Citrix Application Delivery Managementサービス

Microsoft ADFS proxy StyleBook

Microsoft™ ADFSプロキシは、内部フェデレーション対応リソースとクラウドリソースの両方にシングルサインオンアクセスを提供することで、重要な役割を果たします。クラウドリソースのこのような例の 1 つは Office 365 です。ADFS プロキシサーバーの目的は、インターネットからアクセスできない ADFS サーバーに要求を受信および転送することです。ADFS プロキシはリバースプロキシであり、通常は組織の境界ネットワーク (DMZ) に存在します。ADFS プロキシは、リモートユーザーの接続とアプリケーションアクセスにおいて重要な役割を果たします。

Citrix ADC には、フェデレーションIDの安全な接続、認証、および処理を可能にする正確なテクノロジーがあります。ADFSプロキシとしてCitrix ADCを使用すると、DMZに余分なコンポーネントを展開する必要がなくなります。

Citrix Application Delivery Management(ADM)のMicrosoft ADFSプロキシスタイルブックを使用すると、Citrix ADCインスタンスでADFSプロキシサーバーを構成できます。

次の図は、Citrix ADCインスタンスを ADFS プロキシサーバーとしてエンタープライズ DMZ に展開する方法を示しています。

ADC インスタンスを ADFS プロキシとしてデプロイする

ADFSプロキシとしてCitrix ADC を使用する利点

  1. 負荷分散と ADFS プロキシの両方のニーズに対応
  2. 内部と外部の両方のユーザー・アクセス・シナリオをサポート
  3. 事前認証のための豊富な方法をサポート
  4. ユーザーにシングルサインオンエクスペリエンスを提供します。
  5. アクティブプロトコルとパッシブプロトコルの両方をサポート
    1. アクティブなプロトコルアプリケーションの例としては、— Microsoft Outlook、Microsoft Skype for Business
    2. パッシブプロトコルアプリケーションの例としては、Microsoft Outlook Web アプリケーション、Web ブラウザなどがあります。
  6. DMZ ベースの展開のための強化されたデバイス
  7. 追加のコアCitrix ADC機能を使用して価値を追加
    1. コンテンツ スイッチ
    2. SSL オフロード
    3. 書き換え
    4. セキュリティ (Citrix ADC AAA)

アクティブなプロトコルベースのシナリオでは、Office 365 に接続して資格情報を提供できます。Microsoft フェデレーションゲートウェイは、アクティブなプロトコルクライアントに代わって (ADFS プロキシを介して) ADFS サービスにアクセスします。次に、Gateway は基本認証(401)を使用してクレデンシャルを送信します。Citrix ADC は、ADFSサービスにアクセスする前にクライアント認証を処理します。認証後、ADFS サービスは SAML トークンをフェデレーションゲートウェイに提供します。次に、フェデレーションゲートウェイはトークンを Office 365 に送信し、クライアントアクセスを提供します。

パッシブクライアントの場合、ADFS プロキシスタイルブックは Kerberos 制約付き委任 (KCD) ユーザーアカウントを作成します。KCD アカウントは、Kerberos SSO 認証が ADFS サーバーに接続するために必要です。StyleBookは、LDAPポリシーとセッションポリシーも生成します。これらのポリシーは、パッシブ・クライアントの認証を処理するCitrix ADC AAA仮想サーバーに後でバインドされます。

StyleBookでは、Citrix ADC上のDNSサーバーがADFS用に構成されていることを確認することもできます。

以下の構成セクションでは、アクティブとパッシブの両方のプロトコルベースのクライアント認証を処理するためにCitrix ADC を設定する方法について説明します。

構成の詳細

次の表に、この統合を正常に展開するために必要な最低限のソフトウェアバージョンを示します。

製品 最低限必要なバージョン
Citrix ADC 11.0, アドバンス/プレミアムライセンス

次の手順は、適切な外部および内部 DNS エントリが既に作成されていることを前提としています。

Citrix ADMからMicrosoft ADFSプロキシのスタイルブック構成を展開する

次の手順は、Microsoft ADFS プロキシ StyleBook をビジネスネットワークに実装する際に役立ちます。

Microsoft ADFS プロキシスタイルブックを展開するには

  1. Citrix ADM で、[ アプリケーション ]>[ スタイルブック]に移動します。[ スタイルブック ]ページには、Citrix ADM で使用可能なすべてのスタイルブックが表示されます。

  2. 下にスクロールして、 Microsoft ADFS プロキシのスタイルブックを見つけます。[ 構成を作成] をクリックします。 StyleBookがユーザーインタフェースページとして開きます。このページには、このStyleBookで定義されているすべてのパラメータの値を入力できます。

  3. 次のパラメータの値を入力します。
    1. ADFS プロキシ展開名。ネットワークにデプロイされた ADFS プロキシ設定の名前を選択します。
    2. ADFS サーバー FQDN または IP。ネットワーク内のすべての ADFS サーバーの IP アドレスまたは FQDN (ドメイン名) を入力します。
    3. ADFS プロキシパブリック VIP IP。ADFSプロキシサーバーとしてCitrix ADC 上のパブリック仮想IPアドレスを入力します。

