OAuth-Authentifizierung
Die Authentifizierung, Autorisierung und Überwachung des Verkehrsmanagements unterstützt Die Authentifizierung von OAuth und OpenID Connect (OIDC)。Es autorisiert和authentifiziert Benutzer für Dienste, die auf Anwendungen wie谷歌,Facebook和Twitter gehostet werden。
Beachtenswerte Punkte
- Citrix ADC高级版和höher ist erforderlich, damit die Lösung funktioniert。
- Eine Citrix ADC-Appliance muss auf Version 12.1 oder höher sein, damit die Appliance mit OIDC als OAuth IdP funktioniert。
- OAuth auf einer Citrix ADC-Appliance ist für allle SAML-IdPs qualifiziert, die mit“OpenID Connect 2.0”kompatibel sind。
Eine Citrix adc -设备管理系统管理系统,设备管理系统和设备管理系统服务提供商(SP)命令标识提供商(IdP) verhält。Zuvor unterstützte eine als IdP konfigurierte Citrix ADC-Appliance nudas SAML-Protokoll。Ab der Citrix ADC 12.1版本unterstützt Citrix ADC auch das OIDC。
OIDC ist eine Erweiterung der OAuth Autorisierung/-代表团。Eine Citrix ADC-Appliance unterstützt OAuth- und OIDC-Protokolle in derselben Klasse anderer authentifizierung机械。OIDC ist in Add-On zu OAuth, da es eine Möglichkeit bietet, Benutzerinformationen vom Autorisierungsserver abzurufen, im Gegensatz zu OAuth, das nur ein Token erhält, das für Benutzerinformationen nicht abgerufen werden kann。
Der Authentifizierungsmechanismus erleichtert die内联-Überprüfung von OpenID-Token。Eine Citrix ADC-Appliance kann konfiguriert werden, um Zertifikate zu erhalten und Signaturen auf dem Token zu überprüfen。
Ein großer Vorteil der Verwendung der OAuth und oidc -机械师最好的darin, dass die Benutzerinformationen nicht die gehosteten Anwendungen gesendet werden。Daher wild das Risiko eines Identitätsdiebstahls erheblich reduziert。
Die für Authentifizierung, Autorisierung und Überwachung konfigurierte Citrix ADC-Appliance akzeeptiert jetzt eingehende Token, Die mit dem HMAC HS256-Algorithmus signiert werden。Darüber hinaus werden die öffentlichen Schlüssel des SAML身份提供程序(IdP) aus einer Datei gelesen, anstatt von einem URL-Endpunkt zu lernen。
在der Citrix adc -实现的古怪的aufaufdie Anwendung über den virtuellen认证,自动化和Überwachungsdatenverwaltungsserver zugegriffen。Um OAuth zu konfigurieren, müssen Sie also eine OAuth- richtlinie konfigurieren, die dann einem virtuellen Authentifizierungs-, Autorisierungs-和Überwachungsserver für das Verkehrsmanagement zugeordnet werden muss。
Konfigurieren Sie das OpenID连接协议
Eine Citrix adc -电器kann jetzt mithilfe des OIDC-Protokolls als Identitätsanbieter konfiguriert werden。Das OIDC-Protokoll stärkt die Funktionen zur Identitätsbereitstellung der Citrix ADC-Appliance。你können jetzt mit einer einmaligen Anmeldung auf die unternehmensweit gehostete Anwendung zugreifen。他的名字叫“OIDC bietet mehr Sicherheit”,“indem es kein Benutzerkennwort überträgt”,“sondern mit Token mit einer beestimmten Lebensdauer arbeitet”。OIDC wurde auch für die集成在nicht -浏览器-客户端wie应用程序和Dienste entwickelt。Daher verwenden viele Implementierungen OIDC in großem Umfang。
Vorteile der Unterstützung von OpenID连接
- OIDC eliminiert den aufw für die Pflege mehrerer Authentifizierungskennwörter, da der Benutzer über eine einzige Identität im gesamten Unternehmen verfügt。
- OIDC bietet eine robuste Sicherheit für Ihr Kennwort, da das Kennwort nur Ihrem Identitätsanbieter und nicht mit einer Anwendung, auf die Sie zugreifen, geteilt狂野。
- OIDC verfügt über eine enorme Interoperabilität mit verschiedensystemen, was es den gehosteten Anwendungen erleichtert, OpenID zu akzeptieren。
- OIDC ist in einfaches Protokoll, das es native Clients ermöglicht,在Server zu integrgrieren中。
所以konfigurieren Sie eine Citrix dc - appliance als IdP mithilfe des OpenID Connect-Protokolls über die GUI
Navigieren您祖茂堂Konfiguration > Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > OAuth IdP.
Klicken您再见的资料和丹汪汪汪Hinzufugen。
Legen Sie im BildschirmAuthentifizierung erstellen OAuth idp - proffilWerte für die folgenden Parameter fest und klicken Sie aufErstellen.
