ADC

Citrix ADC en tant que proxy Active Directory Federation Services

Active Directory Federation Services (ADFS) est un service Microsoft qui permet aux clients authentifiés par Active Directory d’accéder à des ressources extérieures au centre de données de l’entreprise. Une batterie de serveurs ADFS permet aux utilisateurs internes d’accéder à des services externes hébergés dans le cloud. Mais dès que les utilisateurs externes entrent dans le mix, ils doivent disposer d’un moyen de se connecter à distance et d’accéder aux services basés sur le cloud via une identité fédérée. La plupart des entreprises ne préfèrent pas que le serveur ADFS reste exposé dans la zone démilitarisée. Par conséquent, le proxy ADFS joue un rôle essentiel dans la connectivité des utilisateurs distants et l’accès aux applications.

Depuis plus de dix ans, l’appliance Citrix ADC joue des rôles similaires en matière de connectivité des utilisateurs distants et d’accès aux applications. L’appliance Citrix ADC devient la solution préférée à utiliser en tant que proxy ADFS pour prendre en charge une nouvelle implémentation ADFS afin d’activer les services suivants :

  • Connectivité sécurisée.
  • Authentification et gestion de l’identité fédérée.

Pour plus d’informations sur Citrix ADC en tant qu’IdP SAML, consultez Citrix ADC as a SAML IdP.

Avantages du proxy ADFS

  • Réduit l’encombrement dans la zone démilitarisée pour répondre aux besoins de la plupart des entreprises.
  • Fournit une expérience SSO aux utilisateurs finaux.
  • Prend en charge de nombreuses méthodes de pré-authentification et permet une authentification multifactorielle.
  • Prend en charge les clients actifs et passifs.

Conditions préalables à l’utilisation de Citrix ADC en tant que proxy ADFS

Avant de configurer l’appliance Citrix ADC en tant que proxy ADFS, assurez-vous que les conditions préalables suivantes sont remplies.

  • Une appliance Citrix ADC avec version 12.1 ou ultérieure.
  • Serveur ADFS de domaine.
  • Certificat SSL de domaine.
  • Adresse IP virtuelle pour le serveur virtuel de commutation de contenu.
  • Activez les fonctionnalités d’équilibrage de charge, de déchargement SSL, de commutation de contenu, de réécriture, d’authentification, d’autorisation et d’audit du trafic sur l’appliance Citrix ADC.

Configurer l’appliance Citrix ADC en tant que proxy ADFS

Pour réaliser ce cas d’utilisation, vous devez configurer Citrix ADC en tant que proxy ADFS dans une zone DMZ. Le serveur ADFS est configuré avec le contrôleur de domaine AD dans le back-end.

Proxy ADFS

  1. Une demande client d’accès à Microsoft Office365 est redirigée vers Citrix ADC déployé en tant que proxy ADFS.

  2. Les informations d’identification de l’utilisateur sont transmises au serveur ADFS.

  3. Le serveur ADFS authentifie les informations d’identification auprès de l’AD local du domaine.

  4. Le serveur ADFS, une fois les informations d’identification validées avec AD, génère un jeton qui est transmis à Microsoft Office365 pour l’établissement de la session.

Voici les étapes de haut niveau nécessaires à la configuration de l’appliance Citrix ADC avant de la configurer en tant que proxy ADFS.

À l’invite de commandes Citrix ADC, tapez les commandes suivantes :

  1. Créez un profil SSL pour le backend et activez le SNI dans le profil SSL. Désactivez SSLv3/TLS1.

    add ssl profile <new SSL profile> -sslprofileType backEnd -sniEnable ENABLED -ssl3 DISABLED -tls1 DISABLED -commonName <FQDN of ADFS>

  2. Désactivez SSLv3/TLS1 pour le service.

    set ssl service <adfs service name> -sslProfile <SSL profile created in the above step>

  3. Activez l’extension SNI pour les poignées de contact du serveur principal.

    • set vpn parameter –backendServerSni ENABLED
    • set ssl parameter -denySSLReneg NONSECURE

Configurer l’appliance Citrix ADC en tant que proxy ADFS à l’aide de l’interface de ligne de commande

Les sections suivantes sont classées en fonction de la nécessité d’effectuer les étapes de configuration.

Pour configurer le service ADFS

  1. Configurez le service ADFS sur le serveur Citrix ADC pour ADFS.

    add service <Domain_ADFS_Service> <ADFS Server IP> SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO

    Exemple

    add service CTXTEST_ADFS_Service 1.1.1.1 SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO

  2. Configurez le FQDN pour le serveur virtuel de commutation de contenu et activez le SNI.

    set ssl service <Domain_ADFS_Service> -SNIEnable ENABLED -commonName <sts.domain.com>

    Exemple

    set ssl service CTXTEST_ADFS_Service -SNIEnable ENABLED -commonName sts.ctxtest.com

Pour configurer le serveur virtuel d’équilibrage de charge ADFS

Important

Un certificat SSL de domaine (SSL_CERT) est requis pour sécuriser le trafic.

  1. Configurez le serveur virtuel d’équilibrage de charge ADFS.

    add lb vserver <Domain_ADFS_LBVS> SSL <IP_address> -persistenceType NONE -cltTimeout 180

    Exemple

    add lb vserver CTXTEST_ADFS_LBVS SSL 192.168.1.0 -persistenceType NONE -cltTimeout 180

  2. Liez le serveur virtuel d’équilibrage de charge ADFS au service ADFS.

    bind lb vserver <Domain_ADFS_LBVS> <Domain_ADFS_Service>

    Exemple

    bind lb vserver CTXTEST_ADFS_LBVS CTXTEST_ADFS_Service

  3. Liez une paire de clés de certificat de serveur virtuel SSL.

    bind ssl vserver <Domain_ADFS_LBVS> -certkeyName <SSL_CERT>

    Exemple

    bind ssl vserver CTXTEST_ADFS_LBVS -certkeyName ctxtest_newcert_2019

Pour configurer un serveur virtuel de commutation de contenu pour un domaine

Remarque

Une adresse IP virtuelle gratuite (par exemple, 2.2.2.2), associée à une adresse IP publique, est requise pour le serveur virtuel de commutation de contenu. Il doit être accessible à la fois pour le trafic externe et interne.

  1. Créez un serveur virtuel de commutation de contenu avec un service VIP gratuit.

    add cs vserver <Domain_CSVS> SSL <FREE VIP> 443 -cltTimeout 180 -persistenceType NONE

    Exemple

    add cs vserver CTXTEST_CSVS SSL 2.2.2.2 443 -cltTimeout 180 -persistenceType NONE

  2. Liez le serveur virtuel de commutation de contenu au serveur virtuel d’équilibrage de charge.

    bind cs vserver <Domain_CSVS> -lbvserver <Domain_ADFS_LBVS>

    Exemple

    • bind cs vserver CTXTEST_CSVS -lbvserver CTXTEST_ADFS_LBVS
    • set ssl vserver CTXTEST_CSVS -sessReuse DISABLED
  3. Liez une paire de clés de certificat de serveur virtuel SSL.

    bind ssl vserver <Domain_CSVS> -certkeyName <SSL_CERT>

    Exemple

    bind ssl vserver CTXTEST_CSVS -certkeyName ctxtest_newcert_2019

Protocoles pris en charge

Les protocoles fournis par Microsoft jouent un rôle essentiel dans l’intégration à l’appliance Citrix ADC. Citrix ADC en tant que proxy ADFS prend en charge les protocoles suivants :

Remarque

L’appliance Citrix ADC ne prend pas en charge l’authentification par certificat de périphérique lorsqu’elle est déployée en tant que proxy ADFS.

Citrix ADC en tant que proxy Active Directory Federation Services