StyleBook proxy de Microsoft ADFS

El proxy ADFS de Microsoft™ desempeña un papel importante al proporcionar acceso de inicio de sesión único tanto para recursos internos habilitados para federación como para recursos en la nube. Uno de esos ejemplos de recursos en la nube es Office 365. El propósito del servidor proxy ADFS es recibir y reenviar solicitudes a servidores ADFS que no son accesibles desde Internet. El proxy ADFS es un proxy inverso y normalmente reside en la red perimetral (DMZ) de la organización. El proxy ADFS desempeña un papel fundamental en la conectividad de usuarios remotos y el acceso a aplicaciones.

Citrix ADC cuenta con la tecnología precisa para permitir la conectividad segura, la autenticación y el manejo de la identidad federada. El uso de Citrix ADC como proxy ADFS evita la necesidad de implementar un componente adicional en la DMZ.

Microsoft ADFS Proxy StyleBook en Citrix Application Delivery Management (ADM) permite configurar un servidor proxy ADFS en una instancia de Citrix ADC.

La imagen siguiente muestra la implementación de una instancia de Citrix ADC como un servidor proxy ADFS en la DMZ empresarial.

Imagen localizada

Ventajas de usar Citrix ADC como proxy ADFS

  1. Satisfacen las necesidades de equilibrio de carga y proxy ADFS
  2. Admite escenarios de acceso de usuario internos y externos
  3. Admite métodos enriquecidos para la autenticación previa
  4. Proporciona una experiencia de inicio de sesión único para los usuarios
  5. Soporta protocolos activos y pasivos
    1. Ejemplos de aplicaciones de protocolo activo son: Microsoft Outlook, Microsoft Skype for Business
    2. Ejemplos de aplicaciones de protocolo pasivo son: Aplicación web de Microsoft Outlook, navegadores web
  6. Dispositivo reforzado para implementación basada en DMZ
  7. Agrega valor mediante el uso de funciones principales adicionales de Citrix ADC
    1. Cambio de contenido
    2. Descarga SSL
    3. Reescribe
    4. Seguridad (Citrix ADC AAA)

Para escenarios basados en protocolos activos, puede conectarse a Office 365 y proporcionar sus credenciales. Microsoft Federation Gateway se pone en contacto con el servicio ADFS (a través del proxy ADFS) en nombre del cliente de protocolo activo. A continuación, la Gateway envía las credenciales mediante autenticación básica (401). Citrix ADC gestiona la autenticación del cliente antes de acceder al servicio ADFS. Después de la autenticación, el servicio ADFS proporciona un token SAML a Federation Gateway. Federation Gateway, a su vez, envía el token a Office 365 para proporcionar acceso de cliente.

Para clientes pasivos, el StyleBook de proxy de ADFS crea una cuenta de usuario de delegación restringida (KCD) de Kerberos. La cuenta KCD es necesaria para que la autenticación de SSO de Kerberos se conecte a los servidores ADFS. El StyleBook también genera una directiva LDAP y una directiva de sesión. Estas directivas se vinculan posteriormente al servidor virtual Citrix ADC AAA que gestiona la autenticación para clientes pasivos.

El StyleBook también puede garantizar que los servidores DNS del Citrix ADC estén configurados para ADFS.

En la sección de configuración que aparece a continuación se describe cómo configurar Citrix ADC para gestionar la autenticación de cliente basada en protocolos activa y pasiva.

Detalles de configuración

En la tabla siguiente se enumeran las versiones de software mínimas necesarias para que esta integración se implemente correctamente.

Producto Versión mínima requerida
Citrix ADC 11.0, Licencia Avanzada/Premium

En las instrucciones siguientes se supone que ya ha creado las entradas DNS externas e internas adecuadas.

Implementación de configuraciones de StyleBook proxy de Microsoft ADFS desde Citrix ADM

Las siguientes instrucciones le ayudarán a implementar el StyleBook proxy de Microsoft ADFS en su red empresarial.

Para implementar StyleBook proxy de Microsoft ADFS

  1. En Citrix ADM, vaya a Aplicaciones > StyleBooks. La página StyleBooks muestra todos los StyleBooks disponibles para su uso en Citrix ADM.

  2. Desplácese hacia abajo y busque el StyleBook proxy de Microsoft ADFS. Haga clic en Crear configuración. El StyleBook se abre como una página de interfaz de usuario en la que puede escribir los valores de todos los parámetros definidos en este StyleBook.

  3. Escriba los valores para los siguientes parámetros:
    1. Nombre de implementación de proxy ADFS. Seleccione un nombre para la configuración de proxy ADFS implementada en la red.
    2. Servidores ADFS FQDN o IPs. Escriba las direcciones IP o FQDN (nombres de dominio) de todos los servidores ADFS de la red.
    3. ADFS Proxy IP Pública VIP. Escriba la dirección IP virtual pública en el Citrix ADC que funciona como un servidor proxy ADFS.

