Citrix ADC

SAML-Authentifizierung

Security Assertion Markup Language (SAML) ist ein XML-basierter Authentifizierungsmechanismus, der Single Sign-On-Funktionen bietet und vom OASIS Security Services Technical Committee definiert wird.

Warum die SAML-Authentifizierung verwenden?

Betrachten Sie ein Szenario, in dem ein Dienstanbieter (LargeProvider) eine Reihe von Anwendungen für einen Kunden (BigCompany) hostet. BigCompany hat Benutzer, die nahtlos auf diese Anwendungen zugreifen müssen. In einem traditionellen Setup müsste LargeProvider eine Datenbank mit Benutzern von BigCompany pflegen. Dies wirft Bedenken für jeden der folgenden Interessengruppen auf:

  • LargeProvider muss die Sicherheit der Benutzerdaten gewährleisten.
  • BigCompany muss die Benutzer validieren und die Benutzerdaten auf dem neuesten Stand halten, nicht nur in der eigenen Datenbank, sondern auch in der von LargeProvider verwalteten Benutzerdatenbank. Beispielsweise muss ein Benutzer, der aus der BigCompany-Datenbank entfernt wurde, ebenfalls aus der LargeProvider-Datenbank entfernt werden.
  • Ein Benutzer muss sich bei jeder der gehosteten Anwendungen einzeln anmelden.

Der SAML-Authentifizierungsmechanismus bietet einen alternativen Ansatz. Das folgende Bereitstellungsdiagramm zeigt, wie SAML funktioniert.

lokalisiertes Bild

Die durch traditionelle Authentifizierungsmechanismen aufgeworfenen Bedenken werden wie folgt gelöst:

  • LargeProvider muss keine Datenbank für BigCompany Benutzer pflegen. Von der Identitätsverwaltung befreit, kann sich LargeProvider auf die Bereitstellung besserer Services konzentrieren.
  • BigCompany trägt nicht die Last, sicherzustellen, dass die LargeProvider-Benutzerdatenbank mit ihrer eigenen Benutzerdatenbank synchronisiert ist.
  • Ein Benutzer kann sich einmal bei einer Anwendung anmelden, die auf LargeProvider gehostet wird, und automatisch bei den anderen dort gehosteten Anwendungen angemeldet werden.

Die Citrix ADC-Appliance kann als SAML Service Provider (SP) und SAML Identity Provider (IdP) bereitgestellt werden. Lesen Sie die relevanten Themen, um die Konfigurationen zu verstehen, die auf der Citrix ADC-Appliance ausgeführt werden müssen.

Eine Citrix ADC Appliance, die als SAML-Dienstanbieter konfiguriert ist, kann nun eine Überprüfung der Zielgruppeneinschränkung erzwingen. Die Zielgruppeneinschränkungsbedingung wird nur dann als Gültig ausgewertet, wenn die SAML-antwortende Partei Mitglied mindestens einer der angegebenen Zielgruppen ist.

Sie können eine Citrix ADC Appliance so konfigurieren, dass Attribute in SAML-Assertionen als Gruppenattribute analysiert werden. Wenn Sie sie als Gruppenattribute analysieren, kann die Appliance Richtlinien an die Gruppen binden.

Hinweis

Eine Citrix ADC MPX FIPS-Appliance, die als SAML-Dienstanbieter verwendet wird, unterstützt jetzt verschlüsselte Assertionen. Außerdem kann eine Citrix ADC MPX FIPS-Appliance, die als SAML-Dienstanbieter oder SAML-Identitätsanbieter fungiert, jetzt für die Verwendung der SHA2-Algorithmen auf FIPS-Hardware konfiguriert werden.

