Citrix Application Delivery Management 服务

Microsoft ADFS 代理样本

Microsoft™ ADFS 代理通过为启用内部联合的资源和云资源提供单点登录访问,发挥了重要作用。云资源的一个例子是 Office 365。ADFS 代理服务器的目的是接收请求并转发到无法从互联网访问的 ADFS 服务器。ADFS 代理是反向代理,通常驻留在组织的外围网络 (DMZ) 中。ADFS 代理在远程用户连接和应用程序访问方面起着关键作用。

Citrix ADC 具有精确的技术,可实现联合身份的安全连接、身份验证和处理。使用 Citrix ADC 作为 ADFS 代理可避免在 DMZ 中部署额外的组件。

Citrix Application Delivery Management (ADM) 中的 Microsoft ADFS 代理样本允许您在 Citrix ADC 实例上配置 ADFS 代理服务器。

下图显示了在企业 DMZ 中将 Citrix ADC 实例部署为 ADFS 代理服务器的情况。

本地化后的图片

使用 Citrix ADC 作为 ADFS 代理的好处

  1. 满足负载平衡和 ADFS 代理需求
  2. 支持内部和外部用户访问方案
  3. 支持丰富的预身份验证方法
  4. 为用户提供单点登录体验
  5. 支持主动和被动协议
    1. 主动协议应用程序的示例 - Microsoft Outlook、Microsoft Skype for Business
    2. 被动协议应用程序的示例 - Microsoft Outlook Web App、Web 浏览器
  6. 用于基于 DMZ 的部署的强化设备
  7. 通过使用额外的 Citrix ADC 核心功能增加价值
    1. 内容交换
    2. SSL 卸载
    3. 重写
    4. 安全性(Citrix ADC AAA)

对于基于协议的活动方案,您可以连接到 Office 365 并提供凭据。Microsoft Federation Gateway 将代表活动协议客户端联系 ADFS 服务(通过 ADFS 代理)。然后,Gateway 使用基本身份验证 (401) 提交凭据。Citrix ADC 在访问 ADFS 服务之前处理客户端身份验证。进行身份验证后,ADFS 服务将向 Federation Gateway 提供 SAML 令牌。反过来,Federation Gateway 将令牌提交给 Office 365 以提供客户端访问。

对于被动客户端,ADFS 代理样本创建 Kerberos 约束委派 (KCD) 用户帐户。KCD 帐户是连接到 ADFS 服务器的 Kerberos SSO 身份验证所必需的。样本还会生成 LDAP 策略和会话策略。这些策略稍后会绑定到处理被动客户端身份验证的 Citrix ADC AAA 虚拟服务器。

样本还可以确保 Citrix ADC 上的 DNS 服务器配置为 ADFS。

下面的配置部分介绍了如何设置 Citrix ADC 以处理基于主动和被动协议的客户端身份验证。

配置详细信息

下表列出了成功部署此集成所需的最低软件版本。

产品 最低要求版本
Citrix ADC 11.0, 高级/高级许可

以下说明假定您已经创建了相应的外部和内部 DNS 条目。

从 Citrix ADM 部署 Microsoft ADFS 代理样本配置

在您的业务网络中实施 Microsoft ADFS 代理样本时,以下说明可以帮助您。

部署 Microsoft ADFS 代理样本

  1. 在 Citrix ADM 中,导航到 应用程序 > 样本。“ 样书 ” 页面显示可供您在 Citrix ADM 中使用的所有样书。

  2. 向下滚动并查找 Microsoft ADFS 代理样本。单击 创建配置。样本 以用户界面页的形式打开,您可以在该页面上键入此样本中定义的所有参数的值。

  3. 键入以下参数的值:
    1. ADFS 代理部署名称。为网络中部署的 ADFS 代理配置选择一个名称。
    2. ADFS 服务器 FQDN 或 IP。键入网络中所有 ADFS 服务器的 IP 地址或 FQDN(域名)。
    3. ADFS 代理公共 VIP IP. 键入作为 ADFS 代理服务器执行的 Citrix ADC 上的公用虚拟 IP 地址。

