Citrix Gateway

Konfigurieren von Single Sign-On für Microsoft Exchange 2010

Im folgenden Abschnitt wird die Konfiguration von Single Sign-On (SSO) für Microsoft Exchange 2010 auf Citrix Gateway beschrieben. Das SSO für Outlook Web Access (OWA) 2010 funktioniert unter den folgenden Bedingungen nicht:

  • Verwenden der formularbasierten Authentifizierung auf Microsoft Exchange 2010.
  • Load Balancing virtueller Server mit Authentifizierungs-, Autorisierungs- und Überwachungsverkehrsmanagement-Richtlinie.

Hinweis: Diese Konfiguration funktioniert nur für den Lastausgleich eines virtuellen Servers mit Authentifizierungs-, Autorisierungs- und Überwachungsverkehrsverwaltungsrichtlinien. Es funktioniert nicht für SSO in OWA 2010 mit clientlosem VPN.

Die folgenden Schritte sind Voraussetzungen, die Sie berücksichtigen müssen, bevor Sie SSO für Microsoft Exchange 2010 auf Citrix Gateway konfigurieren.

  • Die Aktions-URL für das SSO-Formular ist in OWA 2010 anders. Ändern Sie die Verkehrsmanagement-Richtlinie entsprechend.
  • Sie benötigen eine Richtlinie zum Umschreiben, um das PBack Cookie in der Anforderung logon.aspx zu setzen. In normalen Szenarien setzen Sie das PBack Cookie beim Client und klicken auf Senden.
  • Wenn Sie SSO verwenden, wird die Antwort auf logon.aspx verbraucht und das Citrix Gateway generiert die Formularanforderung. Das Cookie ist nicht in der Anfrage zur Einreichung des Formulars angehängt.
  • Der OWA-Server erwartet das PBack Cookie in der Anfrage zur Einreichung des Formulars. Die Richtlinie zum Umschreiben ist erforderlich, um das PBack Cookie in der Anfrage zur Einreichung des Formulars anzuhängen.

Führen Sie Folgendes mit der CLI aus

  1. Konfigurieren Sie die Authentifizierung, Autorisierung und Überwachung des Verkehrsmanagements

    add tm formSSOAction OWA_Form_SSO_SSOPro -actionURL "/owa/auth.owa" -userField username -passwdField password -ssoSuccessRule "http.RES.SET_COOKIE.COOKIE(\"cadata\").VALUE(\"cadata\").LENGTH.GT(70" -responsesize 15000 -submitMethod POST

  2. Konfigurieren Sie die Verkehrsverwaltungsrichtlinie und binden Sie die Richtlinie

    • add tm trafficAction OWA_2010_Prof -appTimeout 1 -SSO ON -formSSO Action OWA_Form_SSO_SSOPro

    • add tm trafficPolicy owa2k10_pol "HTTP.REQ.URL.CONTAINS(\"owa/auth/logon.aspx\")" OWA_2010_Prof

    • bind tm global -policyName owa2k10_pol -priority 100

Rewrite-Konfiguration über die CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add rewrite action set_pback_cookie insert_after "http.REQ.COOKIE.VALUE(\"OutlookSession\")" "\";PBack=0\"" -bypassSafetyCheck YES

  • add rewrite policy set_pback_cookie "http.REQ.URL.CONTAINS(\"logon.aspx\")" set_pback_cookie

  • bind rewrite global set_pback_cookie 100 END -type REQ_DEFAULT

Alternative Rewrite-Konfiguration

In seltenen Fällen gibt Microsoft Outlook möglicherweise keine OWA-Sitzungscookies aus und die Pback Cookies werden möglicherweise auch nicht eingefügt. Das Problem kann auftreten, nachdem Sie die vorhergehenden Befehle zur Implementierung der Rewrite-Konfiguration ausgeführt haben.

Um solche Szenarien zu überwinden und als Problemumgehung, können Sie anstelle der Umschreibkonfiguration die folgenden Befehle konfigurieren.

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add rewrite action set_pback_cookie insert_http_header "Cookie" '"PBack=0"'

  • add rewrite policy set_pback_cookie "http.REQ.URL.CONTAINS(\"logon.aspx\")" set_pback_cookie

  • set rewrite policy set_pback_cookie -action set_pback_cookie

  • bind rewrite global set_pback_cookie 100 END -type REQ_DEFAULT

Konfigurieren von Single Sign-On für Microsoft Exchange 2010