ADC

Active Directory フェデレーションサービスプロキシとしてのNetScaler

Active Directory フェデレーションサービス (ADFS) は、Active Directory 認証を受けたクライアントがエンタープライズデータセンター外のリソースにシングルサインオン (SSO) できるようにするMicrosoft のサービスです。ADFS サーバーファームにより、内部ユーザーは外部のクラウドホストサービスにアクセスできます。しかし、外部ユーザーが参加した瞬間に、外部ユーザーにリモート接続し、フェデレーションIDを介してクラウドベースのサービスにアクセスする方法を提供する必要があります。ほとんどの企業は、ADFS サーバを DMZ に公開したままにすることを望んでいません。そのため、ADFS プロキシは、リモートユーザー接続とアプリケーションアクセスにおいて重要な役割を果たします。

10年以上にわたり、NetScalerアプライアンスはリモートユーザー接続とアプリケーションアクセスにおいて同様の役割を果たしてきました。NetScalerアプライアンスは、次のサービスを可能にする新しいADFS実装をサポートするためのADFSプロキシとして使用するソリューションとして推奨されています。

  • 安全な接続。
  • フェデレーション ID の認証と処理。

SAML IdPとしてのNetScalerについて詳しくは、「SAML IdPとしてのNetScaler」を参照してください。

ADFS プロキシの利点

  • DMZの設置面積を縮小し、ほとんどの企業のニーズに応えます。
  • エンドユーザーに SSO エクスペリエンスを提供します。
  • 豊富な事前認証方法をサポートし、多要素認証を可能にします。
  • アクティブクライアントとパッシブクライアントの両方をサポートします。

NetScalerをADFSプロキシとして使用するための前提条件

NetScalerアプライアンスをADFSプロキシとして構成する前に、次の前提条件が満たされていることを確認してください。

  • 12.1ビルド以降のNetScalerアプライアンス。
  • ドメイン ADFS サーバー。
  • ドメイン SSL 証明書。
  • コンテンツスイッチング仮想サーバーの仮想 IP。
  • NetScalerアプライアンスの負荷分散、SSLオフロード、コンテンツスイッチング、書き換え、認証、承認、監査のトラフィック管理機能を有効にします。

NetScalerアプライアンスをADFSプロキシとして構成する

このユースケースを実現するには、NetScalerをDMZゾーンのADFSプロキシとして構成します。ADFS サーバーは、バックエンドの AD ドメインコントローラーとともに構成されます。

ADFS プロキシ

  1. Microsoft Office 365にアクセスするクライアントリクエストは、ADFSプロキシとして展開されたNetScalerにリダイレクトされます。

  2. ユーザーの資格情報は ADFS サーバーに渡されます。

  3. ADFS サーバーは、ドメインのオンプレミス AD で認証情報を認証します。

  4. ADFS サーバーは、AD による認証情報の検証が成功すると、セッションを確立するために Microsoft Office365 に渡されるトークンを生成します。

ADFSプロキシとして構成する前にNetScalerアプライアンスを構成する場合の基本的な手順は次のとおりです。

NetScalerのコマンドプロンプトで、次のコマンドを入力します。

  1. バックエンドの SSL プロファイルを作成し、SSL プロファイルで SNI を有効にします。SSLv3/TLS1 を無効にします。

    add ssl profile <new SSL profile> -sslprofileType backEnd -sniEnable ENABLED -ssl3 DISABLED -tls1 DISABLED -commonName <FQDN of ADFS>

  2. サービスの SSLv3/TLS1 を無効にします。

    set ssl service <adfs service name> -sslProfile <SSL profile created in the above step>

  3. バックエンドサーバーハンドシェイクの SNI 拡張を有効にします。

    • set vpn parameter –backendServerSni ENABLED
    • set ssl parameter -denySSLReneg NONSECURE

CLIを使用してNetScalerアプライアンスをADFSプロキシとして構成する

以下のセクションは、構成手順を完了するための要件に基づいて分類されています。

ADFS サービスを設定するには

  1. NetScaler for ADFSサーバーでADFSサービスを構成します。

    add service <Domain_ADFS_Service> <ADFS Server IP> SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO

    add service CTXTEST_ADFS_Service 1.1.1.1 SSL 443 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA NO -TCPB NO -CMP NO

  2. コンテンツスイッチ仮想サーバーのFQDNを構成し、SNIを有効にします。

    set ssl service <Domain_ADFS_Service> -SNIEnable ENABLED -commonName <sts.domain.com>

    set ssl service CTXTEST_ADFS_Service -SNIEnable ENABLED -commonName sts.ctxtest.com

ADFS 負荷分散仮想サーバーを構成するには

重要

トラフィックをセキュリティで保護するには、ドメイン SSL 証明書 (SSL_CERT) が必要です。

  1. ADFS 負荷分散仮想サーバーを設定します。

    add lb vserver <Domain_ADFS_LBVS> SSL <IP_address> -persistenceType NONE -cltTimeout 180

    add lb vserver CTXTEST_ADFS_LBVS SSL 192.168.1.0 -persistenceType NONE -cltTimeout 180

  2. ADFS 負荷分散仮想サーバーを ADFS サービスにバインドします。

    bind lb vserver <Domain_ADFS_LBVS> <Domain_ADFS_Service>

    bind lb vserver CTXTEST_ADFS_LBVS CTXTEST_ADFS_Service

  3. SSL 仮想サーバーの証明書とキーのペアをバインドします。

    bind ssl vserver <Domain_ADFS_LBVS> -certkeyName <SSL_CERT>

    bind ssl vserver CTXTEST_ADFS_LBVS -certkeyName ctxtest_newcert_2019

ドメイン用のコンテンツスイッチ仮想サーバーを構成するには

注:

コンテンツスイッチング仮想サーバーには、パブリック IP に NAT された空いている仮想 IP (2.2.2.2 など) が 1 つ必要です。外部トラフィックと内部トラフィックの両方からアクセス可能でなければなりません。

  1. 無料のVIPでコンテンツスイッチング仮想サーバーを作成します。

    add cs vserver <Domain_CSVS> SSL <FREE VIP> 443 -cltTimeout 180 -persistenceType NONE

    add cs vserver CTXTEST_CSVS SSL 2.2.2.2 443 -cltTimeout 180 -persistenceType NONE

  2. コンテンツスイッチ仮想サーバーを負荷分散仮想サーバーにバインドします。

    bind cs vserver <Domain_CSVS> -lbvserver <Domain_ADFS_LBVS>

    • bind cs vserver CTXTEST_CSVS -lbvserver CTXTEST_ADFS_LBVS
    • set ssl vserver CTXTEST_CSVS -sessReuse DISABLED
  3. SSL 仮想サーバーの証明書とキーのペアをバインドします。

    bind ssl vserver <Domain_CSVS> -certkeyName <SSL_CERT>

    bind ssl vserver CTXTEST_CSVS -certkeyName ctxtest_newcert_2019

サポートされているプロトコル

Microsoftが提供するプロトコルは、NetScalerアプライアンスとの統合において重要な役割を果たします。ADFSプロキシとしてのNetScalerは、次のプロトコルをサポートしています。

NetScalerアプライアンスは、ADFSプロキシとして展開した場合、デバイス証明書認証をサポートしません。

Active Directory フェデレーションサービスプロキシとしてのNetScaler