ADC

会话和流量管理

会话设置

配置身份验证、授权和审核配置文件后,您可以配置会话设置以自定义用户会话。会话设置为:

  • 会话超时。

    控制用户自动断开连接且必须再次进行身份验证才能访问 Intranet 之前需等待的时间。

  • 默认授权设置。

    确定 Citrix ADC 设备在默认情况下是允许还是拒绝访问没有特定授权策略的内容。

  • 单点登录设置。

    确定 Citrix ADC 设备是在用户进行身份验证后自动将用户登录到所有 Web 应用程序,还是将用户传递到 Web 应用程序登录页面以便为每个应用程序进行身份验证。

  • 凭据索引设置。

    确定 Citrix ADC 设备是使用主身份验证凭据还是辅助身份验证凭据进行单点登录。

要配置会话设置,可以采取两种方法之一。如果要对不同的用户帐户或组使用不同的设置,则可以为要为其配置自定义会话设置的每个用户帐户或组创建一个配置文件。您还可以创建策略以选择要将特定配置文件应用到的连接,然后将策略绑定到用户或组。此外,您还可以将策略绑定到身份验证虚拟服务器,该服务器处理要将相应配置文件应用到的流量。

如果希望所有会话都使用相同的设置,或者如果要为未配置特定配置文件和策略的会话自定义默认设置,则只需配置全局会话设置。

会话配置文件

要自定义用户会话,请先创建会话配置文件。会话配置文件允许您覆盖任何会话参数的全局设置。

注意

术语“会话配置文件”和“会话操作”的含义相同。

使用命令行界面创建会话配置文件

在命令提示符处,键入以下命令以创建会话配置文件并验证配置:

add tm sessionAction <name> [-sessTimeout <mins>] [-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )] [-ssoDomain <string>][-httpOnlyCookie ( YES | NO )] [-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]

show tm sessionAction <name>
<!--NeedCopy-->

示例

> add tm sessionAction session-profile -sessTimeout 30 -defaultAuthorization ALLOW
 Done
> show tm sessionAction session-profile
1)      Name: session-profile
        Authorization action : ALLOW
        Session timeout: 30 minutes
 Done
<!--NeedCopy-->

使用命令行界面修改会话配置文件

在命令提示符处,键入以下命令以修改会话配置文件并验证配置:

set tm sessionAction <name> [-sessTimeout <mins>] [-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )] [-ssoDomain <string>][-httpOnlyCookie ( YES | NO )] [-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]

show tm sessionAction
<!--NeedCopy-->

示例


> set tm sessionAction session-profile -sessTimeout 30 -defaultAuthorization ALLOW
 Done
> show tm sessionAction session-profile
1)      Name: session-profile
        Authorization action : ALLOW
        Session timeout: 30 minutes
 Done
<!--NeedCopy-->

使用命令行界面删除会话配置文件

在命令提示符处,键入以下命令以删除会话配置文件:

rm tm sessionAction <name>
<!--NeedCopy-->

使用配置实用程序配置会话配置文件

  1. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Session(会话)
  2. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Policies(策略)> Session(会话)
  3. 在详细信息窗格中,单击 配置文件 选项卡。
  4. 配置文件 选项卡上,执行以下操作之一:
    • 要创建新的会话配置文件,请单击 Add(添加)。
    • 要修改某个现有会话配置文件,请选择该配置文件,然后单击 Edit(编辑)。
  5. 在“Create TM Session Profile”(创建 TM 会话配置文件)或“Configure TM Session Profile”(配置 TM 会话配置文件)对话框中,键入或选择参数的值。
    • 名称* — actionname(无法为以前配置的会话操作更改该名称。)
    • 会话超时 — sesstimeout
    • 单点登录到 Web 应用程序 — sso
    • 默认授权操作 - defaultAuthorizationAction
    • 凭据索引 — ssocredential
    • 单点登录域 - ssoDomain
    • HTTPOnly Cookie—httpOnlyCookie
    • 启用永久性 Cookie — persistentCookie
    • 永久性 Cookie 有效期 — persistentCookieValidity
  6. 单击 Create(创建)或 OK(确定)。您创建的会话配置文件将显示在“Session Policies and Profiles”(会话策略和配置文件)窗格中。

