Citrix Gateway

Konfigurieren von Single Sign-On für Microsoft Exchange 2010

Im folgenden Abschnitt wird die Konfiguration von Single Sign-On (SSO) für Microsoft Exchange 2010 auf Citrix Gateway beschrieben. Die SSO für Outlook Web Access (OWA) 2010 funktioniert nicht unter den folgenden Bedingungen:

  • Verwenden der formularbasierten Authentifizierung auf Microsoft Exchange 2010.
  • Lastenausgleich virtueller Server mit Authentifizierungs-, Autorisierungs- und Überwachungsrichtlinie für die Datenverkehrsverwaltung.

Hinweis:

Diese Konfiguration funktioniert nur für den Lastenausgleich virtueller Server mit Authentifizierungs-, Autorisierungs- und Überwachungsrichtlinie für die Datenverkehrsverwaltung. Es funktioniert nicht für SSO in OWA 2010 mit clientlosem VPN.

Die folgenden Schritte sind eine Voraussetzung, die Sie berücksichtigen müssen, bevor Sie SSO für Microsoft Exchange 2010 auf Citrix Gateway konfigurieren.

  • Die Aktions-URL für SSO-Formular unterscheidet sich in OWA 2010. Sie müssen die Verkehrsverwaltungsrichtlinie ändern.
  • Sie benötigen eine Rewrite-Richtlinie, um das PBack-Cookie in der logon.aspx-Anforderung zu setzen. In normalen Szenarien setzen Sie das PBack-Cookie auf dem Client und klicken auf Absenden.
  • Wenn Sie SSO verwenden, wird die Antwort auf logon.aspx verwendet, und Citrix Gateway generiert die Formularanforderung. Das Cookie ist nicht in der Formularübermittlungsanfrage angehängt.
  • Der OWA-Server erwartet das PBack-Cookie in der Formularübermittlungsanforderung. Die Richtlinie zum Umschreiben ist erforderlich, um das PBack-Cookie in der Formularübermittlungsanforderung anzuhängen.

Führen Sie Folgendes mit der CLI aus

  1. Konfigurieren der Verwaltung des Datenverkehrs für Authentifizierung, Autorisierung und Überwachung

    add tm formSSOAction OWA_Form_SSO_SSOPro -actionURL "/owa/auth.owa" -userField username -passwdField password -ssoSuccessRule "http.RES.SET_COOKIE.COOKIE(\"cadata\").VALUE(\"cadata\").LENGTH.GT(70" -responsesize 15000 -submitMethod POST

  2. Konfigurieren der Richtlinie zur Datenverkehrsverwaltung und Bindung der Richtlinie

    • add tm trafficAction OWA_2010_Prof -appTimeout 1 -SSO ON -formSSO Action OWA_Form_SSO_SSOPro

    • add tm trafficPolicy owa2k10_pol "HTTP.REQ.URL.CONTAINS(\"owa/auth/logon.aspx\")" OWA_2010_Prof

    • bind tm global -policyName owa2k10_pol -priority 100

Konfiguration mit CLI umschreiben

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add rewrite action set_pback_cookie insert_after "http.REQ.COOKIE.VALUE(\"OutlookSession\")" "\";PBack=0\"" -bypassSafetyCheck YES

  • add rewrite policy set_pback_cookie "http.REQ.URL.CONTAINS(\"logon.aspx\")" set_pback_cookie

  • bind rewrite global set_pback_cookie 100 END -type REQ_DEFAULT

Alternative Rewrite-Konfiguration

In seltenen Fällen gibt Microsoft Outlook möglicherweise keine OWA-Sitzungscookies aus und die Pback-Cookies werden möglicherweise auch nicht eingefügt. Das Problem kann auftreten, nachdem Sie die vorherigen Befehle ausgeführt haben, um die Rewrite-Konfiguration zu implementieren.

Um solche Szenarien zu überwinden und als Workaround, können Sie anstelle der Rewrite-Konfiguration die folgenden Befehle konfigurieren.

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add rewrite action set_pback_cookie insert_http_header "Cookie" '"PBack=0"'

  • add rewrite policy set_pback_cookie "http.REQ.URL.CONTAINS(\"logon.aspx\")" set_pback_cookie

  • set rewrite policy set_pback_cookie -action set_pback_cookie

  • bind rewrite global set_pback_cookie 100 END -type REQ_DEFAULT

Konfigurieren von Single Sign-On für Microsoft Exchange 2010