Citrix ADC

Zusätzliche Funktionen, die für SAML unterstützt werden

Die folgenden Funktionen werden für SAML unterstützt.

Metadaten-Lese- und Generierungsunterstützung für SAML SP und IdP Konfiguration

Citrix ADC Appliance unterstützt nun Metadatendateien als Konfigurationsentitäten für SAML Service Provider (SP) und Identity Provider (IdP). Die Metadatendatei ist eine strukturierte XML-Datei, die die Konfiguration einer Entität beschreibt. Die Metadatendateien für SP und IdP sind getrennt. Basierend auf der Bereitstellung und manchmal kann eine SP- oder IdP-Entität mehrere Metadatendateien enthalten. Als Administrator können Sie Metadatendateien (SAML SP und IdP) in Citrix ADC exportieren und importieren. Die Funktionen des Exports und Imports von Metadaten für SAML SP und IdP werden in den folgenden Abschnitten erläutert.

Metadatenexport für SAML SP

Betrachten Sie ein Beispiel, in dem Citrix ADC als SAML-SP konfiguriert ist und ein SAML-IdP Metadaten importieren möchte, die die Citrix ADC SP-Konfiguration enthalten. Angenommen, die Citrix ADC Appliance ist bereits mit einem Attribut “SAMLAction” konfiguriert, das die SAML-SP-Konfiguration angibt.

Um Metadaten von Benutzern oder Administratoren zu exportieren, fragen Sie Citrix Gateway oder den virtuellen Authentifizierungsserver wie folgt ab:

https://vserver.company.com/metadata/samlsp/<action-name>

Metadatenimport für SAML SP

Derzeit nimmt die SAML-Action-Konfiguration auf der Citrix ADC Appliance verschiedene Parameter an. Der Administrator legt diese manuell fest. Administratoren sind sich jedoch oft nicht der Nomenklatur bewusst, wenn es darum geht, mit verschiedenen SAML-Systemen zu interoperieren. Wenn Metadaten des IdP verfügbar sind, kann ein Großteil der Konfiguration in der Entität ‘SAMLAction’ vermieden werden. Tatsächlich kann die gesamte IdP-spezifische Konfiguration weggelassen werden, wenn die IdP-Metadatendatei angegeben wird. Die Entität ‘SAMLAction’ verwendet nun einen zusätzlichen Parameter, um die Konfiguration aus der Metadatendatei zu lesen.

Wenn Sie Metadaten in eine Citrix ADC Appliance importieren, enthalten die Metadaten keine zu verwendenden Signaturalgorithmen, sondern die Endpunktdetails. Metadaten können mit bestimmten Algorithmen signiert werden, die verwendet werden können, um die Metadaten selbst zu überprüfen. Die Algorithmen werden nicht in der Entität ‘SAMLAction’ gespeichert.

Daher werden die Daten, die Sie in der Entität ‘SAMLAction’ angeben, die beim Senden der Daten verwendet werden. Eingehende Daten können einen anderen Algorithmus für die Verarbeitung einer Citrix ADC Appliance enthalten.

Abrufen der Metadatendateien mit der Befehlszeilenschnittstelle.

set samlAction <name> [-metadataUrl <url> [-metadataRefreshInterval <int>] https://idp.citrix.com/samlidp/metadata.xml

Hinweis:

Der Parameter MetadataRefreshInterval ist das Intervall in Minuten zum Abrufen von Metadateninformationen aus der angegebenen Metadaten-URL. Standardwert 36000.

Metadatenimport für SAML-IdP

Der Parameter “samlIdPProfile” verwendet ein neues Argument, um die gesamte Konfiguration zu lesen, die spezifisch für SP ist. Die SAML-IdP-Konfiguration kann vereinfacht werden, indem SP-spezifische Eigenschaften durch eine SP-Metadatendatei ersetzt werden. Diese Datei wird über HTTP abgefragt.

So lesen Sie die Metadatendatei über die Befehlszeilenschnittstelle:

set samlIdPProfile <name> [-metadataUrl <url>] [-metadataRefreshInterval <int>]

Name-Wert-Attribut-Unterstützung für SAML-Authentifizierung

Sie können nun SAML-Authentifizierungsattribute mit einem eindeutigen Namen zusammen mit Werten konfigurieren. Die Namen werden im SAML-Aktionsparameter konfiguriert und die Werte werden durch Abfrage der Namen abgerufen. Durch Angabe des Name-Attributwerts können Administratoren problemlos nach dem Attributwert suchen, der dem Attributnamen zugeordnet ist. Außerdem müssen sich Administratoren das Attribut nicht mehr allein nach seinem Wert merken.

