Conformité au protocol d 'intégration du proxy du service Active Directory

Si des代理层doivent être utilisés à la place du proxy d 'application Web, ils doivent prenre en charge le protocol MS-ADFSPIP qui spécifie les règles d 'intégration ADFS et WAP。ADFSPIP intègre les services de fédération Active Directory à un proxy d ' authentication et d 'application pour permettre l 'accès aux services situés à l 'intérieur des limites du réseau d ' enterprise pour les clients situés en dehors de cette limite。

其实条件

Pour établir la confinentre le server proxy et la batterie de servers ADFS, consultez la configuration suivante dans l 'appliance Citrix ADC:

• Créez un profile SSL pour le后端et activez SNI dans le profile SSL。Desactivez SSLv3 / TLS1。À l 'invite de commands, tapez la command suivante:

  add ssl profile <新建ssl profile> -sniEnable ENABLED -ssl3 DISABLED -tls1 DISABLED -commonName < ADFS的FQDN > 

• Désactivez SSLv3/TLS1提供服务。À l 'invite de commands, tapez la command suivante:

  设置ssl服务 -sslProfile ns_default_ssl_profile_backend 

• Activez l 'extension SNI pour les poignées de contact du server principal。À l 'invite de commands, tapez la command suivante:

  set vpn parameter -backendServerSni ENABLED set ssl parameter - denysslreg NONSECURE 

重要的

倒les scénarios Home Realm Discovery (HRD) dans lesquels l ' authentication doit être déchargée vers le server ADFS, Citrix vous推荐de désactiver à la fois l ' authentication et l ' authentication unique sur l 'appliance Citrix ADC。

Mecanisme d 'authentification

Voici le flux d ' événements de haut niveau pour l ' authentication。

1. Établir la con未婚夫avec le服务器ADFS: le server Citrix ADC établit la con未婚夫avec le server ADFS en enregistrant un certificat客户端。Une fois la con未婚夫établie, l 'appliance Citrix ADC rétablit la con未婚夫après le redémarrage sans intervention de l 'utilisateur。

   À证书过期rétablir认可与担保à新档案代理文件。

2. 决定要点publiés: l ' appliance Citrix ADC récupère automatiquement la liste des points de terminaison publiés sur le server ADFS après l ' établissement de l ' approbation。Ces points determinaison publiés filtrent les demandes传输au服务器ADFS。

3. Insérer des en-têtes aux demandes du client- Lorsque l 'appliance Citrix ADC tunnel les demandes du client, les en-têtes HTTP liés à ADFSPIP sont ajoutés au paquet lors de leur envoi au server ADFS。pouous pouvez implémenter un contrôle d 'accès sur le server ADFS en function of the valeurers d 'en-tête。Les en-têtes suivants sont pris en charge。

   • X-MS-Proxy
   • X-MS-Endpoint-Absolute-Path
   • X-MS-Forwarded-Client-IP
   • X-MS-Proxy
   • X-MS-Target-Role
   • X-MS-ADFS-Proxy-Client-IP

4. Gérer法国交通运输业交通工具acheminé在路上sécurité资源souhaitées。

   标记

   L 'appliance Citrix ADC使用L ' authentication basée根据les formulaires。

配置Citrix ADC pour prendre en charge le服务器ADFS

其实条件

• 配置服务器交换上下文(CS)即时服务器正面认证，授权和审计derrière CS。À l 'invite de commands, tapez:

  add cs vserver  SSL 10.220.xxx. add cs vserver  SSL 10.220.xxx. add cs vserverxx 443 -cltTimeout 180 -AuthenticationHost  -Authentication OFF -persistenceType NONE 

  add cs action  -targetLBVserver  

  add cs action  -targetLBVserver  

  添加cs policy  -rule " http.req.url.contains("/adfs/services/trust") || http.req.url.contains("federationmetadata/2007-06/federationmetadata.xml")"-action  

  add cs policy  -rule "HTTP.REQ.URL.CONTAINS("/adfs/ls")"-action  

  绑定cs vserver  -policyName <策略名称> -priority 100 

  绑定cs vserver  -policyName <策略名称e2> -priority 110 

  绑定cs vserver  -lbvserver  

• Ajoutez un service ADFS。À l 'invite de commands, tapez:

  add service   SSL 443 

  设置ssl服务 -sslProfile ns_default_ssl_profile_backend 

• Ajoutez un服务器虚拟à收费équilibrée。À l 'invite de commands, tapez:

  add lb vserver  SSL 0.0.0.0 0 

  set ssl vserver  -sslProfile ns_default_ssl_profile_frontend 

• Liez le service au serur d ' équilibrage de charge。À l 'invite de commands, tapez:

  绑定lb vserver   

倒配置Citrix ADC afin qu 'il function avec le server ADFS, vous devez procéder comme suit:

1. Créez une clé de profile SSL CertKey à utiliser avec le profile代理ADFS
2. Création d 'un profile代理ADFS
3. Associez le profile proxy ADFS au server virtual LB

Créez un certificat SSL avec clé privée à utiliser avec le profile proxy ADFS

À l 'invite de commands, tapez:

添加SSL certkey  -cert <证书路径> -key  

标记:Le fichier de certificate et Le fichier de clé doivent être présents dans l 'appliance Citrix ADC。Créer un profile代理ADFS à l 'aide de la CLI

À l 'invite de commands, tapez:

add authentication adfsProxyProfile <配置文件名称> -serverUrl /> -username  -password < admin用户密码> -certKeyName <上面创建的CertKey配置文件名称> 

欧?

