Citrix ADC

Web-Services-Verbundprotokoll

Web Services Federation (WS-Federation) ist ein Identitätsprotokoll, mit dem ein Security Token Service (STS) in einer Vertrauensdomäne Authentifizierungsinformationen an einen STS in einer anderen Vertrauensdomäne bereitstellen kann, wenn eine Vertrauensstellung zwischen den beiden Domänen besteht.

Vorteile der WS-Föderation

Der WS-Verbund unterstützt sowohl aktive als auch passive Clients, während SAML-IdP nur passive Clients unterstützt.

  • Aktive Clients sind native Microsoft-Clients wie Outlook- und Office-Clients (Word, PowerPoint, Excel und OneNote).
  • Passive Clients sind browserbasierte Clients wie Google Chrome, Mozilla Firefox und Internet Explorer.

Voraussetzungen für die Verwendung von Citrix ADC als WS-Verbund

Bevor Sie die Citrix ADC Appliance als ADFS-Proxy konfigurieren, überprüfen Sie Folgendes:

  • Active Directory
  • Domänen-SSL-Zertifikat.
  • Citrix ADC -SSL-Zertifikat und ADFS-Tokensignaturzertifikat auf ADFS-Server müssen identisch sein.

Wichtiger

SAML-IdP ist nun in der Lage, das WS-Federation-Protokoll zu verarbeiten. Daher müssen Sie den SAML-IdP konfigurieren, um WS-Verbund-IdP tatsächlich konfigurieren. Es wird keine Benutzeroberfläche angezeigt, die explizit WS-Federation erwähnt.

Features, die von Citrix ADC unterstützt werden, wenn sie als ADFS-Proxy und WS-Verbund-IdP konfiguriert sind

In der folgenden Tabelle sind Funktionen aufgeführt, die von der Citrix ADC Appliance unterstützt werden, wenn sie als ADFS-Proxy und WS-Verbund-IdP konfiguriert sind.

Funktionen Konfigurieren der Citrix ADC Appliance als ADFS-Proxy Citrix ADC als WS-Verbund-IdP Citrix ADC als ADFSPIP
Lastausgleich Ja Ja Ja
SSL-Beendigung Ja Ja Ja
Ratenbegrenzung Ja Ja Ja
Konsolidierung (reduziert den Platzbedarf von DMZ-Servern und spart öffentliche IP) Ja Ja Ja
Webanwendungs-Firewall (WAF) Ja Ja Ja
Authentifizierungsabladung auf Citrix ADC Appliance Nein Ja (aktive und passive Clients) Ja
Single Sign-On (SSO) Nein Ja (aktive und passive Clients) Ja
Mehrstufige Authentifizierung (nFactor) Nein Ja (aktive und passive Clients) Ja
Azure-Multi-Faktor-Authentifizierung Nein Ja (aktive und passive Clients) Ja
ADFS-Serverfarm kann vermieden werden Nein Ja Ja

Konfigurieren der Citrix ADC Appliance als WS-Verbund-IdP

Konfigurieren Sie Citrix ADC als WS-Federation IdP (SAML IdP) in einer DMZ-Zone. Der ADFS-Server wird zusammen mit dem AD-Domänencontroller im Back-End konfiguriert.

WS-Verbund-IdP

  1. Die Clientanforderung an Microsoft Office365 wird zur Citrix ADC Appliance umgeleitet.
  2. Der Benutzer gibt die Anmeldeinformationen für die Multifaktor-Authentifizierung ein.
  3. Citrix ADC validiert die Anmeldeinformationen mit AD und generiert ein Token nativ auf der Citrix ADC Appliance. Die Anmeldeinformationen werden für den Zugriff an Office365 übergeben.

Hinweis:

Die Unterstützung von WS-Verbund-IdP erfolgt nativ über die Citrix ADC Appliance im Vergleich zum F5 Networks Load Balancer.

Konfigurieren der Citrix ADC Appliance als WS-Federation-IdP (SAML-IdP) mit der CLI

Die folgenden Abschnitte werden nach der Anforderung für die Ausführung der Konfigurationsschritte kategorisiert.

So konfigurieren Sie die LDAP-Authentifizierung und fügen Sie eine Richtlinie hinzu

Wichtig

Für Domänenbenutzer müssen Sie Folgendes konfigurieren, um sich bei der Citrix ADC Appliance mithilfe ihrer Unternehmens-E-Mail-Adressen anzumelden:

  • Konfigurieren Sie den LDAP-Authentifizierungsserver und die Richtlinie auf der Citrix ADC Appliance.
  • Binden Sie es an Ihre Authentifizierungs-, Autorisierungs- und Überwachungs-IP-Adresse (die Verwendung einer vorhandenen LDAP-Konfiguration wird ebenfalls unterstützt).

