StyleBook proxy Microsoft ADFS
Le proxy Microsoft™ ADFS joue un rôle important en fournissant un accès par authentification unique aux ressources internes compatibles avec la fédération et aux ressources cloud. Office 365 est un exemple de ressources cloud. Le but du serveur proxy ADFS est de recevoir et de transférer des demandes vers des serveurs ADFS qui ne sont pas accessibles à partir d’Internet. Le proxy ADFS est un proxy inverse qui se trouve généralement dans le réseau de périmètre (DMZ) de votre entreprise. Le proxy ADFS joue un rôle essentiel dans la connectivité des utilisateurs distants et l’accès aux applications.
NetScaler dispose de la technologie précise qui permet une connectivité sécurisée, une authentification et une gestion des identités fédérées. L’utilisation de NetScaler comme proxy ADFS évite d’avoir à déployer un composant supplémentaire dans la zone démilitarisée.
Le Microsoft ADFS Proxy StyleBook de la console NetScaler vous permet de configurer un serveur proxy ADFS sur une instance NetScaler.
L’image suivante illustre le déploiement d’une instance NetScaler en tant que serveur proxy ADFS dans la zone démilitarisée de l’entreprise.
Avantages de l’utilisation de NetScaler en tant que proxy ADFS
- Répond à la fois aux besoins d’équilibrage de charge et de proxy ADFS
- Prend en charge les scénarios d’accès utilisateur internes et externes
- Prend en charge des méthodes complètes de pré-authentification
- Offre une expérience d’authentification unique aux utilisateurs
- Prend en charge les protocoles actifs et passifs
- Voici des exemples d’applications à protocole actif : Microsoft Outlook, Microsoft Skype for Business
- Voici des exemples d’applications à protocole passif : application Web Microsoft Outlook, navigateurs Web
- Périphérique renforcé pour un déploiement basé sur DMZ
- Ajoute de la valeur en utilisant des fonctionnalités de base supplémentaires de NetScaler
- Commutation de contenu
- Déchargement SSL
- Réécriture
- Sécurité (NetScaler AAA)
Pour les scénarios basés sur des protocoles actifs, vous pouvez vous connecter à Office 365 et fournir vos informations d’identification. Microsoft Federation Gateway contacte le service ADFS (via le proxy ADFS) au nom du client de protocole actif. La passerelle soumet ensuite les informations d’identification à l’aide de l’authentification de base (401). NetScaler gère l’authentification du client avant l’accès au service ADFS. Après l’authentification, le service ADFS fournit un jeton SAML à Federation Gateway. La Federation Gateway, à son tour, soumet le jeton à Office 365 pour fournir un accès client.
Pour les clients passifs, l’ADFS Proxy StyleBook crée un compte utilisateur Kerberos Constrained Delegation (KCD). Le compte KCD est nécessaire pour que l’authentification SSO Kerberos puisse se connecter aux serveurs ADFS. Le StyleBook génère également une stratégie LDAP et une stratégie de session. Ces stratégies sont ensuite liées au serveur virtuel NetScaler AAA qui gère l’authentification des clients passifs.
Le StyleBook peut également garantir que les serveurs DNS du NetScaler sont configurés pour ADFS.
La section de configuration ci-dessous décrit comment configurer NetScaler pour gérer à la fois l’authentification client active et passive basée sur un protocole.
Détails de la configuration
Le tableau ci-dessous répertorie les versions logicielles minimales requises pour que cette intégration soit déployée avec succès.
| Produit | Version minimale requise |
|---|---|
| NetScaler | 11.0, licence avancée/premium |
Les instructions suivantes supposent que vous avez déjà créé les entrées DNS externes et internes appropriées.
Déploiement de configurations StyleBook du proxy Microsoft ADFS à partir de la console NetScaler
Les instructions suivantes vous aideront à implémenter le proxy Microsoft ADFS StyleBook dans votre réseau d’entreprise.
Pour déployer le proxy Microsoft ADFS StyleBook
-
Dans la console NetScaler, accédez à Applications > Configuration StyleBooks. La page StyleBooks affiche tous les StyleBooks disponibles pour votre utilisation dans NetScaler Console.
-
Faites défiler l’écran vers le bas et trouvez le StyleBook du proxy Microsoft ADFS. Cliquez sur Créer une configuration. Le StyleBook s’ouvre sous la forme d’une page d’interface utilisateur sur laquelle vous pouvez saisir les valeurs de tous les paramètres définis dans ce StyleBook.
- Entrez les valeurs des paramètres suivants :
- Nom du déploiement du proxy ADFS. Sélectionnez un nom pour la configuration du proxy ADFS déployée sur votre réseau.
- FQDN ou IP des serveurs ADFS. Entrez les adresses IP ou les noms de domaine complets (FQDN) de tous les serveurs ADFS du réseau.
- IP VIP publique du proxy ADFS. Tapez l’adresse IP virtuelle publique sur le NetScaler qui fonctionne en tant que serveur proxy ADFS.
-
Dans la section Certificats de proxy ADFS, tapez les détails du certificat SSL et de la clé de certificat.
Ce certificat SSL est lié à tous les serveurs virtuels créés sur l’instance NetScaler.
Sélectionnez les fichiers correspondants dans votre dossier de stockage local. Vous pouvez également saisir le mot de passe de clé privée pour charger les clés privées chiffrées au format .pem.
Vous pouvez également activer la case à cocher Paramètres de certificat avancés. Vous pouvez saisir ici des informations telles que la période de notification d’expiration des certificats, activer ou désactiver le moniteur d’expiration des certificats.
-
Vous pouvez éventuellement cocher la case Certificat CA SSL si le certificat SSL nécessite l’installation d’un certificat public CA sur NetScaler. Assurez-vous de sélectionner « Est un certificat CA » dans la section Paramètres de certificat avancés .
-
Activer l’authentification pour les clients actifs et passifs. Entrez le nom de domaine DNS utilisé dans Active Directory pour l’authentification des utilisateurs. Vous pouvez ensuite configurer l’authentification pour les clients actifs ou passifs, ou les deux.
-
Entrez les informations suivantes pour activer l’authentification pour les clients actifs :
Remarque
La configuration de la prise en charge des clients actifs est facultative.
-
Authentification active par proxy ADFS VIP. Tapez l’adresse IP virtuelle du serveur d’authentification virtuel sur l’instance NetScaler vers laquelle les clients actifs sont redirigés pour authentification.
-
Nom d’utilisateur du compte de service Tapez le nom d’utilisateur du compte de service utilisé par NetScaler pour authentifier vos utilisateurs auprès de l’Active Directory.
-
Mot depasse du compte de service Entrez le mot de passe utilisé par NetScaler pour authentifier vos utilisateurs auprès de l’Active Directory.
-
-
Configurez l’authentification pour les clients passifs en activant l’option correspondante et en configurant les paramètres LDAP.
Remarque
La configuration de la prise en charge des clients passifs est facultative.
Entrez les informations suivantes pour activer l’authentification pour les clients passifs :
-
Base LDAP (Active Directory). Tapez le nom de domaine de base du domaine dans lequel les comptes d’utilisateur résident dans Active Directory (AD) pour autoriser l’authentification. Par exemple,
dc=netscaler,dc=com -
LDAP (Active Directory) Bind DN. Ajoutez un compte de domaine (à l’aide d’une adresse e-mail pour faciliter la configuration) qui dispose des privilèges pour parcourir l’arborescence AD. Par exemple, CN=Manager,
dc=netscaler,dc=com -
Mot de passe du nom unique de liaison LDAP (Active Directory). Entrez le mot de passe du compte de domaine pour l’authentification.
Quelques autres champs que vous devez saisir dans les valeurs de cette section sont les suivants :
-
IP du serveur LDAP (Active Directory). Entrez l’adresse IP du serveur Active Directory pour que l’authentification AD fonctionne correctement.
-
Nomde domaine complet du serveur LDAP. Entrez le nom de domaine complet du serveur Active Directory. Le nom FQDN est facultatif. Fournissez l’adresse IP comme à l’étape 1 ou le nom de domaine complet.
-
Port Active Directory du serveur LDAP. Par défaut, les ports TCP et UDP pour le protocole LDAP sont 389, tandis que le port TCP pour Secure LDAP est 636.
-
Nom d’utilisateur de connexion LDAP (Active Directory). Tapez le nom d’utilisateur comme « SamAccountName ».
-
VIP de l’authentification passive par proxy ADFS. Entrez l’adresse IP du serveur virtuel proxy ADFS pour les clients passifs.
Remarque
Les champs marqués par « * » sont obligatoires.
-
-
Vous pouvez également configurer un VIP DNS pour vos serveurs DNS.
-
Cliquez sur Instances cibles et sélectionnez les instances NetScaler pour déployer cette configuration de proxy Microsoft ADFS. Cliquez sur Créer pour créer la configuration et déployer la configuration sur les instances NetScaler sélectionnées.
Remarque
Citrix recommande qu’avant d’exécuter la configuration réelle, vous sélectionnez Exécuter à sec. Vous pouvez d’abord afficher les objets de configuration créés sur les instances NetScaler cibles par le StyleBook. Vous pouvez ensuite cliquer sur Créer pour déployer la configuration sur les instances sélectionnées.
Objets créés
Plusieurs objets de configuration sont créés lorsque la configuration du proxy ADFS est déployée sur l’instance NetScaler. L’image suivante affiche la liste des objets créés.
