de domaine AD.
  2. Ouvrez Gestionnaire de serveur > Outils > Domaines et approbations Active Directory
  3. Cliquez avec le bouton droit de la souris, sélectionnez Propriétés et saisissez le suffixe UPN pour les utilisateurs correspondant à l’un de vos domaines AAD. Suffixe UPN Alt

Utilisateurs AD

  1. Sur votre contrôleur de domaine AD, ouvrez Gestionnaire de serveur > Outils > Utilisateurs et ordinateurs Active Directory.
  2. Cliquez avec le bouton droit de la souris et sélectionnez Nouveau > Utilisateurou modifiez un existant
  3. Sous Propriétés > Compte, définissez l’UPN sur le nouveau suffixe. Utilisateur AD

Connexion Microsoft Azure Active Directory

Azure AD Connect est un outil permettant de connecter l’infrastructure d’identité locale à Microsoft Azure AD. Il nous permet de copier les utilisateurs AD vers AAD avec un UPN (UPN) mappé à notre domaine AAD.

  1. Connectez-vous à votre contrôleur de domaine AD ou à un autre serveur virtuel sur lequel vous hébergez le processus Microsoft Azure Active Directory Connect.
  2. Téléchargez l’exécutable depuis le site de téléchargement Microsoft Microsoft Azure Active Directory Connect et lancez-le.
  3. Vous êtes invité à accepter d’apporter des modifications à la machine virtuelle et à accepter un contrat de licence sur la page d’accueil. Connect AD
  4. Vous êtes invité à vous connecter en tant qu’administrateur AAD global et en tant qu’administrateur des services de domaine.
  5. Pour l’installation sur une seule machine virtuelle AD, vous pouvez suivre les paramètres express. Après avoir vérifié les suffixes UPN, il effectue une synchronisation complète de tous les utilisateurs, groupes et contacts.

Pour plus d’informations, consultez la section Utilisation des paramètres express d’Azure AD Connect .

Autorité de certification

Pour ce PDC, nous supposons que vous disposez d’une autorité de certification, y compris l’inscription Web, installée sur un contrôleur de domaine AD. Si vous n’accédez pas à Gestionnaire de serveur > Ajouter des rôles et des fonctionnalités et suivez les invites pour installer les services de certificats Active Directory. Voir Installation de l’autorité de certification Microsoft pour plus d’informations.

  1. Prochain lancement MMC
  2. Sélectionnez Ajouter/Supprimer un composant logiciel enfichable > Certificats > Compte d’ordinateur > OK
  3. Cliquez avec le bouton droit sur Personnel > Toutes les tâches > Demander un
  4. Cliquez sur Suivant et sélectionnez Stratégie d’inscription Active Directory.
  5. Sélectionnez Authentification du contrôleur de domaine et cliquez sur Enroll AAD non-Gallery application

Azure Active Directory

  1. Connectez-vous au portail Azure en tant qu’administrateur global
  2. Accédez à Azure Active Directory > Applications d’entreprise
  3. Sélectionnez Nouvelle application
  4. Sélectionnez une application hors galerie AAD Application hors galerie
  5. Entrez un nom unique et sélectionnez Ajouter
  6. Sélectionnez Single Sign-on > SAML et sélectionnez l’icône de crayon pour modifier la configuration SAML de base
  7. Entrez le nom de domaine complet du serveur virtuel NetScaler Gateway dans le champ Identifiant.
  8. Entrez le nom de domaine complet avec l’URI /cgi/samlauth ajouté dans le champ URL de réponse Configuration SAML de base
  9. Cliquer sur Save
  10. Capturez les informations suivantes à saisir dans la configuration SAML de NetScaler :
    • Sous Certificat de signature SAML - télécharger Certificat (base64)
    • Sous Configuration Citrix FAS - URL de connexion et de déconnexion Paramètres AAD
  11. Sélectionnez Utilisateurs et groupes > Ajouter un utilisateur et sélectionnez les utilisateurs existants ou les groupes qui ont accès à Citrix Virtual Apps and Desktops à l’aide de leur configuration SAML de baseAAD UPN

Configuration NetScaler

Pour configurer NetScaler, procédez comme suit :

  1. Connectez-vous à l’interface utilisateur de NetScaler
  2. Accédez à Gestion du trafic > SSL> Certificats > Tous les certificats pour vérifier que votre certificat de domaine est installé. Dans cet exemple POC, nous avons utilisé un certificat générique correspondant à notre domaine Active Directory. Consultez la section Certificats SSL NetScaler pour plus d’informations.
  3. Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels et sélectionnez Ajouter
  4. Entrez les champs suivants et cliquez sur OK :
    • Nom - une valeur unique
    • Type d’adresse IP - Non adressable Configuration SAML de base
  5. Sélectionnez Aucun certificat de serveur, sélectionnez le certificat de domaine, cliquez sur Sélectionner, Lier et Continuer.
  6. Sélectionnez Aucune stratégie d’authentification, puis Ajouter
  7. Entrez un nom, définissez Type d’action sur SAML, puis sélectionnez Ajouter une action
  8. Entrez les champs suivants et cliquez sur OK :
    • Nom - une valeur unique
    • Désélectionner Importer des métadonnées
    • URL de redirection - Coller l’URL de connexion copiée à partir de la configuration AAD
    • URL de déconnexion unique : collez l’URL de déconnexion copiée à partir de la configuration AAD
    • Liaison de déconnexion - Redirection
    • Nom du certificat IdP - sélectionnez Ajouter, entrez un nom, sélectionnez Nom du fichier de certificat > local, puis sélectionnez le certificat de signature SAML (base64) téléchargé depuis AAD
    • Signing Certificate Name : sélectionnez le certificat de domaine utilisé par ADC pour signer des demandes à AAD.
    • Nom du problème : entrez le nom de domaine complet de NetScaler Gateway Action d'authentification SAML
  9. Sélectionnez créer pour créer l’action
  10. Entrez true pour l’expression
  11. Sélectionnez à nouveau créer pour créer la stratégie Stratégie d'authentification
  12. Sélectionnez bind pour lier la stratégie au serveur virtuel d'authentification du serveur virtuel
  13. Cliquez sur Continuer pour terminer la configuration du serveur virtuel d’authentification
  14. Accédez ensuite à NetScaler Gateway > Serveurs virtuels, puis modifiez le serveur virtuel approprié
  15. Si vous disposez d’une stratégie de base liée sous Authentification de base, sélectionnez-la, vérifiez la stratégie et sélectionnez Délier, confirmer et fermer.
  16. Dans le menu de droite, sélectionnez Profil d’authentification, puis Ajouter. Entrez un nom, puis cliquez sur la flèche droite sous Authentication Virtual Server. Vérifiez la stratégie Authentification serveur virtuel, puis cliquez sur créer. Créer un profil d'authentification
  17. Cliquez sur OK pour terminer la liaison du serveur virtuel NetScaler AAA au serveur virtuel Gateway. Créer un profil d'authentification
  18. Accédez à NetScaler Gateway > Stratégies > Session, sélectionnez la stratégie de l’application Workspace avec l’expression « Citrix Receiver », puis apportez les modifications suivantes :
    • Sous Applications publiées effacez le champ Single Sign-on Domaine et désactivez Global Remplacer
    • Sous Expérience client dans la liste déroulante Index des informations d’identification, sélectionnez Secondaire
  19. Répétez ces étapes pour la stratégie de Workspace pour le Web avec l’expression « Citrix Receiver » (.NOT). Stratégies de session NetScalerGateway

Consultez NetScaler pour plus d’informations.

Config Citrix Virtual Apps and Desktops

Pour intégrer les composants Citrix Virtual Apps and Desktops avec FAS, effectuez les opérations suivantes :

StoreFront

Activer FAS sur StoreFront

  • Ouvrez PowerShell en tant qu’administrateur et exécutez :
    • Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    • $StoreVirtualPath = "/Citrix/Store"
    • $store = Get-STFStoreService -VirtualPath $StoreVirtualPath $auth = Get-STFAuthenticationService -StoreService $store
    • Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    • Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"

Pour plus d’informations, consultez la section Activer le plug-in FAS sur les magasins StoreFront .

Configurer StoreFront pour NetScaler Gateway

  1. Connectez-vous à la machine virtuelle StoreFront (qui héberge également FAS, et le DDC dans notre POC) et lancez l’interface graphique StoreFront
  2. Sélectionnez Gérer les méthodes d’authentification dans le menu de droite
  3. Sélectionnez Pass-through depuis NetScaler Gateway
  4. Sélectionnez la flèche vers le bas en regard de l’engrenage, puis sélectionnez Configurer l’authentification déléguée
  5. Cochez la case Déléguer entièrement la validation des informations d'identification à NetScaler Gateway, puis cliquez deux fois sur OK Créer un profil d'authentification
  6. Sélectionnez Gérer Citrix Gateways dans le menu de droite
  7. Modifiez l’entrée NetScaler Gateway pertinente
  8. Sous Paramètres d’authentification, l’URL de rappel doit être configurée si ce n’est pas déjà fait. En règle générale, vous pouvez mettre à jour le DNS interne ou, pour une seule instance de StoreFront, mettre à jour le fichier hôte local afin de mapper l’adresse IP privée du serveur virtuel de passerelle au nom de domaine complet (FQDN) .

Delivery Controller

Ensuite, configurez Desktops Delivery Controller pour qu’il fasse confiance aux serveurs StoreFront pouvant s’y connecter.

  • Ouvrez PowerShell en tant qu’administrateur et exécutez
    • Add-PSSnapin Citrix* (à condition que tous les composants logiciels enfichables Citrix ne soient pas chargés) Reportez-vous à la section Installer et configurer FAS pour plus d’informations
    • Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Voir Configurer le Delivery Controller pour plus d’informations.

Config du service d’authentification fédérée Citrix

Pour configurer FAS, effectuez les opérations suivantes :

  1. Charger l’image ISO Citrix Virtual Apps and Desktops sur la machine virtuelle FAS
  2. Sélectionnez FAS pour commencer l’installation FAS Installation
  3. Lisez le contrat de licence Citrix et cliquez sur Suivant
  4. Sélectionnez le répertoire d’installation et cliquez sur Suivant
  5. Mettez à jour le pare-feu hôte pour autoriser le port 80 et cliquez sur Next FAS Ports
  6. Cliquez sur Terminer
  7. Vérifiez les paramètres que vous avez définis et cliquez sur Installer
  8. Après avoir réussi l’installation, cliquez à nouveau sur Terminer. ![FAS Terminé]
  9. Sous « C:\Program Files\Citrix\Federated Authentication Service », partagez le contenu du répertoire PolicyDefinions et le sous-répertoire « en-us » FAS Policy Definitions Copy
  10. Sous “C:\Program Files\Citrix\Federated Authentication Service”, collez les sur le contrôleur de domaine à C:\Windows\PolicyDefinions, et.. \en-US respectivement. Les fichiers incluent :
    • PolicyDefinitions\CitrixBase.admx
    • PolicyDefinitions\CitrixFederatedAuthenticationService.admx
    • PolicyDefinitions\en-US\CitrixBase.adml
    • PolicyDefinitions\CitrixFederatedAuthenticationService.adml Coller des définitions de stratégie FAS
  11. Ouvrir Gestionnaire de serveur > Outils > Gestion des stratégies de groupe
    • a. Cliquez avec le bouton droit de la souris pour créer un objet de stratégie de groupe existant ou modifier un objet de stratégie de groupe existant qui s’applique à tous les VDA et Delivery Controller pertinents. (Nous utilisons la stratégie Contrôleurs de domaine par défaut pour le POC. Pour la production, vous devez généralement créer une nouvelle stratégie ou modifier une autre stratégie pertinente.) Objet de stratégie de groupe * b. Accédez à Configuration ordinateur > Stratégies > Modèles d’administration > Composants Citrix > Authentification * c. Cliquez avec le bouton droit sur Federated Authentication Service * d. Sélectionnez éditer * e. Sélectionnez Afficher DNS * f. Entrez le nom de domaine complet du serveur FAS, cliquez deux fois sur OK et fermez l’éditeur de gestion des stratégies de groupe FAS GPO * g. Accédez à chaque Delivery Controller et VDA), ouvrez une invite MS-DOS en tant qu’administrateur et exécutez la gpupdate /force mise à jour FAS GPO * h. Pour vérifier qu’il a été appliqué, ouvrez regedit.exe et accédez à : /Computer\HKLM\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\Addresses Address1 entrée définie au nom de domaine complet appliqué via l’objet de stratégie de groupe. S’il n’apparaît pas, vous devrez peut-être redémarrer la machine virtuelle correspondante. Registre des objets de stratégie de groupe FAS * i. Revenez ensuite à la machine virtuelle FAS pour commencer l’installation du service. (Nous hébergeons FAS, StoreFront et le DDC sur la même machine virtuelle pour le PDC. Pour la production, vous les hébergerez généralement sur différentes machines virtuelles pour améliorer l’évolutivité et la prise en charge.) * j. Exécutez le programme Citrix Federated Authentication Service. Sélectionnez chacune des cinq étapes dans l’ordre et suivez les instructions :* i. Déployer des modèles de certificat * ii. Mise en place d’une autorité de certification * iii. Autoriser ce service - pour cette étape, revenez à l’autorité de certification pour émettre une demande en attente. L’autorité de certification est hébergée sur le contrôleur de domaine dans cet exemple de PDC. * iv. Créer une règle - spécifiez ici l’autorité de certification et le certificat déjà configuré. Filtrez également les VDA et les utilisateurs autorisés à utiliser le service FAS. * v. (Se connecter à Citrix Cloud - dans ce guide, nous utilisons Citrix Virtual Apps and Desktops locaux)

Consultez la documentation FAS pour plus d’informations.

Validation du client Citrix Workspace

Pour valider le PDC, effectuez les opérations suivantes :

Workspace pour Web

  1. Ouvrez un navigateur et accédez au nom de domaine complet du domaine géré par NetScaler. Notez que NetScaler Gateway redirige vers AAD.
  2. Connectez-vous à l'aide de l'UPN d'un utilisateur configuré pour faire partie de l'environnement FAS
  3. Vérifiez que les utilisateurs, les applications virtuelles et les bureaux sont énumérés, et lancez-les une fois connecté avec l’UPN via l’objet utilisateur AAD connecté

Résumé

Citrix Virtual Apps and Desktops est une technologie résiliente depuis des décennies. Cloud Hosted Identity offre aux entreprises un service encore plus fiable. La mise en œuvre du POC décrit dans ce guide montre comment y parvenir en intégrant AAD en tant qu’IdP et NetScaler en tant que fournisseur de services. Pour en savoir plus sur la tarification et l’emballage Citrix, visitez le site Web de Citrix Citrix.com, et pour en savoir plus sur les fonctionnalités techniques de Citrix, rendez-vous sur Citrix TechZone.

Guide PoC : Authentification fédérée Microsoft Azure Active Directory pour Citrix Virtual Apps and Desktops avec NetScaler