StyleBook-Konfiguration

Microsoft ADFS-Proxy-StyleBook

Der Microsoft™ ADFS-Proxy spielt eine wichtige Rolle, da er Single Sign-On-Zugriff sowohl für interne verbundfähige Ressourcen als auch für Cloud-Ressourcen gewährt. Ein solches Beispiel für Cloud-Ressourcen ist Office 365. Der Zweck des ADFS-Proxyservers besteht darin, Anfragen zu empfangen und an ADFS-Server weiterzuleiten, auf die nicht über das Internet zugegriffen werden kann. Der ADFS-Proxy ist ein Reverse-Proxy und befindet sich normalerweise im Umkreisnetzwerk (DMZ) Ihrer Organisation. Der ADFS-Proxy spielt eine entscheidende Rolle bei der Remote-Benutzerkonnektivität und dem Anwendungszugriff.

Citrix ADC verfügt über die genaue Technologie, um sichere Konnektivität, Authentifizierung und Verarbeitung der föderierten Identität zu ermöglichen. Durch die Verwendung von Citrix ADC als ADFS-Proxy entfällt die Notwendigkeit, eine zusätzliche Komponente in der DMZ bereitzustellen.

Mit dem Microsoft ADFS Proxy StyleBook in Citrix ADM können Sie einen ADFS-Proxyserver auf einer Citrix ADC-Instanz konfigurieren.

Die folgende Abbildung veranschaulicht die Bereitstellung einer Citrix ADC-Instanz als ADFS-Proxyserver in der Unternehmens-DMZ.

Bereitstellen einer ADC-Instanz als ADFS-Proxy

Vorteile der Verwendung von Citrix ADC als ADFS-Proxy

  1. Erfüllt sowohl Load Balancing als auch ADFS-Proxy-Anforderungen
  2. Unterstützt sowohl interne als auch externe Benutzerzugriffsszenarien
  3. Unterstützt umfangreiche Methoden für die Vorauthentifizierung
  4. Bietet ein einmaliges Anmelden für Benutzer
  5. Unterstützt sowohl aktive als auch passive Protokolle
    1. Beispiele für aktive Protokoll-Apps sind — Microsoft Outlook, Microsoft Skype for Business
    2. Beispiele für passive Protokoll-Apps sind: Microsoft Outlook-Webanwendung, Webbrowser
  6. Gehärtetes Gerät für DMZ-basierte Bereitstellung
  7. Mehrwert durch die Verwendung zusätzlicher Citrix ADC-Kernfunktionen
    1. Content Switching
    2. SSL-Offload
    3. Rewrite
    4. Sicherheit (Citrix ADC AAA)

Für aktive protokollbasierte Szenarien können Sie eine Verbindung zu Office 365 herstellen und Ihre Anmeldeinformationen angeben. Microsoft Federation Gateway kontaktiert den ADFS-Dienst (über ADFS-Proxy) im Namen des aktiven Protokollclients. Das Gateway übermittelt dann die Anmeldeinformationen unter Verwendung der Standardauthentifizierung (401). Citrix ADC verarbeitet die Clientauthentifizierung vor dem Zugriff auf den ADFS-Dienst. Nach der Authentifizierung stellt der ADFS-Dienst dem Federation Gateway ein SAML-Token zur Verfügung. Das Federation Gateway wiederum sendet das Token an Office 365, um den Clientzugriff zu ermöglichen.

Für passive Clients erstellt das ADFS Proxy StyleBook ein Kerberos Constrained Delegation (KCD) -Benutzerkonto. Das KCD-Konto ist für die Kerberos-SSO-Authentifizierung erforderlich, um eine Verbindung zu den ADFS-Servern herzustellen. Das StyleBook generiert auch eine LDAP-Richtlinie und eine Sitzungsrichtlinie. Diese Richtlinien werden später an den virtuellen Citrix ADC AAA-Server gebunden, der die Authentifizierung für passive Clients abwickelt.

Das StyleBook kann auch sicherstellen, dass die DNS-Server auf dem Citrix ADC für ADFS konfiguriert sind.

Im folgenden Konfigurationsabschnitt wird beschrieben, wie Sie Citrix ADC für die Verarbeitung der aktiven und passiven protokollbasierten Clientauthentifizierung einrichten.

Konfigurationsdetails

In der folgenden Tabelle sind die mindestens erforderlichen Softwareversionen aufgeführt, damit diese Integration erfolgreich bereitgestellt werden kann.

