Microsoft ADFS-Proxy-StyleBook
Der Microsoft™ ADFS-Proxy spielt eine wichtige Rolle, da er Single Sign-On-Zugriff sowohl für interne verbundfähige Ressourcen als auch für Cloud-Ressourcen gewährt. Ein solches Beispiel für Cloud-Ressourcen ist Office 365. Der Zweck des ADFS-Proxyservers besteht darin, Anfragen zu empfangen und an ADFS-Server weiterzuleiten, auf die nicht über das Internet zugegriffen werden kann. Der ADFS-Proxy ist ein Reverse-Proxy und befindet sich in der Regel im Perimeter-Netzwerk (DMZ) Ihres Unternehmens. Der ADFS-Proxy spielt eine entscheidende Rolle bei der Remote-Benutzerkonnektivität und dem Anwendungszugriff.
NetScaler verfügt über die genaue Technologie, um sichere Konnektivität, Authentifizierung und Verarbeitung der föderierten Identität zu ermöglichen. Durch die Verwendung von NetScaler als ADFS-Proxy entfällt die Notwendigkeit, eine zusätzliche Komponente in der DMZ bereitzustellen.
Mit dem Microsoft ADFS Proxy StyleBook in NetScaler Application Delivery Management (ADM) können Sie einen ADFS-Proxyserver auf einer NetScaler-Instanz konfigurieren.
Die folgende Abbildung zeigt die Bereitstellung einer NetScaler-Instanz als ADFS-Proxyserver in der Unternehmens-DMZ.
Vorteile der Verwendung von NetScaler als ADFS-Proxy
- Erfüllt sowohl Load Balancing als auch ADFS-Proxy-Anforderungen
- Unterstützt sowohl interne als auch externe Benutzerzugriffsszenarien
- Unterstützt umfangreiche Methoden für die Vorauthentifizierung
- Bietet ein einmaliges Anmelden für Benutzer
- Unterstützt sowohl aktive als auch passive Protokolle
- Beispiele für aktive Protokoll-Apps sind — Microsoft Outlook, Microsoft Skype for Business
- Beispiele für passive Protokoll-Apps sind: Microsoft Outlook-Webanwendung, Webbrowser
- Gehärtetes Gerät für DMZ-basierte Bereitstellung
- Bietet Mehrwert durch die Verwendung zusätzlicher Kernfunktionen von NetScaler ADC
- Content Switching
- SSL-Offload
- Rewrite
- Sicherheit (NetScaler AAA)
Für aktive protokollbasierte Szenarien können Sie eine Verbindung zu Office 365 herstellen und Ihre Anmeldeinformationen angeben. Microsoft Federation Gateway kontaktiert den ADFS-Dienst (über ADFS-Proxy) im Namen des aktiven Protokollclients. Das Gateway übermittelt dann die Anmeldeinformationen unter Verwendung der Standardauthentifizierung (401). NetScaler verarbeitet die Clientauthentifizierung vor dem Zugriff auf den ADFS-Dienst. Nach der Authentifizierung stellt der ADFS-Dienst dem Federation Gateway ein SAML-Token zur Verfügung. Das Federation Gateway wiederum sendet das Token an Office 365, um den Clientzugriff zu ermöglichen.
Für passive Clients erstellt das ADFS Proxy StyleBook ein Kerberos Constrained Delegation (KCD) -Benutzerkonto. Das KCD-Konto ist für die Kerberos-SSO-Authentifizierung erforderlich, um eine Verbindung zu den ADFS-Servern herzustellen. Das StyleBook generiert auch eine LDAP-Richtlinie und eine Sitzungsrichtlinie. Diese Richtlinien werden später an den virtuellen NetScaler AAA-Server gebunden, der die Authentifizierung für passive Clients abwickelt.
Das StyleBook kann auch sicherstellen, dass die DNS-Server auf dem NetScaler für ADFS konfiguriert sind.
