Integración de Azure AD

Introducción

Este documento describe cómo integrar un entorno Citrix® con la función de Azure AD de Windows 10. Windows 10 introdujo Azure AD, que es un nuevo modelo de unión a dominio donde los equipos portátiles itinerantes pueden unirse a un dominio corporativo a través de Internet con fines de administración e inicio de sesión único.

La implementación de ejemplo de este documento describe un sistema donde TI proporciona a los nuevos usuarios una dirección de correo electrónico corporativa y un código de inscripción para sus equipos portátiles personales con Windows 10. Los usuarios acceden a este código a través de la opción Sistema > Acerca de > Unirse a Azure AD en el panel de Configuración.

Una vez inscrito el equipo portátil, el navegador web Microsoft Edge inicia sesión automáticamente en los sitios web de la empresa y en las aplicaciones publicadas de Citrix a través de la página web de aplicaciones SaaS de Azure, con otras aplicaciones de Azure como Office 365.

Arquitectura

Esta arquitectura replica una red corporativa tradicional completamente dentro de Azure, integrándose con tecnologías de nube modernas como Azure AD y Office 365. Todos los usuarios finales se consideran trabajadores remotos, sin el concepto de estar en una intranet de oficina.

El modelo se puede aplicar a empresas con sistemas locales existentes, porque la sincronización de Azure AD Connect puede establecer un puente con Azure a través de Internet.

Las conexiones seguras y el inicio de sesión único, que tradicionalmente habrían sido una LAN con firewall y autenticación Kerberos/NTLM, se reemplazan en esta arquitectura por conexiones TLS a Azure y SAML. Los nuevos servicios se crean como aplicaciones de Azure unidas a Azure AD. Las aplicaciones existentes que requieren Active Directory (como una base de datos de SQL Server) se pueden ejecutar usando una VM de servidor de Active Directory estándar en la parte IAAS del servicio en la nube de Azure.

Cuando un usuario inicia una aplicación tradicional, se accede a ellas mediante aplicaciones publicadas de Citrix Virtual Apps and Desktops™. Los diferentes tipos de aplicaciones se recopilan a través de la página Aplicaciones de Azure del usuario, utilizando las funciones de inicio de sesión único de Microsoft Edge. Microsoft también proporciona aplicaciones para Android e iOS que pueden enumerar e iniciar aplicaciones de Azure.

• Crear una zona DNS

• Azure AD requiere que el administrador haya registrado una dirección DNS pública y controle la zona de delegación para el sufijo del nombre de dominio. Para ello, el administrador puede usar la función de zona DNS de Azure.

• Este ejemplo usa el nombre de zona DNS citrixsamldemo.net.

• La consola muestra los nombres de los servidores de nombres DNS de Azure. Estos deben referenciarse en las entradas NS del registrador DNS para la zona (por ejemplo, citrixsamldemo.net. NS n1-01.azure-dns.com)

Al agregar referencias a máquinas virtuales que se ejecutan en Azure, lo más fácil es usar un puntero CNAME al registro DNS administrado por Azure para la máquina virtual. Si la dirección IP de la máquina virtual cambia, no necesitarás actualizar manualmente el archivo de zona DNS.

• Los sufijos de dirección DNS internos y externos coincidirán para esta implementación. El dominio es citrixsamldemo.net y usa un DNS dividido (10.0.0.* internamente).

• Agrega una entrada “fs.citrixsamldemo.net” que haga referencia al servidor proxy de aplicación web. Este es el servicio de federación para esta zona.

Crear un servicio en la nube

Este ejemplo configura un entorno Citrix, incluido un entorno de AD con un servidor ADFS ejecutándose en Azure. Se crea un servicio en la nube, llamado “citrixsamldemo”.

Crear máquinas virtuales Windows

Crea cinco máquinas virtuales Windows ejecutándose en el servicio en la nube:

• Controlador de dominio (domaincontrol)
• Servidor ADFS de Azure Connect (adfs)
• Proxy de acceso web de ADFS (proxy de aplicación web, no unido a dominio)
• Citrix Virtual Apps and Desktops Delivery Controller
• Citrix Virtual Apps and Desktops Virtual Delivery Agent (VDA)

Controlador de dominio

• Agrega los roles de Servidor DNS y Servicios de dominio de Active Directory para crear una implementación estándar de Active Directory (en este ejemplo, citrixsamldemo.net). Una vez completada la promoción del dominio, agrega el rol de Servicios de certificación de Active Directory.
• Crea una cuenta de usuario normal para pruebas (por ejemplo, George@citrixsamldemo.net).
• Dado que este servidor ejecutará DNS interno, todos los servidores deben referirse a este servidor para la resolución de DNS. Esto se puede hacer a través de la página de Configuración de DNS de Azure. (Para obtener más información, consulta el Apéndice de este documento.)