会话策略

创建一个或多个会话配置文件后,您将创建会话策略,然后将策略全局绑定到身份验证虚拟服务器以使其生效。

使用命令行界面创建会话策略

在命令提示符下,键入以下命令以创建会话策略并验证配置:

-  add tm sessionPolicy <name> <rule> <action>
-  show tm sessionPolicy <name>
<!--NeedCopy-->

示例

> add tm sessionPolicy session-pol "URL == /\*.gif" session-profile
Done
> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/\*.gif'
        Action: session-profile
 Done
<!--NeedCopy-->

使用命令行界面修改会话策略

在命令提示符下,键入以下命令以修改会话策略并验证配置:

-  set tm sessionPolicy <name> [-rule <expression>] [-action <action>]
-  show tm sessionPolicy <name>
<!--NeedCopy-->

示例

> set tm sessionPolicy session-pol "URL == /\*.gif" session-profile
 Done
> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/\*.gif'
        Action: session-profile
 Done
<!--NeedCopy-->

使用命令行界面全局绑定会话策略

在命令提示符下,键入以下命令以全局绑定会话策略并验证配置:

bind tm global -policyName <policyname> [-priority <priority>]
<!--NeedCopy-->

示例

> bind tm global -policyName session-pol
 Done

> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/*.gif'
        Action: session-profile
        Policy is bound to following entities
        1) TM GLOBAL    PRIORITY : 0
 Done

<!--NeedCopy-->

使用命令行界面将会话策略绑定到身份验证虚拟服务器

在命令提示符下,键入以下命令以将会话策略绑定到身份验证虚拟服务器并验证配置:

bind authentication vserver <name> -policy <policyname> [-priority <priority>]
<!--NeedCopy-->

示例

bind authentication vserver auth-vserver-1 -policyName Session-Pol-1 -priority 1000
Done
<!--NeedCopy-->

使用命令行界面取消会话策略与身份验证虚拟服务器的绑定

在命令提示符下,键入以下命令以取消会话策略与身份验证虚拟服务器的绑定并验证配置:

unbind authentication vserver <name> -policy <policyname>
<!--NeedCopy-->

示例

unbind authentication vserver auth-vserver-1 -policyName Session-Pol-1
Done
<!--NeedCopy-->

使用命令行界面取消绑定已全局绑定的会话策略

在命令提示符下,键入以下命令以取消绑定已全局绑定的会话策略:

unbind tm global -policyName <policyname>
<!--NeedCopy-->

示例

unbind tm global -policyName Session-Pol-1
Done
<!--NeedCopy-->

使用命令行界面删除会话策略

首先取消绑定已全局绑定的会话策略,然后在命令提示符下键入以下命令以删除会话策略并验证配置:

