Microsoft ADFS proxy StyleBook
Microsoft™ ADFS プロキシは、内部のフェデレーション対応リソースとクラウドリソースの両方にシングルサインオンアクセスを提供することで重要な役割を果たします。クラウドリソースの一例がOffice 365です。ADFS プロキシサーバーの目的は、インターネットからアクセスできない ADFS サーバーに要求を受信および転送することです。ADFS プロキシはリバースプロキシで、通常は組織の境界ネットワーク (DMZ) にあります。ADFS プロキシは、リモートユーザーの接続とアプリケーションアクセスにおいて重要な役割を果たします。
NetScaler ADCには、フェデレーションIDの安全な接続、認証、および処理を可能にする正確なテクノロジーが搭載されています。NetScaler ADCをADFSプロキシとして使用すると、DMZに追加のコンポーネントを展開する必要がなくなります。
NetScaler Application Delivery Management(ADM)のMicrosoft ADFSプロキシStyleBookを使用すると、NetScaler ADCインスタンスでADFSプロキシサーバーを構成できます。
次の図は、NetScalerインスタンスをエンタープライズDMZにADFSプロキシサーバーとして展開しているところを示しています。
ADFSプロキシとしてNetScaler ADC を使用する利点
- 負荷分散とADFSプロキシの両方のニーズに対応
- 内部ユーザーアクセスシナリオと外部ユーザーアクセスシナリオの両方をサポート
- 事前認証のための豊富なメソッドをサポート
- ユーザーにシングルサインオン環境を提供します
- アクティブプロトコルとパッシブプロトコルの両方をサポート
- アクティブなプロトコルアプリの例としては、Microsoft Outlook、Microsoft Skype for Business
- パッシブプロトコルアプリの例としては、Microsoft Outlook Web アプリ、Web ブラウザー
- DMZ ベースの展開のための強化されたデバイス
- NetScaler ADC コア機能を追加して付加価値を高める
- コンテンツスイッチ
- SSL オフロード
- 書き換え
- セキュリティ (NetScaler AAA)
プロトコルベースのアクティブなシナリオでは、Office 365 に接続して認証情報を入力できます。Microsoft フェデレーションゲートウェイは、アクティブなプロトコルクライアントに代わって (ADFS プロキシを介して) ADFS サービスにアクセスします。次に、ゲートウェイは基本認証 (401) を使用して認証情報を送信します。NetScaler ADCは、ADFSサービスにアクセスする前にクライアント認証を処理します。認証後、ADFS サービスはフェデレーションゲートウェイに SAML トークンを渡します。次に、フェデレーションゲートウェイはトークンを Office 365 に送信してクライアントアクセスを提供します。
パッシブクライアントの場合、ADFS プロキシ StyleBook は Kerberos 制約付き委任 (KCD) ユーザーアカウントを作成します。KCD アカウントは、Kerberos SSO 認証で ADFS サーバーに接続するために必要です。StyleBookはLDAPポリシーとセッションポリシーも生成します。これらのポリシーは、パッシブクライアントの認証を処理するNetScaler ADC AAA仮想サーバーに後でバインドされます。
StyleBookは、NetScaler ADC上のDNSサーバーがADFS用に構成されていることを確認することもできます。
以下の構成セクションでは、アクティブプロトコルベースとパッシブプロトコルベースのクライアント認証の両方を処理するようにNetScaler ADCを設定する方法について説明します。
構成の詳細
以下の表は、この統合を正常にデプロイするために最低限必要なソフトウェアバージョンを示しています。
| Product | 最低限必要なバージョン |
|---|---|
| NetScaler | 11.0、アドバンスト/プレミアムライセンス |
次の手順は、適切な外部および内部 DNS エントリが既に作成されていることを前提としています。
NetScaler ADM からの Microsoft ADFS プロキシ StyleBook 構成の展開
以下の手順は、Microsoft ADFS プロキシ StyleBook をビジネスネットワークに実装する際に役立ちます。
Microsoft ADFS プロキシ StyleBook をデプロイするには
-
NetScaler ADM で、[ アプリケーション ]>[ StyleBook]に移動します。 StyleBookページには 、NetScaler ADM で使用できるすべてのStyleBookが表示されます。
-
下にスクロールして Microsoft ADFS プロキシ StyleBookを見つけてください。[ 構成を作成] をクリックします。 StyleBookがユーザーインターフェイスページとして開き、このStyleBookで定義されているすべてのパラメーターの値を入力できます。
- 次のパラメータに値を入力します。
- ADFS プロキシ展開名。ネットワークに導入されている ADFS プロキシ構成の名前を選択します。
