Conformité au protocol d 'intégration du proxy du service Active Directory

Si des代理层doivent être utilisés à la place du proxy d 'application Web, ils doivent prendre en charge le protocol MS-ADFSPIP qui spécifie les règles d 'intégration ADFS et WAP。ADFSPIP intègre les services de fédération Active Directory à un proxy d ' authentication et d 'application pour permettre l 'accès aux services situés à l 'intérieur des limited du réseau d ' enterprise pour les clients situés en dehors de cette limited。

其实条件

Pour établir la confc entre le server proxy et la batterie de servers ADFS, consultez la configuration suivante dans l 'appliance Citrix ADC:

• Créez un profile SSL pour le后端et activez SNI dans le profile SSL。Desactivez SSLv3 / TLS1。À l 'invite de commandes, tapez la commande suivante:

  add ssl profile  -sniEnable ENABLED -ssl3 DISABLED -tls1 DISABLED -commonName < ADFS的FQDN > 

• Désactivez SSLv3/TLS1 pour le服务。À l 'invite de commandes, tapez la commande suivante:

  设置ssl服务 -sslProfile ns_default_ssl_profile_backend 

• Activez l 'extension SNI pour les poignées de contact du server principal。À l 'invite de commandes, tapez la commande suivante:

  设置vpn参数-backendServerSni ENABLED设置ssl参数-denySSLReneg NONSECURE 

重要的

scénarios Home Realm Discovery (HRD) dans lesquels l’authentication doit être déchargée vers le server ADFS, Citrix vous推荐désactiver à la fois l’authentication et l’authentication unique sur l’appliance Citrix ADC。

Mecanisme d 'authentification

我们的声音événements我们的身份认证。

1. Établir la con未婚夫avec le server ADFS: le server Citrix ADC établit la confc avec le server ADFS en enregistrant un certificate client。Une fois la con未婚夫établie, l 'appliance Citrix ADC rétablit la con未婚夫après le redémarrage没有干预de l 'utilisateur。

   À到期证书，特此证明rétablir认可的附属机构和附属机构à新设立的代理机构。

2. 决定终点publiés: l ' appliance Citrix ADC récupère自动列表终端publiés sur le server ADFS après l ' établissement de l '赞。ce点决定publiés过滤要求传输到服务器ADFS。

3. Insérer des en-têtes aux demandes du client- Lorsque l 'appliance Citrix ADC tunnel les demandes du client, les en-têtes HTTP liés à ADFSPIP sont ajoutés au paquet lors de leur envoi au server ADFS。您的祝福implémenter un contrôle d 'accès在您的服务中，您的服务是有价值的'en-tête。Les en-têtes suivants sont pris en charge。

   • X-MS-Proxy
   • X-MS-Endpoint-Absolute-Path
   • X-MS-Forwarded-Client-IP
   • X-MS-Proxy
   • X-MS-Target-Role
   • X-MS-ADFS-Proxy-Client-IP

4. Gérer法国交通发达国家交通工具acheminé en toute sécurité vers les resources souhaitées。

   标记

   L 'appliance Citrix ADC使用L '认证basée根据公式。

配置器Citrix ADC倒prendre en charge le服务器ADFS

其实条件

• 配置服务器转换上下文(CS) en tant que server front avec le server d ' authentication, d 'autorisation et d 'audit derrière CS。À l 'invite de commands, tapez:

  add cs vserver  SSL 10.220.xxx。xx 443 -cltTimeout 180 -AuthenticationHost  -Authentication OFF -persistenceType NONE 

  add cs action  -targetLBVserver  

  add cs action  -targetLBVserver  

  添加cs策略 -rule " http.req.url.contains("/adfs/services/trust") || http.req.url.contains("federationmetadata/2007-06/federationmetadata.xml")"-action  

  add cs policy  -rule "HTTP.REQ.URL.CONTAINS("/adfs/ls")"-action  

  bind cs vserver  -policyName  -priority 100 

  bind cs vserver  -policyName  -priority 110 

  绑定cs vserver  -lbvserver  

• Ajoutez un service ADFS。À l 'invite de commands, tapez:

  add service   SSL 443 

  设置ssl服务 -sslProfile ns_default_ssl_profile_backend 

• Ajoutez un server virtuel à charge équilibrée。À l 'invite de commands, tapez:

  add lb vserver  SSL 0.0.0.0 0 

  set ssl vserver  -sslProfile ns_default_ssl_profile_frontend 

• Liez le service au serur d ' équilibrage de charge。À l 'invite de commands, tapez:

  绑定lb vserver   

倒配置器Citrix ADC afin qu 'il功能avec le服务器ADFS, vous devez procéder comme suit:

1. Créez une clé de profile SSL CertKey à utiliser avec le profile代理ADFS
2. Création d 'un profile代理ADFS
3. 联合配置文件代理ADFS au服务器虚拟LB

Créez un certificat SSL avec clé privée à utiliser avec le配置文件代理ADFS

À l 'invite de commands, tapez:

添加SSL certkey  -cert <证书路径> -key  

标记:Le fichier de certificate et Le fichier de clé doivent être présents dans l’appliance Citrix ADC。Créer un profile代理ADFS à l 'aide de la CLI

À l 'invite de commands, tapez:

add authentication adfsProxyProfile <配置文件名称> -serverUrl /> -username  -password < admin用户>的密码-certKeyName <上述创建的CertKey配置文件的名称> 

欧?