Controlador ADFS y servidor proxy de aplicación web

• Une el servidor ADFS al dominio citrixsamldemo. El servidor proxy de aplicación web debe permanecer en un grupo de trabajo aislado, así que registra manualmente una dirección DNS con el DNS de AD.

  • Ejecuta el cmdlet Enable-PSRemoting –Force en estos servidores, para permitir el acceso remoto de PS a través de firewalls desde la herramienta AzureAD Connect.

Citrix Virtual Desktops™ Delivery Controller y VDA

-  Instala Citrix Virtual Apps o Citrix Virtual Desktops Delivery Controller™ y VDA en los dos servidores Windows restantes unidos a citrixsamldemo.

Configurar un DNS interno

Una vez instalado el controlador de dominio, configura el servidor DNS para que gestione la vista interna de citrixsamldemo.net, y actúe como reenviador a un servidor DNS externo (por ejemplo: 8.8.8.8).

Agrega un registro estático para:

-  wap.citrixsamldemo.net [la VM del proxy de aplicación web no se unirá al dominio]

• fs.citrixsamldemo.net [dirección interna del servidor de federación]
• enterpriseregistration.citrixsaml.net [igual que fs.citrixsamldemo.net]

Todas las máquinas virtuales que se ejecutan en Azure deben configurarse para usar solo este servidor DNS. Puedes hacerlo a través de la GUI de la interfaz de red.

De forma predeterminada, la dirección IP interna (10.0.0.9) se asigna dinámicamente. Puedes usar la configuración de direcciones IP para asignar la dirección IP de forma permanente. Esto debe hacerse para el servidor proxy de aplicación web y el controlador de dominio.

Configurar una dirección DNS externa

Cuando una máquina virtual está en ejecución, Azure mantiene su propio servidor de zona DNS que apunta a la dirección IP pública actual asignada a la máquina virtual. Esta es una característica útil para habilitar porque Azure asigna direcciones IP cuando cada máquina virtual se inicia, de forma predeterminada.

Este ejemplo asigna una dirección DNS de domaincontrol-citrixsamldemo.westeurope.cloudapp.azure.com al controlador de dominio.

Ten en cuenta que, cuando la configuración remota esté completa, solo las máquinas virtuales de Web Application Proxy y Citrix Gateway deben tener direcciones IP públicas habilitadas. (Durante la configuración, la dirección IP pública se usa para el acceso RDP al entorno).

Configurar grupos de seguridad

La nube de Azure administra las reglas del firewall para el acceso TCP/UDP a las máquinas virtuales desde Internet mediante grupos de seguridad. De forma predeterminada, todas las máquinas virtuales permiten el acceso RDP. Los servidores Citrix Gateway y Web Application Proxy también deben permitir TLS en el puerto 443.

Crear un certificado ADFS

Habilita la plantilla de certificado de servidor web en la autoridad de certificación de Microsoft. Esto permite la creación de un certificado con direcciones DNS personalizadas que se pueden exportar (incluida la clave privada) a un archivo pfx. Debes instalar este certificado tanto en los servidores ADFS como en los de Web Application Proxy, por lo que el archivo PFX es la opción preferida.

Emite un certificado de servidor web con los siguientes nombres de asunto:

• Nombre común:
  • adfs.citrixsamldemo.net [nombre del equipo]
• Nombre alternativo del asunto:
  • *.citrixsamldemo.net [nombre de la zona]
  • fs.citrixsamldemo.net [entrada en DNS]
  • enterpriseregistration.citrixsamldemo.net

Exporta el certificado a un archivo pfx, incluida una clave privada protegida con contraseña.

Configurar Azure AD

Esta sección detalla el proceso de configurar una nueva instancia de Azure AD y crear identidades de usuario que se pueden usar para unir Windows 10 a Azure AD.

Crear un nuevo directorio

Inicia sesión en el portal clásico de Azure y crea un nuevo directorio.

Cuando se complete, aparece una página de resumen.

Crear un usuario administrador global (AzureAdmin)

Crea un administrador global en Azure (en este ejemplo, AzureAdmin@citrixsamldemo.onmicrosoft.com) e inicia sesión con la nueva cuenta para configurar una contraseña.