Wichtig

  • Im samlAction-Befehl können Sie maximal 64 Attribute durch Komma getrennt mit der Gesamtgröße kleiner als 2048 Bytes konfigurieren.
  • Citrix empfiehlt, die Attributliste zu verwenden. Die Verwendung von Attribut 1 bis Attribut 16 führt zu einem Sitzungsfehler, wenn die extrahierte Attributgröße groß ist.

So konfigurieren Sie die Name-Wert-Attribute mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication samlAction <name> [-Attributes <string>]

Beispiel:

add authentication samlAction samlAct1 -attributes “mail,sn,userprincipalName”

Assertion Consumer Service-URL-Unterstützung für SAML-IdP

Eine Citrix ADC Appliance, die als SAML Identity Provider (IdP) konfiguriert ist, unterstützt jetzt die Assertion Consumer Service (ACS) Indizierung zur Verarbeitung von SAML Service Provider (SP) -Anforderung. Der SAML-IdP importiert die ACS-Indexkonfiguration aus SP-Metadaten oder ermöglicht die manuelle Eingabe von ACS-Indizes. In der folgenden Tabelle sind einige Artikel aufgeführt, die spezifisch für Bereitstellungen sind, bei denen die Citrix ADC Appliance als SAML-SP oder SAML-IdP verwendet wird.

In der folgenden Tabelle sind einige Artikel aufgeführt, die spezifisch für Bereitstellungen sind, bei denen die Citrix ADC Appliance als SAML-SP oder SAML-IdP verwendet wird.

SAML SP SAML-Identitätsanbieter Informationslink
Citrix ADC Microsoft Azure AD Citrix Support
Okta Citrix ADC Citrix Support
AWS Citrix ADC Citrix Support

Einige Informationen zu anderen spezifischen Bereitstellungen:

Unterstützung von WebView-Anmeldeinformationen für Authentifizierungsmechanismen

Die Authentifizierung einer Citrix ADC Appliance kann nun das Authv3-Protokoll unterstützen. Der WebView-Anmeldeinformationstyp im Authv3-Protokoll unterstützt alle Arten von Authentifizierungsmechanismen (einschließlich SAML und OAuth). Der WebView-Anmeldeinformationstyp ist Teil von AuthV3, das von Citrix Receiver und Browser in Webanwendungen implementiert wird.

Im folgenden Beispiel wird der Ablauf von WebView-Ereignissen über Citrix Gateway und Citrix Receiver erläutert:

  1. Citrix Receiver verhandelt mit Citrix Gateway für Authv3-Protokollunterstützung.
  2. Citrix ADC Appliance reagiert positiv und schlägt eine bestimmte Start-URL vor.
  3. Citrix Receiver stellt dann eine Verbindung mit dem spezifischen Endpunkt (URL) her.
  4. Citrix Gateway sendet eine Antwort an den Client, um das WebView zu starten.
  5. Citrix Receiver startet WebView und sendet die erste Anforderung an die Citrix ADC Appliance.
  6. Die Citrix ADC Appliance leitet den URI an den Browser-Anmeldeendpunkt um.
  7. Sobald die Authentifizierung abgeschlossen ist, sendet die Citrix ADC Appliance die Abschlussantwort an WebView.
  8. Das WebView wird nun beendet und gibt Citrix Receiver die Kontrolle zurück, um das Authv3-Protokoll für die Sitzungseinrichtung fortzusetzen.

Erhöhung der Sessionindexgröße in SAML SP

Die Sessionindexgröße des SAML-Dienstanbieters (SP) wird auf 96 Bytes erhöht. Zuvor war die standardmäßige maximale Größe von SessionIndex 63 Byte.

Hinweis:

Unterstützung eingeführt in NetScaler 13.0 Build 36.x

Benutzerdefinierte Authentifizierungsklassen-Referenzunterstützung für SAML SP

Sie können das benutzerdefinierte Authentifizierungsklassenreferenzattribut im SAML-Aktionsbefehl konfigurieren. Mit dem benutzerdefinierten Authentifizierungsklassenreferenzattribut können Sie die Klassennamen in den entsprechenden SAML-Tags anpassen. Das benutzerdefinierte Authentifizierungsklassenreferenzattribut zusammen mit dem Namespace wird als Teil der SAML SP-Authentifizierungsanforderung an den SAML-IdP gesendet.