- 的名字—名称des Authentifizierungsprofils。
- 客户机id- Eindeutige Zeichenfolge, die SP identifiziert。
- 客户的秘密- Eindeutiges Geheimnis, das SP identifiziert。
- URL umleiten- Endpunkt für SP, an dem Code/Token gepostet werden muss。
- 名字des Ausstellers- Zeichenfolge, die IdP identifiziert。
- Zielgruppe- Zielempfänger für das Token, das vom IdP gesendet wild。死亡könnte vom Empfänger überprüft werden。
- 扭曲的时间- Die Zeit, für Die das Token gültig bleibt。
- Standardauthentifizierungsgruppe-埃涅集团,德国的Sitzung für dieses proffil hinzugefügt wurde,德国的Richtlinienbewertung祖上的,和bem Anpassen祖上的,helfen。
Klicken您再见Richtlinien, und klicken Sie aufHinzufugen。
Legen Sie im FensterRichtlinie für OAuth IDP-Authentifizierung erstellenWerte für die folgenden Parameter fest und klicken Sie aufErstellen.
- 的名字- - - - - -Der Name Der Authentifizierungsrichtlinie。
- Aktion-名称des zuvor erstellten profiles。
- Protokollaktion -名称der Aktion德国人,德国人,德国人,德国人,德国人。Keine obligatorische Einreichung。
- Aktion麻省理工学院undefiniertem Ergebnis - Aktion, die ausgeführt werden soll, wenn das Ergebnis der Richtlinienbewertung nicht bestraft ward (UNDEF)。凯文Pflichtfeld。
- Ausdruck- Erweiterter Richtlinienausdruck, den die Richtlinie verwendet, um auf bestimmte Anfragen zu antworten。例如stimmt。
- Kommentare-伊根德威尔,Kommentare zu den richtlinen。
绑定到OAuthIDP-Richtlinie和LDAP-Richtlinie下的den virtuellen Authentifizierungsserver
Navigieren您祖茂堂Konfiguration > Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > LDAP.
Klicken Sie im BildschirmLDAP-Aktionen汪汪汪Hinzufugen.
LegenSie auf dem Bildschirm创建认证ldap服务器die Werte für die folgenden参数fest und klicken Sie aufErstellen.
- 的名字,Der名称Der LDAP-Aktion
- Servername / ServerIP -beritstellung von FQDN oder IP des ldap -服务器
- Wählen Sie geeignete Wertefür Sicherheitstyp,端口,服务器类型,超时
- 斯特伦你的兄弟Authentifizierungaktiviert坚持
- Basis-DN -base, von der aus die LDAP-Suche gestartet werden soll。Zum Beispiel dc=aaa, dc= local。
- 管理员DN绑定:Benutzername der绑定LDAP-Server。例如admin@aaa.local。
- Administratorkennwort/Kennwort bestätigen: Kennwort zum Binden von LDAP
- Klicken您再见Verbindung testen我是爱因斯坦的后裔。
- Attribut毛皮Server-Anmeldename:民意调查您“samAccountName”
- Andere Felder sinind nicht Pflichtfelder und können daher nach Bedarf konfiguriert werden。
Navigieren您祖茂堂Konfiguration > Sicherheit > AAA-Anwendungsdatenverkehr > richtlinen > Authentifizierung > Erweiterte richtlinen > Richtlinie。
Klicken Sie auf dem BildschirmAuthentifizierungsrichtlinien汪汪汪Hinzufugen.
Legen你是我的真品die Werte für die folgenden参数fest und klicken Sie aufErstellen。
- 的名字,der LDAP-Authentifizierungsrichtlinie名称。
- Aktionstyp -民意调查您LDAP来自。
- Aktion -Wählen Sie die LDAP-Aktion aus。
- Ausdruck -我爱你,我爱你,我爱你,我爱你。例如stimmt * *。
所以konfigurieren Sie die Citrix ADC-Appliance als IdP mithilfe des OpenID Connect-Protokolls mithilfe von CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:
add authentication OAuthIDPProfile
[-clientID ][-clientSecret][-redirectURL ][-issuer ][-audience ][-skewTime ] [-defaultAuthenticationGroup ] add authentication OAuthIdPPolicy
-rule [-action [- underfaction ][-comment ][-logAction ] add authentication ldapAction aaa-ldap-act -serverIP 10.0.0.10 -ldapBase "dc=aaa,dc=local"
ldapBindDn
-ldapBindDnPassword - lddaploginname sAMAccountName 添加认证策略aaa-ldap-adv-pol -rule true -action aaa-ldap-act
绑定认证vserver auth_vs -policy
-priority 100 -gotoPriorityExpression NEXT bind authentication vserver auth_vs -policy
-priority 5 -gotoPriorityExpression END 绑定VPN全局-certkey <>
Hinweis
Sie können mehr als einen Schlüssel binden。Öffentliche Teile von Zertifikaten, die gebunden sind, werden als anwort auf genendet
jwks \ _uri查询(https://gw/oauth/idp/certs)
.