Microsoft ADFS 代理样书
Microsoft™ ADFS 代理通过为支持内部联合的资源和云资源提供单点登录访问权限来发挥重要作用。云资源的一个例子是 Office 365。ADFS 代理服务器的目的是接收请求并转发到无法从互联网访问的 ADFS 服务器。ADFS 代理是一种反向代理,通常位于组织的外围网络 (DMZ) 中。ADFS 代理在远程用户连接和应用程序访问方面起着关键作用。
NetScaler 拥有精确的技术,可以实现安全连接、身份验证和联合身份处理。使用 NetScaler 作为 ADFS 代理无需在 DMZ 中部署额外的组件。
NetScaler Application Delivery Management (ADM) 中的 Microsoft ADFS 代理样书允许您在 NetScaler 实例上配置 ADFS 代理服务器。
下图显示了在企业 DMZ 中部署 NetScaler 实例作为 ADFS 代理服务器的情况。
使用 NetScaler 作为 ADFS 代理的好处
- 同时满足负载平衡和 ADFS 代理的需求
- 支持内部和外部用户访问方案
- 支持丰富的预身份验证方法
- 为用户提供单点登录体验
- 支持主动和被动协议
- 活动协议应用程序的示例有:Microsoft Outlook、Microsoft Skype for Business
- 被动协议应用程序的示例有 —Microsoft Outlook Web 应用程序、网络浏览器
- 用于基于 DMZ 的部署的强化设备
- 通过使用额外的核心 NetScaler ADC 功能来增加价值
- 内容交换
- SSL 卸载
- 重写
- 安全性(NetScaler AAA)
对于基于协议的活跃方案,您可以连接到 Office 365 并提供您的证书。Microsoft Federation Gateway 将代表活动协议客户端联系 ADFS 服务(通过 ADFS 代理)。然后,网关使用基本身份验证 (401) 提交证书。NetScaler 在访问 ADFS 服务之前处理客户端身份验证。身份验证后,ADFS 服务向联邦网关提供 SAML 令牌。反过来,联邦网关将令牌提交给 Office 365 以提供客户端访问权限。
对于被动客户端,ADFS 代理样书创建 Kerberos 约束委托 (KCD) 用户帐户。KCD 帐户是连接 ADFS 服务器的 Kerberos SSO 身份验证所必需的。样书还生成 LDAP 策略和会话策略。这些策略稍后绑定到处理被动客户端身份验证的 NetScaler AAA 虚拟服务器。
样书还可以确保 NetScaler 上的 DNS 服务器配置为 ADFS。
以下配置部分介绍如何设置 NetScaler 以处理基于主动和被动协议的客户端身份验证。
配置详细信息
下表列出了成功部署此集成所需的最低软件版本。
产品 | 所需的最低版本 |
---|---|
NetScaler | 11.0,高级/高级许可证 |
以下说明假定您已经创建了相应的外部和内部 DNS 条目。
部署 NetScaler ADM 的 MicrosoftFS 代理样书配置
以下说明可帮助您在企业网络中实现 Microsoft ADFS 代理样书。
部署 Microsoft ADFS 代理样书
-
在 NetScaler ADM 中,导航到应用程序 > 样书。样书页面显示了所有可供您在 NetScaler ADM 中使用的样书。
-
向下滚动并找到 Microsoft ADFS 代理样书。单击 创建配置。 样书以用户界面页的形式打开,可以在该页面上键入此样书中定义的所有参数的值。
- 键入以下参数的值:
- ADFS 代理部署名称。为在您的网络中部署的 ADFS 代理配置选择一个名称。
- ADFS 服务器 FQDN 或 IP。键入网络中所有 ADFS 服务器的 IP 地址或 FQDN(域名)。
- ADFS 代理公共 VIP IP。键入作为 ADFS 代理服务器执行的 NetScaler 上的公用虚拟 IP 地址。
-
在 ADFS 代理证 书”部分中,键入 SSL 证书和证书密钥的详细信息。
此 SSL 证书绑定到在 NetScaler 实例上创建的所有虚拟服务器。
从本地存储文件夹中选择相应的文件。您还可以键入私钥密码以加载 .pem 格式的加密私钥。
您还可以启用 高级证书设置”复选框。您可以在此处键入诸如证书到期通知期限之类的详细信息,启用或禁用证书到期监视器。
-
(可选)如果 SSL 证书 要求在 NetScaler 上安装 CA 公共证书,则可以选中 SSL CA 证书复选框。确保在“高级证书设置”部分中选择“是 CA证书”。
-
为主动客户端和被动客户端启用身份验证。键入 Active Directory 中用于用户身份验证的 DNS 域名。然后,您可以为主动或被动客户端配置身份验证,或者同时为两者配置身份验证。
-
键入以下详细信息以启用活动客户端的身份验证:
注意
配置对活动客户端的支持是可选的。
-
ADFS 代理主动身份验证 VIP。在 NetScaler 实例上键入虚拟身份验证服务器的虚拟 IP 地址,活动客户端将被重定向到进行身份验证。
-
服务帐户用户名。键入 NetScaler 用于在活动目录中对用户进行身份验证的服务帐户用户名。
-
服务帐户密码。键入 NetScaler 用于在 Active Directory 中对用户进行身份验证的密码。
-
-
通过启用相应的选项并配置 LDAP 设置,为被动客户端配置身份验证。
注意
配置对被动客户端的支持是可选的。
键入以下详细信息以启用被动客户端的身份验证:
-
LDAP(Active Directory)基地。键入用户帐户驻留在 Active Directory (AD) 中的域的基本域名以允许身份验证。例如,dc=netscaler,dc=com
-
LDAP(Active Directory)绑定 DN。添加具有浏览 AD 树权限的域帐户(使用电子邮件地址以便于配置)。例如,cn=Manager、dc=netscaler、dc=com
-
LDAP(Active Directory)绑定 DN 密码。键入用于身份验证的域帐户的密码。
您必须在本部分的值中键入的其他几个字段如下所示:
-
LDAP 服务器(Active Directory)IP。键入活动目录服务器的 IP 地址,以便 AD 身份验证正常运行。
-
LDAP 服务器 FQDN 名称 。键入活动目录服务器的 FQDN 名称。FQDN 名称是可选的。按照步骤 1 提供 IP 地址或 FQDN 名称。
-
LDAP 服务器 Active Directory 端口。默认情况下,LDAP 协议的 TCP 和 UDP 端口为 389,而安全 LDAP 的 TCP 端口为 636。
-
LDAP(Active Directory)登录用户名。将用户名键入“sAMAccountName”。
-
ADFS 代理被动身份验证 VIP. 键入被动客户端的 ADFS 代理虚拟服务器的 IP 地址。
注意
标有“*”的字段是必填字段。
-
-
您也可以为 DNS 服务器配置 DNS VIP。
-
单击 目标实例 ,然后选择要部署此 Microsoft ADFS 代理配置的 NetScaler 实例。单击 创 建”以创建配置并在所选 NetScaler 实例上部署配置。
注意
Citrix 建议在执行实际配置之前,选择干运行。您可以首先查看样书在目标 NetScaler 实例上创建的配置对象。然后,您可以单击“创建”在所选实例上部署配置。
创建的对象
在 NetScaler 实例上部署 ADFS 代理配置时,会创建多个配置对象。下图显示创建的对象的列表。