微软ADFS代理StyleBook

Microsoft™ADFS代理通过为支持内部联合的资源和云资源提供单点登录访问发挥了重要作用。云资源的一个例子就是Office 365。ADFS代理服务器的目的是接收和转发无法从互联网访问的请求到ADFS服务器。ADFS代理是一个反向代理，通常驻留在组织的外围网络(DMZ)中。ADFS代理在远程用户连接和应用程序访问中扮演关键角色。

Citrix ADC拥有精确的技术，可以实现安全的连接、身份验证和联邦身份处理。使用Citrix ADC作为ADFS代理避免了在DMZ中部署额外组件的需要。

在Citrix应用程序交付管理(ADM)中的Microsoft ADFS代理StyleBook允许您在Citrix ADC实例上配置ADFS代理服务器。

下图说明了将Citrix ADC实例部署为企业DMZ中的ADFS代理服务器。

使用Citrix ADC作为ADFS代理的好处

1. 同时满足负载平衡和ADFS代理需求
2. 支持内部和外部用户访问场景
3. 支持丰富的预认证方法
4. 为用户提供单点登录体验
5. 支持主动协议和被动协议
   1. 活跃协议应用程序的例子有:微软Outlook，微软商务Skype
   2. 被动协议应用程序的例子有-Microsoft Outlook web应用程序，web浏览器
6. 基于dmz部署的加固设备
7. 通过使用额外的核心Citrix ADC功能增加价值
   1. 内容切换
   2. SSL卸载
   3. 重写
   4. 安全(Citrix ADC AAA)

对于活动的基于协议的场景，您可以连接到Office 365并提供凭据。Microsoft Federation Gateway代表活动协议客户端联系ADFS服务(通过ADFS Proxy)。然后，网关使用基本身份验证(401)提交凭据。在访问ADFS服务之前，Citrix ADC处理客户端身份验证。身份验证之后，ADFS服务向联邦网关提供一个SAML令牌。联邦网关依次向Office 365提交令牌以提供客户端访问。

对于被动客户端，ADFS代理StyleBook创建Kerberos约束委托(KCD)用户帐户。KCD帐户是Kerberos SSO身份验证连接到ADFS服务器所必需的。StyleBook还生成LDAP策略和会话策略。这些策略稍后会绑定到Citrix ADC AAA虚拟服务器，该服务器处理被动客户端的身份验证。

StyleBook还可以确保Citrix ADC上的DNS服务器为ADFS配置。

下面的配置部分描述如何设置Citrix ADC来处理基于协议的主动和被动客户端身份验证。

配置细节

下表列出了成功部署此集成所需的最低软件版本。

产品	最低要求的版本
Citrix ADC	11.0、先进/溢价许可证

下面的说明假设您已经创建了适当的外部和内部DNS条目。

从Citrix ADM部署微软ADFS代理StyleBook配置

以下说明将帮助您在业务网络中实现Microsoft ADFS代理StyleBook。

部署Microsoft ADFS代理StyleBook

1. 在Citrix ADM中，导航到>配置> StyleBooks．的样本页面显示了您可以在Citrix ADM中使用的所有StyleBooks。

2. 向下滚动并找到微软ADFS代理StyleBook．点击创建配置．StyleBook作为一个用户界面页面打开，您可以在该页面上键入在该StyleBook中定义的所有参数的值。

3. 以下参数的类型值:
   1. ADFS代理部署名称．为网络中部署的ADFS代理配置选择一个名称。
   2. ADFS服务器FQDNs或ip．输入网络中所有ADFS服务器的IP地址或域名。
   3. ADFS代理公共VIP IP．在作为ADFS代理服务器的Citrix ADC上键入公共虚拟IP地址。

4. 在ADFS代理证书节，键入SSL证书和证书密钥的详细信息。

   此SSL证书绑定到在Citrix ADC实例上创建的所有虚拟服务器。

   从本地存储文件夹中选择相应的文件。您还可以输入私钥密码来加载.pem格式的加密私钥。

   您还可以启用高级证书设置复选框。在这里，您可以键入详细信息，如证书到期通知期限、启用或禁用证书到期监控器。

5. 您可以选择SSL CA证书复选框，如果SSL证书需要在Citrix ADC上安装CA公共证书。请确保您在高级证书设置部分。

6. 为主动和被动客户端启用身份验证。输入Active Directory中用于用户认证的DNS域名。然后，您可以为主动或被动客户端配置身份验证，也可以同时为两者配置。

7. 输入以下详细信息，为激活的客户端启用认证:

   请注意

   配置对活动客户端的支持是可选的。

   1. ADFS代理主动认证VIP．输入Citrix ADC实例上的虚拟认证服务器的虚拟IP地址，active客户端将被重定向到该实例进行认证。

   2. 服务帐户用户名．键入Citrix ADC用于向活动目录验证用户身份的服务帐户用户名。

   3. 服务帐户密码．键入Citrix ADC用于向活动目录认证用户的密码。

8. 通过启用相应的选项并配置LDAP设置，为被动客户端配置身份验证。

   请注意

   配置对被动客户端的支持是可选的。

   输入以下详细信息启用被动客户端身份验证:

   1. LDAP (Active Directory) Base．为用户帐户驻留在AD中的域键入基本域名以允许身份验证。例如,dc = netscaler, dc = com

   2. LDAP (Active Directory)绑定DN．添加一个有权限浏览AD树的域帐户(使用电子邮件地址以方便配置)。例如,cn =经理,dc = netscaler, dc = com

   3. LDAP (Active Directory)绑定DN密码．输入需要认证的域帐号密码。

      在本节的值中必须输入的其他几个字段如下:

   4. LDAP服务器(Active Directory) IP．请输入AD认证正常工作的主目录服务器的IP地址。

   5. LDAP服务器FQDN名称．输入活动目录服务器的FQDN名称。可选参数FQDN名称。提供步骤1中的IP地址或FQDN名称。

   6. LDAP服务器活动目录端口．缺省情况下，LDAP协议的TCP、UDP端口为389,Secure LDAP协议的TCP端口为636。

   7. LDAP (Active Directory)登录用户名．输入用户名为“sAMAccountName”。

   8. ADFS代理被动认证VIP．为被动客户端输入ADFS代理虚拟服务器的IP地址。

      请注意

      标有“*”的字段是必填项。

9. 您还可以为您的DNS服务器配置一个DNS VIP。

10. 点击目标实例并选择Citrix ADC实例来部署此Microsoft ADFS代理配置。点击创建创建配置并将配置部署到所选的Citrix ADC实例上。

请注意

Citrix建议在运行实际配置之前，选择干燥的运行。您可以首先查看StyleBook在目标Citrix ADC实例上创建的配置对象。然后点击创建在选定的实例上部署配置。

创建的对象

在Citrix ADC实例上部署ADFS代理配置时，会创建几个配置对象。下图显示了创建的对象列表。