协议Web服务联合

Web服务联盟(WS-Federation) est un protocole d 'identité qui permet à un service de jeton de sécurité (STS) d 'un domaine de confingde fournir information d ' authentication à un STS d 'un autre domaine d 'approbation lorsqu 'il存在双域关系。

优点之一de ws - federation)

WS-Federation负责客户端激活和失效处理'identité SAML负责客户端激活和失效处理。

• Les客户端actifs sont des客户端natifs微软告诉我们Outlook和des客户端Office (Word, PowerPoint, Excel和OneNote)。
• 让客户端passifs sonts des客户端basés sur un navigator告诉我们谷歌Chrome, Mozilla Firefox和Internet Explorer。

Prérequis pour utiliser Citrix ADC en tant que WS-Federation

先进的配置电器Citrix ADC en ant que代理ADFS, passez en revue les points suivers:

• 活动目录。
• 证书SSL域名。
• 证书SSL Citrix ADC和签名ADFS服务器ADFS doivent être identiques。

重要的

IDP SAML est désormais capable de gérer le协议WS-Federation。Par conséquent, pour configurer l’idp WS-Federation, vous devez configurer le fournisseur d 'identité SAML。Aucune接口实用程序提及显式WS-Federation。

Fonctionnalités获得Citrix ADC lorsquu 'il est configuré en que proxy ADFS et IdP WS-Federation

Le tableau suivant répertorie les fonctionnalités价格与设备Citrix ADC lorsquu 'elle est configurée en que proxy ADFS et fournisseur d 'identité WS-Federation。

配置器Citrix ADC en que fournisseur 'identité WS-Federation

配置Citrix ADC en ant que fournisseur d 'identité WS-Federation (IdP SAML) dans une zone DMZ。服务器ADFS est configuré avec Le contrôleur de domain AD dans Le后端。

1. La demande du client adressée à Microsoft Office365 est redirigée vers l 'appliance Citrix ADC。
2. 利用信息、鉴定和多因素的鉴定。
3. Citrix ADC有效的信息d 'identification auprès d 'AD et génère un jeton natition sur ' l 'appliance Citrix ADC。Les信息d 'identification sont传输à Office365 pour y accéder。

标记

idp WS-Federation est effectuée en mode natif via l ' appliance Citrix ADC par rapport à l ' équilibreur de charge F5 Networks。

配置器Citrix ADC en tique nnisseur 'identité WS-Federation (IdP SAML) à ligne接口助手

Les section suivantes classées en fontion de la nécessité d ' efftuer Les étapes de配置。

Pour配置程序l ' authentication LDAP et ajouter une stratégie

重要的

Pour les utilisateurs de domaine, Pour se connecter à l 'appliance Citrix ADC à l 'aide de leurs地址e-mail d ' enterprise, vous devez configurer éléments suivants:

• 配置服务器和stratégie d ' authentication LDAP 'appliance Citrix ADC。
• Liez-la à votre address IP virtuelle d ' authentication, d 'autorisation et d 'audit (l 'utilisation d 'une configuration LDAP exists est également prise en charge)。

add authentication ldapAction  -serverIP  -serverPort 636 -ldapBase "cn=Users,dc=domain,dc=com" -ldapBindDn "cn=administrator,cn=Users,dc=domain,dc=com" -ldapBindDnPassword <管理员密码> -encrypted -encryptmethod ENCMTHD_3 - ldploginname sAMAccountName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute UserPrincipalName - followreferals ON -Attribute1 mail -Attribute2 objectGUID添加认证策略 -rule true -action  

为例

add authentication ldapAction CTXTEST_LDAP_Action -serverIP 3.3.3.3 -serverPort 636 -ldapBase "cn=Users,dc=ctxtest,dc=com" -ldapBindDn "cn=administrator,cn=Users,dc=ctxtest,dc=com" -ldapBindDnPassword xxxxxxxxxxx -encrypted -encryptmethod ENCMTHD_3 - ldploginname sAMAccountName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute UserPrincipalName - followreferals ON -Attribute1 mail -Attribute2 objectGUID add authentication Policy CTXTEST_LDAP_Policy -rule true -actionCTXTEST_LDAP_Action < !——NeedCopy >

Pour configure Citrix ADC en tant que fournisseur d 'identité WS-Federation ou IdP SAML

Créez une action et une stratégie WS-Federation IdP (SAML IdP) pour la génération de jetons。Liez-le au server virtuel d ' authentication, d 'autorisation和d 'audit ultérieurement。

add authentication samlIdPProfile  -samlIdPCertName  -assertionConsumerServiceURL "https://login.microsoftonline.com/login.srf" - samliissuername < ADFS Server中Office 365的发行者名称> -rejectUnsignedRequests OFF -audience urn:federation:MicrosoftOnline -NameIDFormat persistent -NameIDExpr "HTTP.REQ.USER.ATTRIBUTE(2)。B64ENCODE" -Attribute1 IDPEmail -Attribute1Expr "HTTP.REQ.USER.ATTRIBUTE(1)" add authentication samlIdPPolicy  -rule "HTTP.REQ.HEADER("referer").CONTAINS("microsoft") || true" -action  

为例

add authentication samlIdPProfile CTXTEST_SAMLIDP_Profile -samlIdPCertName ctxtest_newcert_2019 -assertionConsumerServiceURL "https://login.microsoftonline.com/login.srf" -samlIssuerName "http://ctxtest.com/adfs/services/trust/" -rejectUnsignedRequests OFF -audience urn:federation:MicrosoftOnline -NameIDFormat persistent -NameIDExpr "HTTP.REQ.USER.ATTRIBUTE(2)。B64ENCODE" -Attribute1 IDPEmail -Attribute1Expr "HTTP.REQ.USER.ATTRIBUTE(1)" add authentication samlIdPPolicy CTXTEST_SAMLIDP_Policy -rule "HTTP.REQ.HEADER("referer").CONTAINS("microsoft") || true"——NeedCopy >

为配置者提供服务器虚拟认证，授权和审计，认证者employés qui se connectent à Office365 à提供信息和识别企业

添加认证vserver  SSL  ' 

为例

添加认证vserver CTXTEST_AAA_VS SSL 192.168.1.0绑定认证vserver CTXTEST_AAA_VS -portaltheme RfWebUI 

提供更少的服务器虚拟认证和stratégie

绑定认证vserver  -policy  -priority 100 -gotoPriorityExpression NEXT绑定认证vserver  -policy  -priority 100 -gotoPriorityExpression NEXT 

为例

bind认证vserver CTXTEST_AAA_VS -policy CTXTEST_SAMLIDP_Policy -priority 100 -gotoPriorityExpression NEXT绑定认证vserver CTXTEST_AAA_VS -policy CTXTEST_LDAP_Policy -priority 100 -gotoPriorityExpression NEXT绑定ssl vserver CTXTEST_AAA_VS -certkeyName ctxtest_newcert_2019 

倒结构变化的内容

add cs action  -targetVserver  add cs policy  -rule "is_vpn_url || http.req.url.contains("/adfs/ls") || http.req.url.contains("/adfs/services/trust") || -action  

为例

add cs action CTXTEST_CS_Action -targetVserver CTXTEST_AAA_VS add cs policy CTXTEST_CS_Policy -rule "is_vpn_url || http.req.url.contains("/adfs/ls") || http.req.url.contains("/adfs/services/trust") || -action CTXTEST_CS_Action 

为服务器虚拟的利益交换à une stratégie

绑定cs vserver CTXTEST_CSVS -policyName CTXTEST_CS_Policy -priority 100