Citrix ADC als SAML-SP

Der SAML-Dienstanbieter (SP) ist eine SAML-Entität, die vom Dienstanbieter bereitgestellt wird. Wenn ein Benutzer versucht, auf eine geschützte Anwendung zuzugreifen, wertet der SP die Clientanforderung aus. Wenn der Client nicht authentifiziert ist (hat kein gültiges NSC_TMAA oder NSC_TMAS Cookie), leitet der SP die Anforderung an den SAML Identity Provider (IdP) um.

Der SP validiert auch SAML-Assertions, die vom IdP empfangen werden.

Wenn die Citrix ADC Appliance als SP konfiguriert ist, werden alle Benutzeranforderungen von einem virtuellen Server zur Datenverkehrsverwaltung (Lastausgleich oder Inhaltswechsel) empfangen, der der entsprechenden SAML-Aktion zugeordnet ist.

Die Citrix ADC Appliance unterstützt auch POST- und Umleitungs-Bindungen während der Abmeldung.

Hinweis:

Eine Citrix ADC Appliance kann als SAML-SP in einer Bereitstellung verwendet werden, in der der SAML-IdP entweder auf der Appliance oder auf einem externen SAML-IdP konfiguriert ist.

Bei Verwendung als SAML-SP gilt eine Citrix ADC Appliance:

  • Kann die Benutzerinformationen (Attribute) aus dem SAML-Token extrahieren. Diese Informationen können dann in den Richtlinien verwendet werden, die auf der Citrix ADC Appliance konfiguriert sind. Wenn Sie beispielsweise die Attribute GroupMember und Emailaddress extrahieren möchten, geben Sie im SAMLAction den Parameter Attribute2 als GroupMember und den Parameter Attribute3 als emailaddress an.

    Hinweis:

    Standardattribute wie Benutzername, Kennwort und Abmelde-URL dürfen nicht in den Attributen 1—16 extrahiert werden, da sie implizit analysiert und in der Sitzung gespeichert werden.

  • Kann Attributnamen von bis zu 127 Byte aus einer eingehenden SAML-Assertion extrahieren. Die vorherige Grenze betrug 63 Bytes. Unterstützung in NetScaler 11.0 Build 64.x eingeführt.

  • Unterstützt Post-, Umleitungs- und Artefakt-Bindungen. Die Unterstützung für Umleitungs- und Artefakt-Bindungen wird in NetScaler 11.0 Build 55.x eingeführt.

    Hinweis:

    Umleitungsbindung sollte nicht für große Datenmengen verwendet werden, wenn die Assertion nach dem Aufblasen oder Decodieren größer als 10K ist.

  • Kann Behauptungen entschlüsseln. Unterstützung in NetScaler 11.0 Build 55.x eingeführt.

  • Kann mehrwertige Attribute aus einer SAML-Assertion extrahieren. Diese Attribute werden gesendet verschachtelte XML-Tags wie:

    <AttributeValue> <AttributeValue>Wert1 </AttributeValue> <AttributeValue> Wert2 </AttributeValue> </AttributeValue>

    Wenn die Citrix ADC-Appliance mit vorherigem XML dargestellt wird, kann die Citrix ADC-Appliance sowohl Value1 als auch Value2 als Werte eines bestimmten Attributs extrahieren, im Gegensatz zu der alten Firmware, die nur Value1 extrahiert.

    Hinweis:

    Unterstützung in NetScaler 11.0 Build 64.x eingeführt.

  • Kann die Gültigkeit einer SAML-Assertion angeben.

    Wenn die Systemzeit für Citrix ADC-SAML-IdP und der Peer-SAML-SP nicht synchron ist, werden die Nachrichten möglicherweise von beiden Parteien ungültig. Um solche Fälle zu vermeiden, können Sie jetzt die Zeitdauer konfigurieren, für die die Assertions gültig sind.

    Diese Dauer, die als “Verzerrungszeit” bezeichnet wird, gibt die Anzahl der Minuten an, für die die Nachricht akzeptiert werden soll. Die Verzerrungszeit kann auf dem SAML-SP und dem SAML-IdP konfiguriert werden.

    Hinweis:

    Unterstützung in NetScaler 11.0 Build 64.x eingeführt.

  • Kann ein zusätzliches Attribut namens ‘ForceAuth’ in der Authentifizierungsanforderung an externen IdP (Identity Provider) senden. Standardmäßig ist ForceAuthn auf Falsch gesetzt. Es kann auf ‘True’ gesetzt werden, um IdP vorzuschlagen, um die Authentifizierung trotz vorhandener Authentifizierungskontext zu erzwingen. Außerdem führt Citrix ADC SP Authentifizierungsanforderung im Abfrageparameter durch, wenn mit Artefaktbindung konfiguriert wird.

