Citrix ADC

Konfigurieren Sie Azure AD als SAML IdP und Citrix ADC als SAML SP

Der SAML Service Provider (SP) ist eine SAML-Entität, die vom Dienstanbieter bereitgestellt wird. Wenn ein Benutzer versucht, auf eine geschützte Anwendung zuzugreifen, wertet der SP die Clientanforderung aus. Wenn der Client nicht authentifiziert ist (hat kein gültiges NSC_TMAA oder NSC_TMAS Cookie), leitet der SP die Anforderung an den SAML Identity Provider (IdP) um. Der SP validiert auch SAML-Assertions, die vom IdP empfangen werden.

Der SAML-IdP (Identity Provider) ist eine SAML-Entität, die im Kundennetzwerk bereitgestellt wird. Der IdP empfängt Anforderungen vom SAML-SP und leitet Benutzer auf eine Anmeldeseite um, auf der sie ihre Anmeldeinformationen eingeben müssen. Der IdP authentifiziert diese Anmeldeinformationen mit dem Benutzerverzeichnis (externer Authentifizierungsserver, z. B. LDAP) und generiert dann eine SAML-Assertion, die an den SP gesendet wird. Der SP überprüft das Token, und dem Benutzer wird dann Zugriff auf die angeforderte geschützte Anwendung gewährt.

Das folgende Diagramm zeigt den SAML-Authentifizierungsmechanismus.

SAML-Mechanismus

Azure AD-Seitige Konfigurationen

Konfigurieren Sie Single-Sign-On-Einstellungen:

  1. Klicken Sie im Azure-Portal auf Azure Active Directory.

  2. Klicken Sie im Navigationsbereich unter Verwalten auf Unternehmensanwendungen. Ein Zufallsbeispiel der Anwendungen in Ihrem Azure AD-Mandanten wird angezeigt.

  3. Geben Sie in der Suchleiste Citrix ADC ein.

    SAML-Anwendung ADC

  4. Wählen Sie im Abschnitt Verwalten die Option Single Sign-On aus.

  5. Wählen Sie SAML aus, um Single Sign-On zu konfigurieren. Die Seite Single Sign-On mit SAML einrichten - Vorschau wird angezeigt. Hier fungiert Azure als SAML-IdP.

  6. Laden Sie das Zertifikat (Base64) herunter, das unter dem SAML-Signaturzertifikat vorhanden ist, um als SamlidPcertName verwendet zu werden, während Citrix ADC als SAML-SP konfiguriert wird.

    SAML einrichten sso

  7. Konfigurieren Sie grundlegende SAML-Optionen:

    Identifikator (Entity ID) - Für einige Apps erforderlich. Identifiziert eindeutig die Anwendung, für die Single Sign-On konfiguriert wird. Azure AD sendet den Bezeichner als Zielgruppenparameter des SAML-Tokens an die Anwendung. Es wird erwartet, dass die Anwendung sie validiert. Dieser Wert wird auch als Entitäts-ID in allen SAML-Metadaten angezeigt, die von der Anwendung bereitgestellt werden.

    Antwort URL - Obligatorisch. Gibt an, wo die Anwendung das SAML-Token erwartet. Die Antwort-URL wird auch als Assertion Consumer Service (ACS) -URL bezeichnet.

    Anmelde-URL - Wenn ein Benutzer diese URL öffnet, leitet der Dienstanbieter zu Azure AD um, um sich zu authentifizieren und den Benutzer anzumelden.

    Relay-Status - Gibt an die Anwendung an, in die der Benutzer nach Abschluss der Authentifizierung umgeleitet werden soll.

Citrix ADC seitliche Konfigurationen

  1. Navigieren Sie zu Sicherheit>AAA-Richtlinien>Authentifizierung> Grundrichtlinien>SAML.

  2. Wählen Sie die Registerkarte Server aus, klicken Sie auf Hinzufügen, geben Sie Werte für die folgenden Parameter ein und klicken Sie auf Erstellen.

    Parameter-Beschreibung:

    Der Wert für fett gedruckte Parameter muss den Azure-Seitenkonfigurationen entnommen werden.

    Name - Name des Servers

    URL umleiten - Geben Sie die zuvor verwendete Anmelde-URL im Abschnitt Azure AD “Setup Citrix ADC” ein. https://login.microsoftonline.com/3e6d1786-4e0c-4c70-86d2-ae7811f97f79/saml2

    Einzelne Abmelde-URL - https://login.microsoftonline.com/3e6d1786-4e0c-4c70-86d2-ae7811f97f79/saml2

    SAML-Bindung - POST

    Logout Bindung - REDIRECT

    Name des IDP-Zertifikats - IDPcert-Zertifikat (Base64) unter SAML-Signaturzertifikat vorhanden.

    Benutzerfeld - UserPrincipalName. Aus dem Abschnitt “Benutzerattribute und Ansprüche” von Azure IdP entnommen.

    Signierzertifikatname - Für Azure AD nicht erforderlich. Wählen Sie das SAML SP-Zertifikat (mit privatem Schlüssel) aus, das Citrix ADC verwendet, um Authentifizierungsanforderungen an den IdP zu signieren. Das gleiche Zertifikat (ohne privaten Schlüssel) muss in den IdP importiert werden, damit der IdP die Signatur der Authentifizierungsanforderung überprüfen kann. Dieses Feld wird von den meisten IDPs nicht benötigt.

    issuerName - Identifikator. https://idp.g.nssvctesting.net

    Unsignierte Assertion ablehnen - EIN

    Zielgruppe - Zielgruppe, für die vom IdP gesendete Assertion anwendbar ist. Dies ist normalerweise der Entitätsname oder die URL, die ServiceProvider repräsentiert.

    Signaturalgorithmus - RSA-SHA256

    Digest-Methode - SHA256

    Standard-Authentifizierungsgruppe - Die Standardgruppe, die ausgewählt wird, wenn die Authentifizierung zusätzlich zu extrahierten Gruppen erfolgreich ist.

    Gruppennamenfeld - Name des Tags in Assertion, das Benutzergruppen enthält.

    Skew Time (min) - Diese Option gibt die zulässige Taktverzerrung in der Anzahl von Minuten an, die Citrix ADC ServiceProvider für eine eingehende Assertion zulässt.

    Zwei-Faktor - AUS

    Angeforderter Authentifizierungskontext - genau

    Typ der Authentifizierung - Keine

    Fingerabdruck senden - AUS

    Benutzernamen erzwingen - EIN

    Authentifizierung erzwingen - AUS

    SAML Response speichern - AUS

Erstellen Sie in ähnlicher Weise eine entsprechende SAML-Richtlinie und binden Sie sie an den virtuellen Authentifizierungsserver.

Hinweis: Azure AD erwartet das Feld Betreff-ID in der SAML-Anfrage nicht. Damit Citrix ADC das Feld Betreff-ID nicht sendet, geben Sie den folgenden Befehl an der Citrix ADC-Eingabeaufforderung ein.

nsapimgr_wr.sh -ys call="ns_saml_dont_send_subject"

Konfigurieren Sie Azure AD als SAML IdP und Citrix ADC als SAML SP