Registrar tu dominio con Azure AD

De forma predeterminada, los usuarios se identifican con una dirección de correo electrónico con el formato: <user.name>@<company>.onmicrosoft.com.

Aunque esto funciona sin configuración adicional, es mejor una dirección de correo electrónico de formato estándar, preferiblemente una que coincida con la cuenta de correo electrónico del usuario final: <user.name>@<company>.com.

La acción Agregar dominio configura una redirección desde tu dominio de empresa real. El ejemplo usa citrixsamldemo.net.

Si estás configurando ADFS para el inicio de sesión único, habilita la casilla de verificación.

Instalar Azure AD Connect

El paso 2 de la GUI de configuración de Azure AD redirige a la página de descarga de Microsoft para Azure AD Connect. Instálalo en la máquina virtual de ADFS. Usa la instalación personalizada, en lugar de la configuración rápida, para que las opciones de ADFS estén disponibles.

Selecciona la opción de inicio de sesión único de Federación con AD FS.

Conéctate a Azure con la cuenta de administrador que creaste anteriormente.

Selecciona el bosque de AD interno.

Sincroniza todos los objetos heredados de Active Directory con Azure AD.

Si la estructura del directorio es sencilla, puedes confiar en que los nombres de usuario sean lo suficientemente únicos para identificar a un usuario que inicia sesión.

Acepta las opciones de filtrado predeterminadas o restringe los usuarios y dispositivos a un conjunto de grupos específico.

Si lo deseas, puedes sincronizar las contraseñas de Azure AD con Active Directory. Esto no suele ser necesario para la autenticación basada en ADFS.

Selecciona el archivo PFX del certificado para usar en AD FS, especificando fs.citrixsamldemo.net como nombre DNS.

Cuando se te pida que selecciones un servidor proxy, introduce la dirección del servidor wap.citrixsamldemo.net. Es posible que debas ejecutar el cmdlet Enable-PSRemoting –Force como administrador en el servidor proxy de aplicación web para que Azure AD Connect pueda configurarlo.

Nota:

Si este paso falla debido a problemas de confianza de Remote PowerShell, intenta unir el servidor proxy de aplicación web al dominio.

Para los pasos restantes del asistente, usa las contraseñas de administrador estándar y crea una cuenta de servicio para ADFS. Azure AD Connect te pedirá entonces que valides la propiedad de la zona DNS.

Agrega los registros TXT y MX a los registros de dirección DNS en Azure.

Haz clic en Verificar en la Consola de administración de Azure.

Nota:

Si este paso falla, puedes verificar el dominio antes de ejecutar Azure AD Connect.

Cuando se complete, se contacta la dirección externa fs.citrixsamldemo.net a través del puerto 443.

Habilitar la unión a Azure AD

Cuando un usuario introduce una dirección de correo electrónico para que Windows 10 pueda realizar la unión a Azure AD, se utiliza el sufijo DNS para construir un registro DNS CNAME que debe apuntar a ADFS: enterpriseregistration.<upnsuffix>.

En el ejemplo, esto es fs.citrixsamldemo.net.

Si no estás usando una autoridad de certificación pública, asegúrate de que el certificado raíz de ADFS esté instalado en el equipo con Windows 10 para que Windows confíe en el servidor ADFS. Realiza una unión de dominio de Azure AD usando la cuenta de usuario estándar generada anteriormente.

Ten en cuenta que el UPN debe coincidir con el UPN reconocido por el controlador de dominio de ADFS.

Verifica que la unión a Azure AD se realizó correctamente reiniciando la máquina e iniciando sesión, usando la dirección de correo electrónico del usuario. Una vez que hayas iniciado sesión, inicia Microsoft Edge y conéctate a http://myapps.microsoft.com. El sitio web debería usar el inicio de sesión único automáticamente.

Instalar Citrix Virtual Apps o Citrix Virtual Desktops

Puedes instalar las máquinas virtuales de Delivery Controller y VDA en Azure directamente desde la ISO de Citrix Virtual Apps o Citrix Virtual Desktops de la forma habitual.

En este ejemplo, StoreFront está instalado en el mismo servidor que el Delivery Controller. El VDA está instalado como un trabajador RDS de Windows 2012 R2 independiente, sin integrarse con Machine Creation Services (aunque esto se puede configurar opcionalmente). Comprueba que el usuario George@citrixsamldemo.net puede autenticarse con una contraseña antes de continuar.

