ADC

Citrix ADC 作为 OAuth SP

身份验证、授权和审核流量管理功能支持 OAuth 身份验证,以便对托管在 Google、Facebook 和 Twitter 等应用程序上的应用程序的用户进行身份验证。

需要注意的事项

  • 要使解决方案正常运行,需要 Citrix ADC Advanced Edition 及更高版本。
  • Citrix ADC 上的 OAuth 适用于所有符合“OpenID connect 2.0”的 SAML IdP。

重要:

当内容密集型网站在会话到期时发送多个身份验证请求时,Citrix ADC 可能会响应 CSRF 错误。作为解决方法,建议在配置 OAuth 策略时,确保为作为主要入口点的主机名和路径配置策略。

使用 GUI 配置 OAuth

  1. 配置 OAuth 操作和策略。

    导航到安全 > AAA-应用程序流量 > 策略 > 身份验证 > 高级策略 > 策略,然后创建一个将 OAuth 作为操作类型的策略,然后将所需的 OAuth 操作与策略关联。

  2. 将 OAuth 策略与身份验证虚拟服务器关联。

    导航到安全 > AAA-应用程序流量 > 虚拟服务器,然后将 OAuth 策略与身份验证虚拟服务器关联。

注意:

可以在 OAuth 响应中提取属性(1 到 16)。目前不评估这些属性。它们被添加以供将来参考。

使用命令行界面配置 OAuth

  1. 定义一个 OAuth 操作。

    add authentication OAuthAction <name> -authorizationEndpoint <URL> -tokenEndpoint <URL> [-idtokenDecryptEndpoint <URL>] -clientID <string> -clientSecret <string> [-defaultAuthenticationGroup <string>][-tenantID <string>][-GraphEndpoint <string>][-refreshInterval <positive_integer>] [-CertEndpoint <string>][-audience <string>][-userNameField <string>][-skewTime <mins>][-issuer <string>][-Attribute1 <string>][-Attribute2 <string>][-Attribute3 <string>] [-tokenEndpointAuthMethod <tokenEndpointAuthMethod>]
    <!--NeedCopy-->
    
  2. 将操作与高级身份验证策略关联。

    add authentication Policy <name> -rule <expression> -action <string>
    <!--NeedCopy-->
    

    示例:

    add authentication oauthAction a -authorizationEndpoint https://example.com/ -tokenEndpoint https://example.com/ -clientiD sadf -clientsecret df
    <!--NeedCopy-->
    

有关身份验证 OAuthAction 参数的更多信息,请参阅 身份验证 oAuth

注意:

指定 CertendPoint 后,Citrix ADC 会以配置的频率轮询该端点以学习密钥。

要将 Citrix ADC 配置为从该文件读取本地文件并解析密钥,引入了一个新的配置选项,如下所示:

set authentication OAuthAction <name> -CertFilePath <path to local file with jwks>
<!--NeedCopy-->

OAuth 功能现在支持令牌 API 中来自信赖方 (RP) 端以及 Citrix Gateway 和 Citrix ADC 的 IdP 端的以下功能。

  • PKCE(代码交换的证明密钥)支持

  • 支持 client_assertion

对 OAuth 身份验证的名称-值属性支持

现在,您可以使用唯一的名称和值来配置 OAuth 身份验证属性。这些名称在 OAuth 操作参数中配置为“属性”,而值则通过查询名称获得。提取的属性存储在身份验证、授权和审核会话中。管理员可以根据指定属性名称的选定方法,使用 http.req.user.attribute("attribute name")http.req.user.attribute(1) 查询这些属性。

通过指定属性的名称,管理员可以轻松搜索与该属性名称关联的属性值。此外,管理员不再需要仅凭编号记住“attribute1 to attribute16”。

重要

在 OAuth 命令中,您最多可以配置 64 个以逗号分隔的属性,总大小小于 1024 字节。

注意

如果“属性 1 到属性 16”的总值大小和“属性”中指定的属性值不超过 10 KB,则可以避免会话失败。

使用 CLI 配置名称/值属性

在命令提示符下,键入:

add authentication OAuthAction <name> [-Attributes <string>]

set authentication OAuthAction <name> [-Attributes <string>]
<!--NeedCopy-->

示例:

add authentication OAuthAction a1 –attributes "email,company" –attribute1 email

set authentication OAuthAction oAuthAct1 -attributes "mail,sn,userprincipalName"
<!--NeedCopy-->
Citrix ADC 作为 OAuth SP