ADC

NetScaler como proxy de Active Directory Federation Services

Los servicios de federación de Active Directory (ADFS) son un servicio de Microsoft que permite la experiencia de inicio de sesión único (SSO) para los clientes autenticados con Active Directory en recursos ajenos al centro de datos empresarial. Una granja de servidores ADFS permite a los usuarios internos acceder a servicios externos alojados en la nube. Sin embargo, en el momento en que se incorpore a los usuarios externos, se les debe ofrecer una forma de conectarse de forma remota y acceder a los servicios basados en la nube a través de una identidad federada. La mayoría de las empresas no prefieren mantener el servidor ADFS expuesto en la DMZ. Por lo tanto, el proxy ADFS desempeña un papel fundamental en la conectividad de los usuarios remotos y el acceso a las aplicaciones.

Durante más de una década, el dispositivo NetScaler desempeña funciones similares en cuanto a conectividad de usuarios remotos y acceso a las aplicaciones. El dispositivo NetScaler se convierte en la solución preferida para usarse como proxy de ADFS para admitir una nueva implementación de ADFS que habilite los siguientes servicios:

  • Conectividad segura.
  • Autenticación y manejo de identidad federada.

Para obtener más información sobre NetScaler como proveedor de identidad SAML, consulte NetScaler como proveedor de identidad de SAML.

Ventajas del proxy ADFS

  • Reduce la presencia en la zona desmilitarizada para satisfacer las necesidades de la mayoría de las empresas.
  • Proporciona una experiencia de inicio de sesión único para los usuarios finales.
  • Admite métodos avanzados de autenticación previa y permite la autenticación multifactorial.
  • Soporta tanto a clientes activos como pasivos.

Requisitos previos para utilizar NetScaler como proxy ADFS

Antes de configurar el dispositivo NetScaler como proxy ADFS, asegúrese de que se cumplen los siguientes requisitos previos:

  • Un dispositivo NetScaler con la versión 12.1 o posterior.
  • Servidor ADFS de dominio.
  • Certificado SSL de dominio.
  • IP virtual para servidor virtual de conmutación de contenido.
  • Habilite las funciones de equilibrio de carga, descarga de SSL, conmutación de contenido, reescritura y administración del tráfico de autenticación, autorización y auditoría en el dispositivo NetScaler.

Configurar el dispositivo NetScaler como proxy ADFS

Para lograr este caso de uso, configure NetScaler como un proxy ADFS en una zona DMZ. El servidor ADFS se configura junto con el controlador de dominio de AD en el back-end.

Proxy ADFS

  1. La solicitud de un cliente para acceder a Microsoft Office365 se redirige a NetScaler implementado como proxy ADFS.

  2. Las credenciales del usuario se pasan al servidor ADFS.

  3. El servidor ADFS autentica las credenciales con el AD local del dominio.

  4. El servidor ADFS, tras la validación correcta de las credenciales con AD, genera un token que se pasa a Microsoft Office365 para el establecimiento de la sesión.

Los siguientes son los pasos de alto nivel necesarios para configurar el dispositivo NetScaler antes de configurarlo como proxy ADFS.

En la línea de comandos de NetScaler, escriba los siguientes comandos:

  1. Cree un perfil SSL para el back-end y habilite el SNI en el perfil SSL. Inhabilite SSLv3/TLS1.

    add ssl profile <new SSL profile> -sslprofileType backEnd -sniEnable ENABLED -ssl3 DISABLED -tls1 DISABLED -commonName <FQDN of ADFS>

  2. Inhabilite SSLv3/TLS1 para el servicio.

    set ssl service <adfs service name> -sslProfile <SSL profile created in the above step>

  3. Habilite la extensión SNI para los apretones de manos del servidor back-end.

    • set vpn parameter –backendServerSni ENABLED
    • set ssl parameter -denySSLReneg NONSECURE

Configurar el dispositivo NetScaler como proxy ADFS mediante la CLI

Las siguientes secciones se clasifican según el requisito de completar los pasos de configuración.

Para configurar el servicio ADFS

  1. Configure el servicio ADFS en el servidor NetScaler para ADFS.

    add service <Domain_ADFS_Service> <ADFS Server IP> SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO

    Ejemplo

    add service CTXTEST_ADFS_Service 1.1.1.1 SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO

  2. Configure el FQDN para el servidor virtual de conmutación de contenido y habilite el SNI.

    set ssl service <Domain_ADFS_Service> -SNIEnable ENABLED -commonName <sts.domain.com>

    Ejemplo

    set ssl service CTXTEST_ADFS_Service -SNIEnable ENABLED -commonName sts.ctxtest.com

Para configurar el servidor virtual de equilibrio de carga ADFS

Importante

Se requiere un certificado SSL de dominio (SSL_CERT) para garantizar el tráfico.

  1. Configure el servidor virtual de equilibrio de carga ADFS.

    add lb vserver <Domain_ADFS_LBVS> SSL <IP_address> -persistenceType NONE -cltTimeout 180

    Ejemplo

    add lb vserver CTXTEST_ADFS_LBVS SSL 192.168.1.0 -persistenceType NONE -cltTimeout 180

  2. Enlazar el servidor virtual de equilibrio de carga de ADFS al servicio ADFS.

    bind lb vserver <Domain_ADFS_LBVS> <Domain_ADFS_Service>

    Ejemplo

    bind lb vserver CTXTEST_ADFS_LBVS CTXTEST_ADFS_Service

  3. Enlazar un par de claves de certificado de servidor virtual SSL.

    bind ssl vserver <Domain_ADFS_LBVS> -certkeyName <SSL_CERT>

    Ejemplo

    bind ssl vserver CTXTEST_ADFS_LBVS -certkeyName ctxtest_newcert_2019

Para configurar el servidor virtual de conmutación de contenido para el dominio

Nota

Se requiere una IP virtual gratuita (por ejemplo, 2.2.2.2), que esté relacionada con la IP pública, para un servidor virtual de conmutación de contenido. Debe ser accesible tanto para el tráfico externo como para el interno.

  1. Cree un servidor virtual de conmutación de contenido con VIP gratis.

    add cs vserver <Domain_CSVS> SSL <FREE VIP> 443 -cltTimeout 180 -persistenceType NONE

    Ejemplo

    add cs vserver CTXTEST_CSVS SSL 2.2.2.2 443 -cltTimeout 180 -persistenceType NONE

  2. Enlazar el servidor virtual de conmutación de contenido al servidor virtual de equilibrio de carga.

    bind cs vserver <Domain_CSVS> -lbvserver <Domain_ADFS_LBVS>

    Ejemplo

    • bind cs vserver CTXTEST_CSVS -lbvserver CTXTEST_ADFS_LBVS
    • set ssl vserver CTXTEST_CSVS -sessReuse DISABLED
  3. Enlazar un par de claves de certificado de servidor virtual SSL.

    bind ssl vserver <Domain_CSVS> -certkeyName <SSL_CERT>

    Ejemplo

    bind ssl vserver CTXTEST_CSVS -certkeyName ctxtest_newcert_2019

Protocolos compatibles

Los protocolos proporcionados por Microsoft desempeñan un papel vital en la integración con el dispositivo NetScaler. NetScaler como proxy ADFS admite los siguientes protocolos:

Nota

El dispositivo NetScaler no admite la autenticación con certificados de dispositivos cuando se implementa como un proxy ADFS.

NetScaler como proxy de Active Directory Federation Services