SAML-Authentifizierung
Security Assertion Markup Language (SAML) ist ein XML-basierter Authentifizierungsmechanismus, der Single Sign-On-Funktionen bietet und vom OASIS Security Services Technical Committee definiert wird.
Hinweis:
Ab NetScaler 12.0 Build 51.x füllt die Citrix ADC Appliance, die als SAML-Dienstanbieter (SP) mit Multi-Factor (nFactor) -Authentifizierung verwendet wird, jetzt das Feld Benutzername auf der Anmeldeseite vorab aus. Die Appliance sendet ein NameID-Attribut als Teil einer SAML-Autorisierungsanforderung, ruft den NameID-Attributwert vom Citrix ADC SAML-Identitätsanbieter (IdP) ab und füllt das Feld Benutzername vorab aus.
Warum die SAML-Authentifizierung verwenden?
Betrachten Sie ein Szenario, in dem ein Dienstanbieter (LargeProvider) eine Reihe von Anwendungen für einen Kunden (BigCompany) hostet. BigCompany hat Benutzer, die nahtlos auf diese Anwendungen zugreifen müssen. In einem traditionellen Setup müsste LargeProvider eine Datenbank mit Benutzern von BigCompany pflegen. Dies wirft Bedenken für jeden der folgenden Interessengruppen auf:
- LargeProvider muss die Sicherheit der Benutzerdaten gewährleisten.
- BigCompany muss die Benutzer validieren und die Benutzerdaten auf dem neuesten Stand halten, nicht nur in der eigenen Datenbank, sondern auch in der von LargeProvider verwalteten Benutzerdatenbank. Beispielsweise muss ein Benutzer, der aus der BigCompany-Datenbank entfernt wurde, ebenfalls aus der LargeProvider-Datenbank entfernt werden.
- Ein Benutzer muss sich bei jeder der gehosteten Anwendungen einzeln anmelden.
Der SAML-Authentifizierungsmechanismus bietet einen alternativen Ansatz. Das folgende Deployment-Diagramm zeigt, wie SAML funktioniert (SP-initiierter Flow).
Die durch traditionelle Authentifizierungsmechanismen aufgeworfenen Bedenken werden wie folgt gelöst:
- LargeProvider muss keine Datenbank für BigCompany Benutzer pflegen. Von der Identitätsverwaltung befreit, kann sich LargeProvider auf die Bereitstellung besserer Services konzentrieren.
- BigCompany trägt nicht die Last, sicherzustellen, dass die LargeProvider-Benutzerdatenbank mit ihrer eigenen Benutzerdatenbank synchronisiert ist.
- Ein Benutzer kann sich einmal bei einer Anwendung anmelden, die auf LargeProvider gehostet wird, und automatisch bei den anderen dort gehosteten Anwendungen angemeldet werden.
Die Citrix ADC-Appliance kann als SAML Service Provider (SP) und SAML Identity Provider (IdP) bereitgestellt werden. Lesen Sie die relevanten Themen, um die Konfigurationen zu verstehen, die auf der Citrix ADC-Appliance ausgeführt werden müssen.
Eine Citrix ADC Appliance, die als SAML-Dienstanbieter konfiguriert ist, kann nun eine Überprüfung der Zielgruppeneinschränkung erzwingen. Die Zielgruppeneinschränkungsbedingung wird nur dann als Gültig ausgewertet, wenn die SAML-antwortende Partei Mitglied mindestens einer der angegebenen Zielgruppen ist.
Sie können eine Citrix ADC Appliance so konfigurieren, dass Attribute in SAML-Assertionen als Gruppenattribute analysiert werden. Wenn Sie sie als Gruppenattribute analysieren, kann die Appliance Richtlinien an die Gruppen binden.