Konfigurieren der FIPS-Offload-Unterstützung über die Befehlszeilenschnittstelle:

  1. SSL-FIPS hinzufügen

    add ssl fipsKey fips-key

  2. Erstellen Sie einen CSR, und verwenden Sie ihn auf dem CA-Server, um ein Zertifikat zu generieren. Anschließend können Sie das Zertifikat in /nsconfig/sslkopieren. Nehmen wir an, dass die Datei fips3cert.cerist.

    add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key

  3. Geben Sie dieses Zertifikat in der SAML-Aktion für SAML SP-Modul an.

    set samlAction <name> -samlSigningCertName fips-cert

  4. Verwenden des Zertifikats im samlIdpProfile für SAML-IDP-Modul

    set samlidpprofile fipstest –samlIdpCertName fips-cert

In der folgenden Tabelle sind einige Artikel aufgeführt, die spezifisch für Bereitstellungen sind, bei denen die Citrix ADC Appliance als SAML-SP oder SAML-IdP verwendet wird.

SAML SP SAML-IdP Informationslink
Citrix ADC Citrix AppController Z3 Citrix Support
Citrix ADC CloudGateway Citrix Support
Citrix ADC Microsoft AD FS 3.0 Citrix Support
Citrix ADC Shibboleth Citrix Support
Citrix ADC Shibboleth (mit SAML-Einmalabmeldekonfiguration) Citrix Support
Siteminder Citrix ADC Citrix Support
ShareFile Citrix ADC Citrix Support

Einige Informationen zu anderen spezifischen Bereitstellungen:

Unterstützung von WebView-Anmeldeinformationen für Authentifizierungsmechanismen

Die Authentifizierung einer Citrix ADC Appliance kann nun das Authv3-Protokoll unterstützen. Der WebView-Anmeldeinformationstyp im Authv3-Protokoll unterstützt alle Arten von Authentifizierungsmechanismen (einschließlich SAML und OAuth). Der WebView-Anmeldeinformationstyp ist Teil von AuthV3, das von Citrix Receiver und Browser in Webanwendungen implementiert wird.

Im folgenden Beispiel wird der Ablauf von WebView-Ereignissen über Citrix Gateway und Citrix Receiver erläutert:

  1. Citrix Receiver verhandelt mit Citrix Gateway für Authv3-Protokollunterstützung.
  2. Citrix ADC Appliance reagiert positiv und schlägt eine bestimmte Start-URL vor.
  3. Citrix Receiver stellt dann eine Verbindung mit dem spezifischen Endpunkt (URL) her.
  4. Citrix Gateway sendet eine Antwort an den Client, um das WebView zu starten.
  5. Citrix Receiver startet WebView und sendet die erste Anforderung an die Citrix ADC Appliance.
  6. Die Citrix ADC Appliance leitet den URI an den Browser-Anmeldeendpunkt um.
  7. Sobald die Authentifizierung abgeschlossen ist, sendet die Citrix ADC Appliance die Abschlussantwort an WebView.
  8. Das WebView wird nun beendet und gibt Citrix Receiver die Kontrolle zurück, um das Authv3-Protokoll für die Sitzungseinrichtung fortzusetzen.

Metadaten-Lese- und Generierungsunterstützung für SAML SP und IdP Konfiguration

Citrix ADC Appliance unterstützt nun Metadatendateien als Konfigurationsentitäten für SAML Service Provider (SP) und Identity Provider (IdP). Die Metadatendatei ist eine strukturierte XML-Datei, die die Konfiguration einer Entität beschreibt. Die Metadatendateien für SP und IdP sind getrennt. Basierend auf der Bereitstellung und manchmal kann eine SP- oder IdP-Entität mehrere Metadatendateien enthalten. Als Administrator können Sie Metadatendateien (SAML SP und IdP) in Citrix ADC exportieren und importieren. Die Funktionen des Exports und Imports von Metadaten für SAML SP und IdP werden in den folgenden Abschnitten erläutert.

