Citrix ADC

Active Directory フェデレーションサービスプロキシとしてのCitrix ADC

Active Directory フェデレーションサービス (ADFS) は、エンタープライズデータセンター外のリソースに対する Active Directory 認証クライアントのシングルサインオン (SSO) エクスペリエンスを可能にするMicrosoftのサービスです。ADFS サーバーファームを使用すると、内部ユーザーは外部クラウドでホストされるサービスにアクセスできます。しかし、外部ユーザーが混在する瞬間に、外部ユーザーにリモートで接続し、フェデレーション ID を介してクラウドベースのサービスにアクセスする方法を与える必要があります。ほとんどの企業は、ADFS サーバーを DMZ に公開したままにしておくことを望んでいません。したがって、ADFS プロキシは、リモートユーザーの接続とアプリケーションアクセスで重要な役割を果たします。

10年以上にわたり、Citrix ADCアプライアンスは、リモートユーザー接続とアプリケーションアクセスにおいて同様の役割を果たしています。Citrix ADCアプライアンスは、次のサービスを有効にする新しいADFS実装をサポートするためのADFSプロキシとして使用される推奨ソリューションになります。

  • 安全な接続。
  • フェデレーション ID の認証と処理。

SAML SP および IdP としてのCitrix ADC アプライアンスの詳細については、SAML IdP としてのCitrix ADCを参照してください。

ADFS プロキシの利点

  • DMZの設置面積を削減し、ほとんどの企業のニーズに応えます。
  • エンドユーザーに SSO エクスペリエンスを提供します。
  • 事前認証のための豊富な方法をサポートし、多要素認証を可能にします。
  • アクティブクライアントとパッシブクライアントの両方をサポートします。

Citrix ADCをADFSプロキシとして使用するための前提条件

Citrix ADCアプライアンスをADFSプロキシとして構成する前に、次の前提条件が満たされていることを確認します。

  • 12.1以降のビルドを搭載したCitrix ADCアプライアンス。
  • ドメイン ADFS サーバー。
  • ドメイン SSL 証明書。
  • コンテンツスイッチング仮想サーバーの仮想 IP。
  • Citrix ADCアプライアンスで、負荷分散、SSLオフロード、コンテンツスイッチング、書き換え、認証、承認、監査のトラフィック管理機能を有効にします。

Citrix ADCアプライアンスをADFSプロキシとして構成する

このユースケースを実現するには、DMZゾーンでADFSプロキシとしてCitrix ADCを構成します。ADFS サーバーは、バックエンドの AD ドメイン Controller と共に構成されます。

ADFS プロキシ

  1. Microsoft Office365にアクセスするためのクライアント要求は、ADFSプロキシとして展開されたCitrix ADCにリダイレクトされます。

  2. ユーザーの資格情報は ADFS サーバーに渡されます。

  3. ADFS サーバーは、ドメインのオンプレミス AD で資格情報を認証します。

  4. ADFS サーバーは、AD との資格情報の検証に成功すると、セッションを確立するために Microsoft Office365 に渡されるトークンを生成します。

以下に、ADFSプロキシとして構成する前にCitrix ADCアプライアンスを構成する手順の概要を示します。

Citrix ADCコマンドプロンプトで、次のコマンドを入力します。

  1. バックエンドの SSL プロファイルを作成し、SSL プロファイルで SNI を有効にします。SSLv3/TLS1 を無効にします。

    add ssl profile <new SSL profile> -sniEnable ENABLED -ssl3 DISABLED -tls1 DISABLED -commonName <FQDN of ADFS>

  2. サービスの SSLv3/TLS1 を無効にします。

    set ssl service <adfs service name> -sslProfile ns_default_ssl_profile_backend

  3. バックエンドサーバハンドシェイクの SNI 拡張を有効にします。

    • set vpn parameter –backendServerSni ENABLED
    • set ssl parameter -denySSLReneg NONSECURE

CLI を使用して、Citrix ADC アプライアンスをADFS プロキシとして構成する

次の項は、設定手順を完了するための要件に基づいて分類されています。

ADFS サービスを構成するには

  1. ADFS サーバー用の Citrix ADC で ADFS サービスを構成します。

    add service <Domain_ADFS_Service> <ADFS Server IP> SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO

add service CTXTEST_ADFS_Service 1.1.1.1 SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO
  1. コンテンツスイッチ仮想サーバーの FQDN を構成し、SNI を有効にします。

    set ssl service <Domain_ADFS_Service> -SNIEnable ENABLED -commonName <sts.domain.com>

set ssl service CTXTEST_ADFS_Service -SNIEnable ENABLED -commonName sts.ctxtest.com

ADFS 負荷分散仮想サーバーを構成するには

重要

セキュリティで保護されたトラフィックには、ドメイン SSL 証明書 (SSL_CERT) が必要です。

  1. ADFS 負荷分散仮想サーバーを構成します。

    add lb vserver <Domain_ADFS_LBVS> SSL <IP_address> -persistenceType NONE -cltTimeout 180

    add lb vserver CTXTEST_ADFS_LBVS SSL 192.168.1.0 -persistenceType NONE -cltTimeout 180

  2. ADFS 負荷分散仮想サーバーを ADFS サービスにバインドします。

    bind lb vserver <Domain_ADFS_LBVS> <Domain_ADFS_Service>

    bind lb vserver CTXTEST_ADFS_LBVS CTXTEST_ADFS_Service

  3. SSL 仮想サーバ証明書とキーのペアをバインドします。

    bind ssl vserver <Domain_ADFS_LBVS> -certkeyName <SSL_CERT>

    bind ssl vserver CTXTEST_ADFS_LBVS -certkeyName ctxtest_newcert_2019

ドメインのコンテンツスイッチング仮想サーバーを構成するには

注:

コンテンツスイッチング仮想サーバーには、パブリック IP にナットされている無料の仮想 IP (2.2.2.2 など) が1 つ必要です。外部トラフィックと内部トラフィックの両方で到達可能である必要があります。

  1. 無料VIPでコンテンツスイッチング仮想サーバーを作成します。

    add cs vserver <Domain_CSVS> SSL <FREE VIP> 443 -cltTimeout 180 -persistenceType NONE

    add cs vserver CTXTEST_CSVS SSL 2.2.2.2 443 -cltTimeout 180 -persistenceType NONE

  2. コンテンツスイッチ仮想サーバーを負荷分散仮想サーバーにバインドします。

    bind cs vserver <Domain_CSVS> -lbvserver <Domain_ADFS_LBVS>

    • bind cs vserver CTXTEST_CSVS -lbvserver CTXTEST_ADFS_LBVS
    • set ssl vserver CTXTEST_CSVS -sessReuse DISABLED
  3. SSL 仮想サーバ証明書とキーのペアをバインドします。

    bind ssl vserver <Domain_CSVS> -certkeyName <SSL_CERT>

    bind ssl vserver CTXTEST_CSVS -certkeyName ctxtest_newcert_2019

サポートされているプロトコル

Microsoftが提供するプロトコルは、Citrix ADCアプライアンスとの統合において重要な役割を果たします。ADFSプロキシとしてのCitrix ADCは、次のプロトコルをサポートしています。

Citrix ADCアプライアンスは、ADFSプロキシとして展開されている場合、デバイス証明書認証をサポートしません。

Active Directory フェデレーションサービスプロキシとしてのCitrix ADC