So konfigurieren Sie die Citrix ADC Appliance mit der Befehlszeilenschnittstelle als SAML-SP

  1. Konfigurieren Sie eine SAML-SP-Aktion.

    Beispiel

    Mit dem folgenden Befehl wird eine SAML-Aktion hinzugefügt, die nicht authentifizierte Benutzeranforderungen umleitet.

    add authentication samlAction SamlSPAct1 -samlIdPCertName nssp –samlRedirectUrl https://auth1.example.com

  2. Konfigurieren Sie die SAML-Richtlinie.

    Beispiel

    Der folgende Befehl definiert eine SAML-Richtlinie, die die zuvor definierte SAML-Aktion auf den gesamten Datenverkehr anwendet.

    add authentication samlPolicy SamlSPPol1 ns_true SamlSPAct1

  3. Binden Sie die SAML-Richtlinie an den virtuellen Authentifizierungsserver.

    Beispiel

    Der folgende Befehl bindet die SAML-Richtlinie an einen virtuellen Authentifizierungsserver mit dem Namen av_saml.

    bind authentication vserver av_saml -policy SamlSPPol1

  4. Binden Sie den virtuellen Authentifizierungsserver an den entsprechenden virtuellen Server für die Datenverkehrsverwaltung.

    Beispiel

    Der folgende Befehl fügt einen virtuellen Lastausgleichsserver mit dem Namen lb1_ssl hinzu und ordnet den virtuellen Authentifizierungsserver mit dem Namen av_saml dem virtuellen Lastausgleichsserver zu. add lb vserver lb1_ssl SSL 10.217.28.224 443 -persistenceType NONE -cltTimeout 180 -AuthenticationHost auth1.example.com -Authentication ON -authnVsName av_saml

So konfigurieren Sie eine Citrix ADC Appliance als SAML-SP mit der GUI

  1. Konfigurieren Sie die SAML-Aktion und -Richtlinie.

    Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie, erstellen Sie eine Richtlinie mit SAML als Aktionstyp, und verknüpfen Sie die erforderliche SAML-Aktion mit der Richtlinie.

  2. Ordnen Sie die SAML-Richtlinie einem virtuellen Authentifizierungsserver zu.

    Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Server, und ordnen Sie die SAML-Richtlinie dem virtuellen Authentifizierungsserver zu.

  3. Ordnen Sie den Authentifizierungsserver dem entsprechenden virtuellen Server zur Datenverkehrsverwaltung zu.

    Navigieren Sie zu Traffic Management > Load Balancing (oder Content Switching ) > Virtuelle Server, wählen Sie den virtuellen Server aus, und ordnen Sie ihm den virtuellen Authentifizierungsserver zu.

Erhöhung der Sessionindexgröße in SAML SP

Die Sessionindexgröße des SAML-Dienstanbieters (SP) wird auf 96 Bytes erhöht. Zuvor war die standardmäßige maximale Größe von SessionIndex 63 Byte.

Benutzerdefinierte Authentifizierungsklassen-Referenzunterstützung für SAML SP

Sie können das benutzerdefinierte Authentifizierungsklassenreferenzattribut im SAML-Aktionsbefehl konfigurieren. Mit dem benutzerdefinierten Authentifizierungsklassenreferenzattribut können Sie die Klassennamen in den entsprechenden SAML-Tags anpassen. Das benutzerdefinierte Authentifizierungsklassenreferenzattribut zusammen mit dem Namespace wird als Teil der SAML SP-Authentifizierungsanforderung an den SAML-IdP gesendet.

Zuvor konnten Sie mit dem SAML-Aktionsbefehl nur einen Satz vordefinierter Klassen konfigurieren, die im Attribut authnCtxClassRef definiert sind.

Wichtig

Stellen Sie beim Konfigurieren des Attributs customAuthnCtxClassRef Folgendes sicher:

  • Die Namen der Klassen müssen alphanumerische Zeichen oder eine gültige URL mit entsprechenden XML-Tags enthalten.

  • Wenn Sie mehrere benutzerdefinierte Klassen konfigurieren müssen, muss jede Klasse durch Kommas getrennt sein.

So konfigurieren Sie die CustomAuthNCTXClassRef-Attribute mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add authentication samlAction <name> [-customAuthnCtxClassRef <string>]
  • set authentication samlAction <name> [-customAuthnCtxClassRef <string>]

Beispiel:

  • add authentication samlAction samlact1 –customAuthnCtxClassRef http://www.class1.com/LoA1,http://www.class2.com/LoA2
  • set authentication samlAction samlact2 –customAuthnCtxClassRef http://www.class3.com/LoA1,http://www.class4.com/LoA2

So konfigurieren Sie die CustomAuthNCTXClassRef-Attribute mit der GUI

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > SAML.
  2. Wählen Sie auf der Seite SAML die Registerkarte Server und klicken Sie auf Hinzufügen .
  3. Geben Sie auf der Seite Authentifizierungs-SAML-Server erstellen den Namen für die SAML-Aktion ein.
  4. Führen Sie einen Bildlauf nach unten durch, um die Klassentypen im Abschnitt Benutzerdefinierte Authentifizierungsklassentypen zu konfigurieren.

    Benutzerdefinierte Authentifizierungsklassentypen