Citrix ADC als SAML-IdP

Der SAML-IdP (Identity Provider) ist eine SAML-Entität, die im Kundennetzwerk bereitgestellt wird. Der IdP empfängt Anforderungen vom SAML-SP und leitet Benutzer auf eine Anmeldeseite um, auf der sie ihre Anmeldeinformationen eingeben müssen. Der IdP authentifiziert diese Anmeldeinformationen mit dem Benutzerverzeichnis (externer Authentifizierungsserver, z. B. LDAP) und generiert dann eine SAML-Assertion, die an den SP gesendet wird.

Der SP überprüft das Token, und dem Benutzer wird dann Zugriff auf die angeforderte geschützte Anwendung gewährt.

Wenn die Citrix ADC Appliance als IdP konfiguriert ist, werden alle Anforderungen von einem virtuellen Authentifizierungsserver empfangen, der dem relevanten SAML-IdP-Profil zugeordnet ist.

Hinweis:

Eine Citrix ADC Appliance kann als IdP in einer Bereitstellung verwendet werden, in der der SAML-SP entweder auf der Appliance oder auf einem externen SAML-SP konfiguriert ist.

Bei Verwendung als SAML-IdP gilt eine Citrix ADC-Appliance:

  • Unterstützt alle Authentifizierungsmethoden, die für herkömmliche Anmeldungen unterstützt werden.

  • Signiert Behauptungen digital. Die Unterstützung für den SHA256-Algorithmus wird in NetScaler 11.0 Build 55.x eingeführt.

  • Unterstützt Ein-Faktor- und Zwei-Faktor-Authentifizierung. SAML darf nicht als sekundärer Authentifizierungsmechanismus konfiguriert werden.

  • Kann Assertionen mit dem öffentlichen Schlüssels des SAML-SP verschlüsseln. Dies wird empfohlen, wenn die Assertion vertrauliche Informationen enthält. Unterstützung in NetScaler 11.0 Build 55.x eingeführt.

  • Kann so konfiguriert werden, dass nur digital signierte Anforderungen vom SAML-SP akzeptiert werden. Unterstützung in NetScaler 11.0 Build 55.x eingeführt.

  • Kann sich mit den folgenden 401-basierten Authentifizierungsmechanismen beim SAML-IdP anmelden: Negotiate, NTLM und Certificate. Unterstützung in NetScaler 11.0 Build 55.x eingeführt.

  • Kann so konfiguriert werden, dass zusätzlich zum NameID-Attribut 16 Attribute gesendet werden. Die Attribute müssen vom entsprechenden Authentifizierungsserver extrahiert werden. Für jeden von ihnen können Sie den Namen, den Ausdruck, das Format und einen Anzeigenamen im SAML-IdP-Profil angeben. Unterstützung in NetScaler 11.0 Build 55.x eingeführt.

  • Wenn die Citrix ADC-Appliance als SAML-IdP für mehrere SAML-SP konfiguriert ist, kann ein Benutzer Zugriff auf Anwendungen auf den verschiedenen SPs erhalten, ohne sich jedes Mal explizit zu authentifizieren. Die Citrix ADC-Appliance erstellt ein Sitzungscookie für die erste Authentifizierung, und jede weitere Anforderung verwendet dieses Cookie zur Authentifizierung. Unterstützung in NetScaler 11.0 Build 55.x eingeführt.

  • Kann mehrwertige Attribute in einer SAML-Assertion senden. Unterstützung in NetScaler 11.0 Build 64.x eingeführt.

  • Unterstützt Post- und Umleitungsbindungen. Unterstützung für Umleitungsbindungen wird in NetScaler 11.0 Build 64.x eingeführt. Die Unterstützung für die Artefaktbindung wird in Citrix ADC Version 13.0 Build 36.27 eingeführt.

  • Kann die Gültigkeit einer SAML-Assertion angeben.