rm tm sessionPolicy <name>
<!--NeedCopy-->

示例


rm tm sessionPolicy Session-Pol-1
Done

<!--NeedCopy-->

使用配置实用程序配置和绑定会话策略

  1. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Session(会话)
  2. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Policies(策略)> Session(会话)
  3. 在详细信息窗格中的 Policies(策略)选项卡上,执行以下操作之一:
    • 要创建新的会话策略,请单击 Add(添加)。
    • 要修改某个现有会话策略,请选择该策略,然后单击 Edit(编辑)。
  4. Create Session Policy(创建会话策略) 或 Configure Session Policy(配置会话策略)对话框中,键入或选择参数的值。
    • 名称* — policyname(无法为以前配置的会话策略更改该名称。)
    • 请求配置文件* — actionname
    • 表达式* — rule(您可以通过以下方式输入表达式:先在“Expression”(表达式)文本区域下方的最左侧下拉列表中选择表达式类型,然后直接在表达式文本区域中键入表达式,或者单击 Add(添加)以打开“Add Expression”(添加表达式)对话框并使用其中的下拉列表来构造表达式。)
  5. 单击 Create(创建)或 OK(确定)。您创建的策略将显示在 Session Policies(会话策略)和 Profiles(配置文件)页面的详细信息窗格中。
  6. 要全局绑定会话策略,请从详细信息窗格中的 Action(操作)下拉列表中选择 Global Bindings(全局绑定)下拉列表,然后填充相应对话框。
    • 选择要全局绑定的会话策略的名称。
    • 单击 OK(确定)。
  7. 要将某个会话策略绑定到身份验证虚拟服务器,请在导航窗格中单击 Virtual Servers(虚拟服务器),然后将该策略添加到策略列表中。
    • 在详细信息窗格中,选择相应虚拟服务器,然后单击 Edit(编辑)。
    • 在详细信息区域右侧的 Advanced Selections(高级选项)中,单击 Policies(策略)。
    • 选择策略,或单击加号图标以添加策略。
    • 在左侧的 Priority(优先级)列中,修改默认优先级以确保按照正确的顺序评估策略。
    • 单击 OK(确定)。 状态栏中将显示一条消息,指出策略已成功配置。

全局会话设置

除了创建会话配置文件和策略之外,您还可以配置全局会话设置。在没有覆盖这些设置的显式策略时,它们将控制会话配置。

使用命令行界面配置会话设置

在命令提示符下,键入以下命令以配置全局会话设置并验证配置:

set tm sessionParameter [-sessTimeout <mins>][-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )][-ssoDomain <string>][-httpOnlyCookie ( YES | NO )][-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]
<!--NeedCopy-->

示例

> set tm sessionParameter -sessTimeout 30
  Done
> set tm sessionParameter -defaultAuthorizationAction DENY
  Done
> set tm sessionParameter -SSO ON
  Done
> set tm sessionParameter -ssoCredential PRIMARY
  Done
<!--NeedCopy-->

使用配置实用程序配置会话设置

  1. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)
  2. 在详细信息窗格中,单击 Settings(设置)下的“Change global settings”(更改全局设置)。
  3. Global Session Settings(全局会话设置)对话框中,键入或选择参数的值。
    • 会话超时 — sessTimeout
    • 默认授权操作 - defaultAuthorizationAction
    • 单点登录到 Web 应用程序 — sso
    • 凭据索引 — ssoCredential
    • 单点登录域 - ssoDomain
    • HTTPOnly Cookie—httpOnlyCookie
    • 启用永久性 Cookie — persistentCookie
    • 永久性 Cookie 有效期(分钟)— persistentCookieValidity
    • 主页 — home page
  4. 单击 OK(确定)。

流量设置

如果对受保护的应用程序使用基于表单或 SAML 单点登录 (SSO),则可以在流量设置中配置该功能。通过 SSO,用户登录一次即可访问所有受保护的应用程序,而不是要求他们单独登录才能访问每个应用程序。

基于表单的 SSO 允许您使用自己设计的 Web 表单作为登录方法,而不是通用弹出窗口。因此,您可以将公司徽标和希望用户看到的其他信息置于登录表单上。SAML SSO 允许您将一个 Citrix ADC 设备或虚拟设备实例配置为代表使用第一个设备进行身份验证的用户对另一个 Citrix ADC 设备进行身份验证。

要配置任一类型的 SSO,请先创建表单或 SAML SSO 配置文件。然后,创建流量配置文件并将其链接到您创建的 SSO 配置文件。接着,创建策略将其链接到流量配置文件。最后,全局绑定策略或将策略绑定到身份验证虚拟服务器以使配置生效。

流量配置文件

创建至少一个表单或 SAML SSO 配置文件后,接下来必须创建流量配置文件。

注意 : 在此功能中,术语“配置文件”和“操作”的含义相同。

使用命令行界面创建流量配置文件

在命令提示符下,键入:

add tm trafficAction <name> [-appTimeout <mins>][-SSO ( ON | OFF ) [-formSSOAction <string>]][-persistentCookie ( ENABLED | DISABLED )][-InitiateLogout ( ON | OFF )]
<!--NeedCopy-->

