NetScaler en tant que proxy Active Directory Federation Services
Active Directory Federation Services (ADFS) est un service Microsoft qui permet aux clients authentifiés par Active Directory d’accéder à des ressources extérieures au centre de données de l’entreprise. Une batterie de serveurs ADFS permet aux utilisateurs internes d’accéder à des services externes hébergés dans le cloud. Mais dès que les utilisateurs externes entrent dans le mix, ils doivent disposer d’un moyen de se connecter à distance et d’accéder aux services basés sur le cloud via une identité fédérée. La plupart des entreprises ne préfèrent pas que le serveur ADFS reste exposé dans la zone démilitarisée. Par conséquent, le proxy ADFS joue un rôle essentiel dans la connectivité des utilisateurs distants et l’accès aux applications.
Depuis plus de dix ans, l’appliance NetScaler joue des rôles similaires en matière de connectivité des utilisateurs distants et d’accès aux applications. L’appliance NetScaler devient la solution préférée à utiliser comme proxy ADFS pour prendre en charge une nouvelle implémentation ADFS afin d’activer les services suivants :
- Connectivité sécurisée.
- Authentification et gestion de l’identité fédérée.
Pour plus d’informations sur NetScaler en tant qu’IdP SAML, consultez NetScaleren tant qu’IdP SAML.
Avantages du proxy ADFS
- Réduit l’encombrement dans la zone démilitarisée pour répondre aux besoins de la plupart des entreprises.
- Fournit une expérience SSO aux utilisateurs finaux.
- Prend en charge de nombreuses méthodes de pré-authentification et permet une authentification multifactorielle.
- Prend en charge les clients actifs et passifs.
Conditions préalables à l’utilisation de NetScaler en tant que proxy ADFS
Avant de configurer l’appliance NetScaler en tant que proxy ADFS, assurez-vous que les conditions préalables suivantes sont remplies :
- Une appliance NetScaler dotée de la version 12.1 ou ultérieure.
- Serveur ADFS de domaine.
- Certificat SSL de domaine.
- Adresse IP virtuelle pour le serveur virtuel de commutation de contenu.
- Activez les fonctionnalités d’équilibrage de charge, de déchargement SSL, de commutation de contenu, de réécriture, d’authentification, d’autorisation et d’audit du trafic sur l’appliance NetScaler.
Configurer l’appliance NetScaler en tant que proxy ADFS
Pour réaliser ce cas d’utilisation, configurez NetScaler en tant que proxy ADFS dans une zone DMZ. Le serveur ADFS est configuré avec le contrôleur de domaine AD dans le back-end.
-
Une demande du client pour accéder à Microsoft Office365 est redirigée vers NetScaler déployé en tant que proxy ADFS.
-
Les informations d’identification de l’utilisateur sont transmises au serveur ADFS.
-
Le serveur ADFS authentifie les informations d’identification auprès de l’AD local du domaine.
-
Le serveur ADFS, une fois les informations d’identification validées avec AD, génère un jeton qui est transmis à Microsoft Office365 pour l’établissement de la session.
Voici les étapes de haut niveau nécessaires à la configuration de l’appliance NetScaler avant de la configurer en tant que proxy ADFS.
À l’invite de commandes NetScaler, tapez les commandes suivantes :
-
Créez un profil SSL pour le backend et activez le SNI dans le profil SSL. Désactivez SSLv3/TLS1.
add ssl profile <new SSL profile> -sslprofileType backEnd -sniEnable ENABLED -ssl3 DISABLED -tls1 DISABLED -commonName <FQDN of ADFS>
-
Désactivez SSLv3/TLS1 pour le service.
set ssl service <adfs service name> -sslProfile <SSL profile created in the above step>
-
Activez l’extension SNI pour les poignées de contact du serveur principal.
set vpn parameter –backendServerSni ENABLED
set ssl parameter -denySSLReneg NONSECURE
Configurer l’appliance NetScaler en tant que proxy ADFS à l’aide de l’interface de ligne de commande
Les sections suivantes sont classées en fonction de la nécessité d’effectuer les étapes de configuration.
Pour configurer le service ADFS
-
Configurez le service ADFS sur le serveur NetScaler pour ADFS.
add service <Domain_ADFS_Service> <ADFS Server IP> SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO
Exemple
add service CTXTEST_ADFS_Service 1.1.1.1 SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO
-
Configurez le FQDN pour le serveur virtuel de commutation de contenu et activez le SNI.
set ssl service <Domain_ADFS_Service> -SNIEnable ENABLED -commonName <sts.domain.com>
Exemple
set ssl service CTXTEST_ADFS_Service -SNIEnable ENABLED -commonName sts.ctxtest.com
Pour configurer le serveur virtuel d’équilibrage de charge ADFS
Important
Un certificat SSL de domaine (SSL_CERT) est requis pour sécuriser le trafic.
-
Configurez le serveur virtuel d’équilibrage de charge ADFS.
add lb vserver <Domain_ADFS_LBVS> SSL <IP_address> -persistenceType NONE -cltTimeout 180
Exemple
add lb vserver CTXTEST_ADFS_LBVS SSL 192.168.1.0 -persistenceType NONE -cltTimeout 180
-
Liez le serveur virtuel d’équilibrage de charge ADFS au service ADFS.
bind lb vserver <Domain_ADFS_LBVS> <Domain_ADFS_Service>
Exemple
bind lb vserver CTXTEST_ADFS_LBVS CTXTEST_ADFS_Service
-
Liez une paire de clés de certificat de serveur virtuel SSL.
bind ssl vserver <Domain_ADFS_LBVS> -certkeyName <SSL_CERT>
Exemple
bind ssl vserver CTXTEST_ADFS_LBVS -certkeyName ctxtest_newcert_2019
Pour configurer un serveur virtuel de commutation de contenu pour un domaine
Remarque
Une adresse IP virtuelle gratuite (par exemple, 2.2.2.2), associée à une adresse IP publique, est requise pour un serveur virtuel de commutation de contenu. Il doit être accessible à la fois pour le trafic externe et interne.
-
Créez un serveur virtuel de commutation de contenu avec un service VIP gratuit.
add cs vserver <Domain_CSVS> SSL <FREE VIP> 443 -cltTimeout 180 -persistenceType NONE
Exemple
add cs vserver CTXTEST_CSVS SSL 2.2.2.2 443 -cltTimeout 180 -persistenceType NONE
-
Liez le serveur virtuel de commutation de contenu au serveur virtuel d’équilibrage de charge.
bind cs vserver <Domain_CSVS> -lbvserver <Domain_ADFS_LBVS>
Exemple
bind cs vserver CTXTEST_CSVS -lbvserver CTXTEST_ADFS_LBVS
set ssl vserver CTXTEST_CSVS -sessReuse DISABLED
-
Liez une paire de clés de certificat de serveur virtuel SSL.
bind ssl vserver <Domain_CSVS> -certkeyName <SSL_CERT>
Exemple
bind ssl vserver CTXTEST_CSVS -certkeyName ctxtest_newcert_2019
Protocoles pris en charge
Les protocoles fournis par Microsoft jouent un rôle essentiel dans l’intégration à l’appliance NetScaler. NetScaler en tant que proxy ADFS prend en charge les protocoles suivants :
- WS-Federation. Pour plus de détails, voir Protocole Web Services Federation.
- ADFSPIP. Pour plus de détails, voir Conformité au protocole d’intégration du proxy Active Directory Federation Service
Remarque
L’appliance NetScaler ne prend pas en charge l’authentification par certificat de l’appareil lorsqu’elle est déployée en tant que proxy ADFS.