化名:化名代理AFDS à créer

ServerURL:域名完整服务ADFS，包含协议和端口。比如,https://adfs.citrix.com

用户名-在ADFS服务器上存在的用户名

过时之词:行政长官过时之词utilisé我的名字

CertKeyName - CertKey SSL créé précédemment

Associez le profile代理ADFS au server virtuel d ' équilibrage de charge à l ' aide de la CLI

Dans le déploiement ADFS, deux servers virtuels d ' équilibrage de charge sont utilisés, l ' un pour le traffic client et l ' autre pour l ' échange de métadonnées。Le profile代理ADFS doit être associé au server virtuel d ' équilibrage de charge quest front au server ADFS。

À l 'invite de commands, tapez:

set lb vserver < ADFS -proxy-lb> -adfsProxyProfile < ADFS代理配置文件名称> 

Soutien au renouvelment de con未婚夫

证书的存在是由于到期的原因而存在的，因为证书的存在是无效的。认证认证effectué唯一认证认证établie入口l 'appliance Citrix ADC et Le server ADFS。为你的新证书，为你的新证书。

重要的

有干预，有需要，有需要，有新证书。

L ' example suivant répertorie les étapes impliquées dans le renouvelementde L 'approbation de certificat:

1. L 'appliance Citrix ADC代表古老证书(SerializedTrustCertificate)和新证书(SerializedReplacementCertificate) dans une requête POST au server ADFS pour le renouvelementde L 'approbation。
2. Le server ADFS répond avec un succès de 200 OK si l’apapest renouvelée avec succès。
3. L ' appliance Citrix ADC遇见à jour L ' état en tant que«ESTABLISHED_RENEW_SUCCESS»si le reouvelment de L ' apest réussi。我的认可的更新程序échoue，我的état est mis à jour en tant que«ESTABLISHED_RENEW_FAILED»et l ' appliance Citrix ADC继续使用旧证书。

标记

你的名字à jour la clé de certification si elle est déjà liée à un profile proxy ADFS。

倾配置者le renouvelment de conconfdes证书à l 'aide de la CLI

À l 'invite de commands, tapez:

set authentication adfsProxyProfile  [-CertKeyName ] 

为例:

set authentication adfsProxyProfile adfs_2 -CertKeyName ca_cert1 

认证basée根据客户端根据服务器ADFS

À partir de Windows Server 2016, Microsoft a introduction une nouvelle méthode d ' authentication des utilisateurs lorsque l 'accès à ADFS est effectué通过服务器代理。Désormais, les utilisateurs finaux peuvent se connect ter avec leurs certificates， évitant ainsi l ' use d 'un mot de past。

Les utilisateurs finaux accèdent souvent à通过代理的ADFS, en particer lorsqu 'ils ne se trouvent pas sur。Par conséquent，服务器代理ADFS sont nécessaires通过协议ADFSPIP将认证Par证书发送到客户端。

Lorsque ADFS est équilibré de charge à l 'aide d 'une Citrix ADC, pour prendre en charge l '认证basée sur les certificates sur le server ADFS, les utilisateurs doivent également se connector à l 'appliance Citrix ADC à l 'aide du certificate。Cela permet à Citrix ADC de transmettre le certificate utilisateur à ADFS pour fournir l’认证唯一的au服务器ADFS。

Le schéma suivant说明Le flux d ' authentication du certificate at client。

配置l '认证唯一倾勒服务器ADFS à l 'aide d 'un证书客户端

倾配置认证唯一倾服务器ADFS à l 'aide du certificate client, vous devez d ' ard配置认证du certificate client sur l 'appliance Citrix ADC。Vous devez ensuite lier la stratégie d ' authentication par certificat au server virtuel d ' authentication, d 'autorisation et d 'audit。

好极了，我们都活着étapes活着。

• 服务器虚拟交换的端口supplémentaire端口49443 être configuré服务器虚拟交换的端口指示的端口même服务器虚拟交换的端口équilibrage端口指示的端口，查询的端口créé précédemment。

• Le port 49443 doit être ouvert sur l 'appliance Citrix ADC pour l ' authentication。

• La stratégie de交换de上下文doit être liée au même服务器虚拟的d ' équilibrage收费avec le port 443 ouvert que vous avez créé précédemment。

• 您的服务même服务SSL que Vous avez créé précédemment au服务virtuel d ' équilibrage de charge。

• Si vous avez déjà créé un profile SSL pour le后端，vous deveseriser ce profile。

À l 'invite de commands, tapez;

add cs vserver    bind cs vserver  (-lbvserver  | -vServer  | [-targetLBVserver ] set ssl vserver ] bind ssl vserver  add authentication certAction <动作名称> add authentication Policy <策略名称> -rule  -action <动作名称> add authentication policyable  bind authentication policylabel  -policyName <策略名称>优先级<整数> < !——NeedCopy >

为例:

add cs vserver srv123_adfsproxy_csvs_tls SSL $VIP_1 49443 bind cs vserver srv123_adfsproxy_csvs_tls -lbvserver srv123_adfsproxy_adfs_lbvserver set SSL vserver srv123_adfsproxy_csvs_tls -sslProfile ns_default_ssl_profile_front bind SSL vserver srv123_adfsproxy_csvs_tls -certkeyName srv123_wildcardcert add authentication certAction adfsproxy-cert add authentication Policy cert1 -rule TRUE -action adfsproxy-cert add authentication policyable certfactor bind authentication policylabel certfactor-policyName cert1 -priority 100 

为客户提供配置和证书方面的信息在客户端à l 'aide de stratégies avancées上配置认证证书．