Citrix ADC作为Active Directory联合服务代理
活动目录联合服务(ADFS)是微软的服务,使单点登录的企业数据中心之外的Active Directory认证的客户端(SSO)的经验资源。一个ADFS服务器场允许内部用户访问外部云的托管服务。但外部用户带入混的那一刻,外部用户必须考虑通过联合身份的方式来远程连接和访问基于云的服务。大多数企业不情愿保持在DMZ中暴露的ADFS服务器。因此,ADFS代理起着远程用户连接和应用程序访问了至关重要的作用。
十多年来,Citrix ADC设备在远程用户连接和应用程序访问方面扮演着类似的角色。Citrix ADC设备成为首选的ADFS代理解决方案,以支持新的ADFS实现,以启用以下服务:
- 安全连接。
- 联邦标识的身份验证和处理。
有关将Citrix ADC作为SAML IdP的更多信息,请参见Citrix ADC作为SAML IdP.
ADFS代理的优点
- 减少DMZ中的占用空间,以满足大多数企业的需求。
- 为终端用户提供SSO体验。
- 支持丰富的方法预认证,使多因素身份验证。
- 支持主动和被动客户端。
先决条件使用Citrix ADC作为ADFS代理
配置Citrix ADC设备作为ADFS代理之前,请确保满足下列先决条件。
- 具有12.1版本或更高版本的Citrix ADC设备。
- 域ADFS服务器。
- 域SSL证书。
- 内容交换虚拟服务器的虚拟IP。
- 启用负载均衡,SSL卸载,内容交换,重写,以及身份验证,授权和思杰ADC设备审核的流量管理功能。
将Citrix ADC设备配置为ADFS代理
要实现这个用例,您需要在DMZ区域中将Citrix ADC配置为ADFS代理。ADFS服务器与后端AD域控制器一起配置。
客户端请求访问微软Office365被重定向到部署ADFS代理思杰ADC。
用户凭据传递到ADFS服务器。
ADFS服务器使用域的本地AD验证凭据。
在与AD证书的成功验证ADFS服务器,生成传递到微软Office365会话建立的令牌。
下面是配置为ADFS代理之前配置Citrix ADC设备所涉及的高级步骤。
在Citrix ADC命令提示符中,输入以下命令:
为后端创建SSL配置文件并在SSL配置文件中启用SNI。禁用SSLv3 / TLS1。
add ssl profile
-sniEnable ENABLED -ssl3 DISABLED -tls1 DISABLED -commonName < ADFS的FQDN > . add ssl profile -sniEnable ENABLED -ssl3 DISABLED -tls1 DISABLED -commonName < ADFS的FQDN 禁用的SSLv3 / TLS1的服务。
set ssl服务
-sslProfile <上面步骤中创建的ssl配置文件> 启用SNI扩展后端服务器握手。
set vpn parameter -backendServerSni ENABLED
set ssl参数-denySSLReneg NONSECURE
使用CLI将Citrix ADC设备配置为ADFS代理
下面的部分是基于完成配置步骤的要求进行分类。
配置ADFS服务
在Citrix ADC上配置ADFS服务。
添加服务
SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO-CMP NO 例子
添加服务CTXTEST_ADFS_Service 1.1.1.1 SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip -useproxyport YES -SP OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO-CMP NO NO
配置FQDN的内容交换虚拟服务器,并启用SNI。
set ssl service
-SNIEnable ENABLED -commonName . conf . conf . conf 例子
set ssl service CTXTEST_ADFS_Service -SNIEnable ENABLED -commonName sts.ctxtest.com
配置ADFS负载均衡虚拟服务器
重要的
安全流量需要域SSL证书(SSL_CERT)。
配置ADFS负载均衡虚拟服务器。
添加磅虚拟服务器
SSL -persistenceType -cltTimeout 180 NONE 例子
add lb vserver CTXTEST_ADFS_LBVS SSL 192.168.1.0 -persistenceType NONE -cltTimeout 180
绑定ADFS负载均衡虚拟服务器到ADFS服务。
绑定磅虚拟服务器
例子
绑定lb vserver CTXTEST_ADFS_LBVS CTXTEST_ADFS_Service
绑定一个SSL虚拟服务器证书密钥对。
bind ssl vserver
-certkeyName . bind ssl vserver 例子
绑定ssl vserver CTXTEST_ADFS_LBVS -certkeyName ctxtest_newcert_2019
配置域的内容交换虚拟服务器
请注意
内容交换虚拟服务器需要一个免费的虚拟IP(例如2.2.2.2),该虚拟IP被nat转换为公网IP。它必须是可达的外部和内部交通。
创建内容交换虚拟服务器免费VIP。
添加CS虚拟服务器
SSL 443 -cltTimeout 180 -persistenceType NONE 例子
add cs vserver CTXTEST_CSVS SSL 2.2.2.2 443 -cltTimeout 180 -persistenceType无
绑定内容切换虚拟服务器到负载均衡虚拟服务器。
bind cs vserver
-lbvserver . bind cs vserver -lbvserver . bind 例子
绑定CS虚拟服务器CTXTEST_CSVS -lbvserver CTXTEST_ADFS_LBVS
设置ssl vserver CTXTEST_CSVS -sessReuse DISABLED
绑定一个SSL虚拟服务器证书密钥对。
bind ssl vserver
-certkeyName . bind ssl vserver -certkeyName . bind 例子
绑定SSL虚拟服务器CTXTEST_CSVS -certkeyName ctxtest_newcert_2019
支持的协议
微软提供的协议在与Citrix ADC设备的集成中起着至关重要的作用。Citrix ADC作为ADFS代理支持以下协议:
- ws - federation.有关详细信息,请参见Web服务联合协议.
- ADFSPIP.有关详细信息,请参见活动目录联合服务代理集成协议合规.
请注意
Citrix ADC设备作为ADFS代理部署时不支持设备证书身份验证。