协议Web服务联合
Web服务联盟(WS-Federation) est un protocole d 'identité qui permet à un service de jeton de sécurité (STS) d 'un domaine de confingde fournir information d ' authentication à un STS d 'un autre domaine d 'approbation lorsqu 'il存在双域关系。
优点之一de ws - federation)
WS-Federation负责客户端激活和失效处理'identité SAML负责客户端激活和失效处理。
- Les客户端actifs sont des客户端natifs微软告诉我们Outlook和des客户端Office (Word, PowerPoint, Excel和OneNote)。
- 让客户端passifs sonts des客户端basés sur un navigator告诉我们谷歌Chrome, Mozilla Firefox和Internet Explorer。
Prérequis pour utiliser Citrix ADC en tant que WS-Federation
先进的配置电器Citrix ADC en ant que代理ADFS, passez en revue les points suivers:
- 活动目录。
- 证书SSL域名。
- 证书SSL Citrix ADC和签名ADFS服务器ADFS doivent être identiques。
重要的
IDP SAML est désormais capable de gérer le协议WS-Federation。Par conséquent, pour configurer l’idp WS-Federation, vous devez configurer le fournisseur d 'identité SAML。Aucune接口实用程序提及显式WS-Federation。
Fonctionnalités获得Citrix ADC lorsquu 'il est configuré en que proxy ADFS et IdP WS-Federation
Le tableau suivant répertorie les fonctionnalités价格与设备Citrix ADC lorsquu 'elle est configurée en que proxy ADFS et fournisseur d 'identité WS-Federation。
Fonctionnalites | 配置Citrix ADC并使用代理ADFS | Citrix ADC en tant que fournisseur d 'identité WS-Federation | Citrix ADC en que ADFSPIP |
---|---|---|---|
Equilibrage de电荷 | 是的 | 是的 | 是的 |
Resiliation SSL | 是的 | 是的 | 是的 |
限制de借记卡 | 是的 | 是的 | 是的 |
合并(réduit l 'empreinte du server DMZ et sauvegarde l ' address IP public) | 是的 | 是的 | 是的 |
应用资源网页(WAF) | 是的 | 是的 | 是的 |
Déchargement认证通过Citrix ADC | 是的 | Oui(客户端actifs et passifs) | 是的 |
认证独特(SSO) | 是的 | Oui(客户端actifs et passifs) | 是的 |
认证multifacteur (nFactor) | 非 | Oui(客户端actifs et passifs) | 是的 |
认证multifacteur Azure | 非 | Oui(客户端actifs et passifs) | 是的 |
La batterie de servers ADFS peut être évitée | 非 | 是的 | 是的 |
配置器Citrix ADC en que fournisseur 'identité WS-Federation
配置Citrix ADC en ant que fournisseur d 'identité WS-Federation (IdP SAML) dans une zone DMZ。服务器ADFS est configuré avec Le contrôleur de domain AD dans Le后端。
- La demande du client adressée à Microsoft Office365 est redirigée vers l 'appliance Citrix ADC。
- 利用信息、鉴定和多因素的鉴定。
- Citrix ADC有效的信息d 'identification auprès d 'AD et génère un jeton natition sur ' l 'appliance Citrix ADC。Les信息d 'identification sont传输à Office365 pour y accéder。
标记
idp WS-Federation est effectuée en mode natif via l ' appliance Citrix ADC par rapport à l ' équilibreur de charge F5 Networks。
配置器Citrix ADC en tique nnisseur 'identité WS-Federation (IdP SAML) à ligne接口助手
Les section suivantes classées en fontion de la nécessité d ' efftuer Les étapes de配置。
Pour配置程序l ' authentication LDAP et ajouter une stratégie
重要的
Pour les utilisateurs de domaine, Pour se connecter à l 'appliance Citrix ADC à l 'aide de leurs地址e-mail d ' enterprise, vous devez configurer éléments suivants:
- 配置服务器和stratégie d ' authentication LDAP 'appliance Citrix ADC。
- Liez-la à votre address IP virtuelle d ' authentication, d 'autorisation et d 'audit (l 'utilisation d 'une configuration LDAP exists est également prise en charge)。
add authentication ldapAction -serverIP -serverPort 636 -ldapBase "cn=Users,dc=domain,dc=com" -ldapBindDn "cn=administrator,cn=Users,dc=domain,dc=com" -ldapBindDnPassword <管理员密码> -encrypted -encryptmethod ENCMTHD_3 - ldploginname sAMAccountName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute UserPrincipalName - followreferals ON -Attribute1 mail -Attribute2 objectGUID添加认证策略 -rule true -action
