SSO Google Apps-StyleBook
Google Apps ist eine Sammlung von Tools, Software und Produkten für Cloud Computing, Produktivität und Zusammenarbeit, die von Google entwickelt wurden. Single Sign-On (SSO) ermöglicht Benutzern den Zugriff auf alle Cloud-Unternehmensanwendungen — einschließlich Administratoren, die sich bei der Admin-Konsole anmelden —, indem sie sich mit ihren Unternehmensanmeldeinformationen für alle Dienste einmalig anmelden.
Mit dem NetScaler Console SSO Google Apps StyleBook können Sie SSO für Google Apps über NetScaler-Instanzen aktivieren. Das StyleBook konfiguriert die NetScaler-Instanz als SAML-Identitätsanbieter für die Authentifizierung von Benutzern für den Zugriff auf Google Apps.
Das Aktivieren von SSO für Google-Apps in einer NetScaler-Instanz mit diesem StyleBook führt zu den folgenden Schritten:
- Konfigurieren des virtuellen Authentifizierungsservers
- Konfigurieren einer SAML-IdP-Richtlinie und eines Profils
- Binden der Richtlinie und des Profils an den virtuellen Authentifizierungsserver
- Konfigurieren eines LDAP-Authentifizierungsservers und einer Richtlinie für die Instanz
- Binden des LDAP-Authentifizierungsservers und der Richtlinie an Ihren virtuellen Authentifizierungsserver, der auf der Instanz konfiguriert ist
Konfigurationsdetails:
In der folgenden Tabelle sind die minimal erforderlichen Softwareversionen aufgeführt, damit diese Integration erfolgreich funktioniert. Der Integrationsprozess unterstützt auch höhere Versionen derselben.
Produkt | Erforderliche Mindestversion |
---|---|
NetScaler | Version 11.0, Advanced/Premium Lizenz |
In den folgenden Anweisungen wird davon ausgegangen, dass Sie bereits die entsprechenden externen und internen DNS-Einträge erstellt haben, um Authentifizierungsanfragen an eine von NetScaler überwachte IP-Adresse weiterzuleiten.
Bereitstellen von SSO Google Apps StyleBook-Konfigurationen:
Die folgende Aufgabe unterstützt Sie bei der Bereitstellung des Microsoft SSO Google Apps StyleBook in Ihrem Unternehmensnetzwerk.
So stellen Sie SSO Google Apps bereit | StyleBook
-
Navigieren Sie in der NetScaler Console zu Anwendungen > Konfigurationen > StyleBooks . Auf der StyleBooks-Seite werden alle StyleBooks angezeigt, die für Ihre Verwendung in NetScaler Console verfügbar sind. Scrollen Sie nach unten und suchen Sie SSO Google Apps StyleBook. Klicken Sie auf Konfiguration erstellen.
-
Das StyleBook öffnet sich als Benutzeroberflächenseite, auf der Sie die Werte für alle in diesem StyleBook definierten Parameter eingeben können.
-
Geben Sie Werte für die folgenden Parameter ein:
-
Name der Anwendung. Name der SSO Google Apps-Konfiguration, die in Ihrem Netzwerk bereitgestellt werden soll.
-
Authentifizierung Virtuelle IP-Adresse. Virtuelle IP-Adresse, die vom virtuellen NetScaler AAA-Server verwendet wird, an den die SAML-IdP-Richtlinie für Google Apps gebunden ist.
-
SAML-Regelausdruck. Standardmäßig wird der folgende NetScaler Richtlinienausdruck (PI) verwendet: HTTP.REQ.HEADER (“Referrer”) .CONTAINS (“Google”). Aktualisieren Sie dieses Feld mit einem anderen Ausdruck, wenn Ihre Anforderung anders ist. Dieser Richtlinienausdruck entspricht dem Datenverkehr, auf den diese SAML-SSO-Einstellungen angewendet werden, und stellt sicher, dass der Referrer-Header von einer Google-Domain stammt.
-
-
Im Abschnitt SAML IdP-Einstellungen können Sie Ihre NetScaler-Instanz als SAML-Identitätsanbieter konfigurieren, indem Sie das SAML-IdP-Profil und die Richtlinie erstellen, die vom in Schritt 3 erstellten NetScaler AAA-Server verwendet werden.
-
Name des SAML-Ausstellers. Geben Sie in diesem Feld den öffentlichen FQDN Ihres virtuellen Authentifizierungsservers ein. Beispiel:
https://<Citrix_ADC_VIP>/saml/login
-
ID des SAML-Dienstanbieters (SP). (optional) Der NetScaler Identity Provider akzeptiert SAML-Authentifizierungsanforderungen von einem Ausstellernamen, der mit dieser ID übereinstimmt.
-
Assertion-Verbraucherdienst-URL. Geben Sie die URL des Dienstanbieters ein, an die der NetScaler Identity Provider die SAML-Assertionen nach erfolgreicher Benutzerauthentifizierung senden muss. Die Assertion-Consumer-Service-URL kann an der Server-Site des Identitätsanbieters oder der Service-Provider-Site initiiert werden
-
Es gibt weitere optionale Felder, die Sie in diesem Abschnitt eingeben können. Sie können beispielsweise die folgenden Optionen festlegen:
-
SAML-Bindungsprofil (das Standardprofil ist das “POST” -Profil).
-
Signaturalgorithmus zum Überprüfen/Signieren von SAML-Anforderungen/Antworten (Standard ist “RSA-SHA1”).
-
Methode zum Digest von Hash für SAML-Anfragen/Antworten (Standard ist “SHA-1”).
-
Verschlüsselungsalgorithmus (Standard ist AES256) und andere Einstellungen.
