ADC

Active Directory フェデレーションサービスプロキシとしてのNetScaler ADC

Active Directory フェデレーションサービス (ADFS) は、Active Directory 認証を受けたクライアントがエンタープライズデータセンター外のリソースにシングルサインオン (SSO) できるようにするMicrosoft のサービスです。ADFS サーバーファームにより、内部ユーザーは外部のクラウドホストサービスにアクセスできます。しかし、外部ユーザーが参加した瞬間に、外部ユーザーにリモート接続し、フェデレーションIDを介してクラウドベースのサービスにアクセスする方法を提供する必要があります。ほとんどの企業は、ADFS サーバを DMZ に公開したままにすることを望んでいません。そのため、ADFS プロキシは、リモートユーザー接続とアプリケーションアクセスにおいて重要な役割を果たします。

NetScaler ADCアプライアンスは、10年以上にわたり、リモートユーザー接続とアプリケーションアクセスにおいて同様の役割を果たしてきました。NetScaler ADCアプライアンスは、以下のサービスを可能にする新しいADFS実装をサポートするためのADFSプロキシとして使用するソリューションとして推奨されます。

  • 安全な接続。
  • フェデレーション ID の認証と処理。

SAML IdPとしてのNetScaler ADCの詳細については、「SAML IdPとしてのNetScaler ADC」を参照してください。

ADFS プロキシの利点

  • DMZの設置面積を縮小し、ほとんどの企業のニーズに応えます。
  • エンドユーザーに SSO エクスペリエンスを提供します。
  • 豊富な事前認証方法をサポートし、多要素認証を可能にします。
  • アクティブクライアントとパッシブクライアントの両方をサポートします。

NetScaler ADC を ADFS プロキシとして使用するための前提条件

NetScaler ADCアプライアンスをADFSプロキシとして構成する前に、次の前提条件が満たされていることを確認してください。

  • 12.1ビルド以降を搭載したNetScaler ADCアプライアンス。
  • ドメイン ADFS サーバー。
  • ドメイン SSL 証明書。
  • コンテンツスイッチング仮想サーバーの仮想 IP。
  • NetScaler ADCアプライアンスの負荷分散、SSLオフロード、コンテンツスイッチング、書き換え、認証、承認、監査のトラフィック管理機能を有効にします。

NetScaler ADCアプライアンスをADFSプロキシとして構成する

このユースケースを実現するには、NetScaler ADCをDMZゾーン内のADFSプロキシとして構成します。ADFS サーバーは、バックエンドの AD ドメインコントローラーとともに構成されます。

ADFS プロキシ

  1. Microsoft Office365へのアクセスを求めるクライアントリクエストは、ADFSプロキシとしてデプロイされたNetScaler ADCにリダイレクトされます。

  2. ユーザーの資格情報は ADFS サーバーに渡されます。

  3. ADFS サーバーは、ドメインのオンプレミス AD で認証情報を認証します。

  4. ADFS サーバーは、AD による認証情報の検証が成功すると、セッションを確立するために Microsoft Office365 に渡されるトークンを生成します。

ADFSプロキシとして構成する前に、NetScaler ADCアプライアンスを構成する際の大まかな手順は次のとおりです。

NetScaler ADC コマンドプロンプトで、次のコマンドを入力します。

  1. バックエンドの SSL プロファイルを作成し、SSL プロファイルで SNI を有効にします。SSLv3/TLS1 を無効にします。

    add ssl profile <new SSL profile> -sslprofileType backEnd -sniEnable ENABLED -ssl3 DISABLED -tls1 DISABLED -commonName <FQDN of ADFS>

  2. サービスの SSLv3/TLS1 を無効にします。

    set ssl service <adfs service name> -sslProfile <SSL profile created in the above step>

  3. バックエンドサーバーハンドシェイクの SNI 拡張を有効にします。

    • set vpn parameter –backendServerSni ENABLED
    • set ssl parameter -denySSLReneg NONSECURE

CLIを使用してNetScaler ADCアプライアンスをADFSプロキシとして構成する

以下のセクションは、構成手順を完了するための要件に基づいて分類されています。

ADFS サービスを設定するには

  1. ADFS サーバー用の NetScaler ADC で ADFS サービスを構成します。

    add service <Domain_ADFS_Service> <ADFS Server IP> SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO

    add service CTXTEST_ADFS_Service 1.1.1.1 SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO

  2. コンテンツスイッチ仮想サーバーのFQDNを構成し、SNIを有効にします。

    set ssl service <Domain_ADFS_Service> -SNIEnable ENABLED -commonName <sts.domain.com>

    set ssl service CTXTEST_ADFS_Service -SNIEnable ENABLED -commonName sts.ctxtest.com

ADFS 負荷分散仮想サーバーを構成するには

重要

トラフィックをセキュリティで保護するには、ドメイン SSL 証明書 (SSL_CERT) が必要です。

  1. ADFS 負荷分散仮想サーバーを設定します。

    add lb vserver <Domain_ADFS_LBVS> SSL <IP_address> -persistenceType NONE -cltTimeout 180

    add lb vserver CTXTEST_ADFS_LBVS SSL 192.168.1.0 -persistenceType NONE -cltTimeout 180

  2. ADFS 負荷分散仮想サーバーを ADFS サービスにバインドします。

    bind lb vserver <Domain_ADFS_LBVS> <Domain_ADFS_Service>

    bind lb vserver CTXTEST_ADFS_LBVS CTXTEST_ADFS_Service

  3. SSL 仮想サーバーの証明書とキーのペアをバインドします。

    bind ssl vserver <Domain_ADFS_LBVS> -certkeyName <SSL_CERT>

    bind ssl vserver CTXTEST_ADFS_LBVS -certkeyName ctxtest_newcert_2019

ドメイン用のコンテンツスイッチ仮想サーバーを構成するには

注:

コンテンツスイッチング仮想サーバーには、パブリック IP に NAT された空いている仮想 IP (例:2.2.2.2) が 1 つ必要です。外部トラフィックと内部トラフィックの両方からアクセス可能でなければなりません。

  1. 無料のVIPでコンテンツスイッチング仮想サーバーを作成します。

    add cs vserver <Domain_CSVS> SSL <FREE VIP> 443 -cltTimeout 180 -persistenceType NONE

    add cs vserver CTXTEST_CSVS SSL 2.2.2.2 443 -cltTimeout 180 -persistenceType NONE

  2. コンテンツスイッチ仮想サーバーを負荷分散仮想サーバーにバインドします。

    bind cs vserver <Domain_CSVS> -lbvserver <Domain_ADFS_LBVS>

    • bind cs vserver CTXTEST_CSVS -lbvserver CTXTEST_ADFS_LBVS
    • set ssl vserver CTXTEST_CSVS -sessReuse DISABLED
  3. SSL 仮想サーバーの証明書とキーのペアをバインドします。

    bind ssl vserver <Domain_CSVS> -certkeyName <SSL_CERT>

    bind ssl vserver CTXTEST_CSVS -certkeyName ctxtest_newcert_2019

サポートされているプロトコル

Microsoft が提供するプロトコルは、NetScaler ADCアプライアンスとの統合において重要な役割を果たします。ADFSプロキシとしてのNetScaler ADCは、次のプロトコルをサポートしています。

NetScaler ADCアプライアンスは、ADFSプロキシとして展開されている場合、デバイス証明書認証をサポートしません。

Active Directory フェデレーションサービスプロキシとしてのNetScaler ADC