Citrix ADC

Web サービスフェデレーションプロトコル

Web サービスフェデレーション (WS フェデレーション) は、2 つのドメイン間に信頼関係がある場合に、1 つの信頼ドメイン内のセキュリティトークンサービス (STS) が別の信頼ドメイン内の STS に認証情報を提供できるようにする ID プロトコルです。

WS フェデレーションの利点

WS-Federationは、SAML IdPがパッシブクライアントのみをサポートするアクティブクライアントとパッシブクライアントの両方をサポートします。

  • アクティブクライアントとは、Outlook クライアント、Office クライアント (Word、PowerPoint クライアント、Excel クライアント、および OneNote クライアント) などのMicrosoftのネイティブクライアントです。
  • パッシブクライアントは、Google Chrome、Mozilla Firefox、Internet Explorerなどのブラウザベースのクライアントです。

Citrix ADCをWSフェデレーションとして使用するための前提条件

Citrix ADCアプライアンスをADFSプロキシとして構成する前に、以下を確認してください。

  • Active Directory
  • ドメイン SSL 証明書。
  • ADFSサーバー上のCitrix ADC SSL証明書とADFSトークン署名証明書は同じである必要があります。

重要な

SAML IdP は、WSフェデレーションプロトコルを処理できるようになりました。したがって、WS フェデレーション IdP を構成するには、SAML IdP を実際に設定する必要があります。WS-Federation に明示的に言及しているユーザーインターフェイスは表示されません。

ADFSプロキシおよびWSフェデレーションIdPとして構成されている場合、Citrix ADCでサポートされる機能

次の表は、ADFSプロキシおよびWSフェデレーションIdPとして構成された場合にCitrix ADCアプライアンスでサポートされる機能の一覧です。

機能 Citrix ADCアプライアンスをADFSプロキシとして構成する WSフェデレーションIDPとしてのCitrix ADC ADFSPIPとしてのCitrix ADC
負荷分散 はい はい はい
SSL の終了 はい はい はい
レート制限 はい はい はい
統合(DMZサーバの設置面積を削減し、パブリックIPを節約) はい はい はい
Web アプリケーションファイアウォール (WAF) はい はい はい
Citrix ADCアプライアンスへの認証オフロード いいえ ○(アクティブ・クライアントとパッシブ・クライアント) はい
シングルサインオン (SSO) いいえ ○(アクティブ・クライアントとパッシブ・クライアント) はい
多要素 (nFactor) 認証 いいえ ○(アクティブ・クライアントとパッシブ・クライアント) はい
Azure多要素認証 いいえ ○(アクティブ・クライアントとパッシブ・クライアント) はい
ADFS サーバーファームを回避できます。 いいえ はい はい

Citrix ADCアプライアンスをWSフェデレーションIdPとして構成する

DMZゾーンでWSフェデレーションIdP(SAML IdP)としてCitrix ADC を構成します。ADFS サーバーは、バックエンドの AD ドメイン Controller と共に構成されます。

WSフェデレーション IdP

  1. Microsoft Office365へのクライアント要求は、Citrix ADCアプライアンスにリダイレクトされます。
  2. ユーザーは、多要素認証の資格情報を入力します。
  3. Citrix ADCはADで認証情報を検証し、Citrix ADCアプライアンスでネイティブにトークンを生成します。資格情報は、アクセスのために Office365 に渡されます。

WSフェデレーションIdPのサポートは、F5ネットワークのロードバランサーと比較すると、Citrix ADCアプライアンスを介してネイティブに行われます。

CLI を使用して、Citrix ADC アプライアンスをWSフェデレーション IdP(SAML IdP)として構成します

次の項は、設定手順を完了するための要件に基づいて分類されています。

LDAP 認証を構成してポリシーを追加するには

重要

ドメインユーザーの場合、企業のメールアドレスを使用してCitrix ADCアプライアンスにログオンするには、以下を構成する必要があります。

  • Citrix ADCアプライアンスでLDAP認証サーバーとポリシーを構成します。
  • 認証、承認、監査仮想 IP アドレスにバインドします (既存の LDAP 設定の使用もサポートされます)。

  • add authentication ldapAction <Domain_LDAP_Action> -serverIP <Active Directory IP> -serverPort 636 -ldapBase "cn=Users,dc=domain,dc=com" -ldapBindDn "cn=administrator,cn=Users,dc=domain,dc=com" -ldapBindDnPassword <administrator password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute UserPrincipalName -followReferrals ON -Attribute1 mail -Attribute2 objectGUID
  • add authentication Policy <Domain_LDAP_Policy> -rule true -action <Domain_LDAP_Action>

