ADFの展開
はじめに
このドキュメントでは,Citrix環境を微软ADFSと統合する方法について説明します。
ADFSは,多くの組織で単一の認証ポイントが必要なWebサイトへのセキュアなユーザーアクセスを管理するために使用されます。たとえば,従業員にとって利用可能な追加のコンテンツやダウンロードがある場合,これらの場所は,標準のWindowsログオン資格情報で保護する必要があります。
また,フェデレーション認証サービス(FAS:联合认证服务)では,Citrix网关およびCitrix店面をADFSのログオンシステムに統合できるため,企業担当者が混乱する可能性が減少します。
この展開で,Citrix网关は微软ADFSの証明書利用者として統合されます。
SAMLの概要
SAML(安全性断言标记语言:セキュリティアサーションマークアップランゲージ)は,シンプルな”ログオンページへのリダイレクト”を実現する,Webブラウザーのログオンシステムです。構成には次の項目が含まれます。
リダイレクトURL(シングルサインオンサービスURL]
ユーザー認証の必要があることをCitrix网关が検出すると,NetScalerはユーザーが使用するWebブラウザーに,ADFSサーバー上のSAMLログオンWebページにHTTP POSTを実行するよう指示します。このURLは通常,次の形式のhttps://アドレスです:https://adfs.mycompany.com/adfs/ls。
このWebページのPOSTには,ログオン完了時にADFSがユーザーを返す”リターンアドレス”などの情報も含まれます。
識別子 [発行者名/EntityID]
实体IDは、Citrix网关がADFに送信する邮递データに含まれる一意の識別子です。实体IDはADFに、ユーザーがどのサービスにログオンしようとしているかを知らせ、必要に応じてさまざまな認証ポリシーが適用されるようにします。発行されると、萨米尔認証XMLは、实体IDの識別したサービスへのログオンのみに使用されます。
通常,EntityIDはCitrix网关サーバーのログオンページのURLですが,一般的には,Citrix网关およびADFSから認められればどのようなURLも使用できます(例:https://ns.mycompany.com/application/logonpage)。
リターンアドレス [応答网址]
認証に成功すると,ADFSはユーザーのWebブラウザーに,EntityIDで構成された応答URLの1つに,SAML認証XMLをし后返すよう指示します。このURLは,通常は元のCitrix网关サーバー上での次の形式のhttps://アドレスです:https://ns.mycompany.com/cgi/samlauth。
構成された応答URLアドレスが複数ある場合,Citrix网关はADFSへの元の帖子内にある1つを選択できます。
署名証明書(IDP証明書]
ADFSは秘密キーを使用して,SAML認証XML BLOBに暗号で署名します。この署名を検証するには,Citrix网关を構成し,証明書ファイルに含まれる公開キーを使用して,これらの署名を確認する必要があります。証明書ファイルは,通常,ADFSサーバーから取得されるテキストファイルです。
シングルサインアウトURL(シングルログアウトURL]
ADFSおよびCitrix网关は”中央ログアウト”システムをサポートしています。これはCitrix网关がポーリングすることがあるURLであり,SAML認証XML BLOBが現在ログオン中のセッションをまだ示していることを確認します。
これは,構成する必要がないオプション機能です。このURLは通常,次の形式のhttps://アドレスです:https://adfs.mycompany.com/adfs/logout(シングルログオンURLと同じ場合があることに注意してください)。
構成
セクション”Citrix网关の展開“では,Citrix网关をセットアップし,標準的なLDAP認証オプションを処理する方法について説明します。これが正常に完了すると,SAML認証を許可するCitrix网关で,新しい認証ポリシーを作成することができます。その後,Citrix网关ウィザードで使用されたデフォルトのLDAPポリシーを置き換えることができます。
萨米尔ポリシーの記入
ADFS管理コンソールから前に取得した情報を使用して,新しいSAML IdPサーバーを構成します。このポリシーが適用されると,Citrix网关はログオンのためにユーザーをADFS-signedにリダイレクトし,ADFSの署名したSAML認証トークンを代わりに受け取ります。