    ADFS パラメータを指定する

  4. [ ADFS プロキシ証明書 ] セクションで、SSL 証明書と証明書キーの詳細を入力します。

    このSSL証明書は、Citrix ADC インスタンスで作成されたすべての仮想サーバーにバインドされます。

    ローカルストレージフォルダからそれぞれのファイルを選択します。また、秘密キーのパスワードを入力して、暗号化された秘密キーを.pem 形式でロードすることもできます。

    ADFS プロキシ証明書の指定

    [ 証明書の詳細設定 ] チェックボックスをオンにすることもできます。ここでは、証明書の有効期限通知期間などの詳細を入力したり、証明書の有効期限モニターを有効または無効にすることができます。

  5. SSL 証明書でCitrix ADC にCA パブリック証明書をインストールする必要がある場合は、オプションで[SSL CA証明書]チェックボックスをオンにできます。[ 証明書の詳細設定 ] セクションで [CA 証明書か] を選択していることを確認します。

  6. アクティブクライアントおよびパッシブクライアントの認証を有効にします。Active Directory でユーザー認証に使用するDNSドメイン名を入力します。その後、アクティブクライアントまたはパッシブクライアント、またはその両方に対して認証を構成できます。

  7. アクティブなクライアントの認証を有効にするには、次の詳細を入力します。

    注:

    アクティブクライアントのサポートを構成することはオプションです。

    1. ADFS プロキシアクティブ認証 VIP。アクティブなクライアントが認証用にリダイレクトされるCitrix ADC インスタンス上の仮想認証サーバーの仮想IPアドレスを入力します。

    2. サービスアカウントのユーザー名。Active Directoryに対するユーザーを認証するためにCitrix ADC が使用するサービスアカウントのユーザー名を入力します。

    3. サービスアカウントパスワード。Active Directoryに対するユーザーを認証するためにCitrix ADC が使用するパスワードを入力します。

    ADFS 認証の詳細を指定する

  8. 対応するオプションを有効にし、LDAP 設定を構成して、パッシブクライアントの認証を構成します。

    注:

    パッシブクライアントのサポートを構成することはオプションです。

    パッシブクライアントの認証を有効にするには、次の詳細を入力します。

    1. LDAP(Active Directory)ベース。認証を許可するActive Directory (AD) 内にユーザーアカウントが存在するドメインの基本ドメイン名を入力します。例: dc=netscaler,dc=com

    2. LDAP(Active Directory)バインドDN。AD ツリーを参照する権限を持つドメインアカウント (構成を容易にするために電子メールアドレスを使用) を追加します。たとえば、CN=マネージャー、dc=netscaler,dc=com

    3. LDAP (Active Directory) バインド DN パスワード。認証用のドメインアカウントのパスワードを入力します。

      このセクションの値に入力する必要があるその他のフィールドは次のとおりです。

    4. LDAPサーバ(Active Directory)IP。AD 認証が正しく機能するように、Active Directory サーバーの IP アドレスを入力します。

    5. LDAP サーバの FQDN 名。アクティブディレクトリサーバーの FQDN 名を入力します。FQDN 名はオプションです。手順 1 のように IP アドレスまたは FQDN 名を指定します。

    6. LDAPサーバのActive Directory ポート。デフォルトでは、LDAP プロトコルの TCP ポートと UDP ポートは 389 ですが、セキュア LDAP の TCP ポートは 636 です。

    7. LDAP(Active Directory)ログインユーザ名。ユーザー名を「samAccountName」として入力します。

    8. ADFS プロキシパッシブ認証 VIP。パッシブクライアントの ADFS プロキシ仮想サーバーの IP アドレスを入力します。

      注:

      「*」の付いたフィールドは必須です。

    パッシブクライアント認証を有効にする 1

    パッシブクライアント認証を有効にする 2

  9. 必要に応じて、DNS サーバーの DNS VIP を構成することもできます。

    DNS サーバーの DNS VIP を構成する

  10. ターゲットインスタンス ]をクリックし、このMicrosoft ADFSプロキシ構成を展開するCitrix ADCインスタンスを選択します。[ 作成 ]をクリックして構成を作成し、選択したCitrix ADC インスタンスに構成を展開します。

    ターゲットインスタンスの追加

注:

実際の構成を実行する前に、[ ドライ実行]を選択することをお勧めします。まず、StyleBookによってターゲットのCitrix ADC インスタンスに作成された構成オブジェクトを表示できます。その後、[ Create ] をクリックして、選択したインスタンスに設定をデプロイできます。

作成されたオブジェクト

ADFSプロキシ構成がCitrix ADC インスタンスに展開されると、いくつかの構成オブジェクトが作成されます。次の図は、作成されたオブジェクトのリストを示しています。

作成されたオブジェクトのリスト

インスタンス 1 で作成されたオブジェクトのリスト

インスタンス 2 で作成されたオブジェクトのリスト

インスタンス 3 で作成されたオブジェクトのリスト

インスタンス 4 で作成されたオブジェクトのリスト

インスタンス 5 で作成されたオブジェクトのリスト

インスタンス6で作成されたオブジェクトのリスト

インスタンス7で作成されたオブジェクトのリスト

インスタンス8で作成されたオブジェクトのリスト

インスタンス9で作成されたオブジェクトのリスト

インスタンス10で作成されたオブジェクトのリスト

Microsoft ADFS proxy StyleBook