StyleBook-Konfiguration

SSO Google Apps-StyleBook

Google Apps ist eine Sammlung von Tools, Software und Produkten für Cloud Computing, Produktivität und Zusammenarbeit, die von Google entwickelt wurden. Single Sign-On (SSO) ermöglicht Benutzern den Zugriff auf alle Cloud-Unternehmensanwendungen — einschließlich Administratoren, die sich bei der Admin-Konsole anmelden —, indem sie sich mit ihren Unternehmensanmeldeinformationen für alle Dienste einmalig anmelden.

Mit dem NetScaler Console SSO Google Apps StyleBook können Sie SSO für Google Apps über NetScaler-Instanzen aktivieren. Das StyleBook konfiguriert die NetScaler-Instanz als SAML-Identitätsanbieter für die Authentifizierung von Benutzern für den Zugriff auf Google Apps.

Das Aktivieren von SSO für Google-Apps in einer NetScaler-Instanz mit diesem StyleBook führt zu den folgenden Schritten:

  1. Konfigurieren des virtuellen Authentifizierungsservers
  2. Konfigurieren einer SAML-IdP-Richtlinie und eines Profils
  3. Binden der Richtlinie und des Profils an den virtuellen Authentifizierungsserver
  4. Konfigurieren eines LDAP-Authentifizierungsservers und einer Richtlinie für die Instanz
  5. Binden des LDAP-Authentifizierungsservers und der Richtlinie an Ihren virtuellen Authentifizierungsserver, der auf der Instanz konfiguriert ist

Konfigurationsdetails:

In der folgenden Tabelle sind die minimal erforderlichen Softwareversionen aufgeführt, damit diese Integration erfolgreich funktioniert. Der Integrationsprozess unterstützt auch höhere Versionen derselben.

Produkt Erforderliche Mindestversion
NetScaler Version 11.0, Advanced/Premium Lizenz

In den folgenden Anweisungen wird davon ausgegangen, dass Sie bereits die entsprechenden externen und internen DNS-Einträge erstellt haben, um Authentifizierungsanfragen an eine von NetScaler überwachte IP-Adresse weiterzuleiten.

Bereitstellen von SSO Google Apps StyleBook-Konfigurationen:

Die folgende Aufgabe unterstützt Sie bei der Bereitstellung des Microsoft SSO Google Apps StyleBook in Ihrem Unternehmensnetzwerk.

So stellen Sie SSO Google Apps bereit | StyleBook

  1. Navigieren Sie in der NetScaler Console zu Anwendungen > Konfigurationen > StyleBooks . Auf der StyleBooks-Seite werden alle StyleBooks angezeigt, die für Ihre Verwendung in NetScaler Console verfügbar sind. Scrollen Sie nach unten und suchen Sie SSO Google Apps StyleBook. Klicken Sie auf Konfiguration erstellen.

  2. Das StyleBook öffnet sich als Benutzeroberflächenseite, auf der Sie die Werte für alle in diesem StyleBook definierten Parameter eingeben können.

  3. Geben Sie Werte für die folgenden Parameter ein:

    1. Name der Anwendung. Name der SSO Google Apps-Konfiguration, die in Ihrem Netzwerk bereitgestellt werden soll.

    2. Authentifizierung Virtuelle IP-Adresse. Virtuelle IP-Adresse, die vom virtuellen NetScaler AAA-Server verwendet wird, an den die SAML-IdP-Richtlinie für Google Apps gebunden ist.

    3. SAML-Regelausdruck. Standardmäßig wird der folgende NetScaler Richtlinienausdruck (PI) verwendet: HTTP.REQ.HEADER (“Referrer”) .CONTAINS (“Google”). Aktualisieren Sie dieses Feld mit einem anderen Ausdruck, wenn Ihre Anforderung anders ist. Dieser Richtlinienausdruck entspricht dem Datenverkehr, auf den diese SAML-SSO-Einstellungen angewendet werden, und stellt sicher, dass der Referrer-Header von einer Google-Domain stammt.