示例

add tm trafficAction Traffic-Prof-1 –appTimeout 10 -SSO ON -formSSOAction SSO-Prof-1
<!--NeedCopy-->

使用命令行界面修改会话配置文件

在命令提示符下,键入:

set tm trafficAction <name> [-appTimeout <mins>] [-SSO ( ON | OFF ) [-formSSOAction <string>]] [-persistentCookie ( ENABLED | DISABLED )] [-InitiateLogout ( ON | OFF )]
<!--NeedCopy-->

示例

set tm trafficAction Traffic-Prof-1 –appTimeout 10 -SSO ON -formSSOAction SSO-Prof-1
<!--NeedCopy-->

使用命令行界面删除会话配置文件

在命令提示符下,键入:

rm tm trafficAction <name>
<!--NeedCopy-->

示例

rm tm trafficAction Traffic-Prof-1
<!--NeedCopy-->

使用配置实用程序配置流量配置文件

  1. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Traffic(流量)
  2. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量) > Policies(策略)> Traffic(流量)
  3. 在详细信息窗格中,单击“Profiles”(配置文件)选项卡。
  4. 在“Profiles”(配置文件)选项卡上,执行以下操作之一:
    • 要创建新的流量配置文件,请单击 Add(添加)。
    • 要修改某个现有流量配置文件,请选择该配置文件,然后单击 Edit(编辑)。
  5. Create Traffic Profile(创建流量配置文)或 Configure Traffic Profile(配置流量配置文件)对话框中,指定参数的值。
    • 名称* — name(无法为以前配置的会话操作更改该名称。)
    • 应用超时 — appTimeout
    • 单点登录 —SSO
    • 表单 SSO 操作 — formSSOAction
    • SAML SSO 操作 — samlSSOAction
    • 启用永久性 Cookie — persistentCookie
    • 启动注销 — InitiateLogout
  6. 单击 Create(创建)或 OK(确定)。您创建的流量配置文件将视情况显示在“Traffic Policies”(流量策略)、“Profiles”(配置文件)以及“Form SSO Profiles”(表单 SSO 配置文件)或“SAML SSO Profiles”(SAML SSO 配置文件)窗格中。

支持 AAA.USER 和 AAA.LOGIN 表达式

现已实现 AAA.USER 表达式来替换现有的 HTTP.REQ.USER 表达式。AAA.USER 表达式适用于处理非 HTTP 流量,例如 Secure Web Gateway (SWG) 和基于角色的访问 (RBA) 机制。AAA.USER 表达式等同于 HTTP.REQ.USER 表达式。

您可以在各种操作或配置文件配置中使用该表达式。

在命令提示符下,键入:

add tm trafficAction <name> [SSO (ON|OFF)] [-userExpression <string>]

add tm trafficAction <name> [SSO (ON|OFF)] [-passwdExpression <string>]

<!--NeedCopy-->

示例

add tm trafficAction tm_act -SSO ON -userExpression "AAA.USER.NAME"

add tm trafficAction tm_act -SSO ON -userExpression "AAA.USER.PASSWD"

add tm trafficPolicy tm_pol true tm_act

bind lb vserver lb1 -policyName tm_pol -priority 2
<!--NeedCopy-->

注意 : 如果使用 HTTP.REQ.USER 表达式,则警告消息“HTTP.REQ.USER has been deprecated. Use AAA.USER instead”(HTTP.REQ.USER 已被启用。请改为使用 AAA.USER)将显示在命令提示符下。

