Citrix ADC als AD FS Proxy

Citrix ADC Version 12 als AD FS Proxy

In diesem Beitrag geht es darum einen AD FS Proxy zur Authentifizierung von z.B. SaaS Anwendungen oder Webseiten über Citrix ADC (Version 12) von extern bereit zu stellen. Hierbei soll durch den AD FS Proxy folgendes erreicht werden:

  • URL / DoS Schutz
  • Passende Authentifizierung nach extern (MFA, Forms statt Kerberos)
  • Account Lockout Schutz
  • Verfügbarkeit (LoadBalancing)

Was ist AD FS ?

Active Directory Federation Services (AD FS) ist eine Funktion im Windows Server Betriebssystem, mit dem Identitätsinformationen außerhalb des Unternehmensnetzwerks gemeinsam genutzt werden können. Benutzer können auf Anwendungen (z.B. Office365, Salesforce.com usw.) zugreifen, ohne dass Sie erneut aufgefordert werden, Anmeldeinformationen anzugeben. Diese Anwendungen können lokal, in der Cloud oder sogar von anderen Unternehmen gehostet werden. Die Benutzerkonten können vom Administrator an einem einzigen Ort, nämlich der Active Directory, verwaltet werden.

Eine normale Bereitstellung von AD FS für externe Clients besteht aus AD FS Proxy und AD FS Server. Der AD FS Server ist dabei Mitglied der Domäne, um die Authentifizierung durchzuführen. Der AD FS Proxy steht in der Regel in einer gesonderten Netzwerkzone (DMZ), damit er von extern erreichbar ist und die Anfragen nach innen weiter gibt.

Anforderung an einen 3rd Party AD FS Proxy

Microsoft beschreibt die Anforderungen an einen 3rd Party AD FS Proxy wie folgt:

  • Body
    Darf den Body nicht verändern
  • Request Header
    Alle Header müssen 1:1 zum Backend gegeben werden. Eigene Header dürfen addiert werden
  • Kein 302 Redirect
  • URL /adfs/services/trust
    Alle Antworten auf diese URL müssen 1:1 zurückgegeben werden
  • URL /adfs/services/trust/mex
    Anfragen an diese URL müssen auf die URL /adfs/services/trust/proxymex im Backend weiter gegeben werden
  • NTLM
    Wenn auch über den Proxy die NTLM-Anmeldung genutzt werden soll, muss eine Affinität gewahrt bleiben, so dass folgende Anfragen zum gleichen Backend Server gehen
  • HTTP Header (“X-MS-Proxy”) 
    Bei jeder Anfrage muss dieser Header addiert werden, damit das Backend erkennen kann, dass die Anfrage über einen Proxy gekommen sind und die Extranet Konfiguration genutzt werden muss. Dies ist für die Nutzung des Account Lockout Schutz erforderlich.

Ablauf einer AD FS Authentifizierung

Um zu verstehen, wie AD FS funktioniert, schauen wir uns an, was passiert, wenn ein angebundener Benutzer versucht, sich bei Office365 anzumelden:

  1. Ein Benutzer versucht, sich mit seinem User Principal Name(UPN) bei Office365 anzumelden
  2. Die Authentifizierungsplattform überprüft den UPN und stellt fest, dass der Benutzer eine Federation Identität ist. Der Authentication Request wird an den AD FS Server des Benutzers umgeleitet. Die Plattform kennt die URL, da zuvor eine Vertrauensstellung zwischen der AD FS Infrastruktur und Office365 eingerichtet wurde (Federation Trust).
  3. Der Client stellt eine Verbindung zum AD FS Proxy her und stellt Anmeldeinformationen bereit.
  4. Der AD FS Proxy leitet den Authentication Request an den AD FS Server weiter.
  5. Der AD FS Server überprüft die Anmeldeinformationen über die lokale Active Directory.
  6. Wenn die Anmeldeinformationen überprüft wurden, gibt ein Domänen Controller ein Kerberos Token an den AD FS Server zurück.
  7. Der AD FS Server ignoriert das Kerberos Token und erstellt ein neues AD FS Token, das er an den AD FS Proxy weiterleitet.
  8. Der AD FS Proxy leitet das AD FS Token an den Client weiter.
  9. Der Client übergibt das AD FS Token an Office365 und wird authentifiziert.
ADFS Proxy Auth

Einrichtung AD FS Proxy

Ich konfiguriere in meiner Anleitung einen Citrix ADC (Version 12), als AD FS Proxy für externe Authentifizierung.

Voraussetzungen

Ich setze die folgenden Dinge voraus und gehe nicht im Detail auf diese ein:

  • Citrix ADC mit erfolgreicher Basis Konfiguration
  • Interne und externe DNS Einträge für AD FS
  • Zertifikate für die DNS Einträge (Wildcard Zertifikate sind am einfachsten)
  • Konfigurierte AD FS Infrastruktur

Load Balancing

Als erstes erstellt ihr eine Service Group für eure bestehenden AD FS Server.

Citrix ADC Service Group Add
  • Im Citrix ADC Navigation Panel auf Traffic Management > Load Balancing > Service Groups klicken
  • Auf Add klicken, um eine neue Service Group zu erzeugen
  • Gebt der Service Group einen Namen (z.B. ADFS_SvcGroup) und wählt bei Protocol SSL aus.
  • Mit OK bestätigt ihr die Eingaben
Load Balancing Service Group
  • Im folgenden Fenster klickt ihr auf No Service Group Member und fügt die ADFS Server über Select hinzu (Per IP oder FQDN)
Service Group Add Server
  • Im Load Balancing Service Group Fenster auf das Stift Icon bei Settings klicken und folgendes konfigurieren
    • Surge Protection (Ausgewählt)
    • Use Proxy Port (Ausgewählt)
    • Down State Flush (Ausgewählt)
    • HTTP Compression (Ausgewählt)
    • Client IP (Ausgewählt)
    • Header (X-MS-Forwarded-Client-IP)
Service Group Settings

Nun wird ein Load Balancing vServer für den AD FS Proxy erstellt.

  • Hierfür navigiert ihr nach Traffic Management > Load Balancing > Virtual Servers
  • Über Add fügt ihr einen neuen Virtual Server hinzu und konfiguriert im folgenden Fenster die Basic Settings
    • Name (z.B. ADFS_LB_Server)
    • Protocol (SSL)
    • IP Address Type (Non Addressable)
Load Balancing Virtual Server Basic Settings
  • Über No Load Balancing Virtual Server Service Binding bindet ihr die vorher erzeugt Service Group (ADFS_SvcGroup) an
  • Über No Server Certificate bindet ihr euer Zertifikat für den AD FS Proxy an (am einfachsten ist ein Wildcard Zertifikat)
Load Balancing Virtual Server Service Group Binding

Content Switching

Als nächstes erstellt ihr die passenden Content Switching Komponenten. Zuerst die Content Switching Policies. Hier ist zu beachten das die angegebene Adresse (adfs.deyda.net), dem externen DNS-Eintrag entspricht.

Content Switching Policies
  • Im Citrix ADC Navigation Panel auf Traffic Management > Content Switching > Policies klicken
  • Auf Add klicken, um eine neue Content Switching Policy zu erzeugen
    • Name (z.B. ADFS_CS_Policy_ADFS)
    • Expression (HTTP.REQ.HOSTNAME.SET_TEXT_MODE(IGNORECASE).EQ(„adfs.deyda.net“)&&HTTP.REQ.URL.SET_TEXT_MODE(IGNORECASE).CONTAINS(„/adfs“))
    • Mit Create bestätigt ihr die Eingaben
Create Content Switching Policy
  • Nochmals auf Add klicken, um eine weitere Content Switching Policy zu erzeugen
    • Name (z.B. ADFS_CS_Policy_Metadata)
    • Expression (HTTP.REQ.HOSTNAME.SET_TEXT_MODE(IGNORECASE).EQ(„adfs.deyda.net“)&&HTTP.REQ.URL.SET_TEXT_MODE(IGNORECASE).CONTAINS(„/FederationMetadata“))
    • Mit Create bestätigt ihr die Eingaben
Create Content Switching Policy

Jetzt wird der Content Switching vServer erstellt, an den die IP Adresse gebunden wird, die im externen DNS-Eintrag (z.B. adfs.deyda.net) eingetragen ist.

  • Im Citrix ADC Navigation Panel auf Traffic Management > Content Switching > Virtual Servers klicken
  • Auf Add klicken, um einen neuen Content Switching Virtual Server zu erzeugen
    • Name (z.B. ADFS_CS_Server)
    • Protocol (SSL)
    • Target Type (NONE)
    • IP Address Type (IP Address)
    • IP Address (externe IP Adresse für den DNS-Eintrag)
    • Port (443)
  • Mit OK bestätigt ihr die Eingaben
Content Switching Virtual Server

Jetzt werden die vorher erstellten Content Switching Policies (ADFS_CS_Policy_ADFS / ADFS_CS_Policy_Metadata) an den gerade erstellten Virtual Server (ADFS_CS_Server) gebunden.

Content Switching Policy Binding
  • Im geöffneten Content Switching Virtual Server klickt auf No Content Switching Policy Bound
  • Im Fenster Policy Binding klickt auf Add Binding
    • Select Policy (ADFS_CS_Policy_ADFS)
    • Priority (100)
    • Goto Expression (END)
    • Invoke LabelType (None)
    • Target Load Balancing Virtual Server (ADFS_LB_Server)
  • Klickt auf Bind um es zu Bestätigen
Policy Binding
  • Im Fenster Policy Binding klickt nochmals auf Add Binding um die zweite Policy anzubinden
    • Select Policy (ADFS_CS_Policy_Metadata)
    • Priority (110)
    • Goto Expression (END)
    • Invoke LabelType (None)
    • Target Load Balancing Virtual Server (ADFS_LB_Server)
  • Klickt auf Bind um es zu Bestätigen
Policy Binding

Rewrite

Nun müssen noch Rewrite Policies und Actions erstellt werden, die später an den Load Balancer Virtual Server angebunden werden müssen.

Rewrite Actions
  • Im Citrix ADC Navigation Panel auf App Expert > Rewrite > Actions klicken
  • Auf Add klicken, um eine neue Rewrite Action zu erzeugen
    • Name (z.B. ADFS_Rewrite_ProxyHeader)
    • Type (INSERT_HTTP_HEADER)
    • Header Name (X-MS-Proxy)
    • Expression („NETSCALER“)
  • Mit Create bestätigt ihr die Eingaben
Rewrite Action Proxy Header
  • Nochmals auf Add klicken, um eine neue weitere Rewrite Action zu erzeugen
    • Name (z.B. ADFS_Rewrite_Mex)
    • Type (REPLACE)
    • Expression to choose target location (HTTP.REQ.URL.PATH_AND_QUERY)
    • Expression („/adfs/services/trust/proxymex“ + HTTP.REQ.URL.SET_TEXT_MODE(IGNORECASE).PATH_AND_QUERY.STRIP_START_CHARS(„/adfs/services/trust/mex“).HTTP_URL_SAFE)
  • Mit Create bestätigt ihr die Eingaben
Rewrite Action Mex
  • Im Citrix ADC Navigation Panel auf App Expert > Rewrite > Policies klicken
  • Auf Add klicken, um eine neue Rewrite Policy zu erzeugen
    • Name (z.B. ADFS_Rewrite_Policy_ProxyHeader)
    • Action (ADFS_Rewrite_ProxyHeader)
    • Expression (HTTP.REQ.URL.TO_LOWER.STARTSWITH(„/adfs“)
  • Mit Create bestätigt ihr die Eingaben
Create Rewrite Policy
  • Nochmals auf Add klicken, um eine weitere Rewrite Policy zu erzeugen
    • Name (z.B. ADFS_Rewrite_Policy_Mex)
    • Action (ADFS_Rewrite_Mex)
    • Expression (HTTP.REQ.URL.TO_LOWER.STARTSWITH(„/adfs/services/trust/mex“)
  • Mit Create bestätigt ihr die Eingaben
Create Rewrite Policy Mex

Um nun die Rewrite Policies an den Load Balancer zu binden öffnet ihr den erstellten Load Balancer (ADFS_LB_Server) und klickt auf der rechten Seite auf Policies.

Load Balancer Virtual Server Policies

Im neuen Reiter Policies auf das + Icon klicken.

Load Balancer Policies

Daraufhin konfiguriert ihr den Policy Type.

  • Choose Policy (Rewrite)
  • Choose Type (Request)
  • Mit Continue bestätigen
Policies Choose Type
  • Select Policy (ADFS_Rewrite_Policy_ProxyHeader)
  • Priority (100)
  • Goto Expression (NEXT)
  • Invoke LabelType (None)
  • Mit Bind fortsetzen
Policy Binding
  • Select Policy (ADFS_Rewrite_Policy_Mex)
  • Priority (110)
  • Goto Expression (END)
  • Invoke LabelType (None)
  • Mit Bind fortsetzen
Rewrite Policy Binding

Test des AD FS Proxy

Über die folgenden Adressen könnt ihr den AD FS Proxy testen.

https://adfs.deyda.net/adfs/ls/idpinitiatedsignon.htm

adfs/ls/idpinitiatedsignon.htm

https://adfs.deyda.net/FederationMetadata/2007-06/FederationMetadata.xml

FederationMetadata/2007-06/FederationMetadata.xml

Troubleshooting

Wenn sich die Seiten nicht von außen öffnen lassen, ist meiner Erfahrung nach, der häufigste Fehler das binding der Zertifikate.

Um dies zu korrigieren öffnet ihr ein PowerShell Fenster als Administrator auf einer ADFS Maschine und gebt den folgenden Befehl ein:

Aus der Anzeige der SSL Certificate bindings kopiert ihr euch die folgenden Zeilen raus:

  • Certificate Hash
  • Application ID
  • Certificate Store Name

Dann gebt ihr den folgenden Befehl ein, um das vorhandene Zertifikat an alle Adressen des Servers zu binden (Die eckigen Klammern werden komplett mit dem jeweiligen Wert ersetzt):

Beispiel:

Dieser Befehl muss dann auf allen ADFS Maschinen ausgeführt werden.

Related posts:

  1. Citrix ADC als initial IdP für Office365
  2. SAML Authentifizierung mit Azure-AD als IdP und Citrix als SP (Citrix FAS)
  3. Microsoft Azure MFA Server in Citrix ADC
  4. Microsoft Azure MFA Cloud Service in Citrix ADC

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

* Ich bin damit einverstanden, dass diese Website die von mir übermittelten Daten speichert, damit sie auf meine Anfrage antworten kann.