Azure AD Archive – Deyda.net

SAML Authentifizierung zwischen Citrix & Microsoft mit Azure MFA

Aktualisierung auf die neuste Cloud Navigation.

Als Folge der zunehmenden Projekte gibt es hier ein kleines How To mit den folgenden Punkten:

Azure AD Seamless Single Sign-On (PTA / PHS)
SAML Authentifizierung (Azure AD als IdP & NetScaler Gateway als SP)
Citrix Federated Authentication Service (FAS)
Microsoft Azure Multi-Factor-Authentication mit Conditional Access

Voraussetzungen

Voll funktionsfähige Citrix Virtual Apps and Desktop Umgebung (Mindestens StoreFront & DDC Version 7.9)
NetScaler (Citrix ADC) mit funktionsfähiger Basiskonfiguration & aktivierter Enterprise oder Platinum Lizenz (Minimum Version 12.1 Build 50+ für native Workspace App & für Browser Zugriff Minimum Version 11.1)
Konfigurierter Unified Gateway vServer
Interne und externe DNS Einträge für Unified Gateway vServer (z.B. citrix.deyda.net)
Zertifikate für DNS Einträge (am einfachsten sind Wildcard-Zertifikate)
Bestehender Azure Tenant mit Azure-AD Basiskonfiguration (Domain, AAD Sync) & aktivierter Azure AD Premium-Lizenz
Installierte & Konfigurierte AD Connect Version (Minimum Version 1.1.644.0)
Firewall Freigabe für *.msappproxy.net auf Port 443
Domänen Administrator Zugangsdaten für die Domänen, die sich über Azure Connect mit Azure AD verbinden
Installierte Authenticator App auf dem Test User Mobilgerät

Warum sollte ein Windows Server 2019 VDI Hybrid Azure AD joined sein

Was ist Hybrid Azure AD Join ?

Beginnen wir einfach mit der offiziellen Definition aus der Microsoft Dokumentation:

Hybrid Azure AD Join: Joined to on-premises AD and Azure AD requiring an organizational account to sign in to the device.

Dies bedeutet, dass sich das Gerät, nachdem es Hybrid Azure AD Joined wurde, genauso verhält wie jeder andere Computer, der mit Active Directory verbunden ist.

Man muss sich mit einem Active Directory-Konto anmelden.
Die Benutzeranmeldeinformationen werden mit einem Active Directory-Domänencontroller abgeglichen.
Gruppenrichtlinienobjekte für Benutzer & Computer, die vom Domänencontroller gelesen werden) werden automatisch angewendet.

Nachdem der Active Directory Verbindungsprozess abgeschlossen ist, werden zusätzliche Schritte im Hintergrund asynchron durchgeführt, um das Gerät auch in Azure AD zu registrieren.

Aktivierung von Azure AD Seamless Single Sign-On

Seit geraumer Zeit (Anfang 2017) ist es nun möglich SSO Szenarien mit Azure auch ohne ADFS Infrastruktur zu lösen. Dennoch setzt es sich erst die letzte Zeit durch, das Unternehmen nicht mehr auf ADFS pochen. Nun darf man endlich auch die alternativen Lösungen von Microsoft aufzeigen.

Die möglichen Szenarien für Seamless SSO sind:

Pass-through authentication (PTA)
Password Hash Sync (PHS)

Pass-through authentication (PTA)

Nachteile

Keine automatische Erkennung von gestohlenen Zugangsdaten
Azure AD DS benötigt aktiviertes Password Hash Sync Feature im Tenant um zu funktionieren (Nachteil bei reinen PTA ohne PHS)
Ist nicht Bestandteil der Azure AD Connect Health

Password Hash Sync (PHS)

„Nachteil„

Passwort wird in die Cloud synchronisiert (Als Hash Wert)

SAML Authentifizierung mit Azure-AD als IdP und Citrix als SP (Citrix FAS)

Seit Citrix XenApp / XenDesktop 7.9 ist der Federated Authentication Service (FAS) verfügbar. Über Citrix FAS ist es möglich einen Benutzer über SAML zu authentifizieren und somit Citrix als Service Provider, an bestehende Identity Provider, wie zum Beispiel Azure-AD, anzubinden.

Ablauf der SAML Authentifizierung

Der Benutzer ruft die FQDN (z.B. citrix.deyda.net) des Citrix Gateway vServer (Service Provider) auf, um seine VA/VD Ressourcen starten zu können
Der Citrix Gateway vServer leitet den nicht authentifizierten Benutzer direkt weiter an den Identity Provider (Azure AD) um sich dort zu authentifizieren (saml:authnRequest)
Der Identity Provider verweist auf seine SingleSignOnService URL (z.B. login.microsoftonline.com) und der User muss sich authentifizieren.
Der Benutzer gibt seine AD Zugangsdaten ein und diese werden vom Identity Provider gegenüber der User Database geprüft
Bei erfolgreicher Überprüfung in der User Database wird der IdP informiert
Der IdP stellt einen Token (SAML Assertion) aus und übermittelt diesen an das Citrix Gateway (saml:response)
Citrix Gateway prüft den Token (Assertion Signature) und extrahiert den UPN aus dem Assertion Token. Dies erlaubt den Zugriff per SSO auf die VA/VD Farm über FAS (Der SP hat keinen Zugriff auf die Zugangsdaten des Benutzers)

SAML Auth Azure AD & Citrix Gateway with FAS

Microsoft Azure MFA Cloud Service in Citrix ADC

Um meinen vorherigen Artikel zu vervollständigen, habe ich in meinem Test Lab direkt auch noch denn Microsoft Azure MFA Service aus der Cloud implementiert und getestet. In diesem Beitrag gehe ich direkt auf die ToDo’s für die Implementierung ein. Für weitere Informationen zu MFA und den Unterschieden zwischen Lokal und Cloud lest bitte meinen vorherigen Beitrag.

Wichtig ist das alle meine Angaben den Stand März 2019 haben und da es sich um die Cloud handelt, recht schnell wieder obsolet sein werden.

Microsoft Azure MFA Cloud in Citrix ADC Version 12