联合身份验证服务 ADFS 部署
简介
本文介绍了如何将 Citrix 环境与 Microsoft ADFS 相集成。
许多组织都使用 ADFS 管理用户对需要进行单点身份验证的 Web 站点的安全访问。 例如,公司可能会向员工提供额外的内容和下载对象;需要使用标准 Windows 登录凭据保护这些位置。
联合身份验证服务 (FAS) 还允许 Citrix NetScaler 和 Citrix StoreFront 与 ADFS 登录系统相集成,缓解了可能会对公司员工造成的困扰。
此部署集成 NetScaler 作为 Microsoft ADFS 的信赖方。
SAML 概述
安全声明标记语言 (SAML) 是一个简单的“重定向到登录页面”的 Web 浏览器登录系统。 配置包括以下各项:
重定向 URL [单点登录服务 URL]
NetScaler 发现用户需要进行身份验证时,会指示用户的 Web 浏览器在 ADFS 服务器上对 SAML 登录 Web 页面执行 HTTP POST。 这通常是 https://
地址,格式为:https://adfs.mycompany.com/adfs/ls
。
此 Web 页面 POST 包含其他信息,包括 ADFS 在登录完成时在其中返回用户的“返回地址”。
标识符 [颁发者名称/实体 ID]
实体 ID 是指 NetScaler 在向 ADFS 发送的 POST 数据中包含的唯一标识符。 这将通知 ADFS 用户正在尝试登录的服务,并通知 ADFS 根据需要应用不同的身份验证策略。 如果已颁发,SAML 身份验证 XML 将仅适用于登录通过实体 ID 标识的服务。
一般情况下,实体 ID 是指 NetScaler 服务器登录页面的 URL,但通常可以指任何内容,前提是 NetScaler 与 ADFS 达成共识:https://ns.mycompany.com/application/logonpage
。
返回地址 [答复 URL]
如果身份验证成功,ADFS 将指示用户的 Web 浏览器将 SAML 身份验证 XML POST 回实体 ID 配置的答复 URL 之一。 这通常是原始 NetScaler 服务器上的 https://
地址,格式为 https://ns.mycompany.com/cgi/samlauth
。
如果配置了多个答复 URL 地址,NetScaler 可以在向 ADFS 发送的原始 POST 中选择一个 URL。
签名证书 [IDP 证书]
ADFS 使用私钥通过密码对 SAML 身份验证 XML blob 进行签名。 要验证此签名,必须将 NetScaler 配置为使用证书文件中包含的公钥检查这些签名。证书文件通常是从 ADFS 服务器获取的一个文本文件。
单点注销 URL [单点注销 URL]
ADFS 和 NetScaler 支持“中央注销”系统。 NetScaler 会偶尔轮询此 URL 以检查 SAML 身份验证 XML blob 是否仍表示当前登录的会话。
这是一项可选功能,不需要配置。这通常是 https://
地址,格式为:https://adfs.mycompany.com/adfs/logout
。(请注意,此地址可以与单点登录 URL 相同。)
配置
联合身份验证服务体系结构一文中的 NetScaler Gateway 部署部分介绍了如何使用 XenApp 和 XenDesktop NetScaler 设置向导设置 NetScaler Gateway 以处理标准 LDAP 身份验证选项。成功完成设置后,可以在 NetScaler 上创建一条允许进行 SAML 身份验证的新身份验证策略。 此策略以后可以替换 NetScaler 设置向导使用的默认 LDAP 策略。
填充 SAML 策略
可以使用之前从 ADFS 管理控制台获取的信息配置新 SAML IdP 服务器。应用此策略时,NetScaler 会将用户重定向到 ADFS 进行登录,并反过来接受 ADFS 签名的 SAML 身份验证令牌。
相关信息
- 联合身份验证服务一文是 FAS 安装和配置的主要参考资料。
- 通用 FAS 部署在联合身份验证服务体系结构概述一文中加以概括。
- 联合身份验证服务配置和管理一文介绍了“方法”文章。