StyleBook proxy de Microsoft ADFS
El proxy ADFS de Microsoft™ desempeña un papel importante al ofrecer acceso con inicio de sesión único tanto a los recursos internos habilitados por la federación como a los recursos en la nube. Un ejemplo de recursos en la nube es Office 365. El propósito del servidor proxy ADFS es recibir y reenviar solicitudes a servidores ADFS que no son accesibles desde Internet. El proxy ADFS es un proxy inverso y, por lo general, reside en la red perimetral (DMZ) de la organización. El proxy ADFS desempeña un papel fundamental en la conectividad de usuarios remotos y el acceso a aplicaciones.
NetScaler cuenta con la tecnología precisa para permitir la conectividad, la autenticación y el manejo seguros de la identidad federada. El uso de NetScaler como proxy ADFS evita la necesidad de implementar un componente adicional en la DMZ.
El Microsoft ADFS Proxy StyleBook de NetScaler Console permite configurar un servidor proxy ADFS en una instancia de NetScaler.
La siguiente imagen ilustra la implementación de una instancia de NetScaler como servidor proxy ADFS en la DMZ empresarial.
Ventajas de usar NetScaler como proxy ADFS
- Satisface tanto las necesidades de equilibrio de carga como las de proxy ADFS
- Admite casos de acceso de usuario internos y externos
- Admite métodos enriquecidos para la autenticación previa
- Proporciona una experiencia de inicio de sesión único para los usuarios
- Soporta protocolos activos y pasivos
- Ejemplos de aplicaciones de protocolo activo son: Microsoft Outlook, Microsoft Skype Empresarial
- Ejemplos de aplicaciones de protocolo pasivo son: Aplicación web de Microsoft Outlook, exploradores web
- Dispositivo reforzado para implementación basada en DMZ
- Añade valor mediante el uso de funciones principales adicionales de NetScaler
- Conmutación de contenido
- Descarga SSL
- Reescritura
- Seguridad (NetScaler AAA)
Para los escenarios basados en protocolos activos, puede conectarse a Office 365 y proporcionar sus credenciales. Microsoft Federation Gateway se pone en contacto con el servicio ADFS (a través del proxy ADFS) en nombre del cliente de protocolo activo. A continuación, la puerta de enlace envía las credenciales mediante la autenticación básica (401). NetScaler gestiona la autenticación del cliente antes de acceder al servicio ADFS. Tras la autenticación, el servicio ADFS proporciona un token SAML a Federation Gateway. Federation Gateway, a su vez, envía el token a Office 365 para proporcionar acceso al cliente.
Para los clientes pasivos, el ADFS Proxy StyleBook crea una cuenta de usuario de delegación restringida de Kerberos (KCD). La cuenta KCD es necesaria para que la autenticación SSO de Kerberos se conecte a los servidores ADFS. El StyleBook también genera una directiva de LDAP y una directiva de sesión. Estas directivas se vinculan posteriormente al servidor virtual AAA de NetScaler que gestiona la autenticación de los clientes pasivos.
El StyleBook también puede garantizar que los servidores DNS del NetScaler estén configurados para ADFS.
La sección de configuración que aparece a continuación describe cómo configurar NetScaler para gestionar la autenticación de clientes basada en protocolos activa y pasiva.
Detalles de configuración
La siguiente tabla muestra las versiones de software mínimas necesarias para que esta integración se implemente correctamente.
Producto | Versión mínima requerida |
---|---|
NetScaler | 11.0, Licencia avanzada/premium |
En las instrucciones siguientes se supone que ya ha creado las entradas DNS externas e internas adecuadas.
Implementación de configuraciones de StyleBook de proxy ADFS de Microsoft desde NetScaler Console
Las siguientes instrucciones le ayudarán a implementar el proxy StyleBook de Microsoft ADFS en su red empresarial.
Para implementar el proxy StyleBook de Microsoft ADFS
-
En NetScaler Console, vaya a Aplicaciones > Configuración StyleBooks. La página StyleBooks muestra todos los StyleBooks disponibles para su uso en NetScaler Console.
-
Desplázate hacia abajo y busca el proxy de Microsoft ADFS StyleBook. Haga clic en Crear configuración. El StyleBook se abre como una página de interfaz de usuario en la que puede escribir los valores de todos los parámetros definidos en este StyleBook.
- Escriba los valores de los siguientes parámetros:
- Nombre de implementación del proxy ADFS. Seleccione un nombre para la configuración de proxy ADFS implementada en su red.
- FQDN o IP de los servidores ADFS. Escriba las direcciones IP o los FQDN (nombres de dominio) de todos los servidores ADFS de la red.
