オンプレミスCitrix GatewayをIDプロバCitrix GatewayダとしてCitrix Cloudに使用
Citrix云では,オンプレミスのCitrix网关をIDプロバイダーとして使用してワークスペースにサインインする利用者が認証されるようにできます。
Citrix Gateway認証を使用すると,以下のことを実行できます:
- 引き続き,既存のCitrix网关でユーザーを認証するため,Citrix工作区経由でオンプレミスの虚拟应用程序和桌面のリソースにアクセスできます。
- Citrix工作区では,Citrix网关の認証,承認,および監査機能を使用します。
- パススルー認証,スマートカード,セキュアトークン,条件付きアクセスポリシー,フェデレーション,その他多くの機能を使用しながら,ユーザーに必要なリソースへのCitrix工作区経由のアクセスを提供できます。
Citrix Gateway認証は,次の製品バジョンでの使用がサポトされています:
- Citrix Gateway 13.0 41.20高级版以降
- Citrix Gateway 12.1 54.13高级版以降
前提条件
クラウドコネクタcitrix云连接器ソフトウェアをインストールするには,少なくとも2台のサーバーが必要です。
活动目录-必要なチェックを実行します。
Citrix Gatewayの要件
クラシックポリシの非推奨のため,オンプレミスゲ。
Citrix工作区へのサブスクライバを認証するためにゲートウェイを構成する場合,ゲートウェイはOpenID连接プロバイダーとして機能します。Citrix云と网关間のメッセージはOIDCプロトコルに準拠し,デジタル署名トークンが含まれます。したがって,これらのトクンに署名するための証明書を構成する必要があります。
クロック同期-ゲ。
詳しくは,”前提条件を参照してください。
オンプレミスのCitrix GatewayでOAuthIdPポリシを作成します
重要:
Citrix云>[アイデンティティおよびアクセス管理]>[認証]タブで,クライアントID,シークレット,およびリダイレクトURLを生成しておく必要があります。詳細にいては,”オンプレミスのCitrix GatewayをCitrix Cloudに接続するを参照してください。
OAuth IdP認証ポリシの作成には,次のタスクが含まれます。
OAuth IdPプロファルを作成します。
OAuth IdPポリシを追加します。
OAuth IdPポリシを認証仮想サバにバ。
証明書をグロバルにバ。
CLIを使用したOAuth IdPプロファereplicationルの作成
コマンドプロンプトで次を入力します。
add authentication OAuthIDPProfile [-clientID ][-clientSecret][-redirectURL ][-issuer ][-audience ][-skewTime ] [-defaultAuthenticationGroup ] add authentication OAuthIdPPolicy -rule [-action [- underdefaction ][-comment ][-logAction ] add authentication ldapAction -serverIP -ldapBase "dc=aaa,dc=local" ldapBindDn -ldapBindDnPassword -ldapLoginName .sAMAccountName add authentication policy -rule -action bind authentication vserver auth_vs -policy -priority -gotoPriorityExpression NEXT bind authentication vserver auth_vs -policy -priority -gotoPriorityExpression END bind vpn global -certkey <>
图形界面を使用したOAuth IdPプロファルの作成
セキュリティ> AAA -アプリケーショントラフィック>ポリシー>認証>高度なポリシー> OAuth国内流离失所者に移動します。
!
Oauth-IDP-navigation
) (/ en - us / citrix-adc /媒体/ oauth-navigation-to-idp.png)OAuth国内流离失所者ペジで,[プロファ邮箱ル]タブを選択し,[追加をクリックします。
OAuth IdPプロファルを設定します。
注:
Citrix云>[アイデンティティとアクセス管理]>[認証]タブからクライアントID,シークレット,およびリダイレクトURLの値をコピーして貼り付けて,思杰云への接続を確立します。
発行者名の例にゲトウェ网址:を正しく入力します。https://GatewayFQDN.com
また,クラ邮箱アントidを[オディエンスフィルドにもコピして貼り付けます。
パスワドを送信:シングルサンオンサポトの場合,このオプションを有効にします。デフォルトでは,このオプションは無効になっています。
[認証OAuth IDPプロファルの作成画面で,次のパラメタの値を設定し,[作成をクリックします。
的名字:認証プロファ邮箱ルの名前。文字,数字,またはアンダースコア文字(_)で始まり,文字,数字,ハイフン(-),ピリオド(.)ポンド(#),スペース(),アットマーク(@),等号(=),コロン(:),およびアンダースコア文字のみを含める必要があります。プロファ邮箱ルの作成後は変更できません。
- クラ邮箱アントid: spを識別する一意の文字列。認可サバは,このidを使用してクラ。最大長:127。
- 客户的秘密—ユザと認可サバによって確立されたシクレット文字列。最大長:239
- リダ邮箱レクトurl—コド/トsp上のエンドポ。
- 発行者名—トクンが受け入れられるサバ。最大長:127。例:https://GatewayFQDN.com
- オディエンス—IdPによって送信されるトクンのタゲット受信者。これは受信者がチェックするかもしれません。
- スキュ時間:このオプションは,Citrix ADCが受信トークンで許可するクロックスキューを分単位で指定します。たとえば,SkewTime が 10 の場合、トークンは (現在の時刻-10) 分から (現在時刻 + 10) 分、つまり 20 分まで有効です。デフォルト値:5。
- デフォルト認証グルプ: nFactorフローで使用できるIdPによってこのプロファイルが選択されたときに,セッション内部グループリストに追加されるグループ。証明書パティ関連のnFactorフロを識別するための認証ポリシの式IS_MEMBER_OF (" xxx "))で使用できます。最大長:63
ポリシー評価を簡素化し,ポリシーのカスタマイズに役立つように,このプロファイルのセッションにグループが追加されます。これは,抽出されたグルプに加えて認証が成功したときに選択されるデフォルトグルプです。最大長:63。
!
