Citrix ADC Kerberos SSOの概要
Citrix ADC Kerberos SSO機能を使用するには,まずKerberosまたはサポートされているサードパーティ認証サーバーを使用して認証します。認証されると、ユは保護されたWebアプリケ。Webサーバーは,ユーザーがそのWebアプリケーションへのアクセスを許可されていることを証明する要求で応答します。ユーザーのブラウザーはKerberosサーバーに接続し,ユーザーがそのリソースにアクセスする権限があることを確認し,証明を提供するサービスチケットをユーザーのブラウザーに提供します。ブラウザは,サービスチケットが添付された状態でユーザーの要求をWebアプリケーションサーバーに再送信します。Webアプリケーションサーバーはサービスチケットを検証し,ユーザーがアプリケーションにアクセスできるようにします。
認証,認可,および監査トラフィック管理は,次の図に示すように,このプロセスを実装します。この図は、LDAP認証とKerberos認証を使用するセキュアなネットワーク上で,Citrix ADCアプライアンスを介した情報のフローと,認証,承認,監査トラフィック管理を示しています。他のタイプの認証を使用する認証,認可,および監査トラフィック管理環境では,基本的に同じ情報フローがありますが,詳細が異なる場合があります。
図1:LDAPとKerberosを使用するセキュアなネットワク
Kerberos環境での認証と認可を使用した認証,認可,および監査トラフィック管理では,次のアクションを実行する必要があります。
- クライアントは,Citrix ADCアプライアンス上のトラフィック管理仮想サーバーにリソース要求を送信します。
- トラフィック管理仮想サバは,要求を認証仮想サバに渡します。この仮想サ。
- トラフィック管理仮想サバは,クラeconアントの要求をWebアプリケバに送信します。
- Webアプリケーションサーバーは,Kerberos認証を要求する401授权メッセージでトラフィック管理仮想サーバーに応答し,クライアントがKerberosをサポートしていない場合はNTLM認証にフォールバックします。
- トラフィック管理仮想サバはKerberos SSOデモンに接続します。
- Kerberos SSOデーモンはKerberosサーバーに接続し,チケット許可チケット(TGT)を取得します。これにより,保護されたアプリケションへのアクセスを許可するサビスチケットを要求できます。
- Kerberos SSOデーモンは,ユーザのサービスチケットを取得し,そのチケットをトラフィック管理仮想サーバに送信します。
- トラフィック管理仮想サーバーは,チケットをユーザーの最初の要求にアタッチし,変更された要求をWebアプリケーション・サーバーに送信します。
- Webアプリケションサバは200 OKメッセ。
これらのステップはクラ邮箱アントに対して透過的です。クラアントは要求を送信し,要求されたリソスを受信するだけです。
認証方法を使用したCitrix ADC Kerberos SSOの統合
すべての認証,承認,および監査トラフィック管理認証メカニズムは,Citrix ADC Kerberos SSOをサポートしています。認証,承認,監査のトラフィック管理では,Kerberos, CAC(スマートカード),SAML認証メカニズムを使用したKerberos SSOメカニズムがサポートされ,Citrix ADCアプライアンスに対する任意の形式のクライアント認証がサポートされます。また,クライアントがHTTP基本認証またはフォームベースの認証を使用してCitrix ADCアプライアンスにログオンする場合,HTTPベーシック,HTTPダイジェスト,フォームベース,およびNTLM(バージョン1および2)のSSOメカニズムもサポートされます。
次の表に,サポートされている各クライアント側の認証方法と,そのクライアント側の認証方法でサポートされているサーバー側の認証方法を示します。
表1.サポトされている認証方法
基本/ダジェスト/ ntlm . xml | Kerberos制約付き委任 | ユザなりすまし | |
---|---|---|---|
Cac(スマトカド):ssl / t lsレ | ○ | ○ | |
フォムベス(ldap / radius / acacs) | ○ | ○ | ○ |
HTTP基本(ldap / radius / acacs) | ○ | ○ | ○ |
kerberos | ○ | ||
NT LM v1 / v2 | ○ | ○ | |
SAML | ○ | ||
Saml 2要素 | ○ | ○ | ○ |
証明書の2ファクタ | ○ | ○ | ○ |