April 2018
Autor:in des Beitrags
Michael
Team Lead Cloud Productivity
Veröffentlicht am
05.04.2018 von Michael
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
AD FS als IdP

External use case

Im ersten Teil unserer Artikelserie zu Citrix FAS zeigten wir, wie man eine Zwei-Faktor-Authentifizierung mit im Hintergrund erzeugter vSmartCard realisiert, ohne dass der User eine richtige SmartCard benötigt oder sich mehrfach authentifizieren muss. Dieses Szenario erweitern wir nun um einen AD FS als Identity Provider und einen Netscaler als Gateway Portal.

Im Vergleich zum Internal Use Case ist der STS (Microsoft Active Directory Service) sowie der Netscaler aus dem Internet erreichbar und sichern die internen Komponenten ab. Extern findet die Authentifizierung am Identity Provider per SAML statt (in diesem Beispiel STS). Der interne SSO funktioniert analog zum internal use case.

Use Case:

 External

Traffic Flow:

  • Der User ruft das NetScaler Gateway Portal auf, wobei, falls noch nicht bereits authentifiziert, eine Redirect auf den SAML Identity Provider (AD FS-Server) stattfindet.
  • Der User authentifiziert sich am Identity Provider via möglicher Active Directory Integration und möglicher MFA (Multifaktorauthentifizierung). Ein SAML-Token wird signiert und dem User übergeben.
  • Der User authentifiziert sich gegenüber dem NetScaler, der den SAML-Token validiert.
  • NetScaler nutzt den SAML-Token um die Identität des Users (Name ID Attribute) zu verifizieren.
  • StoreFront kontaktiert den Federated Authentication Service (FAS) und veranlasst die Generierung des Zertifikats für den authentifizierten User.
  • Der Federated Authentication Service (FAS) spricht mit dem Active Directory Certificate Service (AD CS), welcher ein Client-Zertifikat (vSmartCard) für den authentifizierten User ausstellt. In diesem Moment hält der FAS das Client-Zertifikat und den privaten Schlüssel.
  • Kontaktiert der authentifizierte User den VDA, authentifiziert der VDA den User gegenüber dem FAS und löst das Zertifikat ein.

Im dritten Teil kommende Woche sehen wir uns an, wie man das Ganze auf einen externen Identity Provider umstellen kann. Bis dahin scheuen Sie sich nicht uns Ihre Anregungen, Kommentare oder Kritik zu hinterlassen.

Das könnte dich auch interessieren

Echt Ich

Echt Ich Matthias

In ECHT ICH erfahrt ihr mehr über Matthias, seinen Arbeitsalltag , seine Hobbys und seine Motivation für einen Job bei Provectus.
Weiterlesen
Blogbeitrag

Passkeys: Die Schlüssel zu einer sichereren und passwortlosen Zukunft

Die Frequenz von Phishing-Attacken steigt immer weiter. Wie sieht also die Authentifizierung der Zukunft aus?
Weiterlesen
Echt Ich

Echt Ich Svenja

In ECHT ICH erfahrt ihr mehr über Svenja, ihren Arbeitsalltag , ihre Rolle im Team und ihre Gründen für einen Job bei Provectus.
Weiterlesen
Blogbeitrag

Entra Private Access – Zero Trust für den hybriden Arbeitsplatz?

Mit Entra Private Access entwickelt Microsoft derzeit die wohl weitsichtigste Lösung für einem Hybriden Arbeitsplatz.
Weiterlesen
Blogbeitrag

Microsoft Copilot

Microsoft läutet mit dem Copiloten eine neue Ära der KI ein. Der Copilot ist mit dem neusten 23H2-Feature-Update für Windows 11 verfügbar und beinhaltet mehr als 150 neue Funktionen.
Weiterlesen
Whitepaper

Lizenzänderungen bei Citrix – Was Sie jetzt wissen müssen

In unserem kostenfreien Whitepaper bringen wir Licht ins Dunkle und erklären Ihnen, was Sie über die aktuelle Situation bei Citrix und die damit einhergehenden Änderungen wissen müssen.
Weiterlesen
Blogbeitrag

Datenschutzkonformer Einsatz von Microsoft 365 bei Sozialdatenträgern

Wir erklären, was Sie beachten sollten, wenn Sie Microsoft 365 als Sozialdatenträger DSGVO-konform einsetzen möchten.
Weiterlesen
Blogbeitrag

Verlängerter Support für Windows Server 2012/R2

Der Support für Windows Server 2012/R2 läuft aus, was bedeutet, dass Microsoft keine Sicherheitsupdates mehr bereitstellt.
Weiterlesen
Blogbeitrag

Verified Credentials

In diesem Beitrag geht es um die Konfiguration der Verified Credentials und die dafür benötigten Azure-Komponenten.
Weiterlesen
Blogbeitrag

Neuer Angemessenheits-beschluss für den Datenverkehr EU-USA

Die EU-Kommission hat einen neuen Angemessenheitsbeschluss für den transatlantischen Datenschutzrahmen EU-USA angenommen,
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter