Microsoft ADFS Proxy StyleBook

Le proxy ADFS Microsoft™ joue un rôle important en accordant un accès à l’authentification unique aux ressources internes compatibles avec la fédération et aux ressources cloud. Office 365 est un exemple de ressources cloud. Le but du serveur proxy ADFS est de recevoir et de transférer des demandes vers des serveurs ADFS qui ne sont pas accessibles depuis Internet. Le proxy ADFS est un proxy inverse et réside généralement dans le réseau de périmètre (DMZ) de votre organisation. Le proxy ADFS joue un rôle essentiel dans la connectivité utilisateur distante et l’accès aux applications.

Citrix ADC dispose de la technologie précise permettant de sécuriser la connectivité, l’authentification et la gestion de l’identité fédérée. L’utilisation de Citrix ADC comme proxy ADFS évite le besoin de déployer un composant supplémentaire dans la zone DMZ.

Le Microsoft ADFS Proxy StyleBook dans Citrix Application Delivery Management (ADM) vous permet de configurer un serveur proxy ADFS sur une instance Citrix ADC.

L’image suivante montre le déploiement d’une instance de Citrix ADC en tant que serveur proxy ADFS dans la zone DMZ d’entreprise.

image localisée

Avantages de l’utilisation de Citrix ADC en tant que proxy ADFS

  1. Répond aux besoins d’équilibrage de charge et de proxy ADFS
  2. Prend en charge les scénarios d’accès utilisateur interne et externe
  3. Prend en charge les méthodes riches pour la pré-authentification
  4. Offre une expérience d’authentification unique pour les utilisateurs
  5. Prend en charge les protocoles actifs et passifs
    1. Exemples d’applications de protocole actives : Microsoft Outlook, Microsoft Skype for Business
    2. Exemples d’applications de protocole passives : application Web Microsoft Outlook, navigateurs Web
  6. Périphérique renforcé pour un déploiement basé sur DMZ
  7. Ajoute de la valeur à l’aide de fonctionnalités principales supplémentaires de Citrix ADC
    1. Commutation de contenu
    2. Déchargement SSL
    3. Réécrire
    4. Sécurité (Citrix ADC AAA)

Pour les scénarios basés sur le protocole actif, vous pouvez vous connecter à Office 365 et fournir vos informations d’identification. Microsoft Federation Gateway contacte le service ADFS (via le proxy ADFS) au nom du client de protocole actif. La Gateway soumet ensuite les informations d’identification à l’aide de l’authentification de base (401). Citrix ADC gère l’authentification du client avant l’accès au service ADFS. Après l’authentification, le service ADFS fournit un jeton SAML à la Federation Gateway. La Federation Gateway, à son tour, soumet le jeton à Office 365 pour fournir un accès client.

Pour les clients passifs, ADFS Proxy StyleBook crée un compte utilisateur KCD (Kerberos Constrained Délégation). Le compte KCD est nécessaire pour que l’authentification Kerberos SSO se connecte aux serveurs ADFS. Le StyleBook génère également une stratégie LDAP et une stratégie de session. Ces stratégies sont ultérieurement liées au serveur virtuel Citrix ADC AAA qui gère l’authentification pour les clients passifs.

Le StyleBook peut également s’assurer que les serveurs DNS sur le Citrix ADC sont configurés pour ADFS.

La section de configuration ci-dessous décrit comment configurer Citrix ADC pour gérer l’authentification client basée sur le protocole actif et passif.

Détails de la configuration

Le tableau ci-dessous répertorie les versions logicielles minimales requises pour que cette intégration puisse être déployée avec succès.

Produit Version minimale requise
Citrix ADC 11.0, Licence avancée/Premium

Les instructions suivantes supposent que vous avez déjà créé les entrées DNS externes et internes appropriées.

Déploiement des configurations StyleBook proxy Microsoft ADFS à partir de Citrix ADM

Les instructions suivantes vous aident lors de l’implémentation du Proxy Microsoft ADFS StyleBook dans votre réseau d’entreprise.

Pour déployer Microsoft ADFS Proxy StyleBook

  1. Dans Citrix ADM, accédez à Applications > StyleBooks. La page StyleBooks affiche tous les StyleBooks disponibles pour votre utilisation dans Citrix ADM.

  2. Faites défiler vers le bas et recherchez le Proxy Microsoft ADFS StyleBook. Cliquez sur Créer une configuration. Le StyleBook s’ouvre sous la forme d’une page d’interface utilisateur sur laquelle vous pouvez taper les valeurs de tous les paramètres définis dans ce StyleBook.

  3. Tapez des valeurs pour les paramètres suivants :
    1. Nom de déploiement du proxy ADFS. Sélectionnez un nom pour la configuration de proxy ADFS déployée sur votre réseau.
    2. FQDN ou adresses IP des serveurs ADFS. Tapez les adresses IP ou FQDN (noms de domaine) de tous les serveurs ADFS du réseau.
    3. IP VIP publique du proxy ADFS. Tapez l’adresse IP virtuelle publique sur l’Citrix ADC qui fonctionne en tant que serveur proxy ADFS.

    image localisée

  4. Dans la section Certificats de proxy ADFS, tapez les détails du certificat SSL et de la clé de certificat.

    Ce certificat SSL est lié à tous les serveurs virtuels créés sur l’instance de Citrix ADC.

