Konfigurieren Sie Azure AD als SAML IdP und Citrix ADC als SAML SP
Der SAML Service Provider (SP) ist eine SAML-Entität, die vom Dienstanbieter bereitgestellt wird. Wenn ein Benutzer versucht, auf eine geschützte Anwendung zuzugreifen, wertet der SP die Clientanforderung aus. Wenn der Client nicht authentifiziert ist (hat kein gültiges NSC_TMAA oder NSC_TMAS Cookie), leitet der SP die Anforderung an den SAML Identity Provider (IdP) um. Der SP validiert auch SAML-Assertions, die vom IdP empfangen werden.
Der SAML-IdP (Identity Provider) ist eine SAML-Entität, die im Kundennetzwerk bereitgestellt wird. Der IdP empfängt Anforderungen vom SAML-SP und leitet Benutzer auf eine Anmeldeseite um, auf der sie ihre Anmeldeinformationen eingeben müssen. Der IdP authentifiziert diese Anmeldeinformationen mit dem Benutzerverzeichnis (externer Authentifizierungsserver, z. B. LDAP) und generiert dann eine SAML-Assertion, die an den SP gesendet wird. Der SP überprüft das Token, und dem Benutzer wird dann Zugriff auf die angeforderte geschützte Anwendung gewährt.
Das folgende Diagramm zeigt den SAML-Authentifizierungsmechanismus.
Azure AD-Seitige Konfigurationen
Konfigurieren Sie Single-Sign-On-Einstellungen:
-
Klicken Sie im Azure-Portal auf Azure Active Directory.
-
Klicken Sie im Navigationsbereich unter Verwalten auf Unternehmensanwendungen. Ein Zufallsbeispiel der Anwendungen in Ihrem Azure AD-Mandanten wird angezeigt.
-
Geben Sie in der Suchleiste Citrix ADC ein.
-
Wählen Sie im Abschnitt Verwalten die Option Single Sign-On aus.
-
Wählen Sie SAML aus, um Single Sign-On zu konfigurieren. Die Seite Single Sign-On mit SAML einrichten - Vorschau wird angezeigt. Hier fungiert Azure als SAML-IdP.
-
Laden Sie das Zertifikat (Base64) herunter, das unter dem SAML-Signaturzertifikat vorhanden ist, um als SamlidPcertName verwendet zu werden, während Citrix ADC als SAML-SP konfiguriert wird.
-
Konfigurieren Sie grundlegende SAML-Optionen:
Identifikator (Entity ID) - Für einige Apps erforderlich. Identifiziert eindeutig die Anwendung, für die Single Sign-On konfiguriert wird. Azure AD sendet den Bezeichner als Zielgruppenparameter des SAML-Tokens an die Anwendung. Es wird erwartet, dass die Anwendung sie validiert. Dieser Wert wird auch als Entitäts-ID in allen SAML-Metadaten angezeigt, die von der Anwendung bereitgestellt werden.
Antwort URL - Obligatorisch. Gibt an, wo die Anwendung das SAML-Token erwartet. Die Antwort-URL wird auch als Assertion Consumer Service (ACS) -URL bezeichnet.
Anmelde-URL - Wenn ein Benutzer diese URL öffnet, leitet der Dienstanbieter zu Azure AD um, um sich zu authentifizieren und den Benutzer anzumelden.
Relay-Status - Gibt an die Anwendung an, in die der Benutzer nach Abschluss der Authentifizierung umgeleitet werden soll.
Citrix ADC seitliche Konfigurationen
-
Navigieren Sie zu Sicherheit>AAA-Richtlinien>Authentifizierung> Grundrichtlinien>SAML.
-
Wählen Sie die Registerkarte Server aus, klicken Sie auf Hinzufügen, geben Sie Werte für die folgenden Parameter ein und klicken Sie auf Erstellen.
Parameter-Beschreibung:
Der Wert für fett gedruckte Parameter muss den Azure-Seitenkonfigurationen entnommen werden.
Name - Name des Servers
URL umleiten - Geben Sie die zuvor verwendete Anmelde-URL im Abschnitt Azure AD “Setup Citrix ADC” ein.
https://login.microsoftonline.com/3e6d1786-4e0c-4c70-86d2-ae7811f97f79/saml2Einzelne Abmelde-URL -
https://login.microsoftonline.com/3e6d1786-4e0c-4c70-86d2-ae7811f97f79/saml2SAML-Bindung - POST
Logout Bindung - REDIRECT
Name des IDP-Zertifikats - IDPcert-Zertifikat (Base64) unter SAML-Signaturzertifikat vorhanden.
Benutzerfeld - UserPrincipalName. Aus dem Abschnitt “Benutzerattribute und Ansprüche” von Azure IdP entnommen.
Signierzertifikatname - Für Azure AD nicht erforderlich. Wählen Sie das SAML SP-Zertifikat (mit privatem Schlüssel) aus, das Citrix ADC verwendet, um Authentifizierungsanforderungen an den IdP zu signieren. Das gleiche Zertifikat (ohne privaten Schlüssel) muss in den IdP importiert werden, damit der IdP die Signatur der Authentifizierungsanforderung überprüfen kann. Dieses Feld wird von den meisten IDPs nicht benötigt.
issuerName - Identifikator.
https://idp.g.nssvctesting.netUnsignierte Assertion ablehnen - EIN
Zielgruppe - Zielgruppe, für die vom IdP gesendete Assertion anwendbar ist. Dies ist normalerweise der Entitätsname oder die URL, die ServiceProvider repräsentiert.
Signaturalgorithmus - RSA-SHA256
Digest-Methode - SHA256
Standard-Authentifizierungsgruppe - Die Standardgruppe, die ausgewählt wird, wenn die Authentifizierung zusätzlich zu extrahierten Gruppen erfolgreich ist.
Gruppennamenfeld - Name des Tags in Assertion, das Benutzergruppen enthält.
Skew Time (min) - Diese Option gibt die zulässige Taktverzerrung in der Anzahl von Minuten an, die Citrix ADC ServiceProvider für eine eingehende Assertion zulässt.
Zwei-Faktor - AUS
Angeforderter Authentifizierungskontext - genau
Typ der Authentifizierung - Keine
Fingerabdruck senden - AUS
Benutzernamen erzwingen - EIN
Authentifizierung erzwingen - AUS
SAML Response speichern - AUS
Erstellen Sie in ähnlicher Weise eine entsprechende SAML-Richtlinie und binden Sie sie an den virtuellen Authentifizierungsserver.
Hinweis: Azure AD erwartet das Feld Betreff-ID in der SAML-Anfrage nicht. Damit Citrix ADC das Feld Betreff-ID nicht sendet, geben Sie den folgenden Befehl an der Citrix ADC-Eingabeaufforderung ein.
nsapimgr_wr.sh -ys call="ns_saml_dont_send_subject"