Citrix ADC作为OAuth SP
身份验证,授权和审核流量管理功能支持OAuth身份验证,用于对托管在谷歌、Facebook和Twitter等应用程序上的应用程序进行身份验证。
注意事项
- 要使解决方案正常运行,需要Citrix ADC高级版及更高版本。
- Citrix ADC设备上的OAuth适用于符合“OpenID连接2.0”的所有SAML国内流离失所者。
使用配置实用程序oauth
配置oauth操作用和策略。
导航到“安全”>“AAA——应用程序流量”>“策略”>“身份验证”>“高级策略”>“策略”,创建以OAuth作为操作类型的策略,并将所需的OAuth操作与策略关联。
将OAuth策略与身份验证虚拟服务器关联。
导航到“安全”>“AAA——应用程序流量”>“虚拟服务器”,并将OAuth策略与身份验证虚拟服务器关联。
注意
可以在OAuth响应中提取属性(1到16)。目前不评估这些属性。它们被添加以供将来参考。
要使用命令行界面配置OAuth,请执行以下操作:* *
定义OAuth操作。
添加认证OAuthAction-authorizationEndpoint -tokenEndpoint [-idtokenDecryptEndpoint ] -clientID -clientSecret [-defaultAuthenticationGroup ][-tenantID ][-GraphEndpoint ][-refreshInterval ] [-CertEndpoint ][-audience ][-userNameField ][-skewTime ][-issuer ][-Attribute1 ][-Attribute2 ][-Attribute3 ]…<!——NeedCopy > 将操作与高级身份验证策略相关联。
add authentication Policy**-rule -action 示例:
添加身份验证oauthaction a -authorization endpoint https://example.com/ -tokenEndpoint https://example.com/ -clientid sadf -clientecret df
有关身份验证OAuthAction参数的更多信息,请参阅身份验证oAuth
注意
指定CertixPoint后,Citrix ADC设备
要将Citrix ADC配置为从该文件读取本地文件和解析密钥,引入了一个新的配置选项,如下所示:
设置认证OAuthAction <> -\*\*CertFilePath\*\* OAuth功能现在支持令牌API中从信赖方(RP)端以及Citrix网关和Citrix ADC的国内流离失所者端的以下功能。
pkce(代码交换的证明密钥)支持
支持client_assertion
OAuth身份验证的名称——值属性支持
现在,您可以使用唯一名称和值配置OAuth身份验证属性。名称在OAuth操作参数中配置为“属性”,并通过查询名称获取值。提取的属性存储在身份验证、授权和审核会话中。管理员可以根据指定属性名称的选择方法使用http.req.User.Attribute(“属性名称”)或http.req.user.attribute (1)查询这些属性。
通过指定属性的名称,管理员可以轻松地搜索与该属性名称关联的属性值。此外,管理员不再需要单独记住" attribute1到attribute16”。
重要
在OAuth命令中,您最多可以配置64个以逗号分隔的属性,总大小小于1024个字节。
注意
如果”属性1到属性16“的总值大小和属“性”中指定的属性的值不超过10 KB,则可以避免会话失败。
使用CLI配置名称 - 值属性
在命令提示符下,键入:
添加认证OAuthAction[-Attributes ] 设置身份验证oauthaction[-Attributes ]
示例:
添加认证OAuthAction a1 -attributes "email,company" -attribute1 email设置认证OAuthAction oAuthAct1 -attributes "mail,sn,userprincipalName"