活动目录
Webアプリケーションプロキシの代わりにサードパーティのプロキシを使用する場合は,ADFSとWAPの統合ルールを指定するMS-ADFSPIPプロトコルをサポートする必要があります。ADFSPIPは,Active Directoryフェデレーションサービスと認証およびアプリケーションプロキシを統合し,その境界の外側にあるクライアントに対して,企業ネットワークの境界内にあるサービスへのアクセスを可能にします。
前提条件
プロキシサーバーとADFSファーム間の信頼関係を正常に確立するには,Citrix ADCアプライアンスで次の構成を確認します。
。SSLv3/TLS1。。
add ssl profile <新的ssl profile> -sniEnable ENABLED -ssl3 DISABLED -tls1 DISABLED -commonName < ADFS的FQDN >
SSLv3/TLS1 / SSLv3/TLS1 / SSLv3/TLS1。
设置ssl服务
-sslProfile ns_default_ssl_profile_backend 。。
设置vpn参数-backendServerSni ENABLED设置ssl参数-denySSLReneg NONSECURE——NeedCopy >
重要
ADFSサーバーに認証をオフロードする必要がある家庭领域发现(HRD)シナリオでは,Citrix ADCアプライアンスで認証とSSOの両方を無効にすることをお勧めします。
我非常喜欢你
。
adfsする——Citrix ADCサーバーは,クライアント証明書を登録して,ADFSサーバーとの信頼を確立します。信頼が確立されると,Citrix ADCアプライアンスは再起動後にユーザーの介入なしに信頼を再確立します。
証明書の有効期限が切れたら,ADFSプロキシプロファイルを再度削除して追加して,信頼を再確立する必要があります。
公開済みエンドポイントcitrix ADCアプライアンスは,ADFSサーバーの公開済みエンドポイントのリストを自動的に取得します。。
クライアント要求にヘッダーを挿入する——Citrix ADCアプライアンスがクライアント要求をトンネリングすると,ADFSPIPに関連するHTTPヘッダーがADFSサーバーに送信される際にパケットに追加されます。。。
- X-MS-Proxy
- X-MS-Endpoint-Absolute-Path
- X-MS-Forwarded-Client-IP
- X-MS-Proxy
- X-MS-Target-Role
- X-MS-ADFS-Proxy-Client-IP
エンドユーザーのトラフィックを管理する-。
注
思杰ADC。
ADFS
前提条件
CS(コンテキストスイッチング)サーバを,CSの背後にある認証,承認,および監査サーバを備えたフロントエンドとして構成します。。
add cs vserver
SSL 10.220.xxx。. xx 443 -cltTimeout 180 -AuthenticationHost -Authentication OFF -persistenceType NONE 添加cs动作<动作名称> -targetLBVserver
添加cs action
-targetLBVserver
添加cs策略
-rule " http.req.url.contains("/adfs/services/trust") || http.req.url.contains("federationmetadata/2007-06/federationmetadata.xml")"-action add cs policy
-rule "HTTP.REQ.URL.CONTAINS("/adfs/ls")"-action 绑定cs vserver
-policyName <策略名称> -priority 100 绑定cs vserver
-policyName <策略名称e2> -priority 110 绑定cs vserver
-lbvserver
Adfs ? ? ?。
添加服务
SSL 443 设置ssl服务
-sslProfile ns_default_ssl_profile_backend 。。
添加lb vserver
SSL 0.0.0.0 0
设置ssl vserver
-sslProfile ns_default_ssl_profile_frontend
。。
绑定lb vserver
ADFS。
- SSL CertKey。
- ADFSプロキシプロファイルを作成する
- 。
ADFSプロキシプロファイルで使用する秘密キーを使用してSSL証明書を作成する
。
添加SSL certkey -cert <证书路径> -key
注:。CLIを使用したADFSプロキシプロファイルの作成
。
