SSO in Office365 mit dem NetScaler Unified Gateway
In diesem Blogpost möchte ich erklären, welche Schritte notwendig sind, um Office365 als SaaS Anwendung im NetScaler Unified Gateway, bereitzustellen. Zusätzlich nutzen wir die SAML basierte Authentifizierung um dem Anwender ein Single Sign-on Erlebnis zu bieten. Damit dieses Vorhaben gelingen kann ist es notwendig, dass der Office365 als SAML Service Provider agiert. Wie dieses geschieht habe ich hier beschrieben.
Wir beginnen unser Vorhaben mit der Erstellung eines SAML SSO Profil im NetScaler. Zu finden ist dieses unter NetScaler Gateway -> Policies -> Traffic und hier im letzten TAB, welches SAML SSO Profiles heißt. Hier erkennt man, dass dieses Profile sehr dem SAML IdP Profile ähnelt, mit einem kleinen Unterschied, der Relay State Expression. Wie Ingmar Verheij bereits in seinem Blog erklärt hat, macht es keinen Unterschied mit welcher Expression hier gearbeitet wird. Wichtig ist nur die Tatsache, dass ein gültiger Ausdruck eingetragen ist. Der Rest der Einstellungen im SAML SSO Profile sollte mit denen im SAML IdP Profile übereinstimmen. Das Profile in meiner Labor Umgebung sieht wie folgt aus:
- Assertion Consumer Service Url: https://login.microsoftonline.com/login.srf
- Relay State Expression: HTTP.REQ.COOKIE
- Signing Certificate Name: Hier bitte das Zertifikat auswählen welches zum signieren der SAML Tokens genutzt wird.
- Issuer Name: Die öffentliche Adresse des NetScaler Unified Gateways https://gateway.domain.com/saml/login
- Audience: urn:federation:MicrosoftOnline
- Und unter Attribute1 ebenfalls wieder den Wert mail eintragen
Im zweiten Schritt erstellen wir die Office365 SaaS Application. Im NetScaler wechseln wir zu Gateway ->Ressources -> Bookmarks. Im „Hinzufügen“- Dialog müssen wir einen Namen, sowie den anzuzeigenden Text festlegen. Als Bookmark ist die URL https://portal.office.com einzutragen. Der Application Type sollte Saas sein und als SAML SSO Profile sollte hier nun das im vorherigen Schritt erstellte Profile ausgewählt werden.
Um die Konfiguration abzuschließen muss das erstellte Bookmark nun nur noch mit dem Unified Gateway verknüpft werden. Dieses geschieht im Unified Gateway vServer unter Published Applications-> URL
Sobald der Nutzer sich nun am Unified Gateway anmeldet, sollte er die Office365 SaaS Anwendung sehen. Nach dem Starten dieser SaaS Anwendung wird der Anwender direkt im Office365 Hauptmenü landen, ohne sich erneut anmelden zu müssen.