Active Directory 联合身份验证服务代理集成协议合规性
注意:对 Active Directory 联合身份验证服务代理集成协议的支持目前处于技术预览版中。
由 Active Directory 联合身份验证服务 (ADFS) 和代理服务器组成的系统为公司边界内的应用程序提供安全服务。此系统为公司安全外围以外的客户端提供身份验证、授权和访问驻留在公司安全边界内的资源(本地或云)。
Citrix ADC 设备具有本机代理服务器,该服务器可以利用 ADFS 代理集成协议 (ADFSPIP) 在代理服务器和 ADFS 场之间建立信任。
必备条件
为了成功建立代理服务器与 ADFS 场之间的信任,请查看 Citrix ADC 设备中的以下配置:
-
禁用后端的默认 SSL 配置文件,并在后端的 SSL 配置文件中启用 SNI。在命令提示符下,键入以下命令:
设置 SSL 配置文件 Ns_默认 _ssl_SSL__配置文件 _后端-可狙击启用-SSL3 禁用-tl1 禁用
-
禁用服务的 SSLv3/TLS1。在命令提示符下,键入以下命令:
设置 SSL 服务 [ADFS 服务名称] -SSL 配置文件名称-默认值 SSL_配置文件 后端
-
在默认 SSL 参数中启用默认配置文件。在命令提示符下,键入以下命令:
设置 ssl 参数-默认配置文件启用
身份验证机制
以下是用于身份验证的高级事件流。
-
与 ADFS 服务器建立信任 — Citrix ADC 服务器通过注册客户端证书来建立与 ADFS 服务器的信任。建立信任后,Citrix ADC 设备在重新启动后重新建立信任,无需用户干预。
证书到期后,您需要通过删除并再次添加 ADFS 代理配置文件来重新确认信任。
-
将标头插入到客户端请求 中 — 当 Citrix ADC 设备隧道客户端请求时,与 ADFSPIP 相关的 HTTP 标头将在将其发送到 ADFS 服务器时添加到数据包中。您可以根据这些标头值在 ADFS 服务器上实现访问控制。支持以下标头。
- X 微软代理服务器
- X-MS 端点-绝对路径
- X-MS 转发客户端 IP
- X 微软代理服务器
- X-MS 目标角色
- X-MS-ADFS 代理客户端 IP
-
管理最终用户流量 — 最终用户流量被安全地路由到所需资源。
注意: Citrix ADC 设备使用基于表单的身份验证。
将思杰 ADC 配置为与 ADFS 服务器一起工作
必备条件
-
将上下文切换 (CS) 服务器配置为前端,AAA 服务器后面 CS。在命令提示窗口中,键入:
-
添加[cs vserver 名称]通讯服务器的 SSL -CLt超时 180-身份验证主机[ADFS 服务器主机名]-身份验证关闭-持久性类型 NONE
-
添加 CS 行动 [行动名称 1]-目标 TLBvvserver [磅 vserver 名称]
-
添加 CS 行动 [动作名称 2]-目标 TLBvvserver [磅 vserver 名称]
-
添加 CS 策略 [策略名称 1]-规则 “http.req.url.包含(“/广告/服务/信任”) -
添加 CS 策略 [策略名称 2]-规则 “HTTP.REQ.URL. 包含(“/广告/LS”)”-行动 [行动名称 2]
-
绑定 CS vserver [CS vserver 名称]-策略名称 [策略名称 1]-优先级 100
-
绑定 CS vserver [CS vserver 名称]-策略名称 [策略名称 2]-优先级 110
- 绑定 CS vserver [CS vserver 名称]-lbvserver [lb vserver 名称]
-
-
添加 ADFS 服务。在命令提示窗口中,键入:
-
添加服务[ADFS 服务名称] [ADFS 服务器 IP] SSL 443
-
设置 SSL 服务[ADFS 服务名称] -SSL 配置文件-默认值 SSL_配置文件 后端
-
-
添加负载平衡的虚拟服务器。在命令提示窗口中,键入:
-
添加磅虚拟服务器[磅虚拟服务器名称]SSL 0.0.0.0 0
-
设置 SSL 虚拟服务器[磅虚拟服务器名称] -SSL 配置文件 N_默认值_SSL_配置文件_ 前端
-
-
将服务绑定到负载平衡服务器。在命令提示窗口中,键入:
- 绑定 lb 虚拟服务器lb vserver nameadfs service name[磅虚拟服务器名称]
要将 Citrix ADC 配置为与 ADFS 服务器配合使用,需要执行以下操作:
- 创建 SSL CertKey 配置文件密钥以与 ADFS 代理配置文件一起使用
- 创建 ADFS 代理配置文件
- 将 ADFS 代理配置文件关联到 LB 虚拟服务器
使用私钥创建 SSL 证书以便与 ADFS 代理配置文件一起使用
在命令提示窗口中,键入:
<keypath>添加 SSL 证书密钥 <certkeyname> <certificate path>-证书密钥
注意: 证书文件和密钥文件必须存在于 Citrix ADC 设备中。使用 CLI 创建 ADFS 代理配置文件
在命令提示窗口中,键入:
<name of the CertKey profile created above>添加身份验证 ADFSSProxy 配置文件 <profile name>-服务器 URL <https: // <server FQDN or IP address> />-用户名 <adfs admin user name>-密码 <password for admin user>-证书密钥名称
在哪里;
配置文件名称 — 要创建的 AFDS 代理配置文件的名称
ServerURL — ADFS 服务的完全限定域名,包括协议和端口。例如, https://adfs.citrix.com
用户名 — ADFS 服务器上存在的管理员帐户的用户名
密码-用作用户名的管理员帐户的密码
证书密钥名称 — 之前创建的 SSL 证书密钥配置文件的 名称
使用 CLI 将 ADFS 代理配置文件关联到负载平衡虚拟服务器
在 ADFS 部署中,有两个负载平衡虚拟服务器,一个用于客户端流量,另一个用于元数据交换。ADFS 代理配置文件必须与前端 ADFS 服务器的负载平衡虚拟服务器关联。
在命令提示窗口中,键入:
<name of the ADFS proxy profile>设置 lb v服务器<adfs-proxy-lb>-AdfsProxy 配置文件