  • AAA.LOGIN 表达式。LOGIN 表达式表示预登录,也称为登录请求。登录请求可以来自 Citrix Gateway、SAML IdP 或来自 OAuth 身份验证。Citrix ADC 将从策略配置中提取所需的属性。AAA.LOGIN 表达式包含各种属性,这些属性可以根据以下表达式进行提取:
    • AAA.LOGIN.USERNAME。用户名(如果找到)提取自当前登录请求。应用于非登录请求(由身份验证、授权和审核确定)的同一表达式会生成空字符串。
    • AAA.LOGIN.PASSWORD。用户密码(如果找到)提取自当前登录请求。如果找不到密码,该表达式会生成空字符串。
    • AAA.LOGIN.PASSWORD2。第二个密码(如果找到)提取自登录请求。
    • AAA.LOGIN.DOMAIN。域信息提取自登录请求。
  • AAA.USER.ATTRIBUTE(“#”)。表达式用于存储用户属性。这里 # 可以是整数值(介于 1 到 16 之间),也可以是字符串值。您可以通过使用表达式 AAA.USER.ATTRIBUTE (“#”) 来使用这些索引值。身份验证、授权和审核模块将查找用户会话属性,而 AAA.USER.ATTRIBUTE("#") 则会查询哈希表中是否存在该特定属性。例如,如果已设置 Attributes("samaccountname"),则 AAA.USER.ATTRIBUTE("samaccountname") 将查询哈希映射并提取对应于 samaccountname 的值。

流量策略

创建一个或多个表单 SSO 和流量配置文件后,您可以创建流量策略,然后全局绑定这些策略或将这些策略全局绑定到流量管理虚拟服务器,以使其生效。

使用命令行界面创建流量策略

在命令提示符下,键入:

add tm trafficPolicy <name> <rule> <action>
<!--NeedCopy-->

示例

add tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")" Traffic-Prof-1
<!--NeedCopy-->

使用命令行界面修改流量策略

在命令提示符下,键入:

set tm trafficPolicy <name> <rule> <action>
<!--NeedCopy-->

示例

set tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")" Traffic-Prof-1
<!--NeedCopy-->

使用命令行界面全局绑定流量策略

在命令提示符下,键入:

bind tm global -policyName <string> [-priority <priority>]
<!--NeedCopy-->

示例

bind tm global -policyName Traffic-Pol-1
<!--NeedCopy-->

使用命令行界面将流量策略绑定到负载平衡或内容交换虚拟服务器

在命令提示符下,键入以下命令之一:

bind lb vserver <name> -policy <policyName> [-priority <priority>]

bind cs vserver <name> -policy <policyName> [-priority <priority>]
<!--NeedCopy-->

示例

bind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1 -priority 1000
<!--NeedCopy-->

使用命令行界面取消绑定已全局绑定的流量策略

在命令提示符下,键入:

unbind tm global -policyName <policyname>
<!--NeedCopy-->

示例

unbind tm global -policyName Traffic-Pol-1
<!--NeedCopy-->

使用命令行界面取消流量策略与负载平衡或内容交换虚拟服务器的绑定

在命令提示符下,键入以下命令之一:

unbind lb vserver <name> -policy <policyname>

unbind cs vserver <name> -policy <policyname>
<!--NeedCopy-->

示例

unbind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1
<!--NeedCopy-->

使用命令行界面删除流量策略

先取消绑定已全局绑定的会话策略,然后在命令提示符下键入:

rm tm trafficPolicy <name>
<!--NeedCopy-->

示例

rm tm trafficPolicy Traffic-Pol-1
<!--NeedCopy-->

使用配置实用程序配置和绑定流量策略

  1. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Traffic(流量)
  2. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量) > Policies(策略)> Traffic(流量)
  3. 在详细信息窗格中,执行以下操作之一:
    • 要创建新的会话策略,请单击 添加。
    • 要修改现有会话策略,请选择该策略,然后单击 编辑。
  4. Create Traffic Policy(创建流量策略)或 Configure Traffic Policy(配置流量策略)对话框中,指定参数的值。
    • 名称* — policyName(无法为以前配置的会话策略更改该名称。)
    • 配置文件* — actionName
    • 表达式 — rule(您可以通过以下方式输入表达式:先在“Expression”(表达式)文本区域下方的最左侧下拉列表中选择表达式类型,然后直接在表达式文本区域中键入表达式,或者单击 Add(添加)以打开“Add Expression”(添加表达式)对话框并使用其中的下拉列表来构造表达式。)
  5. 单击 Create(创建)或 OK(确定)。您创建的策略将显示在 Session Policies(会话策略)和 Profiles(配置文件)页面的详细信息窗格中。