  • add authentication ldapAction CTXTEST_LDAP_Action -serverIP 3.3.3.3 -serverPort 636 -ldapBase "cn=Users,dc=ctxtest,dc=com" -ldapBindDn "cn=administrator,cn=Users,dc=ctxtest,dc=com" -ldapBindDnPassword xxxxxxxxxxx -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute UserPrincipalName -followReferrals ON -Attribute1 mail -Attribute2 objectGUID
  • add authentication Policy CTXTEST_LDAP_Policy -rule true -action CTXTEST_LDAP_Action

Citrix ADC をWSフェデレーションIdPまたはSAML IdPとして構成するには

トークン生成用の WS フェデレーション IdP (SAML IdP) アクションとポリシーを作成します。後の段階で、認証、承認、および監査仮想サーバーにバインドします。

  • add authentication samlIdPProfile <Domain_SAMLIDP_Profile> -samlIdPCertName <SSL_CERT> -assertionConsumerServiceURL "https://login.microsoftonline.com/login.srf" -samlIssuerName <Issuer Name for Office 365 in ADFS Server> -rejectUnsignedRequests OFF -audience urn:federation:MicrosoftOnline -NameIDFormat persistent -NameIDExpr "HTTP.REQ.USER.ATTRIBUTE(2).B64ENCODE" -Attribute1 IDPEmail -Attribute1Expr "HTTP.REQ.USER.ATTRIBUTE(1)"
  • add authentication samlIdPPolicy <Domain_SAMLIDP_Policy> -rule "HTTP.REQ.HEADER(\"referer\").CONTAINS(\"microsoft\") || true" -action <Domain_SAMLIDP_Profile>

  • add authentication samlIdPProfile CTXTEST_SAMLIDP_Profile -samlIdPCertName ctxtest_newcert_2019 -assertionConsumerServiceURL "https://login.microsoftonline.com/login.srf" -samlIssuerName "http://ctxtest.com/adfs/services/trust/" -rejectUnsignedRequests OFF -audience urn:federation:MicrosoftOnline -NameIDFormat persistent -NameIDExpr "HTTP.REQ.USER.ATTRIBUTE(2).B64ENCODE" -Attribute1 IDPEmail -Attribute1Expr "HTTP.REQ.USER.ATTRIBUTE(1)"
  • add authentication samlIdPPolicy CTXTEST_SAMLIDP_Policy -rule "HTTP.REQ.HEADER(\"referer\").CONTAINS(\"microsoft\") || true" -action CTXTEST_SAMLIDP_Profile

企業の資格情報を使用して Office365 にログオンする従業員を認証するように、認証、承認、および監査仮想サーバーを構成するには

add authentication vserver <Domain_AAA_VS> SSL <IP_address>

  • add authentication vserver CTXTEST_AAA_VS SSL 192.168.1.0
  • bind authentication vserver CTXTEST_AAA_VS -portaltheme RfWebUI

認証仮想サーバとポリシーをバインドするには

  • bind authentication vserver <Domain_AAA_VS> -policy <Domain_SAMLIDP_Policy> -priority 100 -gotoPriorityExpression NEXT
  • bind authentication vserver <Domain_AAA_VS> -policy <Domain_LDAP_Policy> -priority 100 -gotoPriorityExpression NEXT

  • bind authentication vserver CTXTEST_AAA_VS -policy CTXTEST_SAMLIDP_Policy -priority 100 -gotoPriorityExpression NEXT
  • bind authentication vserver CTXTEST_AAA_VS -policy CTXTEST_LDAP_Policy -priority 100 -gotoPriorityExpression NEXT
  • bind ssl vserver CTXTEST_AAA_VS -certkeyName ctxtest_newcert_2019

コンテンツの切り替えを構成するには

  • add cs action <Domain_CS_Action> -targetVserver <Domain_AAA_VS>
  • add cs policy <Domain_CS_Policy> -rule "is_vpn_url || http.req.url.contains(\"/adfs/ls\") || http.req.url.contains(\"/adfs/services/trust\") || -action <Domain_CS_Action>

  • add cs action CTXTEST_CS_Action -targetVserver CTXTEST_AAA_VS
  • add cs policy CTXTEST_CS_Policy -rule "is_vpn_url || http.req.url.contains(\"/adfs/ls\") || http.req.url.contains(\"/adfs/services/trust\") || -action CTXTEST_CS_Action

コンテンツスイッチング仮想サーバーをポリシーにバインドするには

bind cs vserver CTXTEST_CSVS -policyName CTXTEST_CS_Policy -priority 100