- IP VIP pública de ADFS Proxy. Escriba la dirección IP virtual pública en el NetScaler que funciona como un servidor proxy ADFS.
-
En la sección Certificados de proxy ADFS, escriba los detalles del certificado SSL y la clave de certificado.
Este certificado SSL está enlazado a todos los servidores virtuales creados en la instancia de NetScaler.
Selecciona los archivos correspondientes de tu carpeta de almacenamiento local. También puede escribir la contraseña de clave privada para cargar claves privadas cifradas en formato.pem.
También puede habilitar la casilla de verificación Configuración avanzada de certificados. Aquí puede escribir detalles como el período de notificación de caducidad del certificado, habilitar o inhabilitar el monitor de caducidad del certificado.
-
Opcionalmente, puede activar la casilla de verificación Certificado de CA SSL si el certificado SSL requiere que se instale un certificado público de CA en NetScaler. Asegúrese de seleccionar “Es un certificado de CA” en la sección Configuración avanzada del certificado.
-
Habilitar la autenticación para clientes activos y pasivos. Escriba el nombre de dominio DNS utilizado en Active Directory para la autenticación de usuarios. A continuación, puede configurar la autenticación para los clientes activos o pasivos, o para ambos.
-
Escriba los siguientes detalles para habilitar la autenticación para los clientes activos:
Nota
Es opcional configurar el soporte para los clientes activos.
-
Autenticación activa del proxy ADFS VIP. Escriba la dirección IP virtual del servidor de autenticación virtual en la instancia de NetScaler a la que se redirige a los clientes activos para la autenticación.
-
Nombre deusuario de cuenta de servicio Escriba el nombre de usuario de la cuenta de servicio que utiliza NetScaler para autenticar a los usuarios en el directorio activo.
-
Contraseña de cuenta de servicio Escriba la contraseña utilizada por NetScaler para autenticar a los usuarios en el directorio activo.
-
-
Configure la autenticación para clientes pasivos habilitando la opción correspondiente y configurando la configuración de LDAP.
Nota
Es opcional configurar el soporte para clientes pasivos.
Escriba los siguientes detalles para habilitar la autenticación para los clientes pasivos:
-
Base LDAP (Active Directory). Escriba el nombre de dominio base del dominio en el que residen las cuentas de usuario en Active Directory (AD) para permitir la autenticación. Por ejemplo,
dc=netscaler,dc=com
-
DN de enlace de LDAP (Active Directory). Agregue una cuenta de dominio (mediante una dirección de correo electrónico para facilitar la configuración) que tenga privilegios para examinar el árbol de AD. Por ejemplo, CN=Manager,
dc=netscaler,dc=com
-
Contraseña de DN de enlace LDAP (Active Directory). Escriba la contraseña de la cuenta de dominio para la autenticación.
Algunos otros campos que debe escribir en los valores de esta sección son los siguientes:
-
IP del servidor LDAP (Active Directory). Escriba la dirección IP del servidor de Active Directory para que la autenticación de AD funcione correctamente.
-
Nombrede FQDN del servidor LDAP . Escriba el nombre de FQDN del servidor de Active Directory. El nombre FQDN es opcional. Proporcione la dirección IP tal como se indica en el paso 1 o el nombre del FQDN.
-
Puerto de Active Directory del servidor LDAP. De forma predeterminada, los puertos TCP y UDP del protocolo LDAP son 389, mientras que el puerto TCP del LDAP seguro es 636.
-
Nombre deusuario de inicio de sesión LDAP (Active Directory). Escriba el nombre de usuario como “SamAccountName. “
-
Autenticación pasiva de proxy ADFS VIP. Escriba la dirección IP del servidor virtual proxy ADFS para clientes pasivos.
Nota
Los campos marcados con “*” son obligatorios.
-
-
Opcionalmente, también puede configurar un VIP DNS para sus servidores DNS.
-
Haga clic en Instancias de destino y seleccione las instancias de NetScaler para implementar esta configuración de proxy ADFS de Microsoft. Haga clic en Crear para crear la configuración e implementar la configuración en las instancias de NetScaler seleccionadas.
Nota
Citrix recomienda que antes de ejecutar la configuración real, seleccione Ejecución en seco. En primer lugar, puede ver los objetos de configuración que el StyleBook crea en las instancias NetScaler de destino. A continuación, puede hacer clic en Crear para implementar la configuración en las instancias seleccionadas.
Objetos creados
Se crean varios objetos de configuración cuando la configuración del proxy ADFS se implementa en la instancia de NetScaler. La siguiente imagen muestra la lista de objetos creados.