- ADFS サーバーの FQDN または IP。ネットワーク内のすべての ADFS サーバーの IP アドレスまたは FQDN (ドメイン名) を入力します。
- ADFS プロキシパブリック VIP IP ADFSプロキシサーバーとしてNetScaler ADC 上のパブリック仮想IPアドレスを入力します。
-
[ ADFS プロキシ証明書 ] セクションで、SSL 証明書と証明書キーの詳細を入力します。
このSSL証明書は、NetScaler ADCインスタンスで作成されたすべての仮想サーバーにバインドされます。
ローカルストレージフォルダからそれぞれのファイルを選択します。また、秘密キーのパスワードを入力して、暗号化された秘密キーを.pem 形式でロードすることもできます。
[ 証明書の詳細設定 ] チェックボックスをオンにすることもできます。ここでは、証明書の有効期限通知期間などの詳細を入力したり、証明書有効期限モニターを有効または無効にしたりできます。
-
SSL 証明書でNetScaler ADC にCA パブリック証明書をインストールする必要がある場合は、オプションで[SSL CA証明書]チェックボックスをオンにできます。[ 証明書の詳細設定 ] セクションで [ CA 証明書です ] を選択していることを確認してください。
-
アクティブクライアントおよびパッシブクライアントの認証を有効にします。Active Directory でユーザー認証に使用されているDNSドメイン名を入力します。その後、アクティブクライアントまたはパッシブクライアントのいずれか、あるいはその両方の認証を設定できます。
-
次の詳細を入力して、アクティブなクライアントの認証を有効にします。
注:
アクティブクライアントのサポートの設定は任意です。
-
ADFS プロキシアクティブ認証 VIP アクティブなクライアントが認証のためにリダイレクトされるNetScaler ADCインスタンス上の仮想認証サーバーの仮想IPアドレスを入力します。
-
サービスアカウントのユーザー名。NetScaler ADCがActive Directoryへのユーザーを認証するために使用するサービスアカウントのユーザー名を入力します。
-
サービスアカウントのパスワード。Active Directoryに対するユーザーを認証するためにNetScaler ADC が使用するパスワードを入力します。
-
-
対応するオプションを有効にし、LDAP 設定を構成して、パッシブクライアントの認証を構成します。
注:
パッシブクライアントのサポートの設定は任意です。
パッシブクライアントの認証を有効にするには、次の詳細を入力します。
-
LDAP (Active Directory) ベース。認証を許可するActive Directory (AD) 内にユーザーアカウントが存在するドメインの基本ドメイン名を入力します。たとえば、dc=netscaler、dc=com
-
LDAP(Active Directory)バインドDN。AD ツリーを参照する権限を持つドメインアカウント (構成を容易にするために電子メールアドレスを使用) を追加します。たとえば、CN=マネージャ、dc=netscaler、dc=com
-
LDAP (Active Directory) バインド DN パスワード。認証用のドメインアカウントのパスワードを入力します。
このセクションに値を入力する必要があるその他のフィールドは次のとおりです。
-
LDAP サーバ (Active Directory) IP。AD 認証が正しく機能するように、アクティブディレクトリサーバーの IP アドレスを入力します。
-
LDAP サーバーの FQDN 名 。アクティブディレクトリサーバーの FQDN 名を入力します。FQDN 名はオプションです。ステップ 1 のように IP アドレスまたは FQDN 名を指定します。
-
LDAPサーバのActive Directory ポート。デフォルトでは、LDAPプロトコルのTCPポートとUDPポートは389ですが、セキュアLDAPのTCPポートは636です。
-
LDAP(Active Directory)ログインユーザ名。ユーザー名を「SAM アカウント名」として入力します。
-
ADFS プロキシパッシブ認証 VIP。パッシブクライアント用の ADFS プロキシ仮想サーバーの IP アドレスを入力します。
注:
「*」の付いたフィールドは必須です。
-
-
必要に応じて、DNS サーバーの DNS VIP を構成することもできます。
-
[ ターゲットインスタンス ]をクリックし、このMicrosoft ADFSプロキシ構成を展開するNetScaler ADCインスタンスを選択します。[ 作成 ]をクリックして構成を作成し、選択したNetScaler ADC インスタンスに構成を展開します。
注:
Citrixでは、実際の構成を実行する前に、「 ドライラン」を選択することをお勧めします。まず、StyleBookによってターゲットのNetScaler ADC インスタンスに作成された構成オブジェクトを表示できます。その後、[ 作成 ] をクリックして、選択したインスタンスに設定をデプロイできます。
オブジェクトが作成されました
ADFSプロキシ構成がNetScaler ADCインスタンスに展開されると、いくつかの構成オブジェクトが作成されます。次の図は、作成されたオブジェクトのリストを示しています。
