Citrix ADC

Citrix ADC als Active Directory Verbunddienste-Proxy

Active Directory Verbunddienste (ADFS) sind ein Microsoft-Dienst, der SSO (Single Sign-On) für Active Directory-authentifizierte Clients auf Ressourcen außerhalb des Enterprise-Rechenzentrums ermöglicht. Eine ADFS-Serverfarm ermöglicht internen Benutzern den Zugriff auf externe Cloud-gehostete Dienste. Aber in dem Moment, in dem externe Benutzer in den Mix gebracht werden, müssen die externen Benutzer eine Möglichkeit erhalten, Remote-Verbindung herzustellen und auf cloudbasierte Dienste über Federated Identity zuzugreifen. Die meisten Unternehmen bevorzugen es nicht, den ADFS-Server in der DMZ verfügbar zu halten. Daher spielt ADFS-Proxy eine wichtige Rolle bei der Remotebenutzerkonnektivität und dem Anwendungszugriff.

Seit mehr als einem Jahrzehnt spielt die Citrix ADC Appliance ähnliche Rollen wie Remotebenutzerkonnektivität und Anwendungszugriff. Citrix ADC Appliance wird zur bevorzugten Lösung, die als ADFS-Proxy für die Unterstützung einer neuen ADFS-Implementierung verwendet werden kann, um die folgenden Dienste zu ermöglichen:

  • Sichere Konnektivität.
  • Authentifizierung und Behandlung von Federated Identity.

Weitere Informationen zu Citrix ADC als SAML-IdP finden Sie unterCitrix ADC als SAML-IdP.

Vorteile des ADFS-Proxy

  • Reduziert den Platzbedarf in DMZ, um den Bedarf der meisten Unternehmen gerecht zu werden.
  • Bietet eine SSO-Erfahrung für Endbenutzer.
  • Unterstützt umfassende Methoden für die Vorauthentifizierung und ermöglicht die Multifaktor-Authentifizierung.
  • Unterstützt sowohl aktive als auch passive Clients.

Voraussetzungen für die Verwendung von Citrix ADC als ADFS-Proxy

Bevor Sie die Citrix ADC Appliance als ADFS-Proxy konfigurieren, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind.

  • Eine Citrix ADC Appliance mit 12.1-Build oder höher.
  • Domänen-ADFS-Server.
  • Domänen-SSL-Zertifikat.
  • Virtuelle IP für den virtuellen Content Switching Server.
  • Aktivieren Sie Lastenausgleich, SSL-Abladung, Content-Umschaltung, Umschreiben und Authentifizierungs-, Autorisierungs- und Überwachungsfunktionen für den Datenverkehr auf der Citrix ADC Appliance.

Konfigurieren der Citrix ADC Appliance als ADFS-Proxy

Um diesen Anwendungsfall zu erreichen, konfigurieren Sie Citrix ADC als ADFS-Proxy in der DMZ-Zone. Der ADFS-Server wird zusammen mit dem AD-Domänencontroller im Back-End konfiguriert.

ADFS-Proxy

  1. Eine Clientanforderung für den Zugriff auf Microsoft Office365 wird an Citrix ADC umgeleitet, der als ADFS-Proxy bereitgestellt wird.

  2. Die Anmeldeinformationen des Benutzers werden an den ADFS-Server übergeben.

  3. ADFS-Server authentifiziert die Anmeldeinformationen mit lokalen AD der Domäne.

  4. ADFS-Server nach erfolgreicher Validierung der Anmeldeinformationen mit AD generiert ein Token, das an Microsoft Office365 für die Einrichtung der Sitzung übergeben wird.

Im Folgenden werden die High-Level-Schritte beschrieben, die bei der Konfiguration der Citrix ADC Appliance erforderlich sind, bevor Sie als ADFS-Proxy konfigurieren.

Geben Sie an der Citrix ADC Eingabeaufforderung die folgenden Befehle ein:

  1. Erstellen Sie ein SSL-Profil für das Back-End und aktivieren Sie SNI im SSL-Profil. Deaktivieren Sie SSLv3/TLS1.

    add ssl profile <new SSL profile> -sniEnable ENABLED -ssl3 DISABLED -tls1 DISABLED -commonName <FQDN of ADFS>

  2. Deaktivieren Sie SSLv3/TLS1 für den Dienst.

    set ssl service <adfs service name> -sslProfile ns_default_ssl_profile_backend

  3. Aktivieren Sie die SNI-Erweiterung für Back-End-Server-Handshakes.

    • set vpn parameter –backendServerSni ENABLED
    • set ssl parameter -denySSLReneg NONSECURE

Konfigurieren der Citrix ADC Appliance als ADFS-Proxy mit der CLI

Die folgenden Abschnitte werden nach der Anforderung für die Ausführung der Konfigurationsschritte kategorisiert.

So konfigurieren Sie den ADFS-Dienst

  1. Konfigurieren Sie den ADFS-Dienst auf Citrix ADC für ADFS-Server.

    add service <Domain_ADFS_Service> <ADFS Server IP> SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO

Beispiel

add service CTXTEST_ADFS_Service 1.1.1.1 SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO
  1. Konfigurieren Sie den FQDN für den virtuellen Content Switching Server und aktivieren Sie SNI.

    set ssl service <Domain_ADFS_Service> -SNIEnable ENABLED -commonName <sts.domain.com>

Beispiel

set ssl service CTXTEST_ADFS_Service -SNIEnable ENABLED -commonName sts.ctxtest.com

So konfigurieren Sie den virtuellen ADFS-Server für Lastenausgleich

Wichtig

Domänen-SSL-Zertifikat (SSL_CERT) ist für den sicheren Datenverkehr erforderlich.

  1. Konfigurieren Sie den virtuellen ADFS-Server für Lastenausgleich.

    add lb vserver <Domain_ADFS_LBVS> SSL <IP_address> -persistenceType NONE -cltTimeout 180

    Beispiel

    add lb vserver CTXTEST_ADFS_LBVS SSL 192.168.1.0 -persistenceType NONE -cltTimeout 180

  2. Binden Sie den ADFS-Lastenausgleichsserver an den ADFS-Dienst.

    bind lb vserver <Domain_ADFS_LBVS> <Domain_ADFS_Service>

    Beispiel

    bind lb vserver CTXTEST_ADFS_LBVS CTXTEST_ADFS_Service

  3. Binden Sie ein virtuelles SSL-Server-Zertifikatschlüsselpaar.

    bind ssl vserver <Domain_ADFS_LBVS> -certkeyName <SSL_CERT>

    Beispiel

    bind ssl vserver CTXTEST_ADFS_LBVS -certkeyName ctxtest_newcert_2019

So konfigurieren Sie den virtuellen Server zum Wechseln von Inhalten für die Domäne

Hinweis:

Eine freie virtuelle IP (z. B. 2.2.2.2), die auf öffentliche IP gewechselt wird, ist für den Content Switching virtueller Server erforderlich. Es muss sowohl für den externen als auch für den internen Datenverkehr erreichbar sein.

  1. Erstellen Sie einen Content Switching virtuellen Server mit kostenlosem VIP.

    add cs vserver <Domain_CSVS> SSL <FREE VIP> 443 -cltTimeout 180 -persistenceType NONE

    Beispiel

    add cs vserver CTXTEST_CSVS SSL 2.2.2.2 443 -cltTimeout 180 -persistenceType NONE

  2. Binden Sie den virtuellen Content Switching Server an den Lastenausgleich virtuellen Server.

    bind cs vserver <Domain_CSVS> -lbvserver <Domain_ADFS_LBVS>

    Beispiel

    • bind cs vserver CTXTEST_CSVS -lbvserver CTXTEST_ADFS_LBVS
    • set ssl vserver CTXTEST_CSVS -sessReuse DISABLED
  3. Binden Sie ein virtuelles SSL-Server-Zertifikatschlüsselpaar.

    bind ssl vserver <Domain_CSVS> -certkeyName <SSL_CERT>

    Beispiel

    bind ssl vserver CTXTEST_CSVS -certkeyName ctxtest_newcert_2019

Unterstützte Protokolle

Die von Microsoft bereitgestellten Protokolle spielen eine wichtige Rolle bei der Integration mit Citrix ADC Appliance. Citrix ADC als ADFS-Proxy unterstützt die folgenden Protokolle:

Hinweis:

Die Citrix ADC Appliance unterstützt keine Gerätezertifikatsauthentifizierung, wenn sie als ADFS-Proxy bereitgestellt wird.

Citrix ADC als Active Directory Verbunddienste-Proxy