表单 SSO 配置文件

要启用和配置基于表单的 SSO,请先创建 SSO 配置文件。

注意

  • 如果将表单自定义设置为包含 Javascript,则基于表单的单点登录将不起作用。
  • 在此功能中,术语“配置文件”和“操作”的含义相同。

使用命令行界面创建表单 SSO 配置文件

在命令提示符下,键入:

add tm formSSOAction <name> -actionURL <URL> -userField <string> -passwdField <string> -ssoSuccessRule <expression> [-nameValuePair <string>] [-responsesize <positive_integer>][-nvtype ( STATIC | DYNAMIC )][-submitMethod ( GET | POST )]

show tm formSSOAction [<name>]
<!--NeedCopy-->

示例

add tm formSSOAction SSO-Prof-1 -actionURL "/logon.php"
-userField "loginID" -passwdField "passwd"
-nameValuePair "loginID passwd" -responsesize "9096"
-ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"
-nvtype STATIC -submitMethod GET
–sessTimeout 10 -defaultAuthorizationAction ALLOW
<!--NeedCopy-->

使用命令行界面修改表单 SSO

在命令提示符下,键入:

set tm formSSOAction <name> -actionURL <URL> -userField <string> -passwdField <string> -ssoSuccessRule <expression> [-nameValuePair <string>] [-responsesize <positive_integer>][-nvtype ( STATIC | DYNAMIC )][-submitMethod ( GET | POST )]
<!--NeedCopy-->

示例

set tm formSSOAction SSO-Prof-1 -actionURL "/logon.php"
-userField "loginID" -passwdField "passwd"
-ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"
-nameValuePair "loginID passwd" -responsesize "9096"
-nvtype STATIC -submitMethod GET
–sessTimeout 10 -defaultAuthorizationAction ALLOW
<!--NeedCopy-->

使用命令行界面删除表单 SSO 配置文件

在命令提示符下,键入:

rm tm formSSOAction <name>
<!--NeedCopy-->

示例

rm tm sessionAction SSO-Prof-1
<!--NeedCopy-->

使用配置实用程序配置表单 SSO 配置文件

  1. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量) > Policies(策略)> Traffic(流量)
  2. 在详细信息窗格中,单击 Form SSO Profiles(表单 SSO 配置文件)选项卡。
  3. 在“Form SSO Profiles”(表单 SSO 配置文件)选项卡上,执行以下操作之一:
    • 要创建新的表单 SSO 配置文件,请单击 Add(添加)。
    • 要修改某个现有表单 SSO 配置文件,请选择该配置文件,然后单击“Edit”(编辑)。
  4. Create Form SSO Profile(创建表单 SSO 配置文件)或 Configure Form SSO Profile(配置表单 SSO 配置文件)对话框中,指定参数的值:
    • 名称* — name(无法为以前配置的会话操作更改该名称。)
    • 操作 URL* — actionURL
    • 用户名字段* — userField
    • 密码字段* — passField
    • 表达式* — ssoSuccessRule
    • 名称值对 — nameValuePair
    • 响应大小 — responsesize
    • 提取 — nvtype
    • 提交方法 — submitMethod</span>
  5. 单击 Create(创建)或 OK(确定),然后单击 Close(关闭)。您创建的表单 SSO 配置文件将显示在 Traffic Policies(流量策略)、Profiles(配置文件)和 Form SSO Profiles(表单 SSO 配置文件)窗格中。

SAML SSO 配置文件

要启用和配置基于 SAML 的 SSO,请先创建 SAML SSO 配置文件。

使用命令行界面创建 SAML SSO 配置文件

在命令提示符下,键入:

add tm samlSSOProfile <name> -samlSigningCertName <string> -assertionConsumerServiceURL <URL> -relaystateRule <expression> -sendPassword (ON | OFF) [-samlIssuerName <string>]
<!--NeedCopy-->