笔名简介:笔名简介代理AFDS à créer

服务器url:域名完整服务ADFS, y comcomis le protocol et le port。比如,https://adfs.citrix.com

用户名-服务器ADFS中存在的计算管理员名

行话:行话:行政长官行话utilisé comme nom d 'utilisateur

CertKeyName - CertKey SSL créé précédemment

Associez le profile proxy ADFS au server virtuel d ' équilibrage de charge à l ' aide de la CLI

Dans le déploiement ADFS，双服务器virtuels d ' équilibrage de charge sont utilisés, l ' un pour le流量客户端et l ' autre pour l ' échange de métadonnées。Le profile代理ADFS doit être associé au server virtuel d ' équilibrage de charge qui est额au server ADFS。

À l 'invite de commands, tapez:

set lb vserver < ADFS -proxy-lb> -adfsProxyProfile < ADFS代理配置文件名称> 

向ADFSPIP重新求助

你所拥有的证书是绝对有效的，你所拥有的证书是绝对有效的。Le reouvellement d 'approbation des certifats est effectué uniquement lorsque l 'approbation est établie entre l 'appliance Citrix ADC et Le server ADFS。给我一个新的证书，我给你一个新的证书。

重要的

对干预的要求，重新确认的新证明。

L ' example suivant répertorie les étapes impliquées dans le reouvellement de L ' approval de certificate:

1. L 'appliance Citrix ADC envoie les anciens certificates (SerializedTrustCertificate) et les nouveaux (SerializedReplacementCertificate) dans une requête POST au server ADFS pour le reouvellement de L 'approbation。
2. Le server ADFS répond avec un succès de 200 OK si l’approbation est renouvelée avec succès。
3. L ' appliance Citrix ADC met à jour L ' état en tant que«ESTABLISHED_RENEW_SUCCESS»si le reouvellement de L ' apest réussi。Si le reouvellement de l ' aption échoue, l ' état est mis à jour en tant que«ESTABLISHED_RENEW_FAILED»et l ' appliance Citrix ADC continue d ' utiliser l ' old en certificate。

标记

Vous ne pouvez pas mettre à jour la clé de certification si elle est déjà liée à un profile proxy ADFS。

Pour configurer le reouvellement de confifides certifats à l 'aide de la CLI

À l 'invite de commands, tapez:

set authentication adfsProxyProfile  [-CertKeyName ] 

为例:

set authentication adfsProxyProfile adfs_2 -CertKeyName ca_cert1 

身份验证basée根据证书客户端根据服务器ADFS

À partir de Windows Server 2016, Microsoft a introduction une nouvelle méthode d ' authentication des utilisateurs lorsque l 'accès à ADFS est effectué via des servers proxy。Désormais, les utilisateurs finaux peuvent se connecter avec leurs certifats， évitant ainsi l 'utilisation d 'un mot de pass。

Les utilisateurs finaux accèdent souvent à ADFS通过un proxy, en specier lorsqu 'ils ne se trouvent pas sur place。Par conséquent, les server proxy ADFS sont nécessaires pour prendre en charge l ' authentication Par certificate client通过le protocol ADFSPIP。

Lorsque ADFS est équilibré de charge à l 'aide d 'une appliance Citrix ADC, pour prendre en charge l ' authentication basée sur les certificats sur le server ADFS, les utilisateurs doivent également se connector à l 'appliance Citrix ADC à l 'aide du certificat。Cela permet à Citrix ADC de transmettre le certificat utilisateur à ADFS pour fournir l ' authentication unique au server ADFS。

Le schéma suivant插图Le flux d ' authentication du证书客户端。

配置l ' authentication唯一pour le server ADFS à l 'aide d 'un证书客户端

倾倒配置l ' authentication唯一倾倒服务器ADFS à l 'aide du certificate client, vous devez d 'abord配置l ' authentication du certificate client sur l 'appliance Citrix ADC。Vous devez ensuite lier la stratégie d ' authentication par certificat au server virtuel d ' authentication, d 'autorisation et d 'audit。

在外面，你的生命étapes生命。

• unserver virtual de commutde de上下文supplémentaire avec le port 49443 doit être configuré et ce server virtual de交换de上下文doit pointer vers le même server virtuel d ' équilibrage de charge ouvert pour tous les ports, que vous avez créé précédemment。

• Le port 49443 doit être ouvert sur l 'appliance Citrix ADC pour l '鉴识。

• La stratégie de交换de上下文doit être liée au même服务器虚拟d ' équilibrage de收费avec le端口443 ouvert que vous avez créé précédemment。

• Vous devez lier le même服务SSL que Vous avez créé précédemment au server virtuel d ' équilibrage de charge。

• Si vous avez déjà créé un profile SSL pour le后端，vous devez utiliser ce profile。

À l 'invite de commands, tapez;

add cs vserver    bind cs vserver  (-lbvserver  | -vServer  | [-targetLBVserver ] set ssl vserver ] bind ssl vserver  add authentication certAction  add authentication Policy < Policy name> -rule  -action  add authentication policylable  bind authentication policylabel  -policyName <策略名>优先级<整数> < !——NeedCopy >

为例:

add cs vserver srv123_adfsproxy_csvs_tls SSL $VIP_1 49443 bind cs vserver srv123_adfsproxy_csvs_tls -lbvserver srv123_adfsproxy_csvs_tls -sslProfile ns_default_ssl_profile_frontend bind SSL vserver srv123_adfsproxy_csvs_tls -certkeyName srv123_wildcardcert add authentication certAction adfsproxy-cert add authentication Policy cert1 -rule TRUE -action adfsproxy-cert add authentication policyable certfactor bind authentication policylabel certfactor-policyName cert1 -priority 100 

提供证书客户端配置信息，思杰ADC，咨询配置l ' authentication du certificate client à l 'aide de stratégies avancées．