OAuth-Authentifizierung

Die Authentifizierung, Autorisierung und Überwachung des Verkehrsmanagements unterstützt Die Authentifizierung von OAuth und OpenID Connect (OIDC)。Es autorisiert和authentifiziert Benutzer für Dienste, die auf Anwendungen wie谷歌，Facebook和Twitter gehostet werden。

Beachtenswerte Punkte

• Citrix ADC高级版和höher ist erforderlich, damit die Lösung funktioniert。
• Eine Citrix ADC-Appliance muss auf Version 12.1 oder höher sein, damit die Appliance mit OIDC als OAuth IdP funktioniert。
• OAuth auf einer Citrix ADC-Appliance ist für allle SAML-IdPs qualifiziert, die mit“OpenID Connect 2.0”kompatibel sind。

Eine Citrix adc -设备管理系统管理系统，设备管理系统和设备管理系统服务提供商(SP)命令标识提供商(IdP) verhält。Zuvor unterstützte eine als IdP konfigurierte Citrix ADC-Appliance nudas SAML-Protokoll。Ab der Citrix ADC 12.1版本unterstützt Citrix ADC auch das OIDC。

OIDC ist eine Erweiterung der OAuth Autorisierung/-代表团。Eine Citrix ADC-Appliance unterstützt OAuth- und OIDC-Protokolle in derselben Klasse anderer authentifizierung机械。OIDC ist in Add-On zu OAuth, da es eine Möglichkeit bietet, Benutzerinformationen vom Autorisierungsserver abzurufen, im Gegensatz zu OAuth, das nur ein Token erhält, das für Benutzerinformationen nicht abgerufen werden kann。

Der Authentifizierungsmechanismus erleichtert die内联-Überprüfung von OpenID-Token。Eine Citrix ADC-Appliance kann konfiguriert werden, um Zertifikate zu erhalten und Signaturen auf dem Token zu überprüfen。

Ein großer Vorteil der Verwendung der OAuth und oidc -机械师最好的darin, dass die Benutzerinformationen nicht die gehosteten Anwendungen gesendet werden。Daher wild das Risiko eines Identitätsdiebstahls erheblich reduziert。

Die für Authentifizierung, Autorisierung und Überwachung konfigurierte Citrix ADC-Appliance akzeeptiert jetzt eingehende Token, Die mit dem HMAC HS256-Algorithmus signiert werden。Darüber hinaus werden die öffentlichen Schlüssel des SAML身份提供程序(IdP) aus einer Datei gelesen, anstatt von einem URL-Endpunkt zu lernen。

在der Citrix adc -实现的古怪的aufaufdie Anwendung über den virtuellen认证，自动化和Überwachungsdatenverwaltungsserver zugegriffen。Um OAuth zu konfigurieren, müssen Sie also eine OAuth- richtlinie konfigurieren, die dann einem virtuellen Authentifizierungs-， Autorisierungs-和Überwachungsserver für das Verkehrsmanagement zugeordnet werden muss。

Konfigurieren Sie das OpenID连接协议

Eine Citrix adc -电器kann jetzt mithilfe des OIDC-Protokolls als Identitätsanbieter konfiguriert werden。Das OIDC-Protokoll stärkt die Funktionen zur Identitätsbereitstellung der Citrix ADC-Appliance。你können jetzt mit einer einmaligen Anmeldung auf die unternehmensweit gehostete Anwendung zugreifen。他的名字叫“OIDC bietet mehr Sicherheit”，“indem es kein Benutzerkennwort überträgt”，“sondern mit Token mit einer beestimmten Lebensdauer arbeitet”。OIDC wurde auch für die集成在nicht -浏览器-客户端wie应用程序和Dienste entwickelt。Daher verwenden viele Implementierungen OIDC in großem Umfang。

Vorteile der Unterstützung von OpenID连接

• OIDC eliminiert den aufw für die Pflege mehrerer Authentifizierungskennwörter, da der Benutzer über eine einzige Identität im gesamten Unternehmen verfügt。
• OIDC bietet eine robuste Sicherheit für Ihr Kennwort, da das Kennwort nur Ihrem Identitätsanbieter und nicht mit einer Anwendung, auf die Sie zugreifen, geteilt狂野。
• OIDC verfügt über eine enorme Interoperabilität mit verschiedensystemen, was es den gehosteten Anwendungen erleichtert, OpenID zu akzeptieren。
• OIDC ist in einfaches Protokoll, das es native Clients ermöglicht，在Server zu integrgrieren中。

所以konfigurieren Sie eine Citrix dc - appliance als IdP mithilfe des OpenID Connect-Protokolls über die GUI

1. Navigieren您祖茂堂Konfiguration > Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > OAuth IdP．

2. Klicken您再见的资料和丹汪汪汪Hinzufugen。

   Legen Sie im BildschirmAuthentifizierung erstellen OAuth idp - proffilWerte für die folgenden Parameter fest und klicken Sie aufErstellen．

