Citrix ADC

Citrix ADC en tant que proxy Active Directory Federation Services

ADFS (Active Directory Federation Services) est un service Microsoft qui permet une expérience d’authentification unique (SSO) pour les clients authentifiés Active Directory vers des ressources en dehors du centre de données d’entreprise. Une batterie de serveurs ADFS permet aux utilisateurs internes d’accéder à des services hébergés dans le cloud externe. Mais au moment où les utilisateurs externes sont intégrés dans le mélange, les utilisateurs externes doivent avoir un moyen de se connecter à distance et d’accéder aux services basés sur le cloud via une identité fédérée. La plupart des entreprises ne préfèrent pas que le serveur ADFS soit exposé dans la zone DMZ. Par conséquent, le proxy ADFS joue un rôle critique dans la connectivité des utilisateurs distants et l’accès aux applications.

Depuis plus d’une décennie, l’appliance Citrix ADC joue des rôles similaires en matière de connectivité utilisateur distante et d’accès aux applications. L’appliance Citrix ADC devient la solution préférée à utiliser comme proxy ADFS pour prendre en charge une nouvelle implémentation ADFS pour activer les services suivants :

  • Connectivité sécurisée.
  • Authentification et gestion de l’identité fédérée.

Pour plus d’informations sur Citrix ADC en tant qu’IdP SAML, reportez-vous à la section Citrix ADC en tant qu’IdP SAML.

Avantages du proxy ADFS

  • Réduit l’empreinte dans la zone DMZ pour répondre aux besoins de la plupart des entreprises.
  • Offre une expérience SSO pour les utilisateurs finaux.
  • Prend en charge des méthodes riches pour la pré-authentification et permet l’authentification multifactorielle.
  • Prend en charge les clients actifs et passifs.

Conditions préalables à l’utilisation de Citrix ADC en tant que proxy ADFS

Avant de configurer l’appliance Citrix ADC en tant que proxy ADFS, assurez-vous que les conditions préalables suivantes sont remplies.

  • Une appliance Citrix ADC avec version 12.1 ou version ultérieure.
  • Serveur ADFS de domaine.
  • Certificat SSL de domaine.
  • IP virtuelle pour le serveur virtuel de commutation de contenu.
  • Activez les fonctionnalités d’équilibrage de charge, de déchargement SSL, de commutation de contenu, de réécriture et d’authentification, d’autorisation et d’audit de gestion du trafic sur l’appliance Citrix ADC.

Configurer l’appliance Citrix ADC en tant que proxy ADFS

Pour atteindre ce cas d’utilisation, vous configurez Citrix ADC en tant que proxy ADFS dans la zone DMZ. Le serveur ADFS est configuré avec le contrôleur de domaine AD dans le back-end.

proxy ADFS

  1. Une demande client pour accéder à Microsoft Office365 est redirigée vers Citrix ADC déployé en tant que proxy ADFS.

  2. Les informations d’identification de l’utilisateur sont transmises au serveur ADFS.

  3. Le serveur ADFS authentifie les informations d’identification avec AD local du domaine.

  4. Le serveur ADFS lors de la validation réussie des informations d’identification avec AD, génère un jeton qui est transmis à Microsoft Office365 pour l’établissement de session.

Voici les étapes de haut niveau impliquées dans la configuration de l’appliance Citrix ADC avant de configurer en tant que proxy ADFS.

À l’invite de commandes Citrix ADC, tapez les commandes suivantes :

  1. Créez un profil SSL pour back-end et activez SNI dans le profil SSL. Désactivez SSLV3/TLS1.

    add ssl profile <new SSL profile> -sniEnable ENABLED -ssl3 DISABLED -tls1 DISABLED -commonName <FQDN of ADFS>

  2. Désactivez SSLV3/TLS1 pour le service.

    set ssl service <adfs service name> -sslProfile ns_default_ssl_profile_backend

  3. Activez l’extension SNI pour les poignées de main du serveur principal.

    • set vpn parameter –backendServerSni ENABLED
    • set ssl parameter -denySSLReneg NONSECURE

Configurer l’appliance Citrix ADC en tant que proxy ADFS à l’aide de l’interface de ligne de commande

Les sections suivantes sont catégorisées en fonction de la nécessité d’effectuer les étapes de configuration.

