-
-
-
Citrix ADC 作为 OAuth SP
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Citrix ADC 作为 OAuth SP
身份验证、授权和审核流量管理功能支持 OAuth 身份验证,以便对托管在 Google、Facebook 和 Twitter 等应用程序上的应用程序的用户进行身份验证。
需要注意的事项
- 要使解决方案正常运行,需要 Citrix ADC Advanced Edition 及更高版本。
- Citrix ADC 上的 OAuth 适用于所有符合“OpenID connect 2.0”的 SAML IdP。
重要:
当内容密集型网站在会话到期时发送多个身份验证请求时,Citrix ADC 可能会响应 CSRF 错误。作为解决方法,建议在配置 OAuth 策略时,确保为作为主要入口点的主机名和路径配置策略。
使用 GUI 配置 OAuth
-
配置 OAuth 操作和策略。
导航到安全 > AAA-应用程序流量 > 策略 > 身份验证 > 高级策略 > 策略,然后创建一个将 OAuth 作为操作类型的策略,然后将所需的 OAuth 操作与策略关联。
-
将 OAuth 策略与身份验证虚拟服务器关联。
导航到安全 > AAA-应用程序流量 > 虚拟服务器,然后将 OAuth 策略与身份验证虚拟服务器关联。
注意:
可以在 OAuth 响应中提取属性(1 到 16)。目前不评估这些属性。它们被添加以供将来参考。
使用命令行界面配置 OAuth
-
定义一个 OAuth 操作。
add authentication OAuthAction <name> -authorizationEndpoint <URL> -tokenEndpoint <URL> [-idtokenDecryptEndpoint <URL>] -clientID <string> -clientSecret <string> [-defaultAuthenticationGroup <string>][-tenantID <string>][-GraphEndpoint <string>][-refreshInterval <positive_integer>] [-CertEndpoint <string>][-audience <string>][-userNameField <string>][-skewTime <mins>][-issuer <string>][-Attribute1 <string>][-Attribute2 <string>][-Attribute3 <string>] [-tokenEndpointAuthMethod <tokenEndpointAuthMethod>] <!--NeedCopy-->
-
将操作与高级身份验证策略关联。
add authentication Policy <name> -rule <expression> -action <string> <!--NeedCopy-->
示例:
add authentication oauthAction a -authorizationEndpoint https://example.com/ -tokenEndpoint https://example.com/ -clientiD sadf -clientsecret df <!--NeedCopy-->
有关身份验证 OAuthAction 参数的更多信息,请参阅 身份验证 oAuth
注意:
指定 CertendPoint 后,Citrix ADC 会以配置的频率轮询该端点以学习密钥。
要将 Citrix ADC 配置为从该文件读取本地文件并解析密钥,引入了一个新的配置选项,如下所示:
set authentication OAuthAction <name> -CertFilePath <path to local file with jwks>
<!--NeedCopy-->
OAuth 功能现在支持令牌 API 中来自信赖方 (RP) 端以及 Citrix Gateway 和 Citrix ADC 的 IdP 端的以下功能。
-
PKCE(代码交换的证明密钥)支持
-
支持 client_assertion
对 OAuth 身份验证的名称-值属性支持
现在,您可以使用唯一的名称和值来配置 OAuth 身份验证属性。这些名称在 OAuth 操作参数中配置为“属性”,而值则通过查询名称获得。提取的属性存储在身份验证、授权和审核会话中。管理员可以根据指定属性名称的选定方法,使用 http.req.user.attribute("attribute name")
或 http.req.user.attribute(1)
查询这些属性。
通过指定属性的名称,管理员可以轻松搜索与该属性名称关联的属性值。此外,管理员不再需要仅凭编号记住“attribute1 to attribute16”。
重要
在 OAuth 命令中,您最多可以配置 64 个以逗号分隔的属性,总大小小于 1024 字节。
注意
如果“属性 1 到属性 16”的总值大小和“属性”中指定的属性值不超过 10 KB,则可以避免会话失败。
使用 CLI 配置名称/值属性
在命令提示符下,键入:
add authentication OAuthAction <name> [-Attributes <string>]
set authentication OAuthAction <name> [-Attributes <string>]
<!--NeedCopy-->
示例:
add authentication OAuthAction a1 –attributes "email,company" –attribute1 email
set authentication OAuthAction oAuthAct1 -attributes "mail,sn,userprincipalName"
<!--NeedCopy-->
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.