    Sélectionnez les fichiers respectifs dans votre dossier de stockage local. Vous pouvez également saisir le mot de passe de la clé privée pour charger les clés privées cryptées au format .pem.

    image localisée

    Vous pouvez également activer la case à cocher Paramètres de certificat avancés. Ici, vous pouvez taper des détails tels que la période de notification d’expiration du certificat, activer ou désactiver le moniteur d’expiration du certificat.

  5. Le cas échéant, vous pouvez cocher la case Certificat d’autorité de certification SSL si le certificat SSL nécessite l’installation d’un certificat public d’autorité de certification sur Citrix ADC. Assurez-vous de sélectionner « Est un certificat d’autorité de certification » dans la section Paramètres de certificat avancés .

  6. Activer l’authentification pour les clients actifs et passifs. Tapez le nom de domaine DNS utilisé dans Active Directory pour l’authentification utilisateur. Vous pouvez ensuite configurer l’authentification pour les clients actifs ou passifs, ou les deux.

  7. Tapez les détails suivants pour activer l’authentification pour les clients actifs :

    Remarque

    Il est facultatif de configurer la prise en charge des clients actifs.

    1. ADFS Proxy Active Authentication VIP. Tapez l’adresse IP virtuelle du serveur d’authentification virtuel sur l’instance de Citrix ADC dans laquelle les clients actifs sont redirigés pour authentification.

    2. Nom d’utilisateur du compte de service. Tapez le nom d’utilisateur du compte de service utilisé par Citrix ADC pour authentifier vos utilisateurs dans l’annuaire actif.

    3. Mot depasse du compte de service. Tapez le mot de passe utilisé par Citrix ADC pour authentifier vos utilisateurs dans l’annuaire actif.

    image localisée

  8. Configurez l’authentification pour les clients passifs en activant l’option correspondante et en configurant les paramètres LDAP.

    Remarque

    Il est facultatif de configurer la prise en charge des clients passifs.

    Tapez les détails suivants pour activer l’authentification pour les clients passifs :

    1. Base LDAP (Active Directory). Tapez le nom de domaine de base du domaine dans lequel les comptes d’utilisateur résident dans Active Directory (AD) pour autoriser l’authentification. Par exemple, dc=netscaler, dc=com

    2. DN de liaison LDAP (Active Directory). Ajoutez un compte de domaine (à l’aide d’une adresse de messagerie pour faciliter la configuration) qui dispose de privilèges pour parcourir l’arborescence AD. Par exemple, cn=Manager, dc=netscaler, dc=com

    3. LDAP (Active Directory) Lier le mot de passe DN. Tapez le mot de passe du compte de domaine pour l’authentification.

      Voici quelques autres champs que vous devez saisir dans les valeurs de cette section :

    4. IP du serveur LDAP (Active Directory). Tapez l’adresse IP du serveur Active Directory pour que l’authentification AD fonctionne correctement.

    5. Nom dedomaine complet du serveur LDAP. Tapez le nom de domaine complet du serveur Active Directory. Le nom de domaine complet est facultatif. Indiquez l’adresse IP comme à l’étape 1 ou le nom de domaine complet.

    6. Port Active Directory du serveur LDAP. Par défaut, les ports TCP et UDP pour le protocole LDAP sont 389, tandis que le port TCP pour Secure LDAP est 636.

    7. Nom d’utilisateur de connexion LDAP (Active Directory). Tapez le nom d’utilisateur en tant que « samAccountName ».

    8. ADFS Proxy Authentification passive VIP. Tapez l’adresse IP du serveur virtuel proxy ADFS pour les clients passifs.

      Remarque

      Les champs marqués d’un « * » sont obligatoires.

    image localisée

    image localisée

  9. Vous pouvez également configurer un VIP DNS pour vos serveurs DNS.

    image localisée

  10. Cliquez sur Instances cibles et sélectionnez les instances Citrix ADC pour déployer cette configuration de proxy Microsoft ADFS. Cliquez sur Créer pour créer la configuration et déployer la configuration sur les instances Citrix ADC sélectionnées.

    image localisée

Remarque

Citrix recommande de sélectionner Essai avant d’exécuter la configuration réelle. Vous pouvez d’abord afficher les objets de configuration créés sur les instances Citrix ADC cible par le StyleBook. Vous pouvez ensuite cliquer sur Créer pour déployer la configuration sur les instances sélectionnées.

Objets créés

Plusieurs objets de configuration sont créés lorsque la configuration du proxy ADFS est déployée sur l’instance de Citrix ADC. L’image suivante affiche la liste des objets créés.

image localisée

image localisée

image localisée

image localisée

image localisée

image localisée

image localisée

image localisée

image localisée

image localisée

image localisée