SSO Google Apps StyleBook
Google Apps 是 Google 开发的云计算、生产力和协作工具、软件和产品的集合。单点登录 (SSO) 允许用户使用其企业凭据一次性登录所有服务,从而访问其所有企业云应用程序,包括管理员登录到管理控制台。
NetScaler Console SSO Google Apps StyleBook 允许您通过 NetScaler 实例为 Google Apps 启用 SSO。此 StyleBook 将 NetScaler 实例配置为 SAML 身份提供程序,用于对访问 Google Apps 的用户进行身份验证。
使用此 StyleBook 在 NetScaler 实例中为 Google Apps 启用 SSO 会产生以下步骤:
- 配置身份验证虚拟服务器
- 配置 SAML IdP 策略和配置文件
- 将策略和配置文件绑定到身份验证虚拟服务器
- 在实例上配置 LDAP 身份验证服务器和策略
- 将 LDAP 身份验证服务器和策略绑定到在实例上配置的身份验证虚拟服务器
配置详细信息:
下表列出了此集成成功运行所需的最低软件版本。集成过程也支持更高版本。
| 产品 | 最低要求版本 |
|---|---|
| NetScaler | 版本 11.0,高级/尊享版许可证 |
以下说明假定您已创建相应的外部或内部 DNS 条目,以将身份验证请求路由到 NetScaler 监控的 IP 地址。
部署 SSO Google Apps StyleBook 配置:
以下任务可帮助您在业务网络中部署 Microsoft SSO Google Apps StyleBook。
部署 SSO Google Apps StyleBook
-
在 NetScaler Console 中,导航到 应用程序 > 配置 > StyleBooks。StyleBooks 页面显示 NetScaler Console 中可供您使用的所有 StyleBook。向下滚动并找到 SSO Google Apps StyleBook。单击 创建配置。
-
StyleBook 将作为用户界面页面打开,您可以在其中输入此 StyleBook 中定义的所有参数的值。
-
输入以下参数的值:
-
应用程序名称。要在网络中部署的 SSO Google Apps 配置的名称。
-
身份验证虚拟 IP 地址。身份验证、授权和审核虚拟服务器使用的虚拟 IP 地址,Google Apps SAML IdP 策略绑定到该虚拟服务器。
-
SAML 规则表达式。默认情况下,使用以下 NetScaler 策略 (PI) 表达式:
HTTP.REQ.HEADER("Referrer").CONTAINS("google")。如果您的要求不同,请使用其他表达式更新此字段。此策略表达式与应用这些 SAML SSO 设置的流量匹配,并确保 Referrer 标头来自 Google 域。
-
-
SAML IdP 设置部分允许您通过创建身份验证、授权和审核虚拟服务器(在步骤 3 中创建)使用的 SAML IdP 配置文件和策略,将 NetScaler 实例配置为 SAML 身份提供程序。
-
SAML 颁发者名称。在此字段中,输入身份验证虚拟服务器的公共 FQDN。示例:
https://<NetScaler Auth VIP>/saml/login -
SAML 服务提供程序 (SP) ID。(可选)NetScaler 身份提供程序接受来自与此 ID 匹配的颁发者名称的 SAML 身份验证请求。
-
断言使用者服务 URL。输入服务提供程序的 URL,NetScaler 身份提供程序需要在用户成功身份验证后将 SAML 断言发送到该 URL。断言使用者服务 URL 可以在身份提供程序服务器站点或服务提供程序站点启动。
-
本节中还有其他可选字段可供您输入。例如,您可以设置以下选项:
-
SAML 绑定配置文件(默认值为“POST”配置文件)。
-
用于验证/签署 SAML 请求/响应的签名算法(默认值为“RSA-SHA1”)。
-
用于 SAML 请求/响应的摘要哈希方法(默认值为“SHA-1”)。
-
加密算法(默认值为 AES256)和其他设置。
注意
建议您保留默认设置,因为这些设置已通过测试,可与 Google Apps 兼容。
-
-
您还可以启用“用户属性”复选框以输入用户详细信息,例如:
-
用户属性的名称
-
用于提取属性值的 NetScaler PI 表达式
-
属性的用户友好名称
-
选择用户属性的格式。
这些值包含在颁发的 SAML 断言中。您可以使用此 StyleBook 在 NetScaler 颁发的断言中包含多达五组用户属性。
-
-
-
在 LDAP 设置部分中,输入以下详细信息以对 Google Apps 用户进行身份验证。要使域用户能够使用其公司电子邮件地址登录到 NetScaler 实例,您必须配置以下内容:
-
LDAP (Active Directory) Base。输入要允许身份验证的 Active Directory (AD) 中用户帐户所在的域的基本域名。例如,
dc=netscaler,dc=com -
LDAP (Active Directory) Bind DN。添加一个有权浏览 AD 树的域帐户(为便于配置,请使用电子邮件地址)。例如,
cn=Manager,dc=netscaler,dc=com -
LDAP (Active Directory) Bind DN 密码。输入用于身份验证的域帐户的密码。
-
本节中需要输入的其他一些字段如下:
-
NetScaler 连接用于对用户进行身份验证的 LDAP 服务器 IP 地址
-
LDAP 服务器的 FQDN 名称
注意
您必须指定上述两者中的至少一个 — LDAP 服务器 IP 地址或 FQDN 名称。
-
NetScaler 连接用于对用户进行身份验证的 LDAP 服务器端口(默认值为 389)。
-
LDAP 主机名。如果启用了验证(默认情况下处于关闭状态),则此名称用于验证 LDAP 证书。
-
LDAP 登录名属性。用于提取登录名的默认属性是“sAMAccountName”。
-
其他可选的杂项 LDAP 设置
-
-
-
在 SAML IdP SSL 证书部分中,您可以指定 SSL 证书的详细信息:
-
证书名称。输入 SSL 证书的名称。
-
证书文件。从本地系统或 NetScaler Console 上的目录中选择 SSL 证书文件。
-
证书密钥格式。从下拉列表中选择证书和私钥文件的格式。支持的格式为 .pem 和 .der 扩展名。
-
证书密钥名称。输入证书私钥的名称。
-
证书密钥文件。从本地系统或 NetScaler Console 中选择包含证书私钥的文件。
-
私钥密码。如果您的私钥文件受密码保护,请在此字段中输入密码。
-
您还可以启用“高级证书设置”复选框以输入详细信息,例如证书过期通知期限、启用或禁用证书过期监视器。
-
-
(可选)如果上面输入的 SAML IdP 证书需要在 NetScaler 上安装 CA 公共证书,则可以选择 IdP SSL CA 证书。请确保在高级设置中选择“是 CA 证书”。
-
(可选)您可以选择 SAML SP SSL 证书以指定用于验证来自 Google Apps (SAML SP) 的身份验证请求的 Google SSL 证书(公钥)。
-
单击 目标实例,然后选择要部署此 Google Apps SSO 配置的 NetScaler 实例。单击 创建 以创建配置并在所选 NetScaler 实例上部署配置。
注意
您还可以单击刷新图标,将 NetScaler Console 中最近发现的 NetScaler 实例添加到此窗口中可用的实例列表中。
此外,
提示
建议您在运行实际配置之前,选择 试运行 以直观地确认 StyleBook 在目标 NetScaler 实例上创建的配置对象。