NetScaler als SAML-IdP
Der SAML-IdP (Identity Provider) ist eine SAML-Entität, die im Kundennetzwerk bereitgestellt wird. Der IdP erhält Anfragen vom SAML-SP und leitet Benutzer zu einer Anmeldeseite weiter, auf der sie ihre Anmeldeinformationen eingeben müssen. Der IdP authentifiziert diese Anmeldeinformationen mit dem Active Directory (externer Authentifizierungsserver wie LDAP) und generiert dann eine SAML-Assertion, die an den SP gesendet wird.
Der SP überprüft das Token, und dem Benutzer wird dann Zugriff auf die angeforderte geschützte Anwendung gewährt.
Wenn die NetScaler Appliance als IdP konfiguriert ist, werden alle Anfragen von einem virtuellen Authentifizierungsserver empfangen, der mit dem entsprechenden SAML-IdP-Profil verknüpft ist.
Hinweis
Eine NetScaler Appliance kann als IdP in einer Bereitstellung verwendet werden, in der der SAML-SP entweder auf der Appliance oder auf einem externen SAML-SP konfiguriert ist.
Bei Verwendung als SAML-IdP eine NetScaler Appliance:
-
Unterstützt alle Authentifizierungsmethoden, die es für herkömmliche Anmeldungen unterstützt.
-
Signiert digital Behauptungen.
-
Unterstützt Einzelfaktor- und Zwei-Faktor-Authentifizierung. SAML darf nicht als sekundärer Authentifizierungsmechanismus konfiguriert werden.
-
Kann Assertionen mithilfe des öffentlichen Schlüssels des SAML-SP verschlüsseln. Dies wird empfohlen, wenn die Assertion sensible Informationen enthält.
-
Kann so konfiguriert werden, dass nur digital signierte Anfragen vom SAML-SP akzeptiert werden.
-
Kann sich mit den folgenden 401-basierten Authentifizierungsmechanismen am SAML-IdP anmelden: Negotiate, NTLM und Certificate.
-
Kann so konfiguriert werden, dass zusätzlich zum NameID-Attribut 16 Attribute gesendet werden. Die Attribute müssen vom entsprechenden Authentifizierungsserver extrahiert werden. Für jeden von ihnen können Sie den Namen, den Ausdruck, das Format und einen Anzeigenamen im SAML-IdP-Profil angeben.
-
Wenn die NetScaler Appliance als SAML-IdP für mehrere SAML-SP konfiguriert ist, kann ein Benutzer Zugriff auf Anwendungen auf den verschiedenen SPs erhalten, ohne sich jedes Mal explizit zu authentifizieren. Die NetScaler Appliance erstellt ein Sitzungscookie für die erste Authentifizierung, und jede nachfolgende Anforderung verwendet dieses Cookie zur Authentifizierung.
-
Kann mehrwertige Attribute in einer SAML-Assertion senden.
-
Unterstützt Post- und Umleitungsbindungen. Die Unterstützung für Artefaktbindung wird in NetScaler Release 13.0 Build 36.27 eingeführt.
-
Kann die Gültigkeit einer SAML-Assertion angeben.
Wenn die Systemzeit auf NetScaler SAML IdP und Peer-SAML-SP nicht synchron ist, werden die Nachrichten möglicherweise von beiden Parteien ungültig gemacht. Um solche Fälle zu vermeiden, können Sie jetzt die Zeitdauer festlegen, für die die Assertionen gültig sind.
Diese Dauer, die als “Skew-Zeit” bezeichnet wird, gibt die Anzahl der Minuten an, für die die Nachricht akzeptiert werden muss. Die Skew Time kann auf dem SAML-SP und dem SAML-IdP konfiguriert werden.
-
Kann so konfiguriert werden, dass Assertionen nur für SAML-SPs verwendet werden, die auf dem IdP vorkonfiguriert sind oder denen er vertraut. Für diese Konfiguration muss der SAML-IdP die Dienstanbieter-ID (oder den Namen des Ausstellers) der entsprechenden SAML-SPs haben.
Hinweis
Bevor Sie fortfahren, stellen Sie sicher, dass Sie über einen virtuellen Authentifizierungsserver verfügen, der mit einem LDAP-Authentifizierungsserver verknüpft ist.
Konfigurieren einer NetScaler Appliance als SAML-IdP mithilfe der Befehlszeilenschnittstelle
-
Konfigurieren Sie ein SAML-IdP-Profil.
Beispiel
Hinzufügen von NetScaler Appliance als IdP mit SiteMinder als SP.
add authentication samlIdPProfile samlIDPProf1 -samlSPCertName siteminder-cert -encryptAssertion ON -samlIdPCertName ns-cert -assertionConsumerServiceURL http://sm-proxy.nsi-test.com:8080/affwebservices/public/saml2assertionconsumer -rejectUnsignedRequests ON -signatureAlg RSA-SHA256 -digestMethod SHA256<!--NeedCopy--> -
Konfigurieren Sie die SAML-Authentifizierungsrichtlinie, und ordnen Sie das SAML-IdP-Profil als Aktion der Richtlinie zu.
add authentication samlIdPPolicy samlIDPPol1 -rule true -action samlIDPProf1<!--NeedCopy--> -
Binden Sie die Richtlinie an den virtuellen Authentifizierungsserver.
bind authentication vserver saml-auth-vserver -policy samlIDPPol1 -priority 100<!--NeedCopy-->Weitere Informationen zu dem Befehl finden Sie unter https://developer-docs.citrix.com/projects/citrix-adc-command-reference/en/latest/authentication/authentication-samlIdPProfile/
So konfigurieren Sie eine NetScaler Appliance als SAML-IdP mit der GUI
-
Konfigurieren Sie das SAML-IdP-Profil und die Richtlinie.
Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > SAML IDP, erstellen Sie eine Richtlinie mit SAML IdP als Aktionstyp und ordnen Sie der Richtlinie das erforderliche SAML-IdP-Profil zu.
-
Ordnen Sie die SAML-IdP-Richtlinie einem virtuellen Authentifizierungsserver zu.
Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Virtuelle Server, und ordnen Sie die SAML-IdP-Richtlinie dem virtuellen Authentifizierungsserver zu.