  • add authentication ldapAction <Domain_LDAP_Action> -serverIP <Active Directory IP> -serverPort 636 -ldapBase "cn=Users,dc=domain,dc=com" -ldapBindDn "cn=administrator,cn=Users,dc=domain,dc=com" -ldapBindDnPassword <administrator password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute UserPrincipalName -followReferrals ON -Attribute1 mail -Attribute2 objectGUID
  • add authentication Policy <Domain_LDAP_Policy> -rule true -action <Domain_LDAP_Action>

Beispiel

  • add authentication ldapAction CTXTEST_LDAP_Action -serverIP 3.3.3.3 -serverPort 636 -ldapBase "cn=Users,dc=ctxtest,dc=com" -ldapBindDn "cn=administrator,cn=Users,dc=ctxtest,dc=com" -ldapBindDnPassword xxxxxxxxxxx -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute UserPrincipalName -followReferrals ON -Attribute1 mail -Attribute2 objectGUID
  • add authentication Policy CTXTEST_LDAP_Policy -rule true -action CTXTEST_LDAP_Action

So konfigurieren Sie Citrix ADC als WS-Verbund-IdP oder SAML-IdP

Erstellen Sie WS-Federation IdP (SAML IdP) Aktion und Richtlinie für die Token-Generierung. Binden Sie es an den Authentifizierungs-, Autorisierungs- und Überwachungsserver in einem späteren Stadium.

  • add authentication samlIdPProfile <Domain_SAMLIDP_Profile> -samlIdPCertName <SSL_CERT> -assertionConsumerServiceURL "https://login.microsoftonline.com/login.srf" -samlIssuerName <Issuer Name for Office 365 in ADFS Server> -rejectUnsignedRequests OFF -audience urn:federation:MicrosoftOnline -NameIDFormat persistent -NameIDExpr "HTTP.REQ.USER.ATTRIBUTE(2).B64ENCODE" -Attribute1 IDPEmail -Attribute1Expr "HTTP.REQ.USER.ATTRIBUTE(1)"
  • add authentication samlIdPPolicy <Domain_SAMLIDP_Policy> -rule "HTTP.REQ.HEADER(\"referer\").CONTAINS(\"microsoft\") || true" -action <Domain_SAMLIDP_Profile>

Beispiel

  • add authentication samlIdPProfile CTXTEST_SAMLIDP_Profile -samlIdPCertName ctxtest_newcert_2019 -assertionConsumerServiceURL "https://login.microsoftonline.com/login.srf" -samlIssuerName "http://ctxtest.com/adfs/services/trust/" -rejectUnsignedRequests OFF -audience urn:federation:MicrosoftOnline -NameIDFormat persistent -NameIDExpr "HTTP.REQ.USER.ATTRIBUTE(2).B64ENCODE" -Attribute1 IDPEmail -Attribute1Expr "HTTP.REQ.USER.ATTRIBUTE(1)"
  • add authentication samlIdPPolicy CTXTEST_SAMLIDP_Policy -rule "HTTP.REQ.HEADER(\"referer\").CONTAINS(\"microsoft\") || true" -action CTXTEST_SAMLIDP_Profile

So konfigurieren Sie den virtuellen Server für die Authentifizierung, Autorisierung und Überwachung für die Authentifizierung der Mitarbeiter, die sich bei Office365 mit den Anmeldeinformationen des Unternehmens anmelden

add authentication vserver <Domain_AAA_VS> SSL <IP_address>

Beispiel

  • add authentication vserver CTXTEST_AAA_VS SSL 192.168.1.0
  • bind authentication vserver CTXTEST_AAA_VS -portaltheme RfWebUI

So binden Sie den virtuellen Authentifizierungsserver und die Richtlinie

  • bind authentication vserver <Domain_AAA_VS> -policy <Domain_SAMLIDP_Policy> -priority 100 -gotoPriorityExpression NEXT
  • bind authentication vserver <Domain_AAA_VS> -policy <Domain_LDAP_Policy> -priority 100 -gotoPriorityExpression NEXT

Beispiel

  • bind authentication vserver CTXTEST_AAA_VS -policy CTXTEST_SAMLIDP_Policy -priority 100 -gotoPriorityExpression NEXT
  • bind authentication vserver CTXTEST_AAA_VS -policy CTXTEST_LDAP_Policy -priority 100 -gotoPriorityExpression NEXT
  • bind ssl vserver CTXTEST_AAA_VS -certkeyName ctxtest_newcert_2019

So konfigurieren Sie die Inhaltsumschaltung

  • add cs action <Domain_CS_Action> -targetVserver <Domain_AAA_VS>
  • add cs policy <Domain_CS_Policy> -rule "is_vpn_url || http.req.url.contains(\"/adfs/ls\") || http.req.url.contains(\"/adfs/services/trust\") || -action <Domain_CS_Action>

Beispiel

  • add cs action CTXTEST_CS_Action -targetVserver CTXTEST_AAA_VS
  • add cs policy CTXTEST_CS_Policy -rule "is_vpn_url || http.req.url.contains(\"/adfs/ls\") || http.req.url.contains(\"/adfs/services/trust\") || -action CTXTEST_CS_Action

So binden Sie Inhalte, die virtuellen Server an die Richtlinie wechseln

bind cs vserver CTXTEST_CSVS -policyName CTXTEST_CS_Policy -priority 100