    本地化后的图片

  4. ADFS 代理证 书” 部分中,键入 SSL 证书和证书密钥的详细信息。

    此 SSL 证书绑定到在 Citrix ADC 实例上创建的所有虚拟服务器。

    从本地存储文件夹中选择相应的文件。您还可以键入私钥密码以加载 .pem 格式的加密私钥。

    本地化后的图片

    您还可以启用 高级证书设置” 复选框。在这里,您可以键入详细信息,例如证书到期通知期限、启用或禁用证书到期监视器。

  5. (可选)如果 SSL 证书 要求在 Citrix ADC 上安装 CA 公共证书,则可以选中 SSL CA 证书复选框。确保您在 高级证书设置” 部分选择 “是 CA 证 书”。

  6. 为主动客户端和被动客户端启用身份验证。键入用于用户身份验证的 Active Directory 中使用的 DNS 域名。然后,您可以为主动客户端或被动客户端配置身份验证,或者两者都配置身份验证。

  7. 键入以下详细信息以启用活动客户端的身份验证:

    **注

    意:**配置对活动客户端的支持是可选的。

    1. ADFS 代理活动身份验证 VIP. 键入 Citrix ADC 实例上虚拟身份验证服务器的虚拟 IP 地址,其中活动客户端将被重定向以进行身份验证。

    2. 服务帐户用户名。键入 Citrix ADC 用于在 Active Directory 中对用户进行身份验证的服务帐户用户名。

    3. 服务帐户密码。键入 Citrix ADC 用于在 Active Directory 中对用户进行身份验证的密码。

    本地化后的图片

  8. 通过启用相应的选项并配置 LDAP 设置,为被动客户端配置身份验证。

    **注

    意:**配置对被动客户端的支持是可选的。

    键入以下详细信息以启用被动客户端的身份验证:

    1. LDAP(Active Directory)基础。键入用户帐户驻留在 Active Directory (AD) 中的域的基本域名以允许身份验证。例如,dc=netscaler,dc=com

    2. LDAP(Active Directory)绑定 DN。添加具有浏览 AD 树权限的域帐户(使用电子邮件地址以便于配置)。例如,cn=Manager,dc=netscaler,dc=com

    3. LDAP(Active Directory)绑定 DN 密码。键入域帐户的密码进行身份验证。

      您必须在本节中键入的值的其他几个字段如下:

    4. LDAP 服务器(Active Directory)IP。键入 Active Directory 服务器的 IP 地址,以便 AD 身份验证正常工作。

    5. LDAP 服务器 FQDN 名称。键入 Active Directory 服务器的 FQDN 名称。FQDN 名称是可选的。提供步骤 1 中的 IP 地址或 FQDN 名称。

    6. LDAP 服务器 Active Directory 端口。默认情况下,LDAP 协议的 TCP 和 UDP 端口为 389,而安全 LDAP 的 TCP 端口为 636。

    7. LDAP(Active Directory)登录用户名。键入用户名为 “三帐户名称”。“

    8. ADFS 代理被动身份验证 VIP. 键入被动客户端的 ADFS 代理虚拟服务器的 IP 地址。

      注意

      标有 “*” 的字段是必填字段。

    本地化后的图片

    本地化后的图片

  9. 您也可以为 DNS 服务器配置 DNS VIP。

    本地化后的图片

  10. 单击 目标实例 ,然后选择要部署此 Microsoft ADFS 代理配置的 Citrix ADC 实例。单击 建” 以创建配置并在所选 Citrix ADC 实例上部署配置。

    本地化后的图片

注意

Citrix 建议在执行实际配置之前,选择试运行。您可以首先查看样本在目标 Citrix ADC 实例上创建的配置对象。然后,您可以单击 Create 以在选定的实例上部署配置。

已创建的对象

在 Citrix ADC 实例上部署 ADFS 代理配置时,将创建多个配置对象。下图显示创建的对象的列表。

本地化后的图片

本地化后的图片

本地化后的图片

本地化后的图片

本地化后的图片

本地化后的图片

本地化后的图片

本地化后的图片

本地化后的图片

本地化后的图片

本地化后的图片

Microsoft ADFS 代理样本