Im folgenden Konfigurationsabschnitt wird beschrieben, wie Sie NetScaler für die Verarbeitung der aktiven und passiven protokollbasierten Clientauthentifizierung einrichten.
Konfigurationsdetails
In der folgenden Tabelle sind die mindestens erforderlichen Softwareversionen aufgeführt, damit diese Integration erfolgreich bereitgestellt werden kann.
Product | Erforderliche Mindestversion |
---|---|
NetScaler | 11.0, Advanced/Premium-Lizenz |
In den folgenden Anweisungen wird davon ausgegangen, dass Sie bereits die entsprechenden externen und internen DNS-Einträge erstellt haben.
Bereitstellen von Microsoft ADFS-Proxy-StyleBook-Konfigurationen von NetScaler ADM
Die folgenden Anweisungen helfen Ihnen bei der Implementierung des Microsoft ADFS-Proxys StyleBook in Ihrem Unternehmensnetzwerk.
So stellen Sie Microsoft ADFS Proxy StyleBook bereit
-
Navigieren Sie in NetScaler ADM zu Applications > StyleBooks. Auf der StyleBooks-Seite werden alle StyleBooks angezeigt, die für Ihre Verwendung in NetScaler ADM verfügbar sind.
-
Scrollen Sie nach unten und suchen Sie das Microsoft ADFS proxy StyleBook. Klicken Sie auf Konfiguration erstellen. Das StyleBook wird als Benutzeroberflächenseite geöffnet, auf der Sie die Werte für alle in diesem StyleBook definierten Parameter eingeben können.
- Geben Sie Werte für die folgenden Parameter ein:
- Name der ADFS-Proxybereitstellung Wählen Sie einen Namen für die in Ihrem Netzwerk bereitgestellte ADFS-Proxykonfiguration aus.
- ADFS-Server-FQDNs oder IPs. Geben Sie die IP-Adressen oder FQDNs (Domänennamen) aller ADFS-Server im Netzwerk ein.
- Öffentliche VIP-IP des ADFS-Proxy. Geben Sie die öffentliche virtuelle IP-Adresse auf dem NetScaler ein, der als ADFS-Proxyserver ausgeführt wird.
-
Geben Sie im Abschnitt ADFS-Proxyzertifikate die Details des SSL-Zertifikats und des Zertifikatsschlüssels ein.
Dieses SSL-Zertifikat ist an alle virtuellen Server gebunden, die auf der NetScaler-Instanz erstellt wurden.
Wählen Sie die entsprechenden Dateien aus Ihrem lokalen Speicherordner aus. Sie können auch das Kennwort für den privaten Schlüssel eingeben, um verschlüsselte private Schlüssel im PEM-Format zu laden.
Sie können auch das Kontrollkästchen Erweiterte Zertifikateinstellungen aktivieren. Hier können Sie Details wie den Benachrichtigungszeitraum für den Ablauf des Zertifikats eingeben, die Überwachung des Zertifikatsablaufes aktivieren oder deaktivieren.
-
Optional können Sie das Kontrollkästchen SSL-CA-Zertifikat aktivieren, wenn für das SSL-Zertifikat ein öffentliches CA-Zertifikat auf NetScaler installiert sein muss. Stellen Sie sicher, dass Sie im Abschnitt ErweiterteZertifikatseinstellungen die Option Ist ein CA-Zertifikat** auswählen.
-
Aktivieren Sie die Authentifizierung für aktive und passive Clients. Geben Sie den in Active Directory für die Benutzerauthentifizierung verwendeten DNS-Domänennamen ein. Sie können dann die Authentifizierung entweder für aktive oder passive Clients oder für beide konfigurieren.
-
Geben Sie die folgenden Details ein, um die Authentifizierung für aktive Clients zu aktivieren:
Hinweis
Es ist optional, die Unterstützung für aktive Clients zu konfigurieren.
