Microsoft ADFS proxy StyleBook
Microsoft ADFS proxy 在为内部联合身份验证资源和云资源提供单点登录访问方面发挥着重要作用。Office 365 就是云资源的一个示例。ADFS proxy 服务器的目的是接收请求并将其转发到无法从互联网访问的 ADFS 服务器。ADFS proxy 是一种反向代理,通常位于组织的边界网络 (DMZ) 中。ADFS proxy 在远程用户连接和应用程序访问中扮演着关键角色。
NetScaler 拥有精确的技术,可实现安全连接、身份验证和联合身份处理。使用 NetScaler 作为 ADFS proxy 可避免在 DMZ 中部署额外组件的需求。
NetScaler Console 中的 Microsoft ADFS Proxy StyleBook 允许您在 NetScaler 实例上配置 ADFS proxy 服务器。
下图显示了在企业 DMZ 中将 NetScaler 实例部署为 ADFS proxy 服务器。
使用 NetScaler 作为 ADFS proxy 的优势
- 满足负载平衡和 ADFS proxy 需求
- 支持内部和外部用户访问场景
- 支持丰富的预身份验证方法
- 为用户提供单点登录体验
- 支持主动和被动协议
- 主动协议应用程序示例包括 – Microsoft Outlook、Microsoft Skype for Business
- 被动协议应用程序示例包括 – Microsoft Outlook web app、web 浏览器
- 用于基于 DMZ 部署的强化设备
- 通过使用其他核心 NetScaler 功能增加价值
- 内容交换 (Content Switching)
- SSL 卸载 (SSL offload)
- 重写 (Rewrite)
- 安全性 (NetScaler AAA)
对于基于主动协议的场景,您可以连接到 Office 365 并提供您的凭据。Microsoft Federation Gateway 代表主动协议客户端联系 ADFS 服务(通过 ADFS Proxy)。然后,网关使用基本身份验证 (401) 提交凭据。NetScaler 在访问 ADFS 服务之前处理客户端身份验证。身份验证后,ADFS 服务向 Federation Gateway 提供 SAML 令牌。Federation Gateway 进而将令牌提交给 Office 365 以提供客户端访问。
对于被动客户端,ADFS Proxy StyleBook 会创建 Kerberos Constrained Delegation (KCD) 用户帐户。KCD 帐户对于 Kerberos SSO 身份验证连接到 ADFS 服务器是必需的。StyleBook 还会生成 LDAP 策略和会话策略。这些策略稍后将绑定到处理被动客户端身份验证的 NetScaler AAA 虚拟服务器。
StyleBook 还可以确保 NetScaler 上的 DNS 服务器已针对 ADFS 进行配置。
下面的配置部分描述了如何设置 NetScaler 以处理基于主动和被动协议的客户端身份验证。
配置详细信息
下表列出了成功部署此集成所需的最低软件版本。
| Product | Minimum Required Version |
|---|---|
| NetScaler | 11.0, Advanced/Premium License |
以下说明假定您已创建了相应的外部和内部 DNS 条目。
从 NetScaler Console 部署 Microsoft ADFS proxy StyleBook 配置
以下说明可帮助您在业务网络中实施 Microsoft ADFS proxy StyleBook。
部署 Microsoft ADFS proxy StyleBook
-
在 NetScaler Console 中,导航到 Applications > StyleBooks。StyleBooks 页面显示 NetScaler Console 中可供您使用的所有 StyleBook。
-
向下滚动并找到 Microsoft ADFS proxy StyleBook。单击“Create Configuration”(创建配置)。 StyleBook 将作为用户界面页面打开,您可以在其中为 StyleBook 中定义的所有参数键入值。
- 为以下参数键入值:
- ADFS Proxy Deployment Name(ADFS Proxy 部署名称)。为在您的网络中部署的 ADFS proxy 配置选择一个名称。
- ADFS Servers FQDNs or IPs(ADFS 服务器 FQDN 或 IP)。键入网络中所有 ADFS 服务器的 IP 地址或 FQDN(域名)。
- ADFS Proxy Public VIP IP(ADFS Proxy 公共 VIP IP)。键入 NetScaler 上用作 ADFS proxy 服务器的公共虚拟 IP 地址。
-