为例
add authentication ldapAction CTXTEST_LDAP_Action -serverIP 3.3.3.3 -serverPort 636 -ldapBase "cn=Users,dc=ctxtest,dc=com" -ldapBindDn "cn=administrator,cn=Users,dc=ctxtest,dc=com" -ldapBindDnPassword xxxxxxxxxxx -encrypted -encryptmethod ENCMTHD_3 - ldploginname sAMAccountName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute UserPrincipalName - followreferals ON -Attribute1 mail -Attribute2 objectGUID add authentication Policy CTXTEST_LDAP_Policy -rule true -actionCTXTEST_LDAP_Action < !——NeedCopy >
Pour configure Citrix ADC en tant que fournisseur d 'identité WS-Federation ou IdP SAML
Créez une action et une stratégie WS-Federation IdP (SAML IdP) pour la génération de jetons。Liez-le au server virtuel d ' authentication, d 'autorisation和d 'audit ultérieurement。
add authentication samlIdPProfile -samlIdPCertName -assertionConsumerServiceURL "https://login.microsoftonline.com/login.srf" - samliissuername < ADFS Server中Office 365的发行者名称> -rejectUnsignedRequests OFF -audience urn:federation:MicrosoftOnline -NameIDFormat persistent -NameIDExpr "HTTP.REQ.USER.ATTRIBUTE(2)。B64ENCODE" -Attribute1 IDPEmail -Attribute1Expr "HTTP.REQ.USER.ATTRIBUTE(1)" add authentication samlIdPPolicy -rule "HTTP.REQ.HEADER("referer").CONTAINS("microsoft") || true" -action
为例
add authentication samlIdPProfile CTXTEST_SAMLIDP_Profile -samlIdPCertName ctxtest_newcert_2019 -assertionConsumerServiceURL "https://login.microsoftonline.com/login.srf" -samlIssuerName "http://ctxtest.com/adfs/services/trust/" -rejectUnsignedRequests OFF -audience urn:federation:MicrosoftOnline -NameIDFormat persistent -NameIDExpr "HTTP.REQ.USER.ATTRIBUTE(2)。B64ENCODE" -Attribute1 IDPEmail -Attribute1Expr "HTTP.REQ.USER.ATTRIBUTE(1)" add authentication samlIdPPolicy CTXTEST_SAMLIDP_Policy -rule "HTTP.REQ.HEADER("referer").CONTAINS("microsoft") || true"——NeedCopy >
为配置者提供服务器虚拟认证,授权和审计,认证者employés qui se connectent à Office365 à提供信息和识别企业
添加认证vserver SSL '
为例
添加认证vserver CTXTEST_AAA_VS SSL 192.168.1.0绑定认证vserver CTXTEST_AAA_VS -portaltheme RfWebUI
提供更少的服务器虚拟认证和stratégie
绑定认证vserver -policy -priority 100 -gotoPriorityExpression NEXT绑定认证vserver -policy -priority 100 -gotoPriorityExpression NEXT
为例
bind认证vserver CTXTEST_AAA_VS -policy CTXTEST_SAMLIDP_Policy -priority 100 -gotoPriorityExpression NEXT绑定认证vserver CTXTEST_AAA_VS -policy CTXTEST_LDAP_Policy -priority 100 -gotoPriorityExpression NEXT绑定ssl vserver CTXTEST_AAA_VS -certkeyName ctxtest_newcert_2019
倒结构变化的内容
add cs action -targetVserver add cs policy -rule "is_vpn_url || http.req.url.contains("/adfs/ls") || http.req.url.contains("/adfs/services/trust") || -action
为例
add cs action CTXTEST_CS_Action -targetVserver CTXTEST_AAA_VS add cs policy CTXTEST_CS_Policy -rule "is_vpn_url || http.req.url.contains("/adfs/ls") || http.req.url.contains("/adfs/services/trust") || -action CTXTEST_CS_Action
为服务器虚拟的利益交换à une stratégie
绑定cs vserver CTXTEST_CSVS -policyName CTXTEST_CS_Policy -priority 100
在cet(中央东部东京)的文章
- 优点之一de ws - federation)
- Prérequis pour utiliser Citrix ADC en tant que WS-Federation
- Fonctionnalités获得Citrix ADC lorsquu 'il est configuré en que proxy ADFS et IdP WS-Federation
- 配置器Citrix ADC en que fournisseur 'identité WS-Federation
- 配置器Citrix ADC en tique nnisseur 'identité WS-Federation (IdP SAML) à ligne接口助手