Citrix ADC

OAuth SPとしてのCitrix ADC

認証、承認、および監査トラフィック管理機能は、OAuth 認証をサポートし、Google、Facebook、Twitter などのアプリケーションでホストされているアプリケーションに対してユーザーを認証します。

注意点

  • ソリューションが機能するには、Citrix ADC Advanced Edition以降が必要です。
  • Citrix ADC アプライアンスの OAuth は、「OpenID コネクト 2.0」に準拠しているすべての SAML IdP に対して認定されています。

構成ユーティリティを使用して OAuth を構成するには

  1. OAuth アクションとポリシーを設定します。

    [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [高度なポリシー] > [ポリシー]に移動し、アクションタイプとして OAuth を使用してポリシーを作成し、必要な OAuth アクションをポリシーに関連付けます。

  2. OAuth ポリシーを認証仮想サーバーに関連付けます。

    [セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動し、OAuth ポリシーを認証仮想サーバに関連付けます。

注: 属性(1〜16)は、OAuthレスポンスで抽出することができます。現在、これらの属性は評価されません。これらは、将来の参照のために追加されます。

コマンドラインインターフェイスを使用して OAuth を構成するには:**

  1. OAuth アクションを定義します。

    add authentication OAuthAction <name> -authorizationEndpoint <URL> -tokenEndpoint <URL> [-idtokenDecryptEndpoint <URL>] -clientID <string> -clientSecret <string> [-defaultAuthenticationGroup <string>][-tenantID <string>][-GraphEndpoint <string>][-refreshInterval <positive_integer>] [-CertEndpoint <string>][-audience <string>][-userNameField <string>][-skewTime <mins>][-issuer <string>][-Attribute1 <string>][-Attribute2 <string>][-Attribute3 <string>]...
    
  2. アクションを高度な認証ポリシーに関連付けます。

    add authentication Policy** <name> -rule <expression> -action <string>
    

    例: add authentication oauthAction a -authorizationEndpoint https://example.com/ -tokenEndpoint https://example.com/ -clientiD sadf -clientsecret df

認証 OAuthAction パラメータの詳細については、「認証 OAuthアクション」を参照してください。

注: CertendPointを指定すると、Citrix ADCアプライアンスは設定した頻度でそのエンドポイントをポーリングして、キーを学習します。

ローカルファイルを読み取り、そのファイルからキーを解析するようにCitrix ADCを構成するには、次のように新しい構成オプションが導入されます。

set authentication OAuthAction <> -\*\*CertFilePath\*\* <path to local file with jwks>

OAuth 認証の名前/値属性のサポート

OAuth 認証属性に、一意の名前と値を設定できるようになりました。名前は、OAuthアクションパラメータで「属性」として構成され、値は名前を照会することによって取得されます。抽出された属性は、認証、承認、および監査セッションに格納されます。管理者は、属性名を指定する選択した方法に基づいてhttp.req.user.attribute("attribute name")またはhttp.req.user.attribute(1) を使用してこれらの属性を照会できます。

属性の名前を指定することで、管理者は属性名に関連付けられた属性値を簡単に検索できます。また、管理者は、「属性1 to attribute16」を数字だけで覚えておく必要がなくなりました。

重要: OAuth コマンドでは、合計サイズは 1024 バイト未満で、カンマで区切って最大 64 個の属性を構成できます。

注: 「属性1から属性16」の合計値サイズで、「属性」で指定した属性の値が10KB以下であれば、セッションの失敗を回避できます。

CLI を使用して名前/値属性を設定するには

コマンドプロンプトで、次のように入力します。

  • add authentication OAuthAction <name> [-Attributes <string>]
  • set authentication OAuthAction <name> [-Attributes <string>]

例:

  • add authentication OAuthAction a1 –attributes "email,company" –attribute1 email
  • set authentication OAuthAction oAuthAct1 -attributes "mail,sn,userprincipalName"

OAuth SPとしてのCitrix ADC