    Imagen localizada

  4. En la sección Certificados de proxy ADFS, escriba los detalles del certificado SSL y la clave de certificado.

    Este certificado SSL está enlazado a todos los servidores virtuales creados en la instancia de Citrix ADC.

    Seleccione los archivos respectivos de su carpeta de almacenamiento local. También puede escribir la contraseña de clave privada para cargar claves privadas cifradas en formato.pem.

    Imagen localizada

    También puede habilitar la casilla de verificación Configuración avanzada de certificados. Aquí puede escribir detalles como el período de notificación de caducidad del certificado, habilitar o inhabilitar el monitor de caducidad del certificado.

  5. Opcionalmente, puede activar la casilla de verificación Certificado de CA SSL si el certificado SSL requiere que se instale un certificado público de CA en Citrix ADC. Asegúrese de seleccionar “Es un certificado de CA” en la sección Configuración avanzada del certificado.

  6. Habilitar la autenticación para clientes activos y pasivos. Escriba el nombre de dominio DNS utilizado en Active Directory para la autenticación de usuarios. A continuación, puede configurar la autenticación para clientes activos o pasivos, o ambos.

  7. Escriba los siguientes detalles para habilitar la autenticación para clientes activos:

    Nota

    Es opcional configurar la compatibilidad con clientes activos.

    1. Autenticación activa de proxy ADFS VIP. Escriba la dirección IP virtual del servidor de autenticación virtual en la instancia Citrix ADC donde se redirigen los clientes activos para la autenticación.

    2. Nombre deusuario de cuenta de servicio. Escriba el nombre de usuario de la cuenta de servicio utilizado por Citrix ADC para autenticar a los usuarios en el directorio activo.

    3. Contraseña de cuenta de servicio. Escriba la contraseña utilizada por Citrix ADC para autenticar a los usuarios en el directorio activo.

    Imagen localizada

  8. Configure la autenticación para clientes pasivos habilitando la opción correspondiente y configurando la configuración de LDAP.

    Nota

    Es opcional configurar la compatibilidad con clientes pasivos.

    Escriba los siguientes detalles para habilitar la autenticación para clientes pasivos:

    1. Base LDAP (Active Directory). Escriba el nombre de dominio base del dominio en el que residen las cuentas de usuario en Active Directory (AD) para permitir la autenticación. Por ejemplo, dc=netscaler, dc=com

    2. DN de enlace de LDAP (Active Directory). Agregue una cuenta de dominio (mediante una dirección de correo electrónico para facilitar la configuración) que tenga privilegios para examinar el árbol de AD. Por ejemplo, CN=Manager, dc=netscaler, dc=com

    3. Contraseña de DN de enlace LDAP (Active Directory). Escriba la contraseña de la cuenta de dominio para la autenticación.

      Algunos otros campos que debe escribir en los valores de esta sección son los siguientes:

    4. IP del servidor LDAP (Active Directory). Escriba la dirección IP del servidor de Active Directory para que la autenticación de AD funcione correctamente.

    5. NombreFQDN del servidor LDAP. Escriba el nombre FQDN del servidor de Active Directory. El nombre FQDN es opcional. Proporcione la dirección IP como en el paso 1 o el nombre FQDN.

    6. Puerto de Active Directory del servidor LDAP. De forma predeterminada, los puertos TCP y UDP para el protocolo LDAP son 389, mientras que el puerto TCP para Secure LDAP es 636.

    7. Nombre deusuario de inicio de sesión LDAP (Active Directory). Escriba el nombre de usuario como “SamAccountName. “

    8. Autenticación pasiva de proxy ADFS VIP. Escriba la dirección IP del servidor virtual proxy ADFS para clientes pasivos.

      Nota

      Los campos marcados con “*” son obligatorios.

    Imagen localizada

    Imagen localizada

  9. Opcionalmente, también puede configurar un VIP DNS para sus servidores DNS.

    Imagen localizada

  10. Haga clic en Instancias de destino y seleccione las instancias de Citrix ADC para implementar esta configuración de proxy ADFS de Microsoft. Haga clic en Crear para crear la configuración e implementar la configuración en las instancias de Citrix ADC seleccionadas.

    Imagen localizada

Nota

Citrix recomienda que, antes de ejecutar la configuración real, seleccione Ejecutar en seco. En primer lugar, puede ver los objetos de configuración que el StyleBook crea en las instancias Citrix ADC de destino. A continuación, puede hacer clic en Crear para implementar la configuración en las instancias seleccionadas.

Objetos creados

Se crean varios objetos de configuración cuando se implementa la configuración de proxy ADFS en la instancia de Citrix ADC. La siguiente imagen muestra la lista de objetos creados.

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

StyleBook proxy de Microsoft ADFS