April 2018
Autor:in des Beitrags
Michael
Team Lead Cloud Productivity
Veröffentlicht am
12.04.2018 von Michael
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Citrix FAS

Federated Use Case (Externer Identity Provider)

Ein Beispiel aus der Praxis (B2B account mapping):

Firma A kauft Firma B und die Angestellten sollen sich mit ihren Account-Daten aus der einen Firma jeweils bei der anderen Firma authentifizieren können, ohne dass man sich weiter um das Account-Management kümmern muss.

Wenn zwei Firmen die Computersysteme der jeweils anderen Firma nutzen wollen, empfiehlt es sich eine Vertrauensbeziehung zwischen den beiden SAML Identity Providern (z.B. Active Directory Federation Services) einzurichten.

Dies erlaubt den Nutzern der einen Firma sich am AD-Evironment der anderen Firma anzumelden.

Beim Anmelden benutzt jeder User seine firmeneigenen Credentials, während AD FS automatisch einen Shadow-Account beim AD FS Environment der jeweils anderen Firma mapt.

USE CASE

Traffic Flow:

  • Wenn ein User das NetScaler-Gateway aufruft, leitet dieser die Anfrage zum SAML Identity Provider weiter, wobei es sich in diesem Beispiel um ein extern gehostetes System in AWS Cloud handelt.
  • Der User authentifiziert sich beim Identity Provider. Ein SAML-Token wird signiert und dem User ausgehändigt.
  • Der NetScaler lässt den User mit seinem SAML-Token passieren.
  • NetScaler nutzt den SAML-Token um die User-Identität (Name ID Attribute) am StoreFront geltend zu machen.

Hinweis: Externe User benötigen einen AD-Account! Dazu einfach alternative UPNs, die der externen Domain entsprechen, der eigenen Domain hinzufügen (siehe Screenshot).

  • Storefront kontaktiert daraufhin den Federated Authentication Service (FAS) und fragt nach dem für den authentifizierten User generierten Zertifikat.
  • FAS spricht nun mit dem Active Directory Certificate Service, welcher das Zertifikat für den User ausliefert. In diesem Augenblick hält der Federated Authentication Service das User Zertifikat und seinen privaten Schlüssel.
  • Kontaktiert der authentifizierte User den VDA, authentifiziert der VDA den User gegenüber dem FAS und löst das Zertifikat ein.

In unserem vierten und letzten Artikel zu Citrix FAS kommende Woche beleuchten wir ein Azure AD joined devices use case.

Echt Ich

Echt Ich Matthias

In ECHT ICH erfahrt ihr mehr über Matthias, seinen Arbeitsalltag , seine Hobbys und seine Motivation für einen Job bei Provectus.
Weiterlesen
Blogbeitrag

Passkeys: Die Schlüssel zu einer sichereren und passwortlosen Zukunft

Die Frequenz von Phishing-Attacken steigt immer weiter. Wie sieht also die Authentifizierung der Zukunft aus?
Weiterlesen
Echt Ich

Echt Ich Svenja

In ECHT ICH erfahrt ihr mehr über Svenja, ihren Arbeitsalltag , ihre Rolle im Team und ihre Gründen für einen Job bei Provectus.
Weiterlesen
Blogbeitrag

Entra Private Access – Zero Trust für den hybriden Arbeitsplatz?

Mit Entra Private Access entwickelt Microsoft derzeit die wohl weitsichtigste Lösung für einem Hybriden Arbeitsplatz.
Weiterlesen
Blogbeitrag

Microsoft Copilot

Microsoft läutet mit dem Copiloten eine neue Ära der KI ein. Der Copilot ist mit dem neusten 23H2-Feature-Update für Windows 11 verfügbar und beinhaltet mehr als 150 neue Funktionen.
Weiterlesen
Whitepaper

Lizenzänderungen bei Citrix – Was Sie jetzt wissen müssen

In unserem kostenfreien Whitepaper bringen wir Licht ins Dunkle und erklären Ihnen, was Sie über die aktuelle Situation bei Citrix und die damit einhergehenden Änderungen wissen müssen.
Weiterlesen
Blogbeitrag

Datenschutzkonformer Einsatz von Microsoft 365 bei Sozialdatenträgern

Wir erklären, was Sie beachten sollten, wenn Sie Microsoft 365 als Sozialdatenträger DSGVO-konform einsetzen möchten.
Weiterlesen
Blogbeitrag

Verlängerter Support für Windows Server 2012/R2

Der Support für Windows Server 2012/R2 läuft aus, was bedeutet, dass Microsoft keine Sicherheitsupdates mehr bereitstellt.
Weiterlesen
Blogbeitrag

Verified Credentials

In diesem Beitrag geht es um die Konfiguration der Verified Credentials und die dafür benötigten Azure-Komponenten.
Weiterlesen
Blogbeitrag

Neuer Angemessenheits-beschluss für den Datenverkehr EU-USA

Die EU-Kommission hat einen neuen Angemessenheitsbeschluss für den transatlantischen Datenschutzrahmen EU-USA angenommen,
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter