Gateway

配置 Citrix Gateway 虚拟服务器以进行 Microsoft ADAL 令牌身份验证

要配置 Citrix Gateway 虚拟服务器以监视 Microsoft ADAL 令牌身份验证,您需要以下信息:

  • CertendPoint:包含用于 ADAL 令牌验证的 JSON 网络密钥 (JWK) 的终端节点的 URL。
  • 受众:应用程序向其发送 ADAL 令牌的 Citrix ADC 虚拟服务器的 FQDN。
  • 发行人:AAD 发行人的名称。默认情况下会填充。
  • tenAntiD:Azure ADAL 注册的租户 ID。
  • ClientId:作为 ADAL 注册的一部分提供给 Gateway 应用程序的唯一 ID。
  • ClientSecret:作为 ADAL 注册的一部分提供给网关应用程序的密钥。
  • ResourceURI:用于捕获资源 URI 的可选参数。如果未配置,Citrix ADC 将使用 Azure 商业资源 URI。

使用命令行界面执行以下步骤:

  1. 创建 OAuth 操作。

    add authentication OAuthAction <oauth-action-name> -OAuthType <INTUNE> –clientid <clientID> -clientsecret <client-secret> -audience <audience name> -tenantid <tenantID> -issuer <issuer-name> -userNameField <upn> -certEndpoint <certEndpoint-name> -resourceURI <name of resource URI>
    <!--NeedCopy-->
    
  2. 创建要与新创建的 OAuth 操作关联的身份验证策略。

    add authentication Policy <policy-name> -rule <true> -action <oauth intune action>
    <!--NeedCopy-->
    
  3. 将新创建的 OAuth 绑定到 AuthV。

    bind authentication vserver <auth-vserver> -policy <oauth-intune-policy> -priority 2 -gotoPriorityExpression END
    <!--NeedCopy-->
    
  4. 创建一个 LoginSchema。

    add authentication loginSchema <loginSchemaName> -authenticationSchema <authenticationSchema”location”>
    add authentication loginSchemaPolicy <loginSchemaPolicyName> -rule true -action <loginSchemaName>
    <!--NeedCopy-->
    
  5. 使用 LoginSchema 绑定身份验证器。

    bind authentication vserver <auth-vs> -policy <oauth-pol> -priority 2 -gotoPriorityExpression END
    <!--NeedCopy-->
    
  6. 添加身份验证配置文件并将其分配给 VPN 虚拟服务器。

    add authnprofile <nfactor-profile-name> -authnvsName <authvserver>
    set vpn vserver <vserver-name> -authnprofile <nfactor-profile-name​>
    <!--NeedCopy-->
    

示例配置

add authentication OAuthAction tmp-action -OAuthType INTUNE -clientid id 1204 -clientsecret a -audience "[http://hello](http://hello/)" -tenantid xxxx -issuer "[https://hello](https://hello/)" -userNameField upn -certEndpoint https://login.microsoftonline.com/common/discovery/v2.0/keys --resourceURI htpps://api.manage.microsoft.com

add authentication Policy oauth-intune-pol -rule true -action tmp-action
bind authentication vserver auth-vs-for-gw1-intune -policy oauth-pol -priority 2 -gotoPriorityExpression END

add authentication loginSchema oauth-loginschema -authenticationSchema "/nsconfig/loginschema/LoginSchema/OnlyOAuthToken.xml"

add authentication loginSchemaPolicy oauth-loginschema-pol -rule true -action oauth-loginschema​`

bind authentication vserver auth-vs-for-gw1-intune -policy oauth-loginschema-pol -priority 2 -gotoPriorityExpression END

add authnprofile nfactor-prof-intune -authnvsName auth-vs-for-gw1-intune

set vpn vserver gw1-intune-authnprofile nfactor-prof-intune
<!--NeedCopy-->
配置 Citrix Gateway 虚拟服务器以进行 Microsoft ADAL 令牌身份验证