Citrix ADC como proxy de Servicios de federación de Active Directory

Servicios de federación de Active Directory (ADFS) es un servicio de Microsoft que permite la experiencia de inicio de sesión único (SSO) para clientes autenticados de Active Directory a recursos fuera del centro de datos de la empresa. Una granja de servidores ADFS permite a los usuarios internos acceder a servicios externos alojados en la nube. Pero en el momento en que los usuarios externos entran en la mezcla, los usuarios externos deben tener una forma de conectarse de forma remota y acceder a servicios basados en la nube a través de la identidad federada. La mayoría de las empresas no prefieren mantener el servidor ADFS expuesto en la DMZ. Por lo tanto, el proxy ADFS desempeña un papel fundamental en la conectividad de usuarios remotos y el acceso a aplicaciones.

Durante más de una década, el dispositivo Citrix ADC desempeña funciones similares de conectividad de usuarios remotos y acceso a aplicaciones. Citrix ADC Appliance se convierte en la solución preferida que se utiliza como proxy ADFS para admitir una nueva implementación de ADFS para habilitar los siguientes servicios:

  • Conectividad segura.
  • Autenticación y manejo de identidad federada.

Para obtener más información acerca de Citrix ADC como IdP SAML, consulte Citrix ADC como IdP de SAML.

Ventajas del proxy ADFS

  • Reduce el espacio en DMZ para satisfacer las necesidades de la mayoría de las empresas.
  • Proporciona una experiencia de inicio de SSO para los usuarios finales.
  • Admite métodos enriquecidos para la autenticación previa y permite la autenticación multifactor.
  • Soporta clientes activos y pasivos.

Requisitos previos para usar Citrix ADC como proxy ADFS

Antes de configurar el dispositivo Citrix ADC como proxy ADFS, asegúrese de que se cumplen los siguientes requisitos previos.

  • Un dispositivo Citrix ADC con versión 12.1 o posterior.
  • Servidor ADFS de dominio.
  • Certificado SSL de dominio.
  • IP virtual para servidor virtual de conmutación de contenido.
  • Habilite las funciones de equilibrio de carga, descarga SSL, conmutación de contenido, reescritura y autenticación, autorización y auditoría de administración de tráfico en el dispositivo Citrix ADC.

Configurar el dispositivo Citrix ADC como proxy ADFS

Para lograr este caso de uso, configure Citrix ADC como proxy ADFS en la zona DMZ. El servidor ADFS se configura junto con el Controller de dominio de AD en el back-end.

Proxy ADFS

  1. Una solicitud de cliente para acceder a Microsoft Office365 se redirige a Citrix ADC implementado como proxy ADFS.

  2. Las credenciales del usuario se pasan al servidor ADFS.

  3. El servidor ADFS autentica las credenciales con AD local del dominio.

  4. El servidor ADFS tras la validación de las credenciales con AD, genera un token que se pasa a Microsoft Office365 para el establecimiento de la sesión.

A continuación se describen los pasos de alto nivel que implica configurar el dispositivo Citrix ADC antes de configurarlo como proxy ADFS.

En el símbolo del sistema de Citrix ADC, escriba los siguientes comandos:

  1. Cree un perfil SSL para back-end y habilite SNI en el perfil SSL. Inhabilite SSLv3/TLS1.

    add ssl profile <new SSL profile> -sniEnable ENABLED -ssl3 DISABLED -tls1 DISABLED -commonName <FQDN of ADFS>

  2. Inhabilite SSLv3/TLS1 para el servicio.

    set ssl service <adfs service name> -sslProfile ns_default_ssl_profile_backend

  3. Habilite la extensión SNI para los apretones de manos del servidor back-end.

    • set vpn parameter –backendServerSni ENABLED
    • set ssl parameter -denySSLReneg NONSECURE

Configurar el dispositivo Citrix ADC como proxy ADFS mediante la CLI

Las siguientes secciones se clasifican en función del requisito para completar los pasos de configuración.

Para configurar el servicio ADFS

  1. Configure el servicio ADFS en Citrix ADC para el servidor ADFS.

    add service <Domain_ADFS_Service> <ADFS Server IP> SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO

Ejemplo

add service CTXTEST_ADFS_Service 1.1.1.1 SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO
  1. Configure FQDN para el servidor virtual de conmutación de contenido y habilite SNI.

    set ssl service <Domain_ADFS_Service> -SNIEnable ENABLED -commonName <sts.domain.com>

Ejemplo

set ssl service CTXTEST_ADFS_Service -SNIEnable ENABLED -commonName sts.ctxtest.com

Para configurar el servidor virtual de equilibrio de carga ADFS

Importante

Se requiere un certificado SSL de dominio (SSL_CERT) para el tráfico seguro.

  1. Configurar el servidor virtual de equilibrio de carga ADFS.

    add lb vserver <Domain_ADFS_LBVS> SSL <IP_address> -persistenceType NONE -cltTimeout 180

    Ejemplo

    add lb vserver CTXTEST_ADFS_LBVS SSL 192.168.1.0 -persistenceType NONE -cltTimeout 180

  2. Enlazar el servidor virtual de equilibrio de carga ADFS al servicio ADFS.

    bind lb vserver <Domain_ADFS_LBVS> <Domain_ADFS_Service>

    Ejemplo

    bind lb vserver CTXTEST_ADFS_LBVS CTXTEST_ADFS_Service

  3. Enlazar un par de certificados de servidor virtual SSL.

    bind ssl vserver <Domain_ADFS_LBVS> -certkeyName <SSL_CERT>

    Ejemplo

    bind ssl vserver CTXTEST_ADFS_LBVS -certkeyName ctxtest_newcert_2019

Para configurar el servidor virtual de conmutación de contenido para el dominio

Nota

Se requiere una IP virtual libre (por ejemplo, 2.2.2.2) procesada por NAT a IP pública para cambiar el servidor virtual de contenido. Debe ser accesible tanto para tráfico externo como interno.

  1. Cree un servidor virtual de conmutación de contenido con VIP gratuito.

    add cs vserver <Domain_CSVS> SSL <FREE VIP> 443 -cltTimeout 180 -persistenceType NONE

    Ejemplo

    add cs vserver CTXTEST_CSVS SSL 2.2.2.2 443 -cltTimeout 180 -persistenceType NONE

  2. Vincular el servidor virtual de conmutación de contenido al servidor virtual de equilibrio de carga.

    bind cs vserver <Domain_CSVS> -lbvserver <Domain_ADFS_LBVS>

    Ejemplo

    • bind cs vserver CTXTEST_CSVS -lbvserver CTXTEST_ADFS_LBVS
    • set ssl vserver CTXTEST_CSVS -sessReuse DISABLED
  3. Enlazar un par de certificados de servidor virtual SSL.

    bind ssl vserver <Domain_CSVS> -certkeyName <SSL_CERT>

    Ejemplo

    bind ssl vserver CTXTEST_CSVS -certkeyName ctxtest_newcert_2019

Protocolos compatibles

Los protocolos proporcionados por Microsoft desempeñan un papel vital en la integración con el dispositivo Citrix ADC. Citrix ADC como proxy ADFS admite los siguientes protocolos:

Nota

El dispositivo Citrix ADC no admite la autenticación de certificados de dispositivo cuando se implementa como proxy ADFS.