  4. Im Abschnitt SAML IdP-Einstellungen können Sie Ihre NetScaler-Instanz als SAML-Identitätsanbieter konfigurieren, indem Sie das SAML-IdP-Profil und die Richtlinie erstellen, die vom in Schritt 3 erstellten NetScaler AAA-Server verwendet werden.

    1. Name des SAML-Ausstellers. Geben Sie in diesem Feld den öffentlichen FQDN Ihres virtuellen Authentifizierungsservers ein. Beispiel:https://<Citrix_ADC_VIP>/saml/login

    2. ID des SAML-Dienstanbieters (SP). (optional) Der NetScaler Identity Provider akzeptiert SAML-Authentifizierungsanforderungen von einem Ausstellernamen, der mit dieser ID übereinstimmt.

    3. Assertion-Verbraucherdienst-URL. Geben Sie die URL des Dienstanbieters ein, an die der NetScaler Identity Provider die SAML-Assertionen nach erfolgreicher Benutzerauthentifizierung senden muss. Die Assertion-Consumer-Service-URL kann an der Server-Site des Identitätsanbieters oder der Service-Provider-Site initiiert werden

    4. Es gibt weitere optionale Felder, die Sie in diesem Abschnitt eingeben können. Sie können beispielsweise die folgenden Optionen festlegen:

      1. SAML-Bindungsprofil (das Standardprofil ist das “POST” -Profil).

      2. Signaturalgorithmus zum Überprüfen/Signieren von SAML-Anforderungen/Antworten (Standard ist “RSA-SHA1”).

      3. Methode zum Digest von Hash für SAML-Anfragen/Antworten (Standard ist “SHA-1”).

      4. Verschlüsselungsalgorithmus (Standard ist AES256) und andere Einstellungen.

      Hinweis

      Citrix empfiehlt, dass Sie die Standardeinstellungen beibehalten, da diese Einstellungen zur Unterstützung von Google Apps getestet wurden.

    5. Sie können auch das Kontrollkästchen Benutzerattribute aktivieren, um die Benutzerdetails einzugeben, z. B.:

      1. Name des Benutzerattributs

      2. NetScaler PI-Ausdruck, der ausgewertet wird, um den Wert des Attributs zu extrahieren

      3. Benutzerfreundlicher Name des Attributs

      4. Wählen Sie das Format des Benutzerattributs aus.

      Diese Werte sind in der ausgegebenen SAML-Assertion enthalten. Sie können bis zu fünf Sätze von Benutzerattributen in eine Assertion aufnehmen, die von NetScaler mit diesem StyleBook ausgestellt wurde.

  5. Geben Sie im Abschnitt LDAP-Einstellungen die folgenden Details ein, um Google Apps-Benutzer zu authentifizieren. Damit Domänenbenutzer mithilfe ihrer Unternehmens-E-Mail-Adressen bei der NetScaler-Instanz anmelden können, müssen Sie Folgendes konfigurieren:

    1. LDAP-Basis (Active Directory). Geben Sie den Basisdomänennamen für die Domäne ein, in der sich die Benutzerkonten im Active Directory (AD) befinden, für die Sie die Authentifizierung zulassen möchten. Beispiel: dc=netscaler,dc=com

    2. LDAP (Active Directory) Bindet DN. Fügen Sie ein Domänenkonto hinzu (unter Verwendung einer E-Mail-Adresse zur Vereinfachung der Konfiguration), das über die Rechte zum Durchsuchen der AD-Struktur verfügt. Beispiel: cn=Manager,dc=netscaler,dc=com

    3. LDAP (Active Directory) Bindet DN Kennwort. Geben Sie das Kennwort des Domänenkontos für die Authentifizierung ein.

    4. Einige andere Felder, die Sie in diesem Abschnitt eingeben müssen, sind wie folgt:

      1. LDAP-Server-IP-Adresse, mit der NetScaler eine Verbindung zur Authentifizierung von Benutzern herstellt

      2. FQDN-Name des LDAP-Servers

        Hinweis:

        Sie müssen mindestens eine der beiden oben genannten angeben - die IP-Adresse des LDAP-Servers oder den FQDN-Namen.