   • 的名字—名称des Authentifizierungsprofils。
   • 客户机id- Eindeutige Zeichenfolge, die SP identifiziert。
   • 客户的秘密- Eindeutiges Geheimnis, das SP identifiziert。
   • URL umleiten- Endpunkt für SP, an dem Code/Token gepostet werden muss。
   • 名字des Ausstellers- Zeichenfolge, die IdP identifiziert。
   • Zielgruppe- Zielempfänger für das Token, das vom IdP gesendet wild。死亡könnte vom Empfänger überprüft werden。
   • 扭曲的时间- Die Zeit, für Die das Token gültig bleibt。
   • Standardauthentifizierungsgruppe-埃涅集团，德国的Sitzung für dieses proffil hinzugefügt wurde，德国的Richtlinienbewertung祖上的，和bem Anpassen祖上的，helfen。

3. Klicken您再见Richtlinien， und klicken Sie aufHinzufugen。

4. Legen Sie im FensterRichtlinie für OAuth IDP-Authentifizierung erstellenWerte für die folgenden Parameter fest und klicken Sie aufErstellen．

   • 的名字- - - - - -Der Name Der Authentifizierungsrichtlinie。
   • Aktion-名称des zuvor erstellten profiles。
   • Protokollaktion -名称der Aktion德国人，德国人，德国人，德国人，德国人。Keine obligatorische Einreichung。
   • Aktion麻省理工学院undefiniertem Ergebnis - Aktion， die ausgeführt werden soll, wenn das Ergebnis der Richtlinienbewertung nicht bestraft ward (UNDEF)。凯文Pflichtfeld。
   • Ausdruck- Erweiterter Richtlinienausdruck, den die Richtlinie verwendet, um auf bestimmte Anfragen zu antworten。例如stimmt。
   • Kommentare-伊根德威尔，Kommentare zu den richtlinen。

绑定到OAuthIDP-Richtlinie和LDAP-Richtlinie下的den virtuellen Authentifizierungsserver

1. Navigieren您祖茂堂Konfiguration > Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > LDAP．

2. Klicken Sie im BildschirmLDAP-Aktionen汪汪汪Hinzufugen．

3. LegenSie auf dem Bildschirm创建认证ldap服务器die Werte für die folgenden参数fest und klicken Sie aufErstellen．

   • 的名字,Der名称Der LDAP-Aktion
   • Servername / ServerIP -beritstellung von FQDN oder IP des ldap -服务器
   • Wählen Sie geeignete Wertefür Sicherheitstyp，端口，服务器类型，超时
   • 斯特伦你的兄弟Authentifizierungaktiviert坚持
   • Basis-DN -base, von der aus die LDAP-Suche gestartet werden soll。Zum Beispiel dc=aaa, dc= local。
   • 管理员DN绑定:Benutzername der绑定LDAP-Server。例如admin@aaa.local。
   • Administratorkennwort/Kennwort bestätigen: Kennwort zum Binden von LDAP
   • Klicken您再见Verbindung testen我是爱因斯坦的后裔。
   • Attribut毛皮Server-Anmeldename:民意调查您“samAccountName”
   • Andere Felder sinind nicht Pflichtfelder und können daher nach Bedarf konfiguriert werden。

4. Navigieren您祖茂堂Konfiguration > Sicherheit > AAA-Anwendungsdatenverkehr > richtlinen > Authentifizierung > Erweiterte richtlinen > Richtlinie。

5. Klicken Sie auf dem BildschirmAuthentifizierungsrichtlinien汪汪汪Hinzufugen．

6. Legen你是我的真品die Werte für die folgenden参数fest und klicken Sie aufErstellen。

   • 的名字,der LDAP-Authentifizierungsrichtlinie名称。
   • Aktionstyp -民意调查您LDAP来自。
   • Aktion -Wählen Sie die LDAP-Aktion aus。
   • Ausdruck -我爱你，我爱你，我爱你，我爱你。例如stimmt * *。

所以konfigurieren Sie die Citrix ADC-Appliance als IdP mithilfe des OpenID Connect-Protokolls mithilfe von CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

• add authentication OAuthIDPProfile [-clientID ][-clientSecret][-redirectURL ][-issuer ][-audience ][-skewTime ] [-defaultAuthenticationGroup ]

• add authentication OAuthIdPPolicy -rule [-action [- underfaction ][-comment ][-logAction ]

• add authentication ldapAction aaa-ldap-act -serverIP 10.0.0.10 -ldapBase "dc=aaa,dc=local"

• ldapBindDn -ldapBindDnPassword - lddaploginname sAMAccountName

• 添加认证策略aaa-ldap-adv-pol -rule true -action aaa-ldap-act

• 绑定认证vserver auth_vs -policy -priority 100 -gotoPriorityExpression NEXT

• bind authentication vserver auth_vs -policy -priority 5 -gotoPriorityExpression END

• 绑定VPN全局-certkey <>

Hinweis

Sie können mehr als einen Schlüssel binden。Öffentliche Teile von Zertifikaten, die gebunden sind, werden als anwort auf genendetjwks \ _uri查询(https://gw/oauth/idp/certs)．