Pour configurer le service ADFS

  1. Configurez le service ADFS sur Citrix ADC pour le serveur ADFS.

    add service <Domain_ADFS_Service> <ADFS Server IP> SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO

Exemple

add service CTXTEST_ADFS_Service 1.1.1.1 SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO
  1. Configurez le nom de domaine complet pour le serveur virtuel de commutation de contenu et activez SNI.

    set ssl service <Domain_ADFS_Service> -SNIEnable ENABLED -commonName <sts.domain.com>

Exemple

set ssl service CTXTEST_ADFS_Service -SNIEnable ENABLED -commonName sts.ctxtest.com

Pour configurer le serveur virtuel d’équilibrage de charge ADFS

Important

Le certificat SSL de domaine (SSL_CERT) est requis pour le trafic sécurisé.

  1. Configurez le serveur virtuel d’équilibrage de charge ADFS.

    add lb vserver <Domain_ADFS_LBVS> SSL <IP_address> -persistenceType NONE -cltTimeout 180

    Exemple

    add lb vserver CTXTEST_ADFS_LBVS SSL 192.168.1.0 -persistenceType NONE -cltTimeout 180

  2. Liez le serveur virtuel d’équilibrage de charge ADFS au service ADFS.

    bind lb vserver <Domain_ADFS_LBVS> <Domain_ADFS_Service>

    Exemple

    bind lb vserver CTXTEST_ADFS_LBVS CTXTEST_ADFS_Service

  3. Liez une paire de clés de certificat de serveur virtuel SSL.

    bind ssl vserver <Domain_ADFS_LBVS> -certkeyName <SSL_CERT>

    Exemple

    bind ssl vserver CTXTEST_ADFS_LBVS -certkeyName ctxtest_newcert_2019

Pour configurer le serveur virtuel de commutation de contenu pour le domaine

Remarque

Une IP virtuelle gratuite (par exemple, 2.2.2.2), qui est Natted à IP publique est nécessaire pour le serveur virtuel de commutation de contenu. Il doit être accessible à la fois pour le trafic externe et interne.

  1. Créez un serveur virtuel de commutation de contenu avec VIP gratuit.

    add cs vserver <Domain_CSVS> SSL <FREE VIP> 443 -cltTimeout 180 -persistenceType NONE

    Exemple

    add cs vserver CTXTEST_CSVS SSL 2.2.2.2 443 -cltTimeout 180 -persistenceType NONE

  2. Liez le serveur virtuel de commutation de contenu au serveur virtuel d’équilibrage de charge.

    bind cs vserver <Domain_CSVS> -lbvserver <Domain_ADFS_LBVS>

    Exemple

    • bind cs vserver CTXTEST_CSVS -lbvserver CTXTEST_ADFS_LBVS
    • set ssl vserver CTXTEST_CSVS -sessReuse DISABLED
  3. Liez une paire de clés de certificat de serveur virtuel SSL.

    bind ssl vserver <Domain_CSVS> -certkeyName <SSL_CERT>

    Exemple

    bind ssl vserver CTXTEST_CSVS -certkeyName ctxtest_newcert_2019

Protocoles pris en charge

Les protocoles fournis par Microsoft jouent un rôle essentiel dans l’intégration avec l’appliance Citrix ADC. Citrix ADC en tant que proxy ADFS prend en charge les protocoles suivants :

Remarque

L’appliance Citrix ADC ne prend pas en charge l’authentification par certificat de périphérique lorsqu’elle est déployée en tant que proxy ADFS.

Citrix ADC en tant que proxy Active Directory Federation Services