Déploiement du service d’authentification fédérée ADFS
Introduction
Ce document décrit comment intégrer un environnement Citrix® à Microsoft ADFS.
De nombreuses organisations utilisent ADFS pour gérer l’accès sécurisé des utilisateurs aux sites Web qui nécessitent un point d’authentification unique. Par exemple, une entreprise peut disposer de contenu et de téléchargements supplémentaires accessibles aux employés ; ces emplacements doivent être protégés par des informations d’identification de connexion Windows standard.
Le service d’authentification fédérée (FAS) permet également d’intégrer Citrix NetScaler et Citrix StoreFront™ au système de connexion ADFS, réduisant ainsi la confusion potentielle pour le personnel de l’entreprise.
Ce déploiement intègre NetScaler® en tant que partie de confiance à Microsoft ADFS.
Présentation de SAML
Security Assertion Markup Language (SAML) est un système de connexion de navigateur Web simple de type « redirection vers une page de connexion ». La configuration comprend les éléments suivants :
URL de redirection [URL du service d’authentification unique]
Lorsque NetScaler découvre qu’un utilisateur doit être authentifié, il demande au navigateur Web de l’utilisateur d’effectuer une requête HTTP POST vers une page Web de connexion SAML sur le serveur ADFS. Il s’agit généralement d’une adresse https:// de la forme : https://adfs.mycompany.com/adfs/ls.
Cette requête POST de page Web inclut d’autres informations, y compris l’« adresse de retour » où ADFS renverra l’utilisateur une fois la connexion terminée.
Identifiant [Nom de l’émetteur/EntityID]
L’EntityId est un identifiant unique que NetScaler inclut dans ses données POST vers ADFS. Cela informe ADFS du service auquel l’utilisateur tente de se connecter et d’appliquer des stratégies d’authentification différentes, le cas échéant. S’il est émis, le XML d’authentification SAML ne sera adapté qu’à la connexion au service identifié par l’EntityId.
Généralement, l’EntityID est l’URL de la page de connexion du serveur NetScaler, mais il peut généralement être n’importe quoi, tant que NetScaler et ADFS sont d’accord sur ce point : https://ns.mycompany.com/application/logonpage.
Adresse de retour [URL de réponse]
Si l’authentification est réussie, ADFS demande au navigateur Web de l’utilisateur de POSTER un XML d’authentification SAML vers l’une des URL de réponse configurées pour l’EntityId. Il s’agit généralement d’une adresse https:// sur le serveur NetScaler d’origine, sous la forme : https://ns.mycompany.com/cgi/samlauth.
S’il y a plus d’une adresse URL de réponse configurée, NetScaler peut en choisir une dans son POST original vers ADFS.
Certificat de signature [Certificat IDP]
ADFS signe cryptographiquement les blocs XML d’authentification SAML à l’aide de sa clé privée. Pour valider cette signature, NetScaler doit être configuré pour vérifier ces signatures à l’aide de la clé publique incluse dans un fichier de certificat. Le fichier de certificat est généralement un fichier texte obtenu à partir du serveur ADFS.
URL de déconnexion unique [URL de déconnexion unique]
ADFS et NetScaler prennent en charge un système de « déconnexion centralisée ». Il s’agit d’une URL que NetScaler interroge occasionnellement pour vérifier que le bloc XML d’authentification SAML représente toujours une session actuellement connectée.
Il s’agit d’une fonctionnalité facultative qui n’a pas besoin d’être configurée. Il s’agit généralement d’une adresse https:// sous la forme https://adfs.mycompany.com/adfs/logout. (Notez qu’elle peut être identique à l’URL de connexion unique.)
Configuration
La section (/fr-fr/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service/fas-architectures.html#netscaler-gateway-deployment) de l’article (/fr-fr/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service/fas-architectures.html) décrit comment configurer NetScaler Gateway pour gérer les options d’authentification LDAP standard, à l’aide de l’assistant de configuration NetScaler XenApp et XenDesktop. Une fois cette opération terminée avec succès, vous pouvez créer une nouvelle stratégie d’authentification sur NetScaler qui autorise l’authentification SAML. Celle-ci peut alors remplacer la stratégie LDAP par défaut utilisée par l’assistant de configuration NetScaler.
Remplir la stratégie SAML
Configurez le nouveau serveur IdP SAML en utilisant les informations obtenues précédemment depuis la console de gestion ADFS. Lorsque cette stratégie est appliquée, NetScaler redirige l’utilisateur vers ADFS pour la connexion et accepte en retour un jeton d’authentification SAML signé par ADFS.
Informations connexes
- L’article (/fr-fr/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service.html) est la référence principale pour l’installation et la configuration de FAS.
- Les déploiements FAS courants sont résumés dans l’article (/fr-fr/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service/fas-architectures.html).
- Les articles « Comment faire » sont présentés dans l’article (/fr-fr/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service/fas-config-manage.html).