Citrix ADC

Konfigurieren von Azure AD als SAML IdP und Citrix ADC als SAML SP

Der SAML Service Provider (SP) ist eine SAML-Entität, die vom Dienstanbieter bereitgestellt wird. Wenn ein Benutzer versucht, auf eine geschützte Anwendung zuzugreifen, wertet der SP die Clientanforderung aus. Wenn der Client nicht authentifiziert ist (kein gültiges NSC_TMAA- oder NSC_TMAS-Cookie hat), leitet der SP die Anfrage an den SAML Identity Provider (IdP) weiter. Der SP validiert auch SAML-Assertions, die vom IdP empfangen werden.

Der SAML-IdP (Identity Provider) ist eine SAML-Entität, die im Kundennetzwerk bereitgestellt wird. Der IdP erhält Anfragen vom SAML-SP und leitet Benutzer zu einer Anmeldeseite weiter, auf der sie ihre Anmeldeinformationen eingeben müssen. Der IdP authentifiziert diese Anmeldeinformationen mit dem Benutzerverzeichnis (externer Authentifizierungsserver wie LDAP) und generiert dann eine SAML-Assertion, die an den SP gesendet wird. Der SP überprüft das Token, und dem Benutzer wird dann Zugriff auf die angeforderte geschützte Anwendung gewährt.

Das folgende Diagramm zeigt den SAML-Authentifizierungsmechanismus.

SAML-Mechanismus

Azure AD-Seitige Konfigurationen

Konfigurieren Sie Single-Sign-On-Einstellungen:

  1. Klicken Sie im Azure-Portal auf Azure Active Directory.

  2. Klicken Sie im Navigationsbereich unter dem Abschnitt Verwalten auf Unternehmensanwendungen. Ein Zufallsbeispiel der Anwendungen in Ihrem Azure AD-Mandanten wird angezeigt.

  3. Geben Sie in der Suchleiste Citrix ADC SAML Connector for Azure AD ein.

    SAML-Anwendung ADC

  4. Wählen Sie im Abschnitt Verwalten die Option Single Sign-On aus.

  5. Wählen Sie SAML aus, um Single Sign-On zu konfigurieren. Die Seite Single Sign-On mit SAML einrichten - Vorschau wird angezeigt. Hier fungiert Azure als SAML-IdP.

  6. Laden Sie das Zertifikat (Base64) herunter, das unter dem SAML-Signaturzertifikat vorhanden ist, um als samlidPCertName verwendet zu werden, während Citrix ADC als SAML-SP konfiguriert wird.

    SAML SSO einrichten

  7. Konfigurieren Sie grundlegende SAML-Optionen:

    Identifikator (Entity ID) - Für einige Apps erforderlich. Identifiziert eindeutig die Anwendung, für die Single Sign-On konfiguriert wird. Azure AD sendet den Bezeichner als Zielgruppenparameter des SAML-Tokens an die Anwendung. Es wird erwartet, dass die Anwendung sie validiert. Dieser Wert wird auch als Entitäts-ID in allen SAML-Metadaten angezeigt, die von der Anwendung bereitgestellt werden.

    Antwort URL - Obligatorisch. Gibt an, wo die Anwendung das SAML-Token erwartet. Die Antwort-URL wird auch als Assertion Consumer Service (ACS) -URL bezeichnet.

    Anmelde-URL - Wenn ein Benutzer diese URL öffnet, leitet der Dienstanbieter zu Azure AD um, um sich zu authentifizieren und den Benutzer anzumelden.

    Relay-Status - Gibt an die Anwendung an, in die der Benutzer nach Abschluss der Authentifizierung umgeleitet werden soll.

Citrix ADC seitliche Konfigurationen

  1. Navigieren Sie zu Sicherheit>AAA-Richtlinien>Authentifizierung> Grundrichtlinien>SAML.

  2. Wählen Sie die Registerkarte Server aus, klicken Sie auf Hinzufügen, geben Sie Werte für die folgenden Parameter ein und klicken Sie auf Erstellen.

    Parameter-Beschreibung:

    Der Wert für fettgedruckte Parameter muss aus den Azure-Seitenkonfigurationen übernommen werden.

    Name - Name des Servers

    URL umleiten - Geben Sie die zuvor verwendete Anmelde-URL im Abschnitt Azure AD “Setup Citrix ADC” ein. https://login.microsoftonline.com/3e6d1786-4e0c-4c70-86d2-ae7811f97f79/saml2

    Einzelne Abmelde-URL - https://login.microsoftonline.com/3e6d1786-4e0c-4c70-86d2-ae7811f97f79/saml2

    SAML-Bindung - POST

    Logout Bindung - REDIRECT

    IDP-Zertifikatsname — IdPCert-Zertifikat (Base64) unter SAML-Signaturzertifikat.

    Benutzerfeld - userprincipalName. Aus dem Abschnitt “Benutzerattribute und Ansprüche” von Azure IdP entnommen.

    Signierzertifikatname - Für Azure AD nicht erforderlich. Wählen Sie das SAML SP-Zertifikat (mit privatem Schlüssel) aus, das Citrix ADC verwendet, um Authentifizierungsanforderungen an den IdP zu signieren. Das gleiche Zertifikat (ohne privaten Schlüssel) muss in den IdP importiert werden, damit der IdP die Signatur der Authentifizierungsanforderung überprüfen kann. Dieses Feld wird von den meisten IDPs nicht benötigt.

    IssuerName — Identifier. https://idp.g.nssvctesting.net

    Unsignierte Assertion ablehnen - EIN

    Zielgruppe — Zielgruppe, für die die vom IdP gesendete Assertion gilt. Dies ist normalerweise ein Entitätsname oder eine URL, die den Dienstanbieter repräsentiert.

    Signaturalgorithmus - RSA-SHA256

    Digest-Methode - SHA256

    Standardauthentifizierungsgruppe — Die Standardgruppe, die zusätzlich zu den extrahierten Gruppen ausgewählt wird, wenn die Authentifizierung erfolgreich ist.

    Gruppennamenfeld - Name des Tags in Assertion, das Benutzergruppen enthält.

    Zeitverzerrung (Minuten) - Diese Option gibt die zulässige Taktverzerrung in Minuten an, die der Citrix ADC ServiceProvider für eine eingehende Assertion zulässt.

    Zwei-Faktor - AUS

    Angeforderter Authentifizierungskontext - genau

    Typ der Authentifizierung - Keine

    Fingerabdruck senden - AUS

    Benutzernamen erzwingen - EIN

    Authentifizierung erzwingen - AUS

    SAML Response speichern - AUS

Erstellen Sie auf ähnliche Weise eine entsprechende SAML-Richtlinie und binden Sie sie an den virtuellen Authentifizierungsserver.

Hinweis:

  • Azure AD erwartet das Feld Betreff-ID in der SAML-Anforderung nicht.
  • Damit Citrix ADC das Feld Betreff-ID nicht sendet, geben Sie den folgenden Befehl in der Citrix ADC CLI ein. nsapimgr_wr.sh -ys call="ns_saml_dont_send_subject" Dieser Befehl ist nur in nFactor-Authentifizierungs-Workflows anwendbar.
Konfigurieren von Azure AD als SAML IdP und Citrix ADC als SAML SP