Produkt Erforderliche Mindestversion
Citrix ADC 11.0, Advanced/Premium-Lizenz

In den folgenden Anweisungen wird davon ausgegangen, dass Sie bereits die entsprechenden externen und internen DNS-Einträge erstellt haben.

Bereitstellen von Microsoft ADFS-Proxy-StyleBook-Konfigurationen von Citrix ADM

Die folgenden Anweisungen helfen Ihnen bei der Implementierung des Microsoft ADFS-Proxys StyleBook in Ihrem Unternehmensnetzwerk.

So stellen Sie Microsoft ADFS Proxy StyleBook bereit

  1. Navigieren Sie in Citrix ADM zu Anwendungen > Konfiguration > StyleBooks. Auf der Seite StyleBooks werden alle StyleBooks angezeigt, die für Ihre Verwendung in Citrix ADM verfügbar sind.

  2. Scrollen Sie nach unten und suchen Sie den Microsoft ADFS-Proxy Style Klicken Sie auf Konfiguration erstellen. Das StyleBook wird als Benutzeroberflächenseite geöffnet, auf der Sie die Werte für alle in diesem StyleBook definierten Parameter eingeben können.

  3. Geben Sie Werte für die folgenden Parameter ein:
    1. Name der ADFS-Proxybereitstellung Wählen Sie einen Namen für die in Ihrem Netzwerk bereitgestellte ADFS-Proxykonfiguration aus.
    2. ADFS-Server-FQDNs oder IPs. Geben Sie die IP-Adressen oder FQDNs (Domänennamen) aller ADFS-Server im Netzwerk ein.
    3. Öffentliche VIP-IP des ADFS-Proxy. Geben Sie die öffentliche virtuelle IP-Adresse auf dem Citrix ADC ein, der als ADFS-Proxyserver ausgeführt wird.

    Angeben von ADFS-Paramet

  4. Geben Sie im Abschnitt ADFS-Proxyzertifikate die Details des SSL-Zertifikats und des Zertifikatsschlüssels ein.

    Dieses SSL-Zertifikat ist an alle virtuellen Server gebunden, die auf der Citrix ADC-Instanz erstellt wurden.

    Wählen Sie die entsprechenden Dateien aus Ihrem lokalen Speicherordner aus. Sie können auch das Kennwort für den privaten Schlüssel eingeben, um verschlüsselte private Schlüssel im PEM-Format zu laden.

    Festlegen von ADFS-Proxy-Zertifik

    Sie können auch das Kontrollkästchen Erweiterte Zertifikateinstellungen aktivieren. Hier können Sie Details wie den Benachrichtigungszeitraum für den Ablauf des Zertifikats eingeben, die Überwachung des Zertifikatsablaufes aktivieren oder deaktivieren.

  5. Optional können Sie das Kontrollkästchen SSL-CA-Zertifikat aktivieren, wenn für das SSL-Zertifikat ein öffentliches CA-Zertifikat auf Citrix ADC installiert sein muss. Stellen Sie sicher, dass Sie im Abschnitt Erweiterte Zertifikatseinstellungen die Option “Ist ein CA-Zertifikat “ auswählen.

  6. Aktivieren Sie die Authentifizierung für aktive und passive Clients. Geben Sie den in Active Directory für die Benutzerauthentifizierung verwendeten DNS-Domänennamen ein. Sie können dann die Authentifizierung entweder für aktive oder passive Clients oder für beide konfigurieren.

  7. Geben Sie die folgenden Details ein, um die Authentifizierung für aktive Clients zu aktivieren:

    Hinweis

    Es ist optional, die Unterstützung für aktive Clients zu konfigurieren.

    1. Aktive Authentifizierung des ADFS-Proxys Geben Sie die virtuelle IP-Adresse des virtuellen Authentifizierungsservers auf der Citrix ADC-Instanz ein, in der die aktiven Clients zur Authentifizierung umgeleitet werden.

    2. Benutzername des Dienstkontos Geben Sie den Benutzernamen des Dienstkontos ein, der von Citrix ADC zur Authentifizierung Ihrer Benutzer beim Active Directory verwendet wird.

    3. Kennwort für das Dienstkonto. Geben Sie das Kennwort ein, das von Citrix ADC verwendet wird, um Ihre Benutzer beim Active Directory zu authentifizieren.