Metadatenexport für SAML SP

Betrachten Sie ein Beispiel, in dem Citrix ADC als SAML-SP konfiguriert ist und ein SAML-IdP Metadaten importieren möchte, die die Citrix ADC SP-Konfiguration enthalten. Angenommen, die Citrix ADC Appliance ist bereits mit einem Attribut “SAMLAction” konfiguriert, das die SAML-SP-Konfiguration angibt. Um Metadaten von Benutzern oder Administratoren zu exportieren, fragen Sie Citrix Gateway oder den virtuellen Authentifizierungsserver wie folgt ab:

https://vserver.company.com/metadata/samlsp/<action-name>

Metadatenimport für SAML SP

Derzeit nimmt die SAML-Action-Konfiguration auf der Citrix ADC Appliance verschiedene Parameter an. Der Administrator legt diese manuell fest. Administratoren sind sich jedoch oft nicht der Nomenklatur bewusst, wenn es darum geht, mit verschiedenen SAML-Systemen zu interoperieren. Wenn Metadaten des IdP verfügbar sind, kann ein Großteil der Konfiguration in der Entität ‘SAMLAction’ vermieden werden. Tatsächlich kann die gesamte IdP-spezifische Konfiguration weggelassen werden, wenn die IdP-Metadatendatei angegeben wird. Die Entität ‘SAMLAction’ verwendet nun einen zusätzlichen Parameter, um die Konfiguration aus der Metadatendatei zu lesen.

Wenn Sie Metadaten in eine Citrix ADC Appliance importieren, enthalten die Metadaten keine zu verwendenden Signaturalgorithmen, sondern die Endpunktdetails. Metadaten können mit bestimmten Algorithmen signiert werden, die verwendet werden können, um die Metadaten selbst zu überprüfen. Die Algorithmen werden nicht in der Entität ‘SAMLAction’ gespeichert.

Daher werden die Daten, die Sie in der Entität ‘SAMLAction’ angeben, die beim Senden der Daten verwendet werden. Eingehende Daten können einen anderen Algorithmus für die Verarbeitung einer Citrix ADC Appliance enthalten.

Abrufen der Metadatendateien mit der Befehlszeilenschnittstelle.

set samlAction <name> [-metadataUrl <url> [-metadataRefreshInterval <int>] https://idp.citrix.com/samlidp/metadata.xml

Hinweis:

Der Parameter MetadataRefreshInterval ist das Intervall in Minuten zum Abrufen von Metadateninformationen aus der angegebenen Metadaten-URL. Standardwert 36000.

Metadatenimport für SAML-IdP

Der Parameter “samlIdPProfile” verwendet ein neues Argument, um die gesamte Konfiguration zu lesen, die spezifisch für SP ist. Die SAML-IdP-Konfiguration kann vereinfacht werden, indem SP-spezifische Eigenschaften durch eine SP-Metadatendatei ersetzt werden. Diese Datei wird über HTTP abgefragt.

So lesen Sie die Metadatendatei über die Befehlszeilenschnittstelle:

set samlIdPProfile <name> [-metadataUrl <url>] [-metadataRefreshInterval <int>]

Name-Wert-Attribut-Unterstützung für SAML-Authentifizierung

Sie können nun SAML-Authentifizierungsattribute mit einem eindeutigen Namen zusammen mit Werten konfigurieren. Die Namen werden im SAML-Aktionsparameter konfiguriert und die Werte werden durch Abfrage der Namen abgerufen. Durch Angabe des Name-Attributwerts können Administratoren problemlos nach dem Attributwert suchen, der dem Attributnamen zugeordnet ist. Außerdem müssen sich Administratoren das Attribut nicht mehr allein nach seinem Wert merken.

Wichtig

  • Im SAMLACtion-Befehl können Sie maximal 64 Attribute durch Komma getrennt mit der Gesamtgröße kleiner als 2048 Bytes konfigurieren.
  • Citrix empfiehlt, die Attributliste zu verwenden. Die Verwendung von Attribut 1 bis Attribut 16 führt zu einem Sitzungsfehler, wenn die extrahierte Attributgröße groß ist.

So konfigurieren Sie die Name-Wert-Attribute mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication samlAction <name> [-Attributes <string>]

Beispiel:

add authentication samlAction samlAct1 -attributes "mail,sn,userprincipalName”