    Wenn die Systemzeit für Citrix ADC-SAML-IdP und der Peer-SAML-SP nicht synchron ist, werden die Nachrichten möglicherweise von beiden Parteien ungültig. Um solche Fälle zu vermeiden, können Sie jetzt die Zeitdauer konfigurieren, für die die Assertions gültig sind.

    Diese Dauer, die sogenannte Schrägzeit, gibt die Anzahl der Minuten an, für die die Nachricht akzeptiert werden muss. Die Verzerrungszeit kann auf dem SAML-SP und dem SAML-IdP konfiguriert werden.

    Hinweis:

    Unterstützung in NetScaler 11.0 Build 64.x eingeführt.

  • Kann so konfiguriert werden, dass Assertions nur für SAML-SPs bereitgestellt werden, die auf dem IdP vorkonfiguriert oder vom IdP vertrauenswürdig sind. Für diese Konfiguration muss der SAML-IdP die Dienstanbieter-ID (oder Name des Ausstellers) der relevanten SAML-SPs haben. Unterstützung in NetScaler 11.0 Build 64.x eingeführt.

    Hinweis:

    Bevor Sie fortfahren, stellen Sie sicher, dass Sie über einen virtuellen Authentifizierungsserver verfügen, der mit einem LDAP-Authentifizierungsserver verknüpft ist.

So konfigurieren Sie eine Citrix ADC Appliance als SAML-IdP mit der Befehlszeilenschnittstelle

  1. Konfigurieren Sie ein SAML-IdP-Profil.

    Beispiel

    Hinzufügen von Citrix ADC Appliance als IdP mit SiteMinder als SP.

    add authentication samlIdPProfile samlIDPProf1 -samlSPCertName siteminder-cert -encryptAssertion ON -samlIdPCertName ns-cert -assertionConsumerServiceURL http://sm-proxy.nsi-test.com:8080/affwebservices/public/saml2assertionconsumer -rejectUnsignedRequests ON -signatureAlg RSA-SHA256 -digestMethod SHA256

  2. Konfigurieren Sie die SAML-Authentifizierungsrichtlinie, und ordnen Sie das SAML-IdP-Profil als Aktion der Richtlinie zu.

    add authentication samlIdPPolicy samlIDPPol1 -rule true -action samlIDPProf1

  3. Binden Sie die Richtlinie an den virtuellen Authentifizierungsserver.

    bind authentication vserver saml-auth-vserver -policy samlIDPPol1 -priority 100

So konfigurieren Sie eine Citrix ADC Appliance als SAML-IdP mit der GUI

  1. Konfigurieren Sie das SAML-IdP-Profil und die Richtlinie.

    Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > SAML-IDP, erstellen Sie eine Richtlinie mit SAML-IdP als Aktionstyp, und ordnen Sie der Richtlinie das erforderliche SAML-IdP-Profil zu.

  2. Ordnen Sie die SAML-IdP-Richtlinie einem virtuellen Authentifizierungsserver zu.

    Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Virtuelle Server, und ordnen Sie die SAML-IdP-Richtlinie dem virtuellen Authentifizierungsserver zu.

Unterstützung für Artefaktbindung im SAML-IdP

Die als SAML Identity Provider (IdP) konfigurierte Citrix ADC Appliance unterstützt die Artefaktbindung. Die Artefaktbindung erhöht die Sicherheit des SAML-IdP und schränkt die böswilligen Benutzer davon ab, die Behauptung zu überprüfen.

Assertion Consumer Service-URL-Unterstützung für SAML-IdP

Eine Citrix ADC Appliance, die als SAML Identity Provider (IdP) konfiguriert ist, unterstützt jetzt die Assertion Consumer Service (ACS) Indizierung zur Verarbeitung von SAML Service Provider (SP) -Anforderung. Der SAML-IdP importiert die ACS-Indexkonfiguration aus SP-Metadaten oder ermöglicht die manuelle Eingabe von ACS-Indizes.