add authentication adfsProxyProfile -serverUrl /> -username -password < admin用户密码> -certKeyName <在>之上创建的CertKey profile的名称
有,有,有,有,有。
プロファイル名:作成する发展署プロキシ・プロファイルの名前
ServerUrl——プロトコルとポートを含むADFSサービスの完全修飾ドメイン名。例:https://adfs.citrix.com
ユーザー名——ADFSサーバー上に存在する管理者アカウントのユーザー名
パスワード:ユーザー名として使用される管理者アカウントのパスワード
certKeyName -
CLIを使用してADFSプロキシプロファイルをロードバランシング仮想サーバーに関連付ける
ADFS展開では2つの負荷分散仮想サーバーがあります。1。ADFSプロキシプロファイルは,ADFSサーバーのフロントエンドである負荷分散仮想サーバーに関連付けられている必要があります。
。
set lb vserver < ADFS -proxy-lb> -adfsProxyProfile < ADFS代理配置文件名称>
ADFSPIPに対する信頼更新サポート
有効期限が近づいている既存の証明書の信頼を更新するか,既存の証明書が有効でない場合は,その信頼を更新できます。証明書の信頼の更新は,Citrix ADCアプライアンスとADFSサーバー間で信頼が確立された場合にのみ行われます。。
重要
(1)、(2)、(3)、(3)、(3)、(3)、(3)、(3)、(3)、(3)。
我的意思是,我的意思是,我的意思是,我的意思是,我的意思是。
- Citrix ADCアプライアンスは,信頼の更新のために,帖子要求で古い(シリアル化された信頼証明書)証明書と新しい(シリアル化された置換証明書)証明書の両方をADFSサーバーに送信します。
- 2 . ok, ok, ok, ok, ok, ok, ok, ok, ok。
- 信頼の更新が成功すると,Citrix ADCアプライアンスは状態を“ESTABLISHED_RENEW_SUCCESSとして更新します。信頼の更新が失敗した場合,状態は“ESTABLISHED_RENEW_FAILEDとして更新され,Citrix ADCアプライアンスは古い証明書を使用し続けます。
注
既にいくつかのADFSプロキシプロファイルにバインドされている場合は,証明書キーを更新できません。
i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i
。
set authentication adfsProxyProfile [-CertKeyName ]
例:
set authentication adfsProxyProfile adfs_2 -CertKeyName ca_cert1
Adfs
Windowsサーバー2016年以降,微软では,プロキシサーバー経由でADFSにアクセスするときにユーザーを認証する新しい方法が導入されました。これで,エンドユーザーは証明書を使用してログインできるようになり,パスワードを使用する必要がなくなります。
。。したがって,ADFSプロキシサーバーは,ADFSPIPプロトコルによるクライアント証明書の認証をサポートする必要があります。
Citrix ADCアプライアンスを使用してADFSの負荷分散を行う場合,ADFSサーバーでの証明書ベースの認証をサポートするには,証明書を使用してCitrix ADCアプライアンスにもログインする必要があります。これにより,Citrix ADCはユーザー証明書をADFSに渡して,ADFSサーバーにSSOを提供できるようになります。
。
クライアント証明書を使用してADFSサーバーのSSOを構成する
クライアント証明書を使用してADFSサーバーのSSOを構成するには,まずCitrix ADCアプライアンスでクライアント証明書の認証を構成する必要があります。。
。
添加认证certAction <动作名称>添加认证策略<策略名称> -rule <表达式> -action <动作名称>添加认证policyable <标签名称>绑定认证policylabel <标签名称> -policyName <策略名称> -priority<整数>
例:
add authentication certAction adfsproxy-cert add authentication Policy cert1 -rule TRUE -action adfsproxy-cert add authentication policyable certfactor bind authentication policylabel certfactor -policyName cert1 -priority 100
Citrix ADCアプライアンスでのクライアント証明書の構成の詳細については,”高度なポリシーを使用したクライアント証明書認証の構成”(英文)。