Netscaler - 通过 SAML 身份验证
Netscaler - Passtrough SAML Auth
我们有以下情况。
Public 可访问基于 Microsoft ADFS 的 SSO 门户 (sso.company.com)
Public 可访问 Citrix Netscaler (netscaler.company.com)
专用 Web 服务器 (web.company.com) - 无法从 Internet 访问。
我们成功地通过 ADFS 对 Netscaler 门户进行了身份验证。
我们还可以使用 ADFS 对我们网络中的 WebServer 进行身份验证。
我们现在的问题是以我们也可以通过 Netscaler 从外部使用 SSO 登录 web.company.com 的方式配置 Netscaler。
我希望这有点清楚。
我假设您使用的是 SAML 而不是 OAUTH(应该没有什么区别):
web.company.com 的 SSO 是否基于 SAML?
- 如果不是,则 NS 无法帮助您,因为默认情况下 SAML 不保存密码。
- 如果它使用的是 SAML,那么只需在您的 IDP 中配置新端点,一切都会变得透明
上述回答有误。 Netscaler 确实可以做到这一点,我已经做过好几次了。
您需要在后端使用 Kerberos 约束委派,在前端使用 SAML/OIDC。使用 Kerberos 约束委派,您可以在没有密码的情况下模拟另一个用户。
我们有以下情况。
Public 可访问基于 Microsoft ADFS 的 SSO 门户 (sso.company.com) Public 可访问 Citrix Netscaler (netscaler.company.com) 专用 Web 服务器 (web.company.com) - 无法从 Internet 访问。
我们成功地通过 ADFS 对 Netscaler 门户进行了身份验证。 我们还可以使用 ADFS 对我们网络中的 WebServer 进行身份验证。
我们现在的问题是以我们也可以通过 Netscaler 从外部使用 SSO 登录 web.company.com 的方式配置 Netscaler。
我希望这有点清楚。
我假设您使用的是 SAML 而不是 OAUTH(应该没有什么区别):
web.company.com 的 SSO 是否基于 SAML?
- 如果不是,则 NS 无法帮助您,因为默认情况下 SAML 不保存密码。
- 如果它使用的是 SAML,那么只需在您的 IDP 中配置新端点,一切都会变得透明
上述回答有误。 Netscaler 确实可以做到这一点,我已经做过好几次了。
您需要在后端使用 Kerberos 约束委派,在前端使用 SAML/OIDC。使用 Kerberos 约束委派,您可以在没有密码的情况下模拟另一个用户。