Active DirectoryフェデレションサビスプロキシとしてのCitrix ADC
Active Directoryフェデレーションサービス(ADFS)はエンタープライズデータセンター外のリソースに対するActive Directory認証クライアントのシングルサインオン(SSO)エクスペリエンスを可能にする微软のサービスです。ADFSサーバーファームを使用すると,内部ユーザーは外部クラウドでホストされるサービスにアクセスできます。しかし,外部ユーザーが混在する瞬間に,外部ユーザーにリモートで接続し,フェデレーションIDを介してクラウドベースのサービスにアクセスする方法を与える必要があります。ほとんどの企業は,adfsサバをDMZに公開したままにしておくことを望んでいません。したがって,ADFSプロキシは,リモートユーザーの接続とアプリケーションアクセスで重要な役割を果たします。
10年以上にわたり,Citrix ADCアプライアンスは,リモートユーザー接続とアプリケーションアクセスにおいて同様の役割を果たしています。Citrix ADCアプライアンスは、次のサービスを有効にする新しいADFS実装をサポートするためのADFSプロキシとして使用される推奨ソリューションになります。
- 安全な接続。
- フェデレションidの認証と処理。
SAML IdPとしてのCitrix ADCの詳細にいては,“SAML . IdP”IdPとしてのCitrix ADCを参照してください。
Adfsプロキシの利点
- dmzの設置面積を削減し,ほとんどの企業のニズに応えます。
- エンドユザにssoエクスペリエンスを提供します。
- 事前認証のための豊富な方法をサポトし,多要素認証を可能にします。
- アクティブクラ邮箱アントとパッシブクラ邮箱アントの両方をサポ邮箱トします。
Citrix ADCをADFSプロキシとして使用するための前提条件
Citrix ADCアプライアンスをADFSプロキシとして構成する前に,次の前提条件が満たされていることを確認します。
- 12.1以降のビルドを搭載したCitrix ADCアプラereplicationアンス。
- ドメopenstackンadfsサopenstackバopenstack。
- ドメ邮箱ンSSL証明書。
- コンテンスッチング仮想サ。
- Citrix ADCアプライアンスで,負荷分散,SSLオフロード,コンテンツスイッチング,書き換え,認証,承認,監査のトラフィック管理機能を有効にします。
Citrix ADCアプラereplicationアンスをADFSプロキシとして構成する
このユースケースを実現するには,DMZゾーンでADFSプロキシとしてCitrix ADCを構成します。ADFSサバは,バックエンドのADドメ控制器と共に構成されます。
微软Office365にアクセスするためのクライアント要求は,ADFSプロキシとして展開されたCitrix ADCにリダイレクトされます。
ユザの資格情報はadfsサバに渡されます。
Adfsサバは,ドメADで資格情報を認証します。
ADFSサーバーは,广告との資格情報の検証に成功すると,セッションを確立するために微软Office365に渡されるトークンを生成します。
以下に,ADFSプロキシとして構成する前にCitrix ADCアプライアンスを構成する手順の概要を示します。
Citrix ADCコマンドプロンプトで,次のコマンドを入力します。
バックエンドのSSLプロファopenstackルを作成し,SSLプロファopenstackルでsniを有効にします。SSLv3/TLS1を無効にします。
add ssl profile-sniEnable ENABLED -ssl3 DISABLED -tls1 DISABLED -commonName < ADFS的FQDN > サビスのSSLv3/TLS1を無効にします. txt
set ssl服务-sslProfile <在>步骤中创建的ssl配置文件 バックエンドサバハンドシェクのsni拡張を有効にします。
设置vpn参数-backendServerSni ENABLED设置ssl参数-denySSLReneg NONSECURE
CLIを使用して,Citrix ADCアプラereplicationアンスをADFSプロキシとして構成する
次の項は,設定手順を完了するための要件に基づいて分類されています。
Adfsサビスを構成するには.使用实例
ADFSサバ用のCitrix ADCでADFSサビスを構成します。
add serviceSSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO 例
add service CTXTEST_ADFS_Service 1.1.1.1 SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO
コンテンスのFQDNを構成し,sniを有効にします。
set ssl service-SNIEnable ENABLED -commonName . conf 例
设置ssl service CTXTEST_ADFS_Service -SNIEnable ENABLED -commonName sts.ctxtest.com
Adfs負荷分散仮想サバを構成するには.使用实例
重要
セキュリティで保護されたトラフィックには,ドメインSSL証明書(SSL_CERT)が必要です。
Adfs負荷分散仮想サバを構成します.使用实例
add lb vserverSSL -persistenceType NONE -cltTimeout 180 .使用实例 例
add lb vserver CTXTEST_ADFS_LBVS SSL 192.168.1.0 -persistenceType NONE -cltTimeout 180 .使用实例Adfs負荷分散仮想サバをAdfsサ。
bind lb vserver例
绑定lb vserver CTXTEST_ADFS_LBVS CTXTEST_ADFS_ServiceSSL仮想サバ証明書とキのペアをバンドします。
bind ssl vserver-certkeyName .使用实例 例
绑定ssl vserver CTXTEST_ADFS_LBVS -certkeyName ctxtest_newcert_2019
ドメ
注:
コンテンツスイッチング仮想サーバーには,パブリックIPにナットされている無料の仮想IP(2.2.2.2など)が1つ必要です。外部トラフィックと内部トラフィックの両方で到達可能である必要があります。
無料vipでコンテンス。
add cs vserverSSL 443 -cltTimeout 180 -persistenceType NONE 例
add cs vserver CTXTEST_CSVS SSL 2.2.2.2 443 -cltTimeout 180 -persistenceType NONEコンテンス。
bind cs vserver-lbvserver .使用实例 例
绑定cs vserver CTXTEST_CSVS -lbvserver CTXTEST_ADFS_LBVS禁用ssl vserver CTXTEST_CSVS -sessReuse
SSL仮想サバ証明書とキのペアをバンドします。
bind ssl vserver < domain_csv > -certkeyName.使用实例 例
绑定ssl vserver ctxtest_csv -certkeyName ctxtest_newcert_2019
サポトされているプロトコル
微软が提供するプロトコルは,Citrix ADCアプライアンスとの統合において重要な役割を果たします。ADFSプロキシとしてのCitrix ADCは,次のプロトコルをサポトしています。
- Wsフェデレション。詳細にいては,”Webサビスフェデレションプロトコルを参照してください。
- ADFSPIP。詳細にいては,”Active Directoryフェデレションサアンスを参照してください。
注
Citrix ADCアプライアンスは,ADFSプロキシとして展開されている場合,デバイス証明書認証をサポートしません。