    Details zur ADFS-Authentifizierung angeben

  8. Konfigurieren Sie die Authentifizierung für passive Clients, indem Sie die entsprechende Option aktivieren und die LDAP-Einstellungen konfigurieren.

    Hinweis

    Es ist optional, die Unterstützung für passive Clients zu konfigurieren.

    Geben Sie die folgenden Details ein, um die Authentifizierung für passive Clients zu aktivieren:

    1. LDAP-Basis (Active Directory). Geben Sie den Basisdomänennamen für die Domäne ein, in der sich die Benutzerkonten im Active Directory (AD) befinden, um die Authentifizierung zu ermöglichen. Zum Beispiel dc=netscaler,dc=com

    2. LDAP (Active Directory) Bindet DN. Fügen Sie ein Domänenkonto hinzu (unter Verwendung einer E-Mail-Adresse zur Vereinfachung der Konfiguration), das über Berechtigungen zum Durchsuchen der AD-Struktur verfügt. Zum Beispiel, cn=Manager,dc=netscaler,dc=com

    3. LDAP (Active Directory) Bindet DN Kennwort. Geben Sie das Kennwort des Domänenkontos für die Authentifizierung ein.

      Einige andere Felder, die Sie in die Werte in diesem Abschnitt eingeben müssen, lauten wie folgt:

    4. LDAP-Server-IP (Active Directory). Geben Sie die IP-Adresse des Active Directory-Servers ein, damit die AD-Authentifizierung ordnungsgemäß funktioniert.

    5. FQDN-Name des LDAP-Servers Geben Sie den FQDN-Namen des Active Directory-Servers ein. Der FQDN-Name ist optional. Geben Sie die IP-Adresse wie in Schritt 1 oder den FQDN-Namen an.

    6. Active Directory-Port für LDAP-Server. Standardmäßig sind die TCP- und UDP-Ports für das LDAP-Protokoll 389, während der TCP-Port für Secure LDAP 636 ist.

    7. LDAP-Anmeldebenutzername (Active Directory). Geben Sie den Benutzernamen als “sAMAccountName” ein.

    8. ADFS Proxy Passive Authentifizierung VIP. Geben Sie die IP-Adresse des virtuellen ADFS-Proxyservers für passive Clients ein.

      Hinweis:

      Die mit * gekennzeichneten Felder sind Pflichtfelder.

    Passive Client-Authentifizierung aktivieren 1

    Passive Client-Authentifizierung aktivieren 2

  9. Optional können Sie auch eine DNS-VIP für Ihre DNS-Server konfigurieren.

    Konfigurieren von DNS-VIP für DNS-Server

  10. Klicken Sie auf Zielinstanzen, und wählen Sie die Citrix ADC-Instanzen aus, um diese Microsoft ADFS-Proxykonfiguration bereitzustellen. Klicken Sie auf Erstellen, um die Konfiguration zu erstellen und die Konfiguration auf den ausgewählten Citrix ADC-Instanzen bereitzustellen.

    Zielinstanzen hinzufügen

Hinweis

Citrix empfiehlt, dass Sie vor dem Ausführen der eigentlichen Konfiguration die Option Dry Run auswählen. Sie können zunächst die Konfigurationsobjekte anzeigen, die vom StyleBook auf den Citrix ADC Zielinstanzen erstellt werden. Sie können dann auf Erstellen klicken, um die Konfiguration auf den ausgewählten Instanzen bereitzustellen.

Erstellte Objekte

Mehrere Konfigurationsobjekte werden erstellt, wenn die ADFS-Proxykonfiguration auf der Citrix ADC-Instanz bereitgestellt wird. In der folgenden Abbildung wird die Liste der erstellten Objekte angezeigt.

Liste der erstellten Objekte

Liste der Objekte, die in Instanz 1 erstellt wurden

Liste der Objekte, die in Instanz 2 erstellt wurden

Liste der Objekte, die in Instanz 3 erstellt wurden

Liste der Objekte, die in Instanz 4 erstellt wurden

Liste der Objekte, die in Instanz 5 erstellt wurden

Liste der Objekte, die in Instanz 6 erstellt wurden

Liste der Objekte, die auf Instanz 7 erstellt wurden

Liste der Objekte, die in Instanz 8 erstellt wurden

Liste der Objekte, die in Instanz 9 erstellt wurden

Liste der Objekte, die in Instanz 10 erstellt wurden

Microsoft ADFS-Proxy-StyleBook