联合身份验证服务ADFS部署
介绍
本文档介绍如何将Citrix环境与Microsoft ADFS集成。
许多组织使用ADF来管理对需要单点身份验证的网站的安全用户访问。例如,公司可能有员工可用的其他内容和下载;需要使用标准的Windows登录凭据保护这些位置。
联邦身份验证服务(FAS)还允许Citrix NetScaler和Citrix StoreFront与ADFS登录系统集成,从而减少公司员工的潜在困惑。
此部署将NetScaler集成为Microsoft ADFS的依赖方。
SAML概述
安全断言标记语言(SAML)是一个简单的“重定向到登录页面”Web浏览器登录系统。配置包括以下项目:
重定向URL[单点登录服务URL]
当NetScaler发现用户需要进行身份验证时,它会指示用户的web浏览器向ADFS服务器上的SAML登录网页发送HTTP POST。这通常是一个https://表格的地址:https://adfs.mycompany.com/adfs/ls。
此网页POST包括其他信息,包括“返回地址”,其中ADF在登录完成时返回用户。
标识符[发行人名称/ entityID]
EntityId是NetScaler在其后数据中包含到ADF的唯一标识符。这通知ADFS用户正在尝试登录的服务,并根据适当地应用不同的身份验证策略。如果发出,SAML身份验证XML只适用于登录EntityID标识的服务。
通常,EntityID是NetScaler服务器登录页面的URL,但它通常可以是任何东西,只要NetScaler和ADFS就此一致:https://ns.mycompany.com/application/logonpage.。
返回地址[回复URL]
如果身份验证成功,ADFS将指示用户的web浏览器将SAML身份验证XML发回为EntityId配置的其中一个回复URL。这通常是一个https://以窗体的原始NetScaler服务器上的地址:https://ns.mycompany.com/cgi/samlauth.。
如果配置了多个回复URL地址,则NetScaler可以在其原始帖子中选择一个到ADF。
签名证书[IDP证书]
ADFS使用其私钥加上SAML身份验证XML Blob。要验证此签名,必须将NetScaler配置为使用证书文件中包含的公钥来检查这些签名。证书文件通常是从ADFS服务器获取的文本文件。
单一注销Url[单一注销Url]
ADFS和NetScaler支持“中央注销”系统。这是NetScaler偶尔轮询的URL,以检查SAML身份验证XML blob是否仍然表示当前登录的会话。
这是不需要配置的可选功能。这通常是一个https://表格中的地址https://aadfs.mycompany.com/adfs/logout.。(请注意,它可以与单个登录URL相同。)
配置
这NetScaler Gateway部署在联合身份验证服务架构本文介绍如何使用XenApp和XenDesktop NetScaler安装向导设置NetScaler网关以处理标准LDAP身份验证选项。成功完成后,您可以在NetScaler上创建允许SAML身份验证的新身份验证策略。这样就可以替换NetScaler安装向导使用的默认LDAP策略。
填写SAML策略
使用先前从ADFS管理控制台获取的信息配置新的SAML IdP服务器。应用此策略时,NetScaler将用户重定向到ADFS进行登录,并接受ADFS签名的SAML身份验证令牌作为回报。
相关信息
- 这联合身份验证服务文章是FAS安装和配置的主要参考。
- 常见的FAS部署总结在联合身份验证服务架构概述文章。
- “如何”的文章介绍在联合身份验证服务配置和管理文章。