Citrix Gateway

Konfigurieren der SAML-Authentifizierung

Die Security Assertion Markup Language (SAML) ist ein XML-basierter Standard für den Austausch von Authentifizierung und Autorisierung zwischen Identity Providern (IdP) und Dienstanbietern. Citrix Gateway unterstützt SAML-Authentifizierung.

Wenn Sie SAML-Authentifizierung konfigurieren, erstellen Sie die folgenden Einstellungen:

  • Name des IdP-Zertifikats. Dies ist der öffentliche Schlüssel, der dem privaten Schlüssel am IdP entspricht.
  • Umleitungs-URL. Dies ist die URL des Authentifizierungs-IdP. Benutzer, die nicht authentifiziert sind, werden zu dieser URL weitergeleitet.
  • Benutzerfeld. Sie können dieses Feld verwenden, um den Benutzernamen zu extrahieren, wenn der IdP den Benutzernamen in einem anderen Format als das NameIdentifier -Tag des Subject -Tags sendet. Dies ist eine optionale Einstellung.
  • Signaturzertifikatname. Dies ist der private Schlüssel des Citrix Gateway-Servers, der zum Signieren der Authentifizierungsanforderung an den IdP verwendet wird. Wenn Sie keinen Zertifikatnamen konfigurieren, wird die Assertion unsigniert gesendet oder die Authentifizierungsanforderung wird abgelehnt.
  • Name des SAML-Ausstellers. Dieser Wert wird verwendet, wenn die Authentifizierungsanforderung gesendet wird. Im Feld des Ausstellers muss ein eindeutiger Name vorhanden sein, um die Autorität anzugeben, von der die Behauptung gesendet wird. Dies ist ein optionales Feld.
  • Standardauthentifizierungsgruppe. Dies ist die Gruppe auf dem Authentifizierungsserver, von der Benutzer authentifiziert werden.
  • Zwei-Faktor-Faktor. Diese Einstellung aktiviert oder deaktiviert die Zwei-Faktor-Authentifizierung.
  • Vorzeichenlose Behauptung ablehnen. Wenn diese Option aktiviert ist, lehnt Citrix Gateway die Benutzerauthentifizierung ab, wenn der Name des Signaturzertifikats nicht konfiguriert ist.

Citrix Gateway unterstützt HTTP-Post-Bindung. In dieser Bindung antwortet der Absender an den Benutzer mit einem 200 OK, das einen Formular-Beitrag mit erforderlichen Informationen enthält. Insbesondere muss dieses Standardformular zwei versteckte Felder namens SAMLRequest und SAMLResponse enthalten, je nachdem, ob es sich bei dem Formular um eine Anforderung oder eine Antwort handelt. Das Formular enthält auch RelayState, ein Zustand oder Informationen, die vom sendenden Partei verwendet werden, um willkürliche Informationen zu senden, die nicht von der vertrauenden Partei verarbeitet werden. Die vertrauende Partei sendet die Informationen einfach zurück, so dass, wenn die sendende Partei die Assertion zusammen mit RelayState erhält, die sendende Partei weiß, was als nächstes zu tun ist. Citrix empfiehlt, RelayState zu verschlüsseln oder zu verschleiern.

Konfigurieren von Active Directory-Verbunddiensten 2.0

Sie können Active Directory-Verbunddienste (AD FS) 2.0 auf jedem Windows Server 2008- oder Windows Server 2012-Computer konfigurieren, den Sie in einer Verbundserverrolle verwenden. Wenn Sie den AD FS-Server für die Verwendung mit Citrix Gateway konfigurieren, müssen Sie die folgenden Parameter mithilfe des Vertrauensstellungsassistenten für vertrauende Personen in Windows Server 2008 oder Windows Server 2012 konfigurieren.

Windows Server 2008-Parameter:

  • Vertrauensverhältnis. Sie geben den Speicherort der Metadatendatei für Citrix Gateway-Metadaten an, z. B.,https://vserver.fqdn.com/ns.metadata.xml wobei vserver.fqdn.com der vollqualifizierte Domänenname (FQDN) des virtuellen Citrix Gateway-Servers ist. Sie finden den FQDN auf dem Serverzertifikat, das an den virtuellen Server gebunden ist.
  • Autorisierungsregeln. Sie können Benutzern den Zugriff auf die vertrauende Seite gewähren oder verweigern.

Windows Server 2012-Parameter:

  • Vertrauensverhältnis. Sie geben den Speicherort der Metadatendatei für Citrix Gateway-Metadaten an, z. B.,https://vserver.fqdn.com/ns.metadata.xml wobei vserver.fqdn.com der vollqualifizierte Domänenname (FQDN) des virtuellen Citrix Gateway-Servers ist. Sie finden den FQDN auf dem Serverzertifikat, das an den virtuellen Server gebunden ist.

  • AD FS-Profil. Wählen Sie das AD FS-Profil aus.

  • Zertifikat. Citrix Gateway unterstützt keine Verschlüsselung. Sie müssen kein Zertifikat auswählen.

  • Aktivieren Sie die Unterstützung für das SAML 2.0 WebSSO-Protokoll. Dies ermöglicht die Unterstützung für SAML 2.0 SSO. Sie geben die URL des virtuellen Citrix Gateway-Servers an, z. B. https:netScaler.virtualServerName.com/cgi/samlauth

    Diese URL ist die Assertion Consumer Service-URL auf der Citrix Gateway-Appliance. Dies ist ein konstanter Parameter, und Citrix Gateway erwartet eine SAML-Antwort für diese URL.

  • Vertrauensbezeichner der vertrauenden Partei. Geben Sie den Namen Citrix Gateway ein. Dies ist eine URL, die vertrauende Parteien identifiziert, wie z. B. https://netscalerGateway.virtualServerName.com/adfs/services/trust

  • Autorisierungsregeln. Sie können Benutzern den Zugriff auf die vertrauende Seite gewähren oder verweigern.

  • Konfigurieren Sie Anspruchsregeln. Sie können die Werte für LDAP-Attribute mit Issuance Transformationsregeln konfigurieren und die Vorlage LDAP-Attribute als Ansprüche senden verwenden. Anschließend konfigurieren Sie LDAP-Einstellungen, die Folgendes umfassen:

    • E-Mail-Adressen
    • sAMAccountName
    • Benutzerprinzipalname (UPN)
    • MemberOf
  • Zertifikatssignatur. Sie können die Signaturüberprüfungszertifikate angeben, indem Sie die Eigenschaften einer Weiterleitung auswählen und dann das Zertifikat hinzufügen.

    Wenn das Signaturzertifikat kleiner als 2048 Bit ist, wird eine Warnmeldung angezeigt. Sie können die Warnung ignorieren, um fortzufahren. Wenn Sie eine Testbereitstellung konfigurieren, deaktivieren Sie die Zertifikatsperrliste (Certificate Revocation List, CRL) auf der Weiterleitung. Wenn Sie die Prüfung nicht deaktivieren, versucht AD FS die Zertifikatsperrliste zu überprüfen.

    Sie können die Zertifikatsperrliste deaktivieren, indem Sie den folgenden Befehl ausführen: Set-ADFWRelayingPartyTrust - SigningCertficateRevocatonCheck None-TargetName NetScaