xboxnico16
Goto Top

Citrix ADC DUO über SSO

Hey,

ich habe ein Problem, bei welchem ich nicht so ganz weiter komme und hoffe ihr könnt mir einen Denkanstoß geben.

Und zwar bin ich gerade dabei in einer Testumgebung Citrix ADC aufzusetzen. Nun habe ich ADC konfiguriert, dass ich auf die Apps & Desktops von außen zugreifen kann. Soweit funktioniert also alles.

Jetzt möchte ich gerne den Login noch mittels einer 2FA schützen. Ich dachte dabei an Keycloak, bzw Redhat SSO inklusive DUO zur 2-Faktor-Authentifizierung.

Doch leider komme ich nicht dahinter, wie ich das konkret in ADC umsetzen kann, bzw. welche Schritte erforderlich sind, dass ich das umgesetzt bekomme, hatte nämlich bis jetzt noch nicht viel mit SSO auf der administrativen Seite am Hut.

Ich möchte erreichen, dass wenn User auf z. B. citrix.meinedomain.de gehen, sich zuerst am Netscaler und dann bei Keycloak, bzw Redhat SSO authentifizieren müssen, bzw. die Authentifizierung beim SSO automatisch übers LDAP geht, dann nach der Authentifizierung beim SSO, zu DUO umgeleitet werden, wo sie in der Universal Prompt einen Yubikey verwenden und nachdem das abgeschlossen ist, wieder zurück zum SSO umgeleitet werden, welcher sie dann schlussendlich auf die Virtual Apps zugreifen lässt.

Ich hoffe ich habe mein konkretes Vorhaben verständlich formuliert.

Hat das eventuell jemand von euch so, oder so ähnlich im Einsatz und kann mir da Tipps geben, oder hat eventuell auch eine Anleitung parat, wie ich vorgehen muss?

Ich freue mich über jegliche Tipps und Hilfestellungen.

Content-ID: 93865761282

Url: https://administrator.de/contentid/93865761282

Ausgedruckt am: 19.12.2024 um 11:12 Uhr

Dani
Dani 18.02.2024 um 21:38:26 Uhr
Goto Top
xboxnico16
xboxnico16 24.02.2024 aktualisiert um 22:19:05 Uhr
Goto Top
Danke für die ausführlichen Links.

Ich bin jetzt auch gerade dabei, DUO als IdentityProvider in Keycloak, bzw RedHat SSO versuchen zu hinterlegen.

Nur leider kommt, nachdem ich den Login über DUO versuche, die Meldung von DUO: "We had trouble logging you in. Error: AssertionConsumerServiceURL in message received (https://sso.domain.de:8443/auth/realms/master/broker/saml/endpoint) does not match any configured Assertion Consumer Service URLs."

Kann mir jemand sagen, wo genau hier das Problem liegt, bzw wo ich die ACS-URL aus dem RedHat SSO herbekomme, um diesen dann in DUO einzutragen?

In DUO selbst habe ich als Application einen "Generic SAML Service Provider" erstellt.

Anbei mal noch Screenshots von meiner aktuellen Config in RedHat SSO und DUO.

Ich hoffe sehr auf ausführliche Unterstützung.
rhsso_idp
sso_duo
Dani
Dani 03.03.2024 um 12:56:21 Uhr
Goto Top
Moin,
Nur leider kommt, nachdem ich den Login über DUO versuche
(https://sso.domain.de:8443/auth/realms/master/broker/saml/endpoint) does not match any configured Assertion Consumer Service URLs.
Die URLs müssen natürlich identisch in den beiden Apps sein. Das ist sozusagen der Identifier zwischen Anwendung und IdP.


Gruß,
Dani