Active Directory 联合身份验证服务代理集成协议合规性

注意:对 Active Directory 联合身份验证服务代理集成协议的支持目前处于技术预览版中。

由 Active Directory 联合身份验证服务 (ADFS) 和代理服务器组成的系统为公司边界内的应用程序提供安全服务。此系统为公司安全外围以外的客户端提供身份验证、授权和访问驻留在公司安全边界内的资源(本地或云)。

Citrix ADC 设备具有本机代理服务器,该服务器可以利用 ADFS 代理集成协议 (ADFSPIP) 在代理服务器和 ADFS 场之间建立信任。

必备条件

为了成功建立代理服务器与 ADFS 场之间的信任,请查看 Citrix ADC 设备中的以下配置:

  • 禁用后端的默认 SSL 配置文件,并在后端的 SSL 配置文件中启用 SNI。在命令提示符下,键入以下命令:

    设置 SSL 配置文件 Ns_默认 _ssl_SSL__配置文件 _后端-可狙击启用-SSL3 禁用-tl1 禁用

  • 禁用服务的 SSLv3/TLS1。在命令提示符下,键入以下命令:

    设置 SSL 服务 [ADFS 服务名称] -SSL 配置文件名称-默认值 SSL_配置文件 后端

  • 在默认 SSL 参数中启用默认配置文件。在命令提示符下,键入以下命令:

    设置 ssl 参数-默认配置文件启用

身份验证机制

以下是用于身份验证的高级事件流。

  1. 与 ADFS 服务器建立信任 — Citrix ADC 服务器通过注册客户端证书来建立与 ADFS 服务器的信任。建立信任后,Citrix ADC 设备在重新启动后重新建立信任,无需用户干预。

    证书到期后,您需要通过删除并再次添加 ADFS 代理配置文件来重新确认信任。

  2. 将标头插入到客户端请求 中 — 当 Citrix ADC 设备隧道客户端请求时,与 ADFSPIP 相关的 HTTP 标头将在将其发送到 ADFS 服务器时添加到数据包中。您可以根据这些标头值在 ADFS 服务器上实现访问控制。支持以下标头。
    • X 微软代理服务器
    • X-MS 端点-绝对路径
    • X-MS 转发客户端 IP
    • X 微软代理服务器
    • X-MS 目标角色
    • X-MS-ADFS 代理客户端 IP
  3. 管理最终用户流量 — 最终用户流量被安全地路由到所需资源。

    注意: Citrix ADC 设备使用基于表单的身份验证。

将思杰 ADC 配置为与 ADFS 服务器一起工作

必备条件

  • 将上下文切换 (CS) 服务器配置为前端,AAA 服务器后面 CS。在命令提示窗口中,键入:

    • 添加[cs vserver 名称]通讯服务器的 SSL -CLt超时 180-身份验证主机[ADFS 服务器主机名]-身份验证关闭-持久性类型 NONE

    • 添加 CS 行动 [行动名称 1]-目标 TLBvvserver [磅 vserver 名称]

    • 添加 CS 行动 [动作名称 2]-目标 TLBvvserver [磅 vserver 名称]

    • 添加 CS 策略 [策略名称 1]-规则 “http.req.url.包含(“/广告/服务/信任”)   http.req.url.包含(“联合元数据/2007-06/联合元数据ata.xml”)”-行动 [操作名称 1]
    • 添加 CS 策略 [策略名称 2]-规则 “HTTP.REQ.URL. 包含(“/广告/LS”)”-行动 [行动名称 2]

    • 绑定 CS vserver [CS vserver 名称]-策略名称 [策略名称 1]-优先级 100

    • 绑定 CS vserver [CS vserver 名称]-策略名称 [策略名称 2]-优先级 110

    • 绑定 CS vserver [CS vserver 名称]-lbvserver [lb vserver 名称]
  • 添加 ADFS 服务。在命令提示窗口中,键入:

    • 添加服务[ADFS 服务名称] [ADFS 服务器 IP] SSL 443

    • 设置 SSL 服务[ADFS 服务名称] -SSL 配置文件-默认值 SSL_配置文件 后端

  • 添加负载平衡的虚拟服务器。在命令提示窗口中,键入:

    • 添加磅虚拟服务器[磅虚拟服务器名称]SSL 0.0.0.0 0

    • 设置 SSL 虚拟服务器[磅虚拟服务器名称] -SSL 配置文件 N_默认值 SSL_配置文件 前端

  • 将服务绑定到负载平衡服务器。在命令提示窗口中,键入:

    • 绑定 lb 虚拟服务器lb vserver nameadfs service name[磅虚拟服务器名称]

要将 Citrix ADC 配置为与 ADFS 服务器配合使用,需要执行以下操作:

  1. 创建 SSL CertKey 配置文件密钥以与 ADFS 代理配置文件一起使用
  2. 创建 ADFS 代理配置文件
  3. 将 ADFS 代理配置文件关联到 LB 虚拟服务器

使用私钥创建 SSL 证书以便与 ADFS 代理配置文件一起使用

在命令提示窗口中,键入:

<keypath>添加 SSL 证书密钥 <certkeyname> <certificate path>-证书密钥

注意: 证书文件和密钥文件必须存在于 Citrix ADC 设备中。使用 CLI 创建 ADFS 代理配置文件

在命令提示窗口中,键入:

<name of the CertKey profile created above>添加身份验证 ADFSSProxy 配置文件  <profile name>-服务器 URL <https: // <server FQDN or IP address> />-用户名 <adfs admin user name>-密码 <password for admin user>-证书密钥名称

在哪里;

配置文件名称 — 要创建的 AFDS 代理配置文件的名称

ServerURL — ADFS 服务的完全限定域名,包括协议和端口。例如, https://adfs.citrix.com

用户名 — ADFS 服务器上存在的管理员帐户的用户名

密码-用作用户名的管理员帐户的密码

证书密钥名称 — 之前创建的 SSL 证书密钥配置文件的 名称

使用 CLI 将 ADFS 代理配置文件关联到负载平衡虚拟服务器

在 ADFS 部署中,有两个负载平衡虚拟服务器,一个用于客户端流量,另一个用于元数据交换。ADFS 代理配置文件必须与前端 ADFS 服务器的负载平衡虚拟服务器关联。

在命令提示窗口中,键入:

<name of the ADFS proxy profile>设置 lb v服务器<adfs-proxy-lb>-AdfsProxy 配置文件

Active Directory 联合身份验证服务代理集成协议合规性