Product Documentation

Déploiement ADFS du Service d'authentification fédérée

Jul 25, 2017

Introduction

Ce document décrit comment intégrer un environnement Citrix avec Microsoft ADFS.

De nombreuses organisations utilisent ADFS pour gérer l’accès sécurisé aux sites Web qui requièrent un seul point d'authentification.  Par exemple, une entreprise peut disposer de contenu et de téléchargements supplémentaires disponibles pour les employés ; ces emplacements doivent être protégés avec des informations d'identification d'ouverture de session Windows standard.

Le Service d'authentification fédérée (FAS) permet également d’intégrer Citrix NetScaler et Citrix StoreFront avec le système d'ouverture de session ADFS, ce qui réduit toute confusion potentielle pour le personnel de l'entreprise.

Ce déploiement intègre NetScaler en tant que partie de confiance pour Microsoft ADFS.

localized image

Présentation SAML

SAML (Security Assertion Markup Language) est un système d'ouverture de session sur navigateur Web de « redirection vers une page d'ouverture de session ».  La configuration comprend les éléments suivants :

URL de redirection [URL du service Single Sign-On]

Lorsque NetScaler découvre qu’un utilisateur a besoin d'être authentifié, il indique au navigateur Web de l’utilisateur d’utiliser un HTTP POST vers une page Web d'ouverture de session SAML sur le serveur ADFS.  Il s’agit généralement d’une adresse https:// au format : https://adfs.mycompany.com/adfs/ls.

Cette page Web POST comprend d'autres informations, notamment « l'adresse de retour » à laquelle ADFS renverra l'utilisateur lorsque l'ouverture de session est terminée.

Identificateur [Nom de l’émetteur/EntityID]

EntityId est un identificateur unique que NetScaler inclut dans ses données POST à ADFS.  Il renseigne ADFS sur le service auquel l'utilisateur tente de se connecter et applique différentes stratégies d'authentification le cas échéant.  S’il est émis, le fichier XML d'authentification SAML pourra uniquement être utilisé pour ouvrir une session sur le service identifié par EntityId.

En règle générale, EntityID est l'adresse URL de la page d'ouverture de session du serveur NetScaler, mais une quelconque autre adresse peut être utilisée, à condition que NetScaler et ADFS l’acceptent : https://ns.mycompany.com/application/logonpage.

Adresse de retour [URL de réponse]

Si l'authentification réussit, ADFS indique au navigateur Web de l’utilisateur de publier un fichier ADFS d’authentification SAML sur l'une des URL de réponse qui sont configurées pour EntityId.  Il s’agit généralement d’une adresse https:// sur le serveur NetScaler d’origine au format : https://ns.mycompany.com/cgi/samlauth

S'il existe plusieurs URL de réponse configurées, NetScaler peut en choisir une dans sa publication d'origine sur ADFS.

Certificat de signature [Certificat IDP]

ADFS signe de manière cryptographique les objets blob XML d’authentification SAML à l'aide de sa clé privée.  Pour valider cette signature, NetScaler doit être configuré pour vérifier ces signatures à l'aide de la clé publique incluse dans un fichier de certificat. Le fichier de certificat sera généralement un fichier texte obtenu à partir du serveur ADFS.

URL d’authentification unique [URL de déconnexion unique]

ADFS et NetScaler prennent en charge un système de « déconnexion centrale ».  Il s’agit d’une adresse URL que NetScaler interroge parfois pour vérifier que l’objet blob XML d'authentification SAML représente toujours une session actuellement connectée. 

Cette fonctionnalité est facultative et n’a pas besoin d'être configurée. Il s’agit généralement d’une adresse https:// au format https://adfs.mycompany.com/adfs/logout. (Notez que cette dernière peut être la même que l'URL d'ouverture de session unique).

Configuration

La section Déploiement NetScaler Gateway de l’article Architectures du Service d'authentification fédérée explique comment configurer NetScaler Gateway afin de gérer les options d'authentification LDAP standard, à l'aide de l'assistant d'installation de XenApp et XenDesktop NetScaler. Une fois la configuration terminée, vous pouvez créer une nouvelle stratégie d'authentification sur NetScaler qui autorise l'authentification SAML.  Cela peut remplacer la stratégie LDAP par défaut utilisée par l’assistant d'installation de NetScaler.

localized image

Renseigner la stratégie SAML

Configurez le nouveau serveur IdP SAML à l'aide des informations obtenues précédemment dans la console de gestion ADFS. Lorsque cette stratégie est appliquée, NetScaler redirige l'utilisateur vers ADFS pour l'ouverture de session, et accepte un jeton d'authentification SAML signé par ADFS.

localized image

Informations connexes