single-sign-on - Netscaler - 通过 SAML 身份验证

Question

我们有以下情况。

基于 Microsoft ADFS (sso.company.com) 的公共可访问 SSO 门户 公共可访问 Citrix Netscaler (netscaler.company.com) 私有 WebServer (web.company.com) - 无法从 Internet 访问。

我们设法使用 ADFS 针对 Netscaler 门户进行身份验证。我们还可以使用 ADFS 对我们网络内的 WebServer 进行身份验证。

我们现在的问题是配置 Netscaler，使我们也可以通过 Netscaler 从外部使用 SSO 登录到 web.company.com。

我希望这有点清楚。

Answer 1

我假设您使用的是 SAML 而不是 OAUTH（不应该有所作为）：

web.company.com 的 SSO 是否基于 SAML？

1. 如果没有，那么 NS 将无法帮助您，因为 SAML 默认情况下不保存密码。
2. 如果它使用 SAML，那么只需在您的 IDP 中配置新端点，一切都会透明

Answer 2

The anove answer is incorrect. Netscaler can indeed do this and i have done it several times.

You need to use Kerberos Constrained Delegation on backend and SAML/OIDC on Front End. With Kerberos Constrained Delegation you are allowed to impersionate another user without having the password.