Im ersten Teil unserer Artikelserie zu Citrix FAS zeigten wir, wie man eine Zwei-Faktor-Authentifizierung mit im Hintergrund erzeugter vSmartCard realisiert, ohne dass der User eine richtige SmartCard benötigt oder sich mehrfach authentifizieren muss. Dieses Szenario erweitern wir nun um einen AD FS als Identity Provider und einen Netscaler als Gateway Portal.
Im Vergleich zum Internal Use Case ist der STS (Microsoft Active Directory Service) sowie der Netscaler aus dem Internet erreichbar und sichern die internen Komponenten ab. Extern findet die Authentifizierung am Identity Provider per SAML statt (in diesem Beispiel STS). Der interne SSO funktioniert analog zum internal use case.
Use Case #2: External use case (AD FS als IdP)
Traffic Flow:
- Der User ruft das NetScaler Gateway Portal auf, wobei, falls noch nicht bereits authentifiziert, eine Redirect auf den SAML Identity Provider (AD FS-Server) stattfindet.
- Der User authentifiziert sich am Identity Provider via möglicher Active Directory Integration und möglicher MFA (Multifaktorauthentifizierung). Ein SAML-Token wird signiert und dem User übergeben.
- Der User authentifiziert sich gegenüber dem NetScaler, der den SAML-Token validiert.
- NetScaler nutzt den SAML-Token um die Identität des Users (Name ID Attribute) zu verifizieren.
- StoreFront kontaktiert den Federated Authentication Service (FAS) und veranlasst die Generierung des Zertifikats für den authentifizierten User.
- Der Federated Authentication Service (FAS) spricht mit dem Active Directory Certificate Service (AD CS), welcher ein Client-Zertifikat (vSmartCard) für den authentifizierten User ausstellt. In diesem Moment hält der FAS das Client-Zertifikat und den privaten Schlüssel.
- Kontaktiert der authentifizierte User den VDA, authentifiziert der VDA den User gegenüber dem FAS und löst das Zertifikat ein.
Wer erst an dieser Stelle in unsere Artikelserie zu Citrix FAS eingestiegen ist, findet hier den Link zum vorangegangenen Internal Use Case:
#1: Internal use case