Zuvor konnten Sie mit dem SAML-Aktionsbefehl nur einen Satz vordefinierter Klassen konfigurieren, die im Attribut authnCtxClassRef definiert sind.

Wichtig

Stellen Sie beim Konfigurieren des Attributs customAuthnCtxClassRef Folgendes sicher:

  • Die Namen der Klassen müssen alphanumerische Zeichen oder eine gültige URL mit entsprechenden XML-Tags enthalten.
  • Wenn Sie mehrere benutzerdefinierte Klassen konfigurieren müssen, muss jede Klasse durch Kommas getrennt sein

So konfigurieren Sie die customAuthnCtxClassRef-Attribute mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add authentication samlAction <name> [-customAuthnCtxClassRef <string>]
  • set authentication samlAction <name> [-customAuthnCtxClassRef <string>]

Beispiel:

  • add authentication samlAction samlact1 –customAuthnCtxClassRef http://www.class1.com/LoA1,http://www.class2.com/LoA2
  • set authentication samlAction samlact2 –customAuthnCtxClassRef http://www.class3.com/LoA1,http://www.class4.com/LoA2

So konfigurieren Sie die customAuthnCtxClassRef-Attribute mit der GUI

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > SAML.
  2. Wählen Sie auf der Seite SAML die Registerkarte Server und klicken Sie auf Hinzufügen .
  3. Geben Sie auf der Seite Authentifizierungs-SAML-Server erstellen den Namen für die SAML-Aktion ein.
  4. Führen Sie einen Bildlauf nach unten durch, um die Klassentypen im Abschnitt Benutzerdefinierte Authentifizierungsklassentypen zu konfigurieren.

    Benutzerdefinierte Authentifizierungsklassentypen

Unterstützung für Artefaktbindung im SAML-IdP

Die als SAML Identity Provider (IdP) konfigurierte Citrix ADC Appliance unterstützt die Artefaktbindung. Die Artefaktbindung erhöht die Sicherheit des SAML-IdP und schränkt die böswilligen Benutzer davon ab, die Behauptung zu überprüfen.

Assertion Consumer Service-URL-Unterstützung für SAML-IdP

Eine Citrix ADC Appliance, die als SAML Identity Provider (IdP) konfiguriert ist, unterstützt jetzt die Assertion Consumer Service (ACS) Indizierung zur Verarbeitung von SAML Service Provider (SP) -Anforderung. Der SAML-IdP importiert die ACS-Indexkonfiguration aus SP-Metadaten oder ermöglicht die manuelle Eingabe von ACS-Indizes.

Unterstützung für FIPS-Offload

Eine Citrix ADC MPX FIPS-Appliance, die als SAML-Dienstanbieter verwendet wird, unterstützt jetzt verschlüsselte Assertions. Außerdem kann eine Citrix ADC MPX FIPS-Appliance, die als SAML-Dienstanbieter oder SAML-Identitätsanbieter fungiert, jetzt für die Verwendung der SHA2-Algorithmen auf FIPS-Hardware konfiguriert werden.

Hinweis:

Im FIPS-Modus wird nur der RSA-V1_5-Algorithmus als Schlüsseltransportalgorithmus unterstützt.

Konfigurieren der FIPS-Offload-Unterstützung über die Befehlszeilenschnittstelle:

  1. SSL-FIPS hinzufügen

    add ssl fipsKey fips-key

  2. Erstellen Sie einen CSR, und verwenden Sie ihn auf dem CA-Server, um ein Zertifikat zu generieren. Anschließend können Sie das Zertifikat in /nsconfig/sslkopieren. Nehmen wir an, dass die Datei fips3cert.cerist.

    add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key<!--NeedCopy-->

  3. Geben Sie dieses Zertifikat in der SAML-Aktion für SAML SP-Modul an.

    set samlAction <name> -samlSigningCertName fips-cert<!--NeedCopy-->

  4. Verwenden des Zertifikats im samlIdpProfile für SAML-IDP-Modul

    set samlidpprofile fipstest –samlIdpCertName fips-cert<!--NeedCopy-->

Gemeinsame SAML-Terminologien

Im Folgenden sind einige gängige SAML-Terminologien aufgeführt:

  • Behauptung: Eine SAML-Assertion ist ein XML-Dokument, das vom Identity Provider nach der Authentifizierung des Benutzers an den Service Provider zurückgegeben wird. Die Behauptung hat eine sehr spezifische Struktur, wie sie vom SAML-Standard definiert ist.

  • Arten von Behauptungen: Im Folgenden sind die Arten der Behauptung aufgeführt.

    • Authentifizierung - Der Benutzer wird zu einem bestimmten Zeitpunkt auf bestimmte Weise authentifiziert
    • Autorisierung - dem Benutzer wurde der Zugriff auf eine bestimmte Ressource gewährt oder verweigert
    • Attribute - der Benutzer ist mit den angegebenen Attributen verknüpft
  • Assertion Consumer Service (ACS): Der Endpunkt (URL) des Dienstanbieters, der für den Empfang und das Parsen einer SAML-Assertion verantwortlich ist

  • Zielgruppeneinschränkung: Ein Wert innerhalb der SAML-Behauptung, der angibt, für wen (und nur wer) die Behauptung bestimmt ist. Die “Zielgruppe” ist der Dienstanbieter und ist in der Regel eine URL, kann jedoch technisch als beliebige Datenfolge formatiert werden.

  • Identity Provider (IdP): In Bezug auf SAML ist der Identity Provider die Entität, die die Identität des Nutzers als Antwort auf eine Anfrage des Dienstanbieters überprüft.

    Der Identity Provider ist verantwortlich für die Pflege und Authentifizierung der Identität des Nutzers

  • Service Provider (SP): In Bezug auf SAML bietet der Service Provider (SP) dem Benutzer einen Dienst an und ermöglicht dem Benutzer, sich mit SAML anzumelden. Wenn der Benutzer versucht, sich anzumelden, sendet der SP eine SAML-Authentifizierungsanforderung an den Identity Provider (IdP)

  • SAML Binding: SAML-Anforderer und -Responder kommunizieren, indem sie Nachrichten austauschen. Der Mechanismus zum Transportieren dieser Nachrichten wird als SAML-Bindung bezeichnet.

  • HTTP Artifact: Eine der Bindungsoptionen, die vom SAML-Protokoll unterstützt wird. HTTP-Artefakt ist in Szenarien nützlich, in denen der SAML-Anforderer und Responder einen HTTP-User-Agent verwendet und weder aus technischen noch aus Sicherheitsgründen die gesamte Nachricht übertragen möchte. Stattdessen wird ein SAML-Artefakt gesendet, das eine eindeutige ID für die vollständigen Informationen ist. Der IdP kann dann das Artefakt verwenden, um die vollständigen Informationen abzurufen. Der Artefakt-Aussteller muss den Status beibehalten, solange das Artefakt aussteht. Es muss ein Artifact Resolution Service (ARS) eingerichtet werden.

    HTTP Artifact sendet das Artefakt als Abfrageparameter.

  • HTTP POST: Eine der Bindungsoptionen, die vom SAML-Protokoll unterstützt wird.

    HTTP POST sendet den Nachrichteninhalt als POST-Parameter in der Payload.

  • HTTP Redirect: Eine der Bindungsoptionen, die vom SAML-Protokoll unterstützt wird.

    Wenn HTTP Redirect verwendet wird, leitet der Service Provider den Benutzer an den Identity Provider weiter, wo die Anmeldung stattfindet, und der Identity Provider leitet den Benutzer zurück an den Dienstanbieter. HTTP Redirect erfordert Eingriffe des User-Agents (des Browsers).

    HTTP Redirect sendet den Nachrichteninhalt in der URL. Aus diesem Grund kann es nicht für die SAML-Antwort verwendet werden, da die Größe der Antwort in der Regel die von den meisten Browsern zulässige URL-Länge überschreitet.

    Hinweis: Die Citrix ADC Appliance unterstützt POST- und Redirect-Bindungen während der Abmeldung.

  • Metadaten: Metadaten sind die Konfigurationsdaten in SP und IDP, um zu wissen, wie man miteinander kommuniziert, was in XML-Standards enthalten ist

Weitere nützliche Citrix Artikel im Zusammenhang mit SAML-Authentifizierung

Möglicherweise finden Sie die folgenden Artikel im Zusammenhang mit SAML-Authentifizierung hilfreich.