示例

add tm samlSSOProfile saml-SSO-Prof-1 -samlSigningCertName "Example, Inc."  -assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true"  -sendPassword "ON" -samlIssuerName "Example, Inc."
<!--NeedCopy-->

使用命令行界面修改 SAML SSO

在命令提示符下,键入:

set tm samlSSOProfile <name> -samlSigningCertName <string> -assertionConsumerServiceURL <URL> -relaystateRule <expression> -sendPassword (ON | OFF) [-samlIssuerName <string>]
<!--NeedCopy-->

示例

set tm samlSSOProfile saml-SSO-Prof-1 -samlSigningCertName "Example, Inc."  -assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true"  -sendPassword "ON" -samlIssuerName "Example, Inc."
<!--NeedCopy-->

使用命令行界面删除 SAML SSO 配置文件

在命令提示符下,键入:

rm tm samlSSOProfile <name>
<!--NeedCopy-->

示例

rm tm sessionAction saml-SSO-Prof-1
<!--NeedCopy-->

使用配置实用程序配置 SAML SSO 配置文件

  1. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量) > Policies(策略)> Traffic(流量)
  2. 在详细信息窗格中,单击 SAML SSO Profiles(SAML SSO 配置文件)选项卡。
  3. SAML SSO Profiles(SAML SSO 配置文件)选项卡上,执行以下操作之一:
    • 要创建新的 SAML SSO 配置文件,请单击 Add(添加)。
    • 要修改某个现有 SAML SSO 配置文件,请选择该配置文件,然后单击 OpenEdit(打开/编辑)。
  4. Create SAML SSO Profiles(创建 SAML SSO 配置文件)或 Configure SAML SSO Profiles(配置 SAML SSO 配置文件)对话框中,设置以下参数:
    • 名称*
    • 签名证书名称*
    • ACS URL*
    • 中继状态规则*
    • 发送密码
    • 颁发者名称
  5. 单击 创建确定,然后单击 关闭。您创建的 SAML SSO 配置文件将显示在“Traffic Policies”(流量策略)、“Profiles”(配置文件)和“SAML SSO Profiles”(SAML SSO 配置文件)窗格中。

OWA 2010 的会话超时

现在,您可以强制 OWA 2010 连接在指定期限内处于不活动状态后超时。OWA 将向服务器重复发送保持连接请求以防止超时。保持连接顺畅可能会干扰单点登录。

使用命令行界面强制 OWA 2010 在指定期限后超时

在命令提示符下,键入以下命令:

add tm trafficAction <actname> [-forcedTimeout <forcedTimeout> -forcedTimeoutVal <mins>]
<!--NeedCopy-->

对于 <actname>,请替换为流量策略的名称。对于 <mins>,请替换为启动强制超时之前需等待的分钟数。对于 <forcedTimeout>,请替换为以下值之一:

-START — 如果计时器尚未启动,则启动强制超时计时器。如果存在正在运行的计时器,则该操作无效。 -STOP — 停止正在运行的计时器。如果找不到正在运行的计时器,则该操作无效。 -RESET — 重新启动正在运行的计时器。如果没有找到正在运行的计时器,则像已使用 START 选项一样启动计时器。

add tm trafficPolicy <polname> <rule> <actname>
<!--NeedCopy-->

对于 <polname>,请替换为流量策略的名称。对于 <rule>,请替换为 Citrix ADC 默认语法中的规则。

bind lb vserver <vservername> –policyName <name> -priority <number>
<!--NeedCopy-->

对于 <vservername>,请替换为身份验证、授权和审核流量管理虚拟服务器的名称。对于 <priority>,请替换为用于指定策略优先级的整数。

示例

add tm trafficAction act-owa2010timeout -forcedTimeout RESET -forcedTimeoutVal 10
add tm trafficPolicy pol-owa2010timeout true act-owa2010timeout
bind lb vserver vs-owa2010 -policyName pol-owa2010timeout -priority 10
<!--NeedCopy-->
会话和流量管理