Citrix Gateway

Configuration de l’authentification unique pour Microsoft Exchange 2010

La section suivante décrit la configuration de l’authentification unique (SSO) pour Microsoft Exchange 2010 sur Citrix Gateway. L’accès SSO pour Outlook Web Access (OWA) 2010 ne fonctionne pas dans les conditions suivantes :

  • Utilisation de l’authentification basée sur les formulaires sur Microsoft Exchange 2010.
  • Serveur virtuel d’équilibrage de charge avec stratégie de gestion du trafic d’authentification, d’autorisation et d’audit.

Remarque : Cette configuration fonctionne uniquement pour le serveur virtuel d’équilibrage de charge avec stratégie de gestion du trafic d’authentification, d’autorisation et d’audit. Il ne fonctionne pas pour l’SSO dans OWA 2010 avec un VPN sans client.

Les étapes suivantes sont des conditions préalables que vous devez prendre en compte avant de configurer l’authentification unique pour Microsoft Exchange 2010 sur Citrix Gateway.

  • L’URL d’action pour le formulaire SSO est différente dans OWA 2010. Modifiez la stratégie de gestion du trafic en conséquence.
  • Vous avez besoin d’une stratégie de réécriture pour définir le PBack cookie dans la demande logon.aspx. Dans des scénarios normaux, vous définissez le PBack cookie sur le client et cliquez sur Envoyer.
  • Lorsque vous utilisez l’authentification unique, la réponse à logon.aspx est consommée et Citrix Gateway génère la demande de formulaire. Le cookie n’est pas joint à la demande de soumission du formulaire.
  • Le serveur OWA attend le PBack cookie dans la demande de soumission du formulaire. La politique de réécriture est nécessaire pour joindre le PBack cookie à la demande de soumission du formulaire.

Effectuez les opérations suivantes à l’aide de l’interface de ligne de commande

  1. Configuration de la gestion du trafic d’authentification, d’autorisation et d’audit

    add tm formSSOAction OWA_Form_SSO_SSOPro -actionURL "/owa/auth.owa" -userField username -passwdField password -ssoSuccessRule "http.RES.SET_COOKIE.COOKIE(\"cadata\").VALUE(\"cadata\").LENGTH.GT(70" -responsesize 15000 -submitMethod POST

  2. Configurez la stratégie de gestion du trafic et liez la stratégie

    • add tm trafficAction OWA_2010_Prof -appTimeout 1 -SSO ON -formSSO Action OWA_Form_SSO_SSOPro

    • add tm trafficPolicy owa2k10_pol "HTTP.REQ.URL.CONTAINS(\"owa/auth/logon.aspx\")" OWA_2010_Prof

    • bind tm global -policyName owa2k10_pol -priority 100

Réécrire la configuration à l’aide de la CLI

À l’invite de commandes, tapez :

  • add rewrite action set_pback_cookie insert_after "http.REQ.COOKIE.VALUE(\"OutlookSession\")" "\";PBack=0\"" -bypassSafetyCheck YES

  • add rewrite policy set_pback_cookie "http.REQ.URL.CONTAINS(\"logon.aspx\")" set_pback_cookie

  • bind rewrite global set_pback_cookie 100 END -type REQ_DEFAULT

Configuration de réécriture alternative

Dans de rares cas, Microsoft Outlook peut ne pas émettre de cookies de session OWA et les Pback cookies peuvent également ne pas être insérés. Le problème peut se produire après que vous ayez exécuté les commandes précédentes pour implémenter la configuration de réécriture.

Pour surmonter de tels scénarios et pour contourner ce problème, vous pouvez configurer les commandes suivantes au lieu de la configuration de réécriture.

À l’invite de commandes, tapez :

  • add rewrite action set_pback_cookie insert_http_header "Cookie" '"PBack=0"'

  • add rewrite policy set_pback_cookie "http.REQ.URL.CONTAINS(\"logon.aspx\")" set_pback_cookie

  • set rewrite policy set_pback_cookie -action set_pback_cookie

  • bind rewrite global set_pback_cookie 100 END -type REQ_DEFAULT

Configuration de l’authentification unique pour Microsoft Exchange 2010