OAuth SPとしてのCitrix ADC
認証,承認,および監査トラフィック管理機能は,谷歌、Facebook、Twitterなどのアプリケーションでホストされているアプリケーションに対してユーザーを認証するためのOAuth認証をサポートします。
注意事項
- ソリューションが機能するには,Citrix ADC以高级版上が必要です。
- Citrix ADCアプライアンス上のOAuthは,“OpenIDコネクト2.0”に準拠しているすべてのSAML IdPに対して認定されています。
重要:
セッションの有効期限が切れると,コンテンツが多いWebサイトが複数の認証要求を送信すると,Citrix ADCアプライアンスがCSRFエラーで応答することがあります。回避策として,OAuthポリシーを設定するときに,メインエントリポイントであるホスト名とパスの両方に対してポリシーが設定されていることを確認することをお勧めします。
GUIを使用してOAuthを設定する
OAuthアクションとポリシーを設定します。
[セキュリティ]> [AAA -アプリケーショントラフィック]>[ポリシー]>[認証]>[高度なポリシー] >[ポリシー]に移動し,アクションタイプとしてOAuthを使用してポリシーを作成し,必要なOAuthアクションをポリシーに関連付けます。
OAuthポリシーを認証仮想サーバーに関連付けます。
[セキュリティ]> [aaa -アプリケーショントラフィック]>[仮想サーバに移動し,OAuthポリシーを認証仮想サーバに関連付けます。
注:
属性(1 ~ 16)はOAuthレスポンスで抽出できます。現在,これらの属性は評価されません。これらは将来の参照のために追加されます。
CLIを使用してOAuthを設定する
OAuthアクションを定義します。
添加认证OAuthAction
-authorizationEndpoint -tokenEndpoint [-idtokenDecryptEndpoint ] -clientID -clientSecret [-defaultAuthenticationGroup ][-tenantID ][-GraphEndpoint ][-refreshInterval ] [-CertEndpoint ][-audience ][-userNameField ][-skewTime ][-issuer ][-Attribute1 ][-Attribute2 ][-Attribute3 ] アクションを高度な認証ポリシーに関連付けます。
添加认证策略
-rule -action 例:
添加认证oauthAction a -authorizationEndpoint https://example.com/ -tokenEndpoint https://example.com/ -clientiD sadf -clientsecret df
認証OAuthActionパラメータの詳細については,”認証OAuthActionを参照してください。
注:
CertendPointが指定されると,Citrix ADCアプライアンスは構成された頻度でそのエンドポイントをポーリングしてキーを学習します。
ローカルファイルを読み取り,そのファイルからキーを解析するようにCitrix ADCを構成するために,次のような新しい構成オプションが導入されました。
设置认证OAuthAction <> -CertFilePath < jwks的本地文件路径>
OAuth機能は,証明書利用者側(RP)側およびCitrix网关およびCitrix ADCのIdP側からのトークンAPIで次の機能をサポートするようになりました。
pkce(コード交換のための証明キー)のサポート
Client_assertionのサポート
OAuth認証に対する名前と値の属性のサポート
OAuth認証属性に一意の名前と値を設定できるようになりました。名前は OAuth アクションパラメーターで「Attributes」として設定され、名前はクエリーによって取得されます。抽出された属性は、認証、認可、および監査セッションに保存されます。管理者は、選択した属性名の指定方法に基づいて、http.req.user。属性(属性名称)
またはhttp.req.user.attribute (1)
を使用して,これらの属性をクエリできます。
属性の名前を指定することで,管理者はその属性名に関連付けられている属性値を簡単に検索できます。また,管理者は" attribute1 attribute16”を番号だけで覚えておく必要がなくなりました。
重要
OAuthコマンドでは,最大64個の属性をカンマで区切って設定でき,合計サイズは1024バイト未満です。
注
“属性1から属性16“の合計値サイズと属“性”で指定された属性の値が10 KB以下であれば,セッションの失敗を回避できます。
Cliを使用して名前と値の属性を設定するには
コマンドプロンプトで入力します。
add authentication OAuthAction [-Attributes ] set authentication OAuthAction [-Attributes ]
例:
添加认证OAuthAction a1 -attributes“email,company”-attribute1 email set authentication OAuthAction oAuthAct1 -attributes“mail,sn,userprincipalName”