SSO Google Apps 样书
Google Apps 是由 Google 开发的云计算、生产力和协作工具、软件和产品的集合。单一登录 (SSO) 使用户能够通过使用企业凭据对所有服务进行一次登录,访问其所有企业云应用程序(包括登录管理员控制台的管理员)。
NetScaler 控制台SSO Google Apps StyleBook 允许您通过 NetScaler 实例为 Google Apps 启用 SSO。样书将 NetScaler 实例配置为 SAML 身份提供商,用于对访问Google Apps 的用户进行身份验证。
使用此样书在 NetScaler 实例中为 Google 应用程序启用 SSO 会产生以下步骤:
- 配置身份验证虚拟服务器
- 配置 SAML IdP 策略和配置文件
- 将策略和配置文件绑定到身份验证虚拟服务器
- 在实例上配置 LDAP 身份验证服务器和策略
- 将 LDAP 身份验证服务器和策略绑定到在实例上配置的身份验证虚拟服务器
配置详细信息:
下表列出了此集成成功运行所需的最低软件版本。集成过程还支持相同的更高版本。
产品 | 所需的最低版本 |
---|---|
NetScaler | 11.0 版,高级/高级许可证 |
以下说明假定您已创建适当的外部和内部 DNS 条目,以将身份验证请求路由到 NetScaler 监视的 IP 地址。
部署 SSO Google Apps 样书配置:
以下任务可帮助您在企业网络中部署 Microsoft SSO Google Apps 样书。
部署 SSO 谷歌应用程序样书
-
在 NetScaler 控制台中,导航到应用程序 > 配置 > 样书。样书页面显示了所有可供您在 NetScaler 控制台中使用的样书。向下滚动并找到 SSO Google Apps 样书。单击 创建配置。
-
样书将以用户界面页面形式打开,您可以在此为此样书中定义的所有参数输入值。
-
输入以下参数的值:
-
应用程序名称。要在您的网络中部署的 SSO Google 应用程序配置的名称。
-
验证虚拟 IP 地址。Google 应用程序 SAML IdP 策略绑定到的 NetScaler AAA 虚拟服务器使用的虚拟 IP 地址。
-
SAML 规则表达式。默认情况下,使用以下 NetScaler 策略 (PI) 表达式:HTTP.REQ.HEADD(“引荐来源”).CONTINES(“谷歌”)。如果您的要求不同,请使用其他表达式更新此字段。此策略表达式与应用这些 SAML SSO 设置的流量匹配,并确保推荐人标题来自 Google 域。
-
-
SAML IdP 设置部分允许您通过创建步骤 3 中创建的 NetScaler AAA 虚拟服务器使用的 SAML IdP 配置文件和策略,将 NetScaler 实例配置为 SAML 身份提供商。
-
SAML 发行者名称。在此字段中,输入您的身份验证虚拟服务器的公共 FQDN。示例:
https://<Citrix_ADC_VIP>/saml/login
-
SAML 服务提供商 (SP) ID。(可选)NetScaler 身份提供商接受来自与此 ID 匹配的颁发者名称的 SAML 身份验证请求。
-
断言消费者服务 URL。输入服务提供商的 URL,成功进行用户身份验证后,NetScaler 身份提供商需要在其中发送 SAML 声明。断言消费者服务 URL 可以在身份提供商服务器站点或服务提供商站点启动。
-
您还可以在此部分中输入其他可选字段。例如,您可以设置以下选项:
-
SAML 绑定配置文件(默认为“POST”配置文件)。
-
用于验证/签署 SAML 请求/响应的签名算法(默认为“RSA-SHA1”)。
-
摘要 SAML 请求/响应的哈希值的方法(默认为“SHA-1”)。
-
加密算法(默认为 AES256)和其他设置。
注意
Citrix 建议您保留默认设置,因为这些设置已经过测试以支持 Google Apps。
-
-
您还可以启用用户属性复选框以输入用户详细信息,例如:
-
用户属性的名称
-
用于提取属性值的 NetScaler PI 表达式
-
该属性的用户友好名称
-
选择用户属性的格式。
这些值包含在发布的 SAML 断言中。您可以在 NetScaler 使用此样书发布的声明中包含多达五组用户属性。
-
-
-
在 LDAP 设置部分中,输入以下详细信息以对 Google Apps 用户进行身份验证。为了使域用户能够使用其公司电子邮件地址登录 NetScaler 实例,必须配置以下内容:
-
LDAP(Active Directory)基地。输入要允许身份验证的 Active Directory (AD) 中用户帐户所在的域的基本域名。例如,
dc=netscaler,dc=com
-
LDAP(Active Directory)绑定 DN。添加具有浏览 AD 树权限的域帐户(使用电子邮件地址以便于配置)。例如,
cn=Manager,dc=netscaler,dc=com
-
LDAP(Active Directory)绑定 DN 密码。输入用于身份验证的域帐户的密码。
-
您需要在本节中输入的其他几个字段如下所示:
-
NetScaler 连接用于对用户进行身份验证的 LDAP 服务器 IP 地址
-
LDAP 服务器的 FQDN 名称
注意
您必须指定以上两项中的至少一个-LDAP 服务器 IP 地址或 FQDN 名称。
-
NetScaler 连接到的用于对用户进行身份验证的 LDAP 服务器端口(默认值为 389)。
-
LDAP 主机名。如果验证处于打开状态(默认情况下,它处于关闭状态),则用于验证 LDAP 证书。
-
LDAP 登录名属性。用于提取登录名的默认属性为
samAccountname
。 -
其他可选的其他 LDAP 设置
-
-
-
在 SAML IdP SSL 证书部分中,您可以指定 SSL 证书的详细信息:
-
证书名称。输入 SSL 证书的名称。
-
证书文件。C从本地系统或 NetScaler 控制台上的目录中选择 SSL 证书文件。
-
证书密钥格式。从下拉列表框中选择证书和私有密钥文件的格式。支持的格式是
.pem
和.der
扩展。 -
证书密钥名称。输入证书私钥的名称。
-
证书密钥文件。从本地系统或 NetScaler 控制台中选择包含证书私钥的文件。
-
私钥密码。如果您的私钥文件受密码保护,请在此字段中输入。
-
您还可以启用“高级证书设置”复选框来输入诸如证书到期通知期限之类的详细信息,启用或禁用证书到期监视器。
-
-
或者,如果上面输入的 SAML IdP 证书要求在 NetScaler 上安装 CA 公共证书,则可以选择 IdP SSL CA 证书。确保在高级设置中选择“是 CA 证书”。
-
或者,您可以选择 SAML SP SSL 证书来指定用于验证来自Google Apps (SAML SP) 的身份验证请求的 Google SSL 证书(公钥)。
-
单击“目标实例”,然后选择要在其上部署此 Google Apps SSO 配置的 NetScaler 实例。单击 创 建”以创建配置并在所选 NetScaler 实例上部署配置。
注意
您也可以单击刷新图标,将最近在 NetScaler 控制台中发现的 NetScaler 实例添加到此窗口的可用实例列表中。
此外,
提示 > > Citrix 建议在运行实际配置之前,选择“干运行”以直观地确认样书在目标 NetScaler 实例上创建的配置对象。