在“ADFS Proxy Certificates”(ADFS Proxy 证书)部分中,键入 SSL 证书和证书密钥的详细信息。
此 SSL 证书绑定到在 NetScaler 实例上创建的所有虚拟服务器。
从本地存储文件夹中选择相应的文件。您还可以键入私钥密码以加载 .pem 格式的加密私钥。
您还可以启用“Advanced Certificate Settings”(高级证书设置)复选框。在此处,您可以键入证书过期通知期、启用或禁用证书过期监视器等详细信息。
-
可选地,如果 SSL 证书需要将 CA 公共证书安装在 NetScaler 上,您可以选择“SSL CA Certificate”(SSL CA 证书)复选框。确保在“Advanced Certificate Settings”(高级证书设置)部分中选择“Is a CA Certificate”(是 CA 证书)。
-
为主动和被动客户端启用身份验证。键入用于用户身份验证的 Active Directory 中的 DNS 域名。然后,您可以为主动客户端或被动客户端,或两者配置身份验证。
-
键入以下详细信息以启用主动客户端的身份验证:
Note
配置对主动客户端的支持是可选的。
-
ADFS Proxy Active Authentication VIP(ADFS Proxy 主动身份验证 VIP)。键入 NetScaler 实例上虚拟身份验证服务器的虚拟 IP 地址,主动客户端将重定向到该地址进行身份验证。
-
Service Account Username(服务帐户用户名)。键入 NetScaler 用于向 Active Directory 验证用户身份的服务帐户用户名。
-
Service Account Password(服务帐户密码)。键入 NetScaler 用于向 Active Directory 验证用户身份的密码。
-
-
通过启用相应选项并配置 LDAP 设置来配置被动客户端的身份验证。
Note
配置对被动客户端的支持是可选的。
键入以下详细信息以启用被动客户端的身份验证:
-
LDAP (Active Directory) Base(LDAP (Active Directory) 基)。键入 Active Directory (AD) 中用户帐户所在域的基域名,以允许身份验证。例如,dc=netscaler®,dc=com
-
LDAP (Active Directory) Bind DN(LDAP (Active Directory) 绑定 DN)。添加一个具有浏览 AD 树权限的域帐户(为便于配置,使用电子邮件地址)。例如,cn=Manager,dc=netscaler,dc=com
-
LDAP (Active Directory) Bind DN Password(LDAP (Active Directory) 绑定 DN 密码)。键入用于身份验证的域帐户的密码。
您必须在此部分中键入值的其他一些字段如下:
-
LDAP Server (Active Directory) IP(LDAP 服务器 (Active Directory) IP)。键入 Active Directory 服务器的 IP 地址,以便 AD 身份验证正常工作。
-
LDAP Server FQDN name(LDAP 服务器 FQDN 名称)。键入 Active Directory 服务器的 FQDN 名称。FQDN 名称是可选的。提供步骤 1 中的 IP 地址或 FQDN 名称。
-
LDAP Server Active Directory port(LDAP 服务器 Active Directory 端口)。默认情况下,LDAP 协议的 TCP 和 UDP 端口为 389,而安全 LDAP 的 TCP 端口为 636。
-
LDAP (Active Directory) login username(LDAP (Active Directory) 登录用户名)。键入用户名,例如 “sAMAccountName”。
-
ADFS Proxy Passive Authentication VIP(ADFS Proxy 被动身份验证 VIP)。键入用于被动客户端的 ADFS proxy 虚拟服务器的 IP 地址。
Note
标有 “*” 的字段是必填字段。
-
-
可选地,您还可以为 DNS 服务器配置 DNS VIP。
-
单击“Target Instances”(目标实例),然后选择要部署此 Microsoft ADFS proxy 配置的 NetScaler 实例。单击“Create”(创建)以创建配置并将其部署到选定的 NetScaler 实例。
Note
我们建议在执行实际配置之前,选择“Dry Run”(试运行)。您可以首先查看 StyleBook 在目标 NetScaler 实例上创建的配置对象。然后,您可以单击“Create”(创建)以将配置部署到选定的实例。
创建的对象
当 ADFS proxy 配置部署在 NetScaler 实例上时,会创建多个配置对象。下图显示了创建的对象列表。
