Guide PoC : Authentification fédérée Microsoft Azure Active Directory pour Citrix Virtual Apps and Desktops avec NetScaler
Introduction
L’utilisation du Cloud pour fournir des services d’entreprise continue de croître. Les services cloud héritent des avantages intégrés à l’infrastructure cloud, notamment la résilience, l’évolutivité et la portée mondiale. Azure Active Directory (AAD) est le service d’annuaire hébergé Microsoft Azure et fournit les mêmes avantages cloud aux entreprises. AAD permet aux entreprises d’héberger leurs identités de leurs employés dans le cloud et d’accéder en toute sécurité aux services également hébergés dans le Cloud ou sur site.
Citrix Virtual Apps and Desktops fournit des applications virtuelles et des postes de travail à l’aide de ressources hébergées sur site ou dans le Cloud. NetScaler fournit un accès distant sécurisé à ces applications et postes de travail virtuels et peut également être hébergé sur site ou dans le cloud. Avec Citrix Federated Authentication Service, ils peuvent utiliser AAD pour authentifier l’accès des utilisateurs à Citrix Virtual Apps and Desktops depuis n’importe où.
Vue d’ensemble
Le guide explique comment implémenter un environnement de preuve de concept pour l’authentification fédérée Microsoft AAD pour Citrix Virtual Apps and Desktops avec NetScaler à l’aide de SAML. AAD agit en tant que fournisseur d’identité (IdP) tandis que NetScaler agit en tant que fournisseur de services (SP).
Il fait des hypothèses sur l’installation, ou la configuration de certains composants :
- Un serveur Active Directory est installé sur site et vous pouvez vous connecter en tant qu’administrateur de domaine.
- Un client Azure est disponible avec une licence P2 et vous pouvez vous connecter en tant qu’administrateur global.
- Une appliance NetScaler a été installée et sous licence. Il dispose également d’un serveur virtuel NetScaler Gateway configuré pour fournir un accès à un environnement Citrix Virtual Apps and Desktops local. Utilisez la version 13 build 60 ou supérieure.
- Un Delivery Controller, StoreFront et VDA sont installés et configurés pour fournir des applications virtuelles ou des postes de travail pour les utilisateurs de domaine. Utilisez la version 2006 ou supérieure.
- Une machine virtuelle est disponible ou un autre serveur dispose d’une capacité suffisante pour installer FAS. Le DDC, FAS et StoreFront sont tous installés sur le même serveur dans ce PDC.
- Le client distant peut lancer une application virtuelle ou un bureau à l’aide de l’application Workspace ou du navigateur. Utilisez Windows Version 20.6.0.38 (2006) ou supérieure.
Config AD et AAD
Pour configurer Active Directory (AD) et Azure Active Directory (AAD), procédez comme suit :
AD
Suffixe User PrincipalName (UPN) alternatif
- Connectez-vous à votre contrôleur de domaine AD.
- Ouvrez Gestionnaire de serveur > Outils > Domaines et approbations Active Directory
- Cliquez avec le bouton droit de la souris, sélectionnez Propriétés et saisissez le suffixe UPN pour les utilisateurs correspondant à l’un de vos domaines AAD.
Utilisateurs AD
- Sur votre contrôleur de domaine AD, ouvrez Gestionnaire de serveur > Outils > Utilisateurs et ordinateurs Active Directory.
- Cliquez avec le bouton droit de la souris et sélectionnez Nouveau > Utilisateurou modifiez un existant
- Sous Propriétés > Compte, définissez l’UPN sur le nouveau suffixe.
Connexion Microsoft Azure Active Directory
Azure AD Connect est un outil permettant de connecter l’infrastructure d’identité locale à Microsoft Azure AD. Il nous permet de copier les utilisateurs AD vers AAD avec un UPN (UPN) mappé à notre domaine AAD.
- Connectez-vous à votre contrôleur de domaine AD ou à un autre serveur virtuel sur lequel vous hébergez le processus Microsoft Azure Active Directory Connect.
- Téléchargez l’exécutable depuis le site de téléchargement Microsoft Microsoft Azure Active Directory Connect et lancez-le.
- Vous êtes invité à accepter d’apporter des modifications à la machine virtuelle et à accepter un contrat de licence sur la page d’accueil.
- Vous êtes invité à vous connecter en tant qu’administrateur AAD global et en tant qu’administrateur des services de domaine.
