SAML Authentifizierung mit Azure-AD als IdP und Citrix als SP

Seit Citrix XenApp / XenDesktop 7.9 ist der Federated Authentication Service (FAS) verfĂŒgbar. Über Citrix FAS ist es möglich einen Benutzer ĂŒber SAML zu authentifizieren und somit Citrix als Service Provider, an bestehende Identity Provider, wie zum Beispiel Azure-AD, anzubinden.

Ablauf der SAML Authentifizierung

  1. Der Benutzer ruft die FQDN (z.B. citrix.deyda.net) des Citrix Gateway vServer (Service Provider) auf, um seine VA/VD Ressourcen starten zu können
  2. Der Citrix Gateway vServer leitet den nicht authentifizierten Benutzer direkt weiter an den Identity Provider (Azure AD) um sich dort zu authentifizieren (saml:authnRequest)
  3. Der Identity Provider verweist auf seine SingleSignOnService URL (z.B. login.microsoftonline.com) und der User muss sich authentifizieren.
  4. Der Benutzer gibt seine AD Zugangsdaten ein und diese werden vom Identity Provider gegenĂŒber der User Database geprĂŒft
  5. Bei erfolgreicher ÜberprĂŒfung in der User Database wird der IdP informiert
  6. Der IdP stellt einen Token (SAML Assertion) aus und ĂŒbermittelt diesen an das Citrix Gateway (saml:response)
  7. Citrix Gateway prĂŒft den Token (Assertion Signature) und extrahiert den UPN aus dem Assertion Token. Dies erlaubt den Zugriff per SSO auf die VA/VD Farm ĂŒber FAS (Der SP hat keinen Zugriff auf die Zugangsdaten des Benutzers)
SAML Auth Azure AD & Citrix Gateway with FAS
„SAML Authentifizierung mit Azure-AD als IdP und Citrix als SP“ weiterlesen

Kopieren einer Citrix ADC Konfiguration auf eine neue Maschine

In einem meiner letzten Projekte musste ich in einem neuen Rechenzentrum verschiedene Citrix ADCs aufbauen. Nach RĂŒcksprache mit dem Kunden sollten die gleichen Dienste und Funktionen wie im alten Rechenzentrum konfiguriert werden. Der einzige Unterschied war das im neuen Rechenzentrum andere IP-Ranges genutzt worden sollten und daher alle Netzwerkeinstellungen der Citrix ADCs und der angeschlossenen Services daran angepasst werden mussten.

Voraussetzungen

  • Gleiche Version und Build auf allen Citrix ADC
  • Gleiche Citrix ADC Lizenz Version auf allen Citrix ADC
  • IP Adressen des neuen Citrix ADC sollten definiert und frei sein (NSIP, SNIP & VIP).
  • IP Adressen der angebundenen Maschinen sollten bekannt sein (Server oder Server Groups)
  • Grund Konfiguration des neuen Citrix ADC sollte durchgefĂŒhrt sein (NSIP, SNIP, DNS, Zeitzone & Lizenz)
„Kopieren einer Citrix ADC Konfiguration auf eine neue Maschine“ weiterlesen

Microsoft Azure MFA Cloud Service in Citrix ADC Version 12

Um meinen vorherigen Artikel zu vervollstĂ€ndigen, habe ich in meinem Test Lab direkt auch noch denn Microsoft Azure MFA Service aus der Cloud implementiert und getestet. In diesem Beitrag gehe ich direkt auf die ToDo’s fĂŒr die Implementierung ein. FĂŒr weitere Informationen zu MFA und den Unterschieden zwischen Lokal und Cloud lest bitte meinen vorherigen Beitrag.

Wichtig ist das alle meine Angaben den Stand MĂ€rz 2019 haben und da es sich um die Cloud handelt, recht schnell wieder obsolet sein werden.

Microsoft Azure MFA Cloud in Citrix ADC Version 12
„Microsoft Azure MFA Cloud Service in Citrix ADC Version 12“ weiterlesen

Microsoft Azure MFA Server in Citrix ADC Version 12

WĂ€hrend eines meiner aktuellen Projekte, startete ich einen PoC bezĂŒglich Zwei-Faktor-Authentifizierung basierend auf Microsoft Azure MFA. Bei der Azure Multi-Factor-Authentifizierung mĂŒssen Benutzer die Anmeldungen mithilfe einer mobilen App, eines Telefonanrufs oder einer SMS-Nachricht ĂŒberprĂŒfen und bestĂ€tigen. Sie können es zusammen mit Azure AD oder der lokalen AD verwenden.

Wichtig ist das alle meine Angaben den Stand MĂ€rz 2019 haben und da es sich um die Cloud handelt, recht schnell wieder obsolet sein werden.

Microsoft Azure MFA Server in Citrix ADC Version 12

Multi-Faktor-Authentifizierung

Die Sicherheit der zweistufigen ÜberprĂŒfung liegt im Ebenenansatz. Die Faktoren der mehrfachen Authentifizierung zu ĂŒberwinden stellt eine große Herausforderung fĂŒr Angreifer dar. Selbst wenn ein Angreifer das Kennwort des Benutzers herausfinden kann, ist dies nutzlos, wenn er nicht auch die zusĂ€tzliche Authentifizierungsmethode beherrscht. Dies funktioniert durch das Anfordern von mindestens zwei der folgenden Authentifizierungsmethoden:

  • Etwas, das Sie wissen (normalerweise ein Kennwort)
  • Etwas, das Sie haben (ein vertrautes GerĂ€t, das nicht leicht dupliziert werden kann, wie ein Telefon)
  • Etwas, das Sie sind (biometrisch)
„Microsoft Azure MFA Server in Citrix ADC Version 12“ weiterlesen