3
Citrix ADC DUO über SSO
Hey,
ich habe ein Problem, bei welchem ich nicht so ganz weiter komme und hoffe ihr könnt mir einen Denkanstoß geben.
Und zwar bin ich gerade dabei in einer Testumgebung Citrix ADC aufzusetzen. Nun habe ich ADC konfiguriert, dass ich auf die Apps & Desktops von außen zugreifen kann. Soweit funktioniert also alles.
Jetzt möchte ich gerne den Login noch mittels einer 2FA schützen. Ich dachte dabei an Keycloak, bzw Redhat SSO inklusive DUO zur 2-Faktor-Authentifizierung.
Doch leider komme ich nicht dahinter, wie ich das konkret in ADC umsetzen kann, bzw. welche Schritte erforderlich sind, dass ich das umgesetzt bekomme, hatte nämlich bis jetzt noch nicht viel mit SSO auf der administrativen Seite am Hut.
Ich möchte erreichen, dass wenn User auf z. B. citrix.meinedomain.de gehen, sich zuerst am Netscaler und dann bei Keycloak, bzw Redhat SSO authentifizieren müssen, bzw. die Authentifizierung beim SSO automatisch übers LDAP geht, dann nach der Authentifizierung beim SSO, zu DUO umgeleitet werden, wo sie in der Universal Prompt einen Yubikey verwenden und nachdem das abgeschlossen ist, wieder zurück zum SSO umgeleitet werden, welcher sie dann schlussendlich auf die Virtual Apps zugreifen lässt.
Ich hoffe ich habe mein konkretes Vorhaben verständlich formuliert.
Hat das eventuell jemand von euch so, oder so ähnlich im Einsatz und kann mir da Tipps geben, oder hat eventuell auch eine Anleitung parat, wie ich vorgehen muss?
Ich freue mich über jegliche Tipps und Hilfestellungen.
ich habe ein Problem, bei welchem ich nicht so ganz weiter komme und hoffe ihr könnt mir einen Denkanstoß geben.
Und zwar bin ich gerade dabei in einer Testumgebung Citrix ADC aufzusetzen. Nun habe ich ADC konfiguriert, dass ich auf die Apps & Desktops von außen zugreifen kann. Soweit funktioniert also alles.
Jetzt möchte ich gerne den Login noch mittels einer 2FA schützen. Ich dachte dabei an Keycloak, bzw Redhat SSO inklusive DUO zur 2-Faktor-Authentifizierung.
Doch leider komme ich nicht dahinter, wie ich das konkret in ADC umsetzen kann, bzw. welche Schritte erforderlich sind, dass ich das umgesetzt bekomme, hatte nämlich bis jetzt noch nicht viel mit SSO auf der administrativen Seite am Hut.
Ich möchte erreichen, dass wenn User auf z. B. citrix.meinedomain.de gehen, sich zuerst am Netscaler und dann bei Keycloak, bzw Redhat SSO authentifizieren müssen, bzw. die Authentifizierung beim SSO automatisch übers LDAP geht, dann nach der Authentifizierung beim SSO, zu DUO umgeleitet werden, wo sie in der Universal Prompt einen Yubikey verwenden und nachdem das abgeschlossen ist, wieder zurück zum SSO umgeleitet werden, welcher sie dann schlussendlich auf die Virtual Apps zugreifen lässt.
Ich hoffe ich habe mein konkretes Vorhaben verständlich formuliert.
Hat das eventuell jemand von euch so, oder so ähnlich im Einsatz und kann mir da Tipps geben, oder hat eventuell auch eine Anleitung parat, wie ich vorgehen muss?
Ich freue mich über jegliche Tipps und Hilfestellungen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 93865761282
Url: https://administrator.de/contentid/93865761282
Printed on: April 27, 2024 at 06:04 o'clock
3 Comments
Latest comment
Moin,
https://docs.netscaler.com/en-us/citrix-adc/current-release/aaa-tm/authe ...
https://duo.com/docs/citrix-netscaler-faq
Gruß,
Dani
Hat das eventuell jemand von euch so, oder so ähnlich im Einsatz und kann mir da Tipps geben
https://docs.netscaler.com/en-us/citrix-adc/current-release/aaa-tm/authe ...https://docs.netscaler.com/en-us/citrix-adc/current-release/aaa-tm/authe ...
zu DUO umgeleitet werden
https://discussions.citrix.com/topic/417988-help-to-configure-netscaler- ...https://duo.com/docs/citrix-netscaler-faq
Gruß,
Dani
Danke für die ausführlichen Links.
Ich bin jetzt auch gerade dabei, DUO als IdentityProvider in Keycloak, bzw RedHat SSO versuchen zu hinterlegen.
Nur leider kommt, nachdem ich den Login über DUO versuche, die Meldung von DUO: "We had trouble logging you in. Error: AssertionConsumerServiceURL in message received (https://sso.domain.de:8443/auth/realms/master/broker/saml/endpoint) does not match any configured Assertion Consumer Service URLs."
Kann mir jemand sagen, wo genau hier das Problem liegt, bzw wo ich die ACS-URL aus dem RedHat SSO herbekomme, um diesen dann in DUO einzutragen?
In DUO selbst habe ich als Application einen "Generic SAML Service Provider" erstellt.
Anbei mal noch Screenshots von meiner aktuellen Config in RedHat SSO und DUO.
Ich hoffe sehr auf ausführliche Unterstützung.
Ich bin jetzt auch gerade dabei, DUO als IdentityProvider in Keycloak, bzw RedHat SSO versuchen zu hinterlegen.
Nur leider kommt, nachdem ich den Login über DUO versuche, die Meldung von DUO: "We had trouble logging you in. Error: AssertionConsumerServiceURL in message received (https://sso.domain.de:8443/auth/realms/master/broker/saml/endpoint) does not match any configured Assertion Consumer Service URLs."
Kann mir jemand sagen, wo genau hier das Problem liegt, bzw wo ich die ACS-URL aus dem RedHat SSO herbekomme, um diesen dann in DUO einzutragen?
In DUO selbst habe ich als Application einen "Generic SAML Service Provider" erstellt.
Anbei mal noch Screenshots von meiner aktuellen Config in RedHat SSO und DUO.
Ich hoffe sehr auf ausführliche Unterstützung.
Moin,
Gruß,
Dani
Nur leider kommt, nachdem ich den Login über DUO versuche
(https://sso.domain.de:8443/auth/realms/master/broker/saml/endpoint) does not match any configured Assertion Consumer Service URLs.
Die URLs müssen natürlich identisch in den beiden Apps sein. Das ist sozusagen der Identifier zwischen Anwendung und IdP.(https://sso.domain.de:8443/auth/realms/master/broker/saml/endpoint) does not match any configured Assertion Consumer Service URLs.
Gruß,
Dani