In Authentifizierung, Autorisierung und Auditing des Anwendungsdatenverkehrs
In Citrix ADC 13.0
In Citrix ADC
In All products
Produktdokumentation
In Authentifizierung, Autorisierung und Auditing des Anwendungsdatenverkehrs
In Citrix ADC 13.0
In Citrix ADC
In All products
Citrix ADC
Current Release 12.1 11.1
PDF anzeigen

Citrix ADC als SAML-IdP

January 19, 2021
Beigesteuert von: 
C

Der SAML-IdP (Identity Provider) ist eine SAML-Entität, die im Kundennetzwerk bereitgestellt wird. Der IdP empfängt Anforderungen vom SAML-SP und leitet Benutzer auf eine Anmeldeseite um, auf der sie ihre Anmeldeinformationen eingeben müssen. Der IdP authentifiziert diese Anmeldeinformationen beim Active Directory (externer Authentifizierungsserver wie LDAP) und generiert dann eine SAML-Assertion, die an den SP gesendet wird.

Der SP überprüft das Token, und dem Benutzer wird dann Zugriff auf die angeforderte geschützte Anwendung gewährt.

Wenn die Citrix ADC Appliance als IdP konfiguriert ist, werden alle Anforderungen von einem virtuellen Authentifizierungsserver empfangen, der dem relevanten SAML-IdP-Profil zugeordnet ist.

Hinweis:

Eine Citrix ADC Appliance kann als IdP in einer Bereitstellung verwendet werden, in der der SAML-SP entweder auf der Appliance oder auf einem externen SAML-SP konfiguriert ist.

Bei Verwendung als SAML-IdP gilt eine Citrix ADC-Appliance:

  • Unterstützt alle Authentifizierungsmethoden, die für herkömmliche Anmeldungen unterstützt werden.

  • Signiert Behauptungen digital.

  • Unterstützt Ein-Faktor- und Zwei-Faktor-Authentifizierung. SAML darf nicht als sekundärer Authentifizierungsmechanismus konfiguriert werden.

  • Kann Assertionen mit dem öffentlichen Schlüssels des SAML-SP verschlüsseln. Dies wird empfohlen, wenn die Assertion vertrauliche Informationen enthält.

  • Kann so konfiguriert werden, dass nur digital signierte Anforderungen vom SAML-SP akzeptiert werden.

  • Kann sich mit den folgenden 401-basierten Authentifizierungsmechanismen beim SAML-IdP anmelden: Negotiate, NTLM und Certificate.

  • Kann so konfiguriert werden, dass zusätzlich zum NameID-Attribut 16 Attribute gesendet werden. Die Attribute müssen vom entsprechenden Authentifizierungsserver extrahiert werden. Für jeden von ihnen können Sie den Namen, den Ausdruck, das Format und einen Anzeigenamen im SAML-IdP-Profil angeben.

  • Wenn die Citrix ADC-Appliance als SAML-IdP für mehrere SAML-SP konfiguriert ist, kann ein Benutzer Zugriff auf Anwendungen auf den verschiedenen SPs erhalten, ohne sich jedes Mal explizit zu authentifizieren. Die Citrix ADC-Appliance erstellt ein Sitzungscookie für die erste Authentifizierung, und jede weitere Anforderung verwendet dieses Cookie zur Authentifizierung.

  • Kann mehrwertige Attribute in einer SAML-Assertion senden.

  • Unterstützt Post- und Umleitungsbindungen. Die Unterstützung für die Artefaktbindung wird in Citrix ADC Version 13.0 Build 36.27 eingeführt.

  • Kann die Gültigkeit einer SAML-Assertion angeben.

    Wenn die Systemzeit für Citrix ADC-SAML-IdP und der Peer-SAML-SP nicht synchron ist, werden die Nachrichten möglicherweise von beiden Parteien ungültig. Um solche Fälle zu vermeiden, können Sie jetzt die Zeitdauer konfigurieren, für die die Assertions gültig sind.

    Diese Dauer, die sogenannte Schrägzeit, gibt die Anzahl der Minuten an, für die die Nachricht akzeptiert werden muss. Die Verzerrungszeit kann auf dem SAML-SP und dem SAML-IdP konfiguriert werden.

  • Kann so konfiguriert werden, dass Assertions nur für SAML-SPs bereitgestellt werden, die auf dem IdP vorkonfiguriert oder vom IdP vertrauenswürdig sind. Für diese Konfiguration muss der SAML-IdP die Dienstanbieter-ID (oder Name des Ausstellers) der relevanten SAML-SPs haben.

    Hinweis:

    Bevor Sie fortfahren, stellen Sie sicher, dass Sie über einen virtuellen Authentifizierungsserver verfügen, der mit einem LDAP-Authentifizierungsserver verknüpft ist.

So konfigurieren Sie eine Citrix ADC Appliance als SAML-IdP mit der Befehlszeilenschnittstelle

  1. Konfigurieren Sie ein SAML-IdP-Profil.

    Beispiel

    Hinzufügen von Citrix ADC Appliance als IdP mit SiteMinder als SP.

    add authentication samlIdPProfile samlIDPProf1 -samlSPCertName siteminder-cert -encryptAssertion ON -samlIdPCertName ns-cert -assertionConsumerServiceURL http://sm-proxy.nsi-test.com:8080/affwebservices/public/saml2assertionconsumer -rejectUnsignedRequests ON -signatureAlg RSA-SHA256 -digestMethod SHA256

  2. Konfigurieren Sie die SAML-Authentifizierungsrichtlinie, und ordnen Sie das SAML-IdP-Profil als Aktion der Richtlinie zu.

    add authentication samlIdPPolicy samlIDPPol1 -rule true -action samlIDPProf1

  3. Binden Sie die Richtlinie an den virtuellen Authentifizierungsserver.

    bind authentication vserver saml-auth-vserver -policy samlIDPPol1 -priority 100

    Weitere Informationen zum Befehl finden Sie unter https://developer-docs.citrix.com/projects/citrix-adc-command-reference/en/latest/authentication/authentication-samlIdPProfile/

So konfigurieren Sie eine Citrix ADC Appliance als SAML-IdP mit der GUI

  1. Konfigurieren Sie das SAML-IdP-Profil und die Richtlinie.

    Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > SAML-IDP, erstellen Sie eine Richtlinie mit SAML-IdP als Aktionstyp, und ordnen Sie der Richtlinie das erforderliche SAML-IdP-Profil zu.

  2. Ordnen Sie die SAML-IdP-Richtlinie einem virtuellen Authentifizierungsserver zu.

    Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Virtuelle Server, und ordnen Sie die SAML-IdP-Richtlinie dem virtuellen Authentifizierungsserver zu.

Citrix ADC als SAML-IdP
January 19, 2021
Beigesteuert von: 
C
January 19, 2021
Beigesteuert von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Hinweise | Cookie-Einstellungen | Consent settings
© 1999- Citrix Systems, Inc. All rights reserved.