In Authentifizierung, Autorisierung und Auditing des Anwendungsdatenverkehrs
In Citrix ADC 13.1
In Citrix ADC
In All products
Produktdokumentation
In Authentifizierung, Autorisierung und Auditing des Anwendungsdatenverkehrs
In Citrix ADC 13.1
In Citrix ADC
In All products
Citrix ADC
Current Release 13.0 12.1 11.1
PDF anzeigen

Citrix ADC als OAuth SP

August 19, 2021
Beigesteuert von: 
C

Die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion des Datenverkehrs unterstützt die OAuth-Authentifizierung, um Benutzer bei Anwendungen zu authentifizieren, die in Anwendungen wie Google, Facebook und Twitter gehostet werden.

Punkte zu beachten

  • Citrix ADC Advanced Edition und höher ist erforderlich, damit die Lösung funktioniert.
  • OAuth auf der Citrix ADC Appliance ist für alle SAML-IDPs qualifiziert, die mit “OpenID connect 2.0” kompatibel sind.

So konfigurieren Sie OAuth mithilfe des Konfigurationsdienstprogramms

  1. Konfigurieren Sie die OAuth-Aktion und -Richtlinie.

    Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie, erstellen Sie eine Richtlinie mit OAuth als Aktionstyp, und ordnen Sie der Richtlinie die erforderliche OAuth-Aktion zu.

  2. Ordnen Sie die OAuth-Richtlinie einem virtuellen Authentifizierungsserver zu.

    Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Server, und ordnen Sie die OAuth-Richtlinie dem virtuellen Authentifizierungsserver zu.

Hinweis:

Attribute (1 bis 16) können in der OAuth-Antwort extrahiert werden. Derzeit werden diese Attribute nicht ausgewertet. Sie werden für die zukünftige Referenz hinzugefügt.

So konfigurieren Sie OAuth mit der Befehlszeilenschnittstelle:**

  1. Definieren Sie eine OAuth-Aktion.

    add authentication OAuthAction <name> -authorizationEndpoint <URL> -tokenEndpoint <URL> [-idtokenDecryptEndpoint <URL>] -clientID <string> -clientSecret <string> [-defaultAuthenticationGroup <string>][-tenantID <string>][-GraphEndpoint <string>][-refreshInterval <positive_integer>] [-CertEndpoint <string>][-audience <string>][-userNameField <string>][-skewTime <mins>][-issuer <string>][-Attribute1 <string>][-Attribute2 <string>][-Attribute3 <string>]...
<!--NeedCopy-->

  2. Ordnen Sie die Aktion einer erweiterten Authentifizierungsrichtlinie zu.

    add authentication Policy** <name> -rule <expression> -action <string>
<!--NeedCopy-->

    Beispiel:

    add authentication oauthAction a -authorizationEndpoint https://example.com/ -tokenEndpoint https://example.com/ -clientiD sadf -clientsecret df

Weitere Informationen zur Authentifizierung von OAuthAction-Parametern finden Sie unter Authentifizierung OAuthAction.

Hinweis:

Wenn ein CertendPoint angegeben wird, fragt die Citrix ADC Appliance diesen Endpunkt mit der konfigurierten Häufigkeit ab, um die Schlüssel zu lernen.

Um einen Citrix ADC so zu konfigurieren, dass die lokale Datei gelesen und die Schlüssel aus dieser Datei analysiert werden, wird eine neue Konfigurationsoption wie folgt eingeführt:

set authentication OAuthAction <> -\*\*CertFilePath\*\* <path to local file with jwks>
<!--NeedCopy-->

Die OAuth-Funktion unterstützt jetzt die folgenden Funktionen in der Token-API von der Relying Party (RP) -Seite und von der IdP-Seite von Citrix Gateway und Citrix ADC.

  • Unterstützung für PKCE (Proof Key for Code Exchange)

  • Unterstützung für client_assertion

Name-Wert-Attributunterstützung für die OAuth-Authentifizierung

Sie können nun OAuth-Authentifizierungsattribute mit einem eindeutigen Namen zusammen mit den Werten konfigurieren. Die Namen werden im OAuth-Aktionsparameter entweder als Attribute konfiguriert und die Werte werden durch Abfrage der Namen abgerufen. Die extrahierten Attribute werden in Authentifizierungs-, Autorisierungs- und Überwachungssitzung gespeichert. Administratoren können diese Attribute entweder mithttp.req.user.attribute("attribute name") oderhttp.req.user.attribute(1) anhand der gewählten Methode zur Angabe von Attributnamen abfragen.

Durch die Angabe des Namens des Attributs können Administratoren problemlos nach dem Attributwert suchen, der diesem Attributnamen zugeordnet ist. Auch Administratoren müssen sich nicht mehr an das Attribut attribute1 to attribute16 erinnern.

Wichtig

In einem OAuth-Befehl können Sie maximal 64 durch Komma getrennte Attribute mit einer Gesamtgröße von weniger als 1024 Byte konfigurieren.

Hinweis:

Der Sitzungsfehler kann vermieden werden, wenn die Gesamtwertgröße von “Attribut 1 bis Attribut 16” und die in “Attribute” angegebenen Werte der Attribute nicht mehr als 10 KB betragen.

So konfigurieren Sie die Name-Wert-Attribute mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add authentication OAuthAction <name> [-Attributes <string>]
  • set authentication OAuthAction <name> [-Attributes <string>]

Beispiele:

  • add authentication OAuthAction a1 –attributes "email,company" –attribute1 email
  • set authentication OAuthAction oAuthAct1 -attributes "mail,sn,userprincipalName"
Citrix ADC als OAuth SP
August 19, 2021
Beigesteuert von: 
C
August 19, 2021
Beigesteuert von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Hinweise | Cookie-Einstellungen | Consent settings
© 1999- Citrix Systems, Inc. All rights reserved.