-
Aktive Authentifizierung des ADFS-Proxys Geben Sie die virtuelle IP-Adresse des virtuellen Authentifizierungsservers auf der NetScaler-Instanz ein, in der die aktiven Clients zur Authentifizierung umgeleitet werden.
-
Benutzername des Dienstkontos Geben Sie den Benutzernamen des Dienstkontos ein, der von NetScaler zur Authentifizierung Ihrer Benutzer beim Active Directory verwendet wird.
-
Kennwort für das Dienstkonto. Geben Sie das Kennwort ein, das von NetScaler verwendet wird, um Ihre Benutzer beim Active Directory zu authentifizieren.
-
-
Konfigurieren Sie die Authentifizierung für passive Clients, indem Sie die entsprechende Option aktivieren und die LDAP-Einstellungen konfigurieren.
Hinweis
Es ist optional, die Unterstützung für passive Clients zu konfigurieren.
Geben Sie die folgenden Details ein, um die Authentifizierung für passive Clients zu aktivieren:
-
LDAP-Basis (Active Directory). Geben Sie den Basisdomänennamen für die Domäne ein, in der sich die Benutzerkonten im Active Directory (AD) befinden, um die Authentifizierung zu ermöglichen. Zum Beispiel dc=netscaler, dc=com
-
LDAP (Active Directory) Bindet DN. Fügen Sie ein Domänenkonto hinzu (unter Verwendung einer E-Mail-Adresse zur Vereinfachung der Konfiguration), das über Berechtigungen zum Durchsuchen der AD-Struktur verfügt. Zum Beispiel cn=Manager, dc=netscaler, dc=com
-
LDAP (Active Directory) Bindet DN Kennwort. Geben Sie das Kennwort des Domänenkontos für die Authentifizierung ein.
Einige andere Felder, die Sie in die Werte in diesem Abschnitt eingeben müssen, lauten wie folgt:
-
LDAP-Server-IP (Active Directory). Geben Sie die IP-Adresse des Active Directory-Servers ein, damit die AD-Authentifizierung ordnungsgemäß funktioniert.
-
FQDN-Name des LDAP-Servers . Geben Sie den FQDN-Namen des Active Directory-Servers ein. Der FQDN-Name ist optional. Geben Sie die IP-Adresse wie in Schritt 1 oder den FQDN-Namen an.
-
Active Directory-Port für LDAP-Server. Standardmäßig sind die TCP- und UDP-Ports für das LDAP-Protokoll 389, wohingegen der TCP-Port für Secure LDAP 636 ist.
-
LDAP-Anmeldebenutzername (Active Directory). Geben Sie den Benutzernamen als samAccountname ein.
-
ADFS Proxy Passive Authentifizierung VIP. Geben Sie die IP-Adresse des virtuellen ADFS-Proxyservers für passive Clients ein.
Hinweis:
Die mit * gekennzeichneten Felder sind Pflichtfelder.
-
-
Optional können Sie auch eine DNS-VIP für Ihre DNS-Server konfigurieren.
-
Klicken Sie auf Zielinstanzen, und wählen Sie die NetScaler-Instanzen aus, um diese Microsoft ADFS-Proxykonfiguration bereitzustellen. Klicken Sie auf Erstellen, um die Konfiguration zu erstellen und die Konfiguration auf den ausgewählten NetScaler-Instanzen bereitzustellen.
Hinweis
Citrix empfiehlt, dass Sie vor der Ausführung der eigentlichen Konfiguration die Option Testlauf auswählen. Sie können zunächst die Konfigurationsobjekte anzeigen, die vom StyleBook auf den NetScaler Zielinstanzen erstellt werden. Sie können dann auf Erstellen klicken, um die Konfiguration auf den ausgewählten Instanzen bereitzustellen.
Erstellte Objekte
Mehrere Konfigurationsobjekte werden erstellt, wenn die ADFS-Proxykonfiguration auf der NetScaler-Instanz bereitgestellt wird. In der folgenden Abbildung wird die Liste der erstellten Objekte angezeigt.