AD FS-Bereitstellung

Einführung

In diesem Dokument wird beschrieben, wie Sie eine Citrix Umgebung in Microsoft Active Directory-Verbunddienste integrieren.

In vielen Organisationen wird AD FS zum Verwalten des sicheren Benutzerzugriffs auf Websites verwendet, die einen einzelnen Authentifizierungspunkt erfordern. Wenn beispielsweise Mitarbeitern zusätzliche Inhalte und Downloads zur Verfügung stehen, müssen diese durch standardmäßige Windows-Anmeldeinformationen geschützt werden.

Der Verbundauthentifizierungsdienst (Federated Authentication Service, FAS) ermöglicht zudem die Integration von Citrix Gateway und Citrix StoreFront in das AD FS-Anmeldesystem und vereinfacht so die Anmeldung für die Mitarbeiter.

Bei einer solchen Bereitstellung wird Citrix Gateway als vertrauende Seite für Microsoft AD FS integriert.

Lokalisierte Abbildung

Hinweis:

Es macht keinen Unterschied, ob die Back-End-Ressource Windows VDA oder Linux VDA ist.

Übersicht über SAML

SAML (Security Assertion Markup Language) ist eine einfaches System für die Webbrowser-Anmeldung, durch das eine Umleitung auf eine Anmeldeseite vorgenommen wird. Die Konfiguration umfasst folgende Elemente:

Umleitungs-URL (URL des Single Sign-On-Diensts)

Wenn Citrix Gateway erkennt, dass ein Benutzer authentifiziert werden muss, weist es den Webbrowser zur Durchführung eines HTTP POST an eine SAML-Anmeldeseite auf dem AD FS-Server an. Dies ist normalerweise eine https://-Adresse des Formats https://adfs.mycompany.com/adfs/ls.

Der Webseiten-POST umfasst weitere Informationen, darunter eine Rückleitungsadresse, an die der Benutzer nach der Anmeldung zurückgeleitet wird.

Bezeichner (Ausstellername/EntityID)

Die EntityID ist ein eindeutiger Bezeichner, der von Citrix Gateway in den POST-Daten an AD FS verwendet wird. Durch ihn wird AD FS darüber informiert, bei welchem Dienst der Benutzer versucht, sich anzumelden und welche Authentifizierungsrichtlinien anzuwenden sind. Wenn eine SAML-Authentifizierungs-XML ausgestellt wird, kann diese nur für die Anmeldung bei dem durch die EntityID bezeichneten Dienst verwendet werden.

Normalerweise ist die EntityID die URL der Anmeldeseite des Citrix Gateway-Servers. Es kann jedoch eine beliebige andere EntityID verwendet werden, sofern Citrix Gateway und AD FS sie beide als gültig interpretieren: https://ns.mycompany.com/application/logonpage.

Rückleitungsadresse (Antwort-URL)

Wenn die Authentifizierung erfolgreich ist, weist AD FS den Webbrowser des Benutzers an, einen POST einer SAML-Authentifizierungs-XML an eine der Antwort-URLs vorzunehmen, die für die EntityID konfiguriert wurden. Das ist normalerweise eine https://-Adresse auf dem ursprünglichen Citrix Gateway-Server im Format https://ns.mycompany.com/cgi/samlauth.

Sind mehrere Antwort-URLs konfiguriert, kann Citrix Gateway eine aus dem ursprünglichen POST an AD FS wählen.

Signaturzertifikat (IDP-Zertifikat)

SAML-Authentifizierungs-XML-Blobs werden von AD FS kryptografisch mit seinem privaten Schlüssel signiert. Zur Überprüfung der Signatur muss die Prüfung solcher Signaturen mit dem öffentlichen Schlüssel in der Zertifikatdatei in Citrix Gateway konfiguriert sein. Die Zertifikatdatei ist normalerweise eine vom AD FS-Server erhaltene Textdatei.

URL für Single Sign-Out (URL für einmaliges Abmelden)

AD FS und Citrix Gateway unterstützen ein zentrales Abmeldesystem. Das ist eine URL, die von Citrix Gateway regelmäßig abgefragt wird, um zu prüfen, ob das SAML-Authentifizierungs-XML-Blob immer noch die aktuell angemeldete Sitzung repräsentiert.

Dies ist ein optionales Feature, das nicht konfiguriert werden muss. Dies ist normalerweise eine https://-Adresse des Formats https://adfs.mycompany.com/adfs/logout. (Die Adresse darf nicht mit der URL für die einmalige Anmeldung identisch sein.)

Konfiguration

Unter Citrix Gateway-Bereitstellung wird beschrieben, wie Citrix Gateway für die Standard-LDAP-Authentifizierungsoptionen konfiguriert wird. Nach diesem Arbeitsgang können Sie eine neue Authentifizierungsrichtlinie in Citrix Gateway für die SAML-Authentifizierung erstellen. Diese kann dann die von dem Citrix Gateway-Assistenten verwendete Standard-LDAP-Richtlinie ersetzen.

Lokalisierte Abbildung

Ausfüllen der SAML-Richtlinie

Konfigurieren Sie den neuen SAML-IdP-Server mit den zuvor der AD FS-Verwaltungskonsole entnommenen Informationen. Wenn diese Richtlinie angewendet wird, leitet Citrix Gateway Benutzer zur Anmeldung an AD FS um und akzeptiert das zurückgegebene, von AD FS signierte SAML-Authentifizierungstoken.

Lokalisierte Abbildung

Verwandte Informationen

AD FS-Bereitstellung