Netscaler - Passtrough SAML 8月

Question

我们有以下情况。

基于Microsoft (sso.company.com)的公共可访问SSO门户、公共可达Citrix (netscaler.company.com)、专用WebServer (web.company.com) --无法从internet访问。

我们设法使用ADFS对Netscaler门户进行身份验证。此外，我们还可以使用ADFS对网络中的WebServer进行身份验证。

我们现在的问题是，如何配置Netscaler，我们也可以通过Netscaler将SSO从外部使用到web.company.com。

我希望这有点清楚。

Answer 1

我假设您使用的是SAML，而不是OAUTH (不应该有什么不同)：

web.company.com的SSO基于SAML吗？

如果不是

1. ，那么NS将无法帮助您，因为默认情况下，SAML不保存密码。如果
2. 正在使用SAML，那么只需在IDP中配置新的端点，一切都将是透明的

。

Answer 2

答案是不正确的。Netscaler确实可以做到这一点，我已经做了好几次了。

您需要在后端使用Kerberos受限的委托，在前端使用SAML/OIDC。使用Kerberos受限的委托，您可以在不需要密码的情况下禁止其他用户使用。