Ejecuta el cmdlet de PowerShell Set-BrokerSite –TrustRequestsSentToTheXmlServicePort $true en el Controller para permitir que StoreFront™ se autentique sin las credenciales de los usuarios.

Instalar el servicio de autenticación federada

Instala FAS en el servidor ADFS y configura una regla para que el Delivery Controller actúe como un StoreFront de confianza (ya que, en este ejemplo, StoreFront está instalado en la misma VM que el Delivery Controller). Consulta Instalar y configurar.

Configurar StoreFront

Solicita un certificado de equipo para el Delivery Controller y configura IIS y StoreFront para usar HTTPS estableciendo un enlace IIS para el puerto 443 y cambiando la dirección base de StoreFront a https:.

Configura StoreFront para usar el servidor FAS (usa el script de PowerShell en Instalar y configurar) y prueba internamente en Azure, asegurándote de que el inicio de sesión usa FAS comprobando el visor de eventos en el servidor FAS.

Configurar StoreFront para usar Citrix Gateway

Usa la interfaz gráfica de usuario de Administrar métodos de autenticación en la consola de administración de StoreFront para configurar StoreFront y que use Citrix Gateway para realizar la autenticación.

Para integrar las opciones de autenticación de Citrix Gateway, configura una Autoridad de tickets seguros (STA) y la dirección de Citrix Gateway.

Configurar una nueva aplicación de Azure AD para el inicio de sesión único en StoreFront

Esta sección usa las funciones de inicio de sesión único de SAML 2.0 de Azure AD, que actualmente requieren una suscripción a Azure Active Directory Premium. En la herramienta de administración de Azure AD, selecciona Nueva aplicación y, a continuación, Agregar una aplicación de la galería.

Selecciona PERSONALIZADO > Agregar una aplicación no incluida en la lista que usa mi organización para crear una nueva aplicación personalizada para tus usuarios.

Configurar un icono

Crea una imagen de 215 por 215 píxeles y súbela a la página CONFIGURAR para usarla como icono de la aplicación.

Configurar la autenticación SAML

Vuelve a la página de información general del panel de la aplicación y selecciona Configurar el inicio de sesión único.

Esta implementación usará la autenticación SAML 2.0, que corresponde a Inicio de sesión único de Microsoft Azure AD.

El Identificador puede ser una cadena arbitraria (debe coincidir con la configuración proporcionada a Citrix Gateway); en este ejemplo, la URL de respuesta es /cgi/samlauth en el servidor de Citrix Gateway.

La página siguiente contiene información que se usa para configurar Citrix Gateway como parte de confianza para Azure AD.

Descarga el certificado de firma de confianza base 64 y copia las URL de inicio y cierre de sesión. Las pegarás en las pantallas de configuración de Citrix Gateway más adelante.

Asignar la aplicación a los usuarios

El último paso es habilitar la aplicación para que aparezca en la página de control “myapps.microsoft.com” de los usuarios. Esto se hace en la página USUARIOS Y GRUPOS. Asigna acceso a las cuentas de usuario de dominio sincronizadas por Azure AD Connect. También se pueden usar otras cuentas, pero deben asignarse explícitamente porque no se ajustan al patrón <usuario>@<dominio>.

Página de MyApps

Cuando la aplicación se ha configurado, aparece en las listas de aplicaciones de Azure de los usuarios cuando visitan https://myapps.microsoft.com.

Cuando está unido a Azure AD, Windows 10 admite el inicio de sesión único en las aplicaciones de Azure para el usuario que inicia sesión. Al hacer clic en el icono, el explorador te lleva a la página web SAML cgi/samlauth que se configuró anteriormente.

URL de inicio de sesión único

Vuelve a la aplicación en el panel de Azure AD. Ahora hay una URL de inicio de sesión único disponible para la aplicación. Esta URL se usa para proporcionar enlaces de explorador web o para crear accesos directos en el menú Inicio que llevan a los usuarios directamente a StoreFront.

Pega esta URL en un explorador web para asegurarte de que Azure AD te redirige a la página web cgi/samlauth de Citrix Gateway configurada anteriormente. Esto funciona solo para los usuarios a los que se les ha asignado, y proporcionará inicio de sesión único solo para las sesiones de inicio de sesión de Windows 10 unidas a Azure AD. (A los demás usuarios se les pedirán credenciales de Azure AD).

Instalar y configurar Citrix Gateway

Para acceder de forma remota a la implementación, este ejemplo usa una máquina virtual independiente que ejecuta NetScaler (ahora Citrix Gateway). Esto se puede comprar en Azure Store. Este ejemplo usa la versión “Trae tu propia licencia” de NetScaler 11.0.

Inicia sesión en la máquina virtual de NetScaler®, apuntando un explorador web a la dirección IP interna, usando las credenciales especificadas cuando el usuario se autenticó. Ten en cuenta que debes cambiar la contraseña del usuario nsroot en una máquina virtual de Azure AD.

Agrega licencias, selecciona reiniciar después de agregar cada archivo de licencia y apunta el resolvedor DNS al controlador de dominio de Microsoft.

Ejecutar el asistente de configuración de Citrix Virtual Apps and Desktops

Este ejemplo comienza configurando una integración simple de StoreFront sin SAML. Una vez que esa implementación funciona, agrega una directiva de inicio de sesión SAML.

Selecciona la configuración estándar de Citrix Gateway StoreFront. Para usarlo en Microsoft Azure, este ejemplo configura el puerto 4433, en lugar del puerto 443. Alternativamente, puedes reenviar puertos o reasignar el sitio web administrativo de Citrix Gateway.

Para simplificar, el ejemplo carga un certificado de servidor y una clave privada existentes almacenados en un archivo.

Configura el controlador de dominio para la administración de cuentas de AD

El controlador de dominio se usará para la resolución de cuentas, así que agrega su dirección IP al método de autenticación principal. Ten en cuenta los formatos esperados en cada campo del cuadro de diálogo.

Configura la dirección de StoreFront

En este ejemplo, StoreFront se ha configurado usando HTTPS, así que selecciona las opciones del protocolo SSL.

Verifica la implementación de Citrix Gateway

Conéctate a Citrix Gateway y comprueba que la autenticación y el inicio son correctos con el nombre de usuario y la contraseña.

Habilita la compatibilidad con la autenticación SAML de Citrix Gateway

Usar SAML con StoreFront es similar a usar SAML con otros sitios web. Agrega una nueva política SAML, con una expresión de NS_TRUE.

Configura el nuevo servidor IdP SAML, usando la información obtenida de Azure AD anteriormente.

Verifica el sistema de extremo a extremo

Inicia sesión en un escritorio de Windows 10 unido a Azure AD, usando una cuenta registrada en Azure AD. Inicia Microsoft Edge y conéctate a: https://myapps.microsoft.com.

El navegador web debería mostrar las aplicaciones de Azure AD para el usuario.

Verifica que al hacer clic en el icono te redirige a un servidor StoreFront autenticado.

De manera similar, verifica que las conexiones directas usando la URL de inicio de sesión único y una conexión directa al sitio de Citrix Gateway te redirigen a Microsoft Azure y de vuelta.

Finalmente, verifica que las máquinas no unidas a Azure AD también funcionan con las mismas URL (aunque habrá un inicio de sesión explícito único en Azure AD para la primera conexión).

Apéndice

Debes configurar las siguientes opciones estándar cuando configures una máquina virtual en Azure.

Proporciona una dirección IP pública y una dirección DNS

Azure asigna a todas las máquinas virtuales una dirección IP en la subred interna (10.*.*.* en este ejemplo). Por defecto, también se proporciona una dirección IP pública, que puede ser referenciada por una etiqueta DNS actualizada dinámicamente.

Selecciona Configuración de la etiqueta de dirección IP pública/nombre DNS. Elige una dirección DNS pública para la máquina virtual. Esto se puede usar para referencias CNAME en otros archivos de zona DNS, asegurando que todos los registros DNS sigan apuntando correctamente a la máquina virtual, incluso si la dirección IP se reasigna.

Configura las reglas del firewall (grupo de seguridad)

Cada máquina virtual en la nube tiene un conjunto de reglas de firewall aplicadas automáticamente, conocido como grupo de seguridad. El grupo de seguridad controla el tráfico reenviado de la dirección IP pública a la privada. Por defecto, Azure permite que RDP se reenvíe a todas las máquinas virtuales. Los servidores Citrix Gateway y ADFS también deben reenviar tráfico TLS (443).

Abre Interfaces de red para una máquina virtual y luego haz clic en la etiqueta Grupo de seguridad de red. Configura las Reglas de seguridad de entrada para permitir el tráfico de red adecuado.

Información relacionada

• Instalar y configurar es la referencia principal para la instalación y configuración de FAS.
• Las implementaciones comunes de FAS se resumen en el artículo Arquitecturas de implementación.
• Los artículos “Cómo hacer” se presentan en el artículo Configuración avanzada.