      3. LDAP-Serverport, mit dem NetScaler eine Verbindung zur Authentifizierung von Benutzern herstellt (Standard ist 389).

      4. LDAP-Hostname. Dies wird verwendet, um das LDAP-Zertifikat zu validieren, wenn die Validierung aktiviert ist (standardmäßig deaktiviert).

      5. LDAP-Anmeldenamen-Attribut. Das Standardattribut zum Extrahieren von Anmeldenamen ist samAccountname.

      6. Weitere optionale verschiedene LDAP-Einstellungen

  6. Im Abschnitt SAML-IdP-SSL-Zertifikat können Sie die Details des SSL-Zertifikats angeben:

    1. Name des Zertifikats. Geben Sie den Namen des SSL-Zertifikats ein.

    2. Zertifikatsdatei.Wählen Sie die SSL-Zertifikatsdatei aus dem Verzeichnis auf Ihrem lokalen System oder in der NetScaler Console.

    3. CertKey-Format. Wählen Sie das Format des Zertifikats und der Dateien mit privatem Schlüssel aus dem Dropdownlistenfeld aus. Die unterstützten Formate sind die Erweiterungen .pem und .der.

    4. Name des Zertifikatsschlüssels. Geben Sie den Namen des privaten Zertifikatsschlüssels ein.

    5. Zertifikatsschlüsseldatei. Wählen Sie die Datei mit dem privaten Schlüssel des Zertifikats von Ihrem lokalen System oder von NetScaler Console aus.

    6. Kennwort für privaten Schlüssel. Wenn Ihre private Schlüsseldatei durch eine Passphrase geschützt ist, geben Sie sie in dieses Feld ein.

    7. Sie können auch das Kontrollkästchen Erweiterte Zertifikatseinstellungen aktivieren, um Details wie den Benachrichtigungszeitraum für den Ablauf des Zertifikats einzugeben und die Ablaufüberwachung des Zertifikats zu aktivieren oder zu deaktivieren.

  7. Optional können Sie das IdP-SSL-CA-Zertifikat auswählen, wenn für das oben angegebene SAML-IdP-Zertifikat ein öffentliches CA-Zertifikat auf NetScaler installiert sein muss. Stellen Sie sicher, dass Sie in den erweiterten Einstellungen “Ist ein CA-Zertifikat” ausgewählt haben.

  8. Optional können Sie SAML SP SSL-Zertifikat auswählen, um das Google-SSL-Zertifikat (öffentlicher Schlüssel) anzugeben, das zum Validieren von Authentifizierungsanforderungen von Google Apps (SAML SP) verwendet wird.

  9. Klicken Sie auf Zielinstanzen, und wählen Sie die NetScaler-Instanz (en) aus, für die diese Google Apps SSO-Konfiguration bereitgestellt werden soll. Klicken Sie auf Erstellen, um die Konfiguration zu erstellen und die Konfiguration auf den ausgewählten NetScaler-Instanzen bereitzustellen.

    Hinweis

    Sie können auch auf das Aktualisierungssymbol klicken, um kürzlich erkannte NetScaler-Instanzen in der NetScaler Console zur Liste der verfügbaren Instanzen in diesem Fenster hinzuzufügen.

auch,

Tipp

> Citrix empfiehlt, dass Sie vor dem Ausführen der eigentlichen Konfiguration **Dry Run** auswählen, um die Konfigurationsobjekte, die auf den NetScaler-Zielinstanzen (n) vom StyleBook erstellt wurden, visuell zu bestätigen.
SSO Google Apps-StyleBook