Hinweis
Citrix empfiehlt, dass Sie die Standardeinstellungen beibehalten, da diese Einstellungen zur Unterstützung von Google Apps getestet wurden.
-
-
Sie können auch das Kontrollkästchen Benutzerattribute aktivieren, um die Benutzerdetails einzugeben, z. B.:
-
Name des Benutzerattributs
-
NetScaler PI-Ausdruck, der ausgewertet wird, um den Wert des Attributs zu extrahieren
-
Benutzerfreundlicher Name des Attributs
-
Wählen Sie das Format des Benutzerattributs aus.
Diese Werte sind in der ausgegebenen SAML-Assertion enthalten. Sie können bis zu fünf Sätze von Benutzerattributen in eine Assertion aufnehmen, die von NetScaler mit diesem StyleBook ausgestellt wurde.
-
-
-
Geben Sie im Abschnitt LDAP-Einstellungen die folgenden Details ein, um Google Apps-Benutzer zu authentifizieren. Damit Domänenbenutzer mithilfe ihrer Unternehmens-E-Mail-Adressen bei der NetScaler-Instanz anmelden können, müssen Sie Folgendes konfigurieren:
-
LDAP-Basis (Active Directory). Geben Sie den Basisdomänennamen für die Domäne ein, in der sich die Benutzerkonten im Active Directory (AD) befinden, für die Sie die Authentifizierung zulassen möchten. Beispiel:
dc=netscaler,dc=com
-
LDAP (Active Directory) Bindet DN. Fügen Sie ein Domänenkonto hinzu (unter Verwendung einer E-Mail-Adresse zur Vereinfachung der Konfiguration), das über die Rechte zum Durchsuchen der AD-Struktur verfügt. Beispiel:
cn=Manager,dc=netscaler,dc=com
-
LDAP (Active Directory) Bindet DN Kennwort. Geben Sie das Kennwort des Domänenkontos für die Authentifizierung ein.
-
Einige andere Felder, die Sie in diesem Abschnitt eingeben müssen, sind wie folgt:
-
LDAP-Server-IP-Adresse, mit der NetScaler eine Verbindung zur Authentifizierung von Benutzern herstellt
-
FQDN-Name des LDAP-Servers
Hinweis:
Sie müssen mindestens eine der beiden oben genannten angeben - die IP-Adresse des LDAP-Servers oder den FQDN-Namen.
-
LDAP-Serverport, mit dem NetScaler eine Verbindung zur Authentifizierung von Benutzern herstellt (Standard ist 389).
-
LDAP-Hostname. Dies wird verwendet, um das LDAP-Zertifikat zu validieren, wenn die Validierung aktiviert ist (standardmäßig deaktiviert).
-
LDAP-Anmeldenamen-Attribut. Das Standardattribut zum Extrahieren von Anmeldenamen ist
samAccountname
. -
Weitere optionale verschiedene LDAP-Einstellungen
-
-
-
Im Abschnitt SAML-IdP-SSL-Zertifikat können Sie die Details des SSL-Zertifikats angeben:
-
Name des Zertifikats. Geben Sie den Namen des SSL-Zertifikats ein.
-
Zertifikatsdatei.Wählen Sie die SSL-Zertifikatsdatei aus dem Verzeichnis auf Ihrem lokalen System oder in der NetScaler Console.
-
CertKey-Format. Wählen Sie das Format des Zertifikats und der Dateien mit privatem Schlüssel aus dem Dropdownlistenfeld aus. Die unterstützten Formate sind die Erweiterungen
.pem
und.der
. -
Name des Zertifikatsschlüssels. Geben Sie den Namen des privaten Zertifikatsschlüssels ein.
-
Zertifikatsschlüsseldatei. Wählen Sie die Datei mit dem privaten Schlüssel des Zertifikats von Ihrem lokalen System oder von NetScaler Console aus.
-
Kennwort für privaten Schlüssel. Wenn Ihre private Schlüsseldatei durch eine Passphrase geschützt ist, geben Sie sie in dieses Feld ein.
-
Sie können auch das Kontrollkästchen Erweiterte Zertifikatseinstellungen aktivieren, um Details wie den Benachrichtigungszeitraum für den Ablauf des Zertifikats einzugeben und die Ablaufüberwachung des Zertifikats zu aktivieren oder zu deaktivieren.
-
-
Optional können Sie das IdP-SSL-CA-Zertifikat auswählen, wenn für das oben angegebene SAML-IdP-Zertifikat ein öffentliches CA-Zertifikat auf NetScaler installiert sein muss. Stellen Sie sicher, dass Sie in den erweiterten Einstellungen “Ist ein CA-Zertifikat” ausgewählt haben.
-
Optional können Sie SAML SP SSL-Zertifikat auswählen, um das Google-SSL-Zertifikat (öffentlicher Schlüssel) anzugeben, das zum Validieren von Authentifizierungsanforderungen von Google Apps (SAML SP) verwendet wird.
-
Klicken Sie auf Zielinstanzen, und wählen Sie die NetScaler-Instanz (en) aus, für die diese Google Apps SSO-Konfiguration bereitgestellt werden soll. Klicken Sie auf Erstellen, um die Konfiguration zu erstellen und die Konfiguration auf den ausgewählten NetScaler-Instanzen bereitzustellen.
Hinweis
Sie können auch auf das Aktualisierungssymbol klicken, um kürzlich erkannte NetScaler-Instanzen in der NetScaler Console zur Liste der verfügbaren Instanzen in diesem Fenster hinzuzufügen.
auch,
Tipp
> Citrix empfiehlt, dass Sie vor dem Ausführen der eigentlichen Konfiguration **Dry Run** auswählen, um die Konfigurationsobjekte, die auf den NetScaler-Zielinstanzen (n) vom StyleBook erstellt wurden, visuell zu bestätigen.