- Pour l’installation sur une seule machine virtuelle AD, vous pouvez suivre les paramètres express. Après avoir vérifié les suffixes UPN, il effectue une synchronisation complète de tous les utilisateurs, groupes et contacts.
Pour plus d’informations, consultez la section Utilisation des paramètres express d’Azure AD Connect .
Autorité de certification
Pour ce PDC, nous supposons que vous disposez d’une autorité de certification, y compris l’inscription Web, installée sur un contrôleur de domaine AD. Si vous n’accédez pas à Gestionnaire de serveur > Ajouter des rôles et des fonctionnalités et suivez les invites pour installer les services de certificats Active Directory. Voir Installation de l’autorité de certification Microsoft pour plus d’informations.
- Prochain lancement MMC
- Sélectionnez Ajouter/Supprimer un composant logiciel enfichable > Certificats > Compte d’ordinateur > OK
- Cliquez avec le bouton droit sur Personnel > Toutes les tâches > Demander un
- Cliquez sur Suivant et sélectionnez Stratégie d’inscription Active Directory.
- Sélectionnez Authentification du contrôleur de domaine et cliquez sur Enroll
Azure Active Directory
- Connectez-vous au portail Azure en tant qu’administrateur global
- Accédez à Azure Active Directory > Applications d’entreprise
- Sélectionnez Nouvelle application
- Sélectionnez une application hors galerie
- Entrez un nom unique et sélectionnez Ajouter
- Sélectionnez Single Sign-on > SAML et sélectionnez l’icône de crayon pour modifier la configuration SAML de base
- Entrez le nom de domaine complet du serveur virtuel NetScaler Gateway dans le champ Identifiant.
- Entrez le nom de domaine complet avec l’URI /cgi/samlauth ajouté dans le champ URL de réponse
- Cliquer sur Save
- Capturez les informations suivantes à saisir dans la configuration SAML de NetScaler :
- Sous Certificat de signature SAML - télécharger Certificat (base64)
- Sous Configuration Citrix FAS - URL de connexion et de déconnexion
- Sélectionnez Utilisateurs et groupes > Ajouter un utilisateur et sélectionnez les utilisateurs existants ou les groupes qui ont accès à Citrix Virtual Apps and Desktops à l’aide de leur AAD UPN
Configuration NetScaler
Pour configurer NetScaler, procédez comme suit :
- Connectez-vous à l’interface utilisateur de NetScaler
- Accédez à Gestion du trafic > SSL> Certificats > Tous les certificats pour vérifier que votre certificat de domaine est installé. Dans cet exemple POC, nous avons utilisé un certificat générique correspondant à notre domaine Active Directory. Consultez la section Certificats SSL NetScaler pour plus d’informations.
- Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels et sélectionnez Ajouter
- Entrez les champs suivants et cliquez sur OK :
- Nom - une valeur unique
- Type d’adresse IP - Non adressable
- Sélectionnez Aucun certificat de serveur, sélectionnez le certificat de domaine, cliquez sur Sélectionner, Lier et Continuer.
- Sélectionnez Aucune stratégie d’authentification, puis Ajouter
- Entrez un nom, définissez Type d’action sur SAML, puis sélectionnez Ajouter une action
- Entrez les champs suivants et cliquez sur OK :
- Nom - une valeur unique
- Désélectionner Importer des métadonnées
- URL de redirection - Coller l’URL de connexion copiée à partir de la configuration AAD
- URL de déconnexion unique : collez l’URL de déconnexion copiée à partir de la configuration AAD
- Liaison de déconnexion - Redirection
- Nom du certificat IdP - sélectionnez Ajouter, entrez un nom, sélectionnez Nom du fichier de certificat > local, puis sélectionnez le certificat de signature SAML (base64) téléchargé depuis AAD
- Signing Certificate Name : sélectionnez le certificat de domaine utilisé par ADC pour signer des demandes à AAD.
- Nom du problème : entrez le nom de domaine complet de NetScaler Gateway
- Sélectionnez créer pour créer l’action
- Entrez true pour l’expression
- Sélectionnez à nouveau créer pour créer la stratégie Stratégie
- Sélectionnez bind pour lier la stratégie au serveur virtuel
- Cliquez sur Continuer pour terminer la configuration du serveur virtuel d’authentification
- Accédez ensuite à NetScaler Gateway > Serveurs virtuels, puis modifiez le serveur virtuel approprié
- Si vous disposez d’une stratégie de base liée sous Authentification de base, sélectionnez-la, vérifiez la stratégie et sélectionnez Délier, confirmer et fermer.
- Dans le menu de droite, sélectionnez Profil d’authentification, puis Ajouter. Entrez un nom, puis cliquez sur la flèche droite sous Authentication Virtual Server. Vérifiez la stratégie Authentification serveur virtuel, puis cliquez sur créer.
- Cliquez sur OK pour terminer la liaison du serveur virtuel NetScaler AAA au serveur virtuel Gateway.
- Accédez à NetScaler Gateway > Stratégies > Session, sélectionnez la stratégie de l’application Workspace avec l’expression « Citrix Receiver », puis apportez les modifications suivantes :
- Sous Applications publiées effacez le champ Single Sign-on Domaine et désactivez Global Remplacer
- Sous Expérience client dans la liste déroulante Index des informations d’identification, sélectionnez Secondaire
- Répétez ces étapes pour la stratégie de Workspace pour le Web avec l’expression « Citrix Receiver » (.NOT). Stratégies de session Gateway
Consultez NetScaler pour plus d’informations.
Config Citrix Virtual Apps and Desktops
Pour intégrer les composants Citrix Virtual Apps and Desktops avec FAS, effectuez les opérations suivantes :
StoreFront
Activer FAS sur StoreFront
- Ouvrez PowerShell en tant qu’administrateur et exécutez :
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath $auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
Pour plus d’informations, consultez la section Activer le plug-in FAS sur les magasins StoreFront .
Configurer StoreFront pour NetScaler Gateway
- Connectez-vous à la machine virtuelle StoreFront (qui héberge également FAS, et le DDC dans notre POC) et lancez l’interface graphique StoreFront
- Sélectionnez Gérer les méthodes d’authentification dans le menu de droite
- Sélectionnez Pass-through depuis NetScaler Gateway
- Sélectionnez la flèche vers le bas en regard de l’engrenage, puis sélectionnez Configurer l’authentification déléguée
- Sélectionnez Gérer Citrix Gateways dans le menu de droite
- Modifiez l’entrée NetScaler Gateway pertinente
- Sous Paramètres d’authentification, l’URL de rappel doit être configurée si ce n’est pas déjà fait. En règle générale, vous pouvez mettre à jour le DNS interne ou, pour une seule instance de StoreFront, mettre à jour le fichier hôte local afin de mapper l’adresse IP privée du serveur virtuel de passerelle au nom de domaine complet (FQDN)
Delivery Controller
Ensuite, configurez Desktops Delivery Controller pour qu’il fasse confiance aux serveurs StoreFront pouvant s’y connecter.
- Ouvrez PowerShell en tant qu’administrateur et exécutez
-
Add-PSSnapin Citrix*
(à condition que tous les composants logiciels enfichables Citrix ne soient pas chargés) Reportez-vous à la section Installer et configurer FAS pour plus d’informations Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
-
Voir Configurer le Delivery Controller pour plus d’informations.
Config du service d’authentification fédérée Citrix
Pour configurer FAS, effectuez les opérations suivantes :
- Charger l’image ISO Citrix Virtual Apps and Desktops sur la machine virtuelle FAS
- Sélectionnez FAS pour commencer l’installation
- Lisez le contrat de licence Citrix et cliquez sur Suivant
- Sélectionnez le répertoire d’installation et cliquez sur Suivant
- Mettez à jour le pare-feu hôte pour autoriser le port 80 et cliquez sur Next
- Cliquez sur Terminer
- Vérifiez les paramètres que vous avez définis et cliquez sur Installer
- Après avoir réussi l’installation, cliquez à nouveau sur Terminer. ![FAS Terminé]
- Sous « C:\Program Files\Citrix\Federated Authentication Service », partagez le contenu du répertoire PolicyDefinions et le sous-répertoire « en-us »
- Sous “C:\Program Files\Citrix\Federated Authentication Service”, collez les sur le contrôleur de domaine à C:\Windows\PolicyDefinions, et.. \en-US respectivement.
Les fichiers incluent :
- PolicyDefinitions\CitrixBase.admx
- PolicyDefinitions\CitrixFederatedAuthenticationService.admx
- PolicyDefinitions\en-US\CitrixBase.adml
- PolicyDefinitions\CitrixFederatedAuthenticationService.adml
- Ouvrir Gestionnaire de serveur > Outils > Gestion des stratégies de groupe
- a. Cliquez avec le bouton droit de la souris pour créer un objet de stratégie de groupe existant ou modifier un objet de stratégie de groupe existant qui s’applique à tous les VDA et Delivery Controller pertinents. (Nous utilisons la stratégie Contrôleurs de domaine par défaut pour le POC. Pour la production, vous devez généralement créer une nouvelle stratégie ou modifier une autre stratégie pertinente.)
* b. Accédez à Configuration ordinateur > Stratégies > Modèles d’administration > Composants Citrix > Authentification
* c. Cliquez avec le bouton droit sur Federated Authentication Service
* d. Sélectionnez éditer
* e. Sélectionnez Afficher DNS
* f. Entrez le nom de domaine complet du serveur FAS, cliquez deux fois sur OK et fermez l’éditeur de gestion des stratégies de groupe
* g. Accédez à chaque Delivery Controller et VDA), ouvrez une invite MS-DOS en tant qu’administrateur et exécutez la
gpupdate /force
* h. Pour vérifier qu’il a été appliqué, ouvrez regedit.exe et accédez à : /Computer\HKLM\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\Addresses Address1 entrée définie au nom de domaine complet appliqué via l’objet de stratégie de groupe. S’il n’apparaît pas, vous devrez peut-être redémarrer la machine virtuelle correspondante. * i. Revenez ensuite à la machine virtuelle FAS pour commencer l’installation du service. (Nous hébergeons FAS, StoreFront et le DDC sur la même machine virtuelle pour le PDC. Pour la production, vous les hébergerez généralement sur différentes machines virtuelles pour améliorer l’évolutivité et la prise en charge.) * j. Exécutez le programme Citrix Federated Authentication Service. Sélectionnez chacune des cinq étapes dans l’ordre et suivez les instructions :* i. Déployer des modèles de certificat * ii. Mise en place d’une autorité de certification * iii. Autoriser ce service - pour cette étape, revenez à l’autorité de certification pour émettre une demande en attente. L’autorité de certification est hébergée sur le contrôleur de domaine dans cet exemple de PDC. * iv. Créer une règle - spécifiez ici l’autorité de certification et le certificat déjà configuré. Filtrez également les VDA et les utilisateurs autorisés à utiliser le service FAS. * v. (Se connecter à Citrix Cloud - dans ce guide, nous utilisons Citrix Virtual Apps and Desktops locaux)
- a. Cliquez avec le bouton droit de la souris pour créer un objet de stratégie de groupe existant ou modifier un objet de stratégie de groupe existant qui s’applique à tous les VDA et Delivery Controller pertinents. (Nous utilisons la stratégie Contrôleurs de domaine par défaut pour le POC. Pour la production, vous devez généralement créer une nouvelle stratégie ou modifier une autre stratégie pertinente.)
* b. Accédez à Configuration ordinateur > Stratégies > Modèles d’administration > Composants Citrix > Authentification
* c. Cliquez avec le bouton droit sur Federated Authentication Service
* d. Sélectionnez éditer
* e. Sélectionnez Afficher DNS
* f. Entrez le nom de domaine complet du serveur FAS, cliquez deux fois sur OK et fermez l’éditeur de gestion des stratégies de groupe
* g. Accédez à chaque Delivery Controller et VDA), ouvrez une invite MS-DOS en tant qu’administrateur et exécutez la
Consultez la documentation FAS pour plus d’informations.
Validation du client Citrix Workspace
Pour valider le PDC, effectuez les opérations suivantes :
Workspace pour Web
- Ouvrez un navigateur et accédez au nom de domaine complet du domaine géré par NetScaler. Notez que NetScaler Gateway redirige vers AAD.
- Vérifiez que les utilisateurs, les applications virtuelles et les bureaux sont énumérés, et lancez-les une fois connecté avec l’UPN via l’objet utilisateur AAD
Résumé
Citrix Virtual Apps and Desktops est une technologie résiliente depuis des décennies. Cloud Hosted Identity offre aux entreprises un service encore plus fiable. La mise en œuvre du POC décrit dans ce guide montre comment y parvenir en intégrant AAD en tant qu’IdP et NetScaler en tant que fournisseur de services. Pour en savoir plus sur la tarification et l’emballage Citrix, visitez le site Web de Citrix Citrix.com, et pour en savoir plus sur les fonctionnalités techniques de Citrix, rendez-vous sur Citrix TechZone.