Oauth-IDP-profile-parameters
) (/ en - us / citrix-adc /媒体/ oauth-idp-profile.png)[ポリシ]をクリックし,[追加]をクリックします。
[認証OAuth IDPポリシの作成画面で,次のパラメタの値を設定し,[作成をクリックします。
- 的名字—認証ポリシの名前。
- 行动—以前に作成されたプロファ邮箱ルの名前。
- 日志操作—リクエストがこのポリシに一致する場合に使用するメッセジログアクションの名前。必須の提出ではありません。
- 未定义结果アクション输出说明:ポリシ評価の結果が未定義(undef)である場合に実行するアクション。必須フィルドではありません。
- 表达式—ポリシが特定の要求に応答するために使用するデフォルトの構文式。たとえば,真です。
- コメント—ポリシに関するコメント。
!
Oauth-IDP-policy
) (/ en - us / citrix-adc /媒体/ oauth-idp-policy.png)
注:
SendPasswordがオン(デフォルトではオフ)に設定されている場合,ユーザー資格情報は暗号化され,安全なチャネルを介してCitrix云に渡されます。セキュリティで保護されたチャネルを介してユーザー資格情報を渡すと,起動時にCitrix虚拟应用程序和桌面へのSSOを有効にできます。
OAuthIdPポリシとLDAPポリシ
設定>セキュリティ> AAAアプリケーショントラフィック>ポリシー>認証>詳細ポリシー>アクション> LDAPに移動します。
[Ldapアクション]画面で,[追加をクリックします。
[認証ldapサバの作成画面で,次のパラメタの値を設定し,[作成をクリックします。
- 的名字,Ldapアクションの名前
- サバ名/サバIP -LdapサバのFQDNまたはIPを指定します。
- [セキュリティタイプ],[ポート],[サーバータイプ],[タイムアウトの適切な値を選択する
- [認証]がオンになっていることを確認します
- ベスdn:Ldap検索を開始する基本。たとえば,
dc = aaa, dc =当地
などです。 - 管理者バ邮箱ンドdn:Ldapサバへのバ。たとえば,admin@aaa.local。
- 管理者パスワド/パスワドの確認:ldapをバ
- [接続のテストをクリックして,設定をテストします。
- サバログオン名属性:“samAccountName”を選択します。
- その他のフィルドは必須ではないため,必要に応じて設定できます。
設定>セキュリティ> AAAアプリケーショントラフィック>ポリシー>認証>詳細ポリシー>ポリシーにナビゲートして下さい。
[認証ポリシ]画面で,[追加をクリックします。
[認証ポリシの作成ペジで,次のパラメタの値を設定し,[作成]をクリックします。
- 的名字,Ldap認証ポリシの名前。
- [アクションタアクションタ]-[Ldap]を選択します。
- [アクション]-Ldapアクションを選択します。
- 表达-ポリシが特定の要求に応答するために使用するデフォルトの構文式。たとえば,真**です。
Citrix Gatewayでのアクティブ/アクティブGSLB展開のサポト
OIDCプロトコルを使用してアイデンティティプロバイダ(IdP)として構成されたCitrix网关は,アクティブ/アクティブGSLB展開をサポートできます。Citrix网关IdPでのアクティブ/アクティブGSLB展開では,複数の地理的ロケーションで受信したユーザーログイン要求を負荷分散できます。
重要
セキュリティを強化するために,CA証明書をSSLサービスにバインドし,SSLサービスで証明書検証を有効にすることをお勧めします。
GSLBセットアップの設定の詳細にいては,GSLB . exeのセットアップと設定の例を参照してください。