Microsoft ADFSプロキシ StyleBook
Microsoft ADFSプロキシは、内部のフェデレーション対応リソースとクラウドベースのリソースの両方にシングルサインオンアクセスを提供することで、重要な役割を果たします。クラウドベースのリソースの一例として、Office 365があります。ADFSプロキシサーバーの目的は、インターネットからアクセスできないADFSサーバーへのリクエストを受信し、転送することです。ADFSプロキシはリバースプロキシであり、通常、組織の境界ネットワーク(DMZ)内に配置されます。ADFSプロキシは、リモートユーザーの接続性とアプリケーションアクセスにおいて極めて重要な役割を担います。
NetScalerは、セキュアな接続、認証、およびフェデレーションIDの処理を可能にする正確なテクノロジーを備えています。NetScalerをADFSプロキシとして使用することで、DMZに追加のコンポーネントをデプロイする必要がなくなります。
NetScaler Application Delivery Management (ADM) のMicrosoft ADFSプロキシ StyleBookを使用すると、NetScalerインスタンス上にADFSプロキシサーバーを設定できます。
次の図は、NetScalerインスタンスをエンタープライズDMZ内のADFSプロキシサーバーとしてデプロイする様子を示しています。
NetScalerをADFSプロキシとして使用する利点
- ロードバランシングとADFSプロキシの両方のニーズに対応
- 内部および外部ユーザーアクセスシナリオの両方をサポート
- 豊富な事前認証方法をサポート
- ユーザーにシングルサインオンエクスペリエンスを提供
- アクティブプロトコルとパッシブプロトコルの両方をサポート
- アクティブプロトコルアプリの例 – Microsoft Outlook、Microsoft Skype for Business
- パッシブプロトコルアプリの例 – Microsoft Outlook Web App、Webブラウザ
- DMZベースのデプロイメント向けに強化されたデバイス
- 追加のコアNetScaler ADC機能を使用することで価値を付加
- コンテンツスイッチング
- SSLオフロード
- リライト
- セキュリティ (NetScaler AAA)
アクティブプロトコルベースのシナリオでは、Office 365に接続して資格情報を提供できます。Microsoft Federation Gatewayは、アクティブプロトコルクライアントに代わってADFSサービス(ADFSプロキシ経由)に接続します。その後、ゲートウェイは基本認証(401)を使用して資格情報を送信します。NetScalerは、ADFSサービスへのアクセス前にクライアント認証を処理します。認証後、ADFSサービスはSAMLトークンをFederation Gatewayに提供します。Federation Gatewayは、クライアントアクセスを提供するために、そのトークンをOffice 365に送信します。
パッシブクライアントの場合、ADFSプロキシ StyleBookはKerberos Constrained Delegation (KCD) ユーザーアカウントを作成します。KCDアカウントは、ADFSサーバーに接続するためのKerberos SSO認証に必要です。StyleBookはLDAPポリシーとセッションポリシーも生成します。これらのポリシーは、パッシブクライアントの認証を処理するNetScaler AAA仮想サーバーに後でバインドされます。
StyleBookは、NetScaler上のDNSサーバーがADFS用に設定されていることも保証できます。
以下の設定セクションでは、アクティブプロトコルとパッシブプロトコルの両方に基づくクライアント認証を処理するためのNetScalerのセットアップ方法について説明します。
設定の詳細
以下の表は、この統合を正常にデプロイするために必要な最小ソフトウェアバージョンを示しています。
| 製品 | 最小要件バージョン |
|---|---|
| NetScaler | 11.0、Advanced/Premiumライセンス |
以下の手順は、適切な外部および内部DNSエントリをすでに作成していることを前提としています。
NetScaler® ADMからのMicrosoft ADFSプロキシ StyleBook構成のデプロイ
以下の手順は、ビジネスネットワークでMicrosoft ADFSプロキシ StyleBookを実装する際に役立ちます。
Microsoft ADFSプロキシ StyleBookのデプロイ
-
NetScaler ADMで、Applications > StyleBooks に移動します。StyleBooks ページには、NetScaler ADMで使用可能なすべてのStyleBookが表示されます。
-
下にスクロールして、Microsoft ADFSプロキシ StyleBook を見つけます。Create Configuration をクリックします。 StyleBookがユーザーインターフェースページとして開き、このStyleBookで定義されているすべてのパラメーターの値を入力できます。
- 以下のパラメーターの値を入力します。
- ADFS Proxy Deployment Name。ネットワークにデプロイされるADFSプロキシ構成の名前を選択します。
- ADFS Servers FQDNs or IPs。ネットワーク内のすべてのADFSサーバーのIPアドレスまたはFQDN(ドメイン名)を入力します。
- ADFS Proxy Public VIP IP。ADFSプロキシサーバーとして機能するNetScaler上のパブリック仮想IPアドレスを入力します。
-
ADFS Proxy Certificates セクションで、SSL証明書と証明書キーの詳細を入力します。
このSSL証明書は、NetScalerインスタンス上に作成されたすべての仮想サーバーにバインドされます。
ローカルストレージフォルダーから該当するファイルを選択します。また、秘密鍵のパスワードを入力して、.pem形式の暗号化された秘密鍵をロードすることもできます。
Advanced Certificate Settings チェックボックスを有効にすることもできます。ここでは、証明書の有効期限通知期間、証明書の有効期限モニターの有効化または無効化などの詳細を入力できます。
-
オプションで、SSL証明書がNetScalerにCA公開証明書をインストールする必要がある場合、SSL CA Certificate チェックボックスを選択できます。Advanced Certificate Settings セクションで Is a CA Certificate を選択していることを確認してください。
-
アクティブクライアントとパッシブクライアントの認証を有効にします。ユーザー認証のためにActive Directoryで使用されるDNSドメイン名を入力します。その後、アクティブクライアントまたはパッシブクライアント、あるいはその両方に対して認証を設定できます。
-
アクティブクライアントの認証を有効にするには、以下の詳細を入力します。
注
アクティブクライアントのサポート設定はオプションです。
-
ADFS Proxy Active Authentication VIP。アクティブクライアントが認証のためにリダイレクトされるNetScalerインスタンス上の仮想認証サーバーの仮想IPアドレスを入力します。
-
Service Account Username。NetScalerがユーザーをActive Directoryに認証するために使用するサービスアカウントのユーザー名を入力します。
-
Service Account Password。NetScalerがユーザーをActive Directoryに認証するために使用するパスワードを入力します。
-
-
対応するオプションを有効にし、LDAP設定を構成することで、パッシブクライアントの認証を設定します。
注
パッシブクライアントのサポート設定はオプションです。
パッシブクライアントの認証を有効にするには、以下の詳細を入力します。
-
LDAP (Active Directory) Base。認証を許可するために、Active Directory (AD) 内にユーザーアカウントが存在するドメインのベースドメイン名を入力します。例: dc=netscaler,dc=com
-
LDAP (Active Directory) Bind DN。ADツリーを参照する権限を持つドメインアカウント(設定を容易にするためにメールアドレスを使用)を追加します。例: cn=Manager,dc=netscaler,dc=com
-
LDAP (Active Directory) Bind DN Password。認証用のドメインアカウントのパスワードを入力します。
このセクションで値を入力する必要があるその他のフィールドは次のとおりです。
-
LDAP Server (Active Directory) IP。AD認証が正しく機能するために、Active DirectoryサーバーのIPアドレスを入力します。
-
LDAP Server FQDN name。Active DirectoryサーバーのFQDN名を入力します。FQDN名はオプションです。ステップ1のようにIPアドレスまたはFQDN名を提供します。
-
LDAP Server Active Directory port。デフォルトでは、LDAPプロトコルのTCPおよびUDPポートは389ですが、セキュアLDAPのTCPポートは636です。
-
LDAP (Active Directory) login username。ユーザー名を「sAMAccountName」として入力します。
-
ADFS Proxy Passive Authentication VIP。パッシブクライアント用のADFSプロキシ仮想サーバーのIPアドレスを入力します。
注
「*」でマークされたフィールドは必須です。
-
-
オプションで、DNSサーバーのDNS VIPを設定することもできます。
-
Target Instances をクリックし、このMicrosoft ADFSプロキシ構成をデプロイするNetScalerインスタンスを選択します。Create をクリックして構成を作成し、選択したNetScalerインスタンスに構成をデプロイします。
注
Citrixは、実際の構成を実行する前に Dry Run を選択することを推奨します。まず、StyleBookによってターゲットNetScalerインスタンス上に作成される構成オブジェクトを表示できます。その後、Create をクリックして、選択したインスタンスに構成をデプロイできます。
作成されるオブジェクト
NetScalerインスタンスにADFSプロキシ構成がデプロイされると、いくつかの構成オブジェクトが作成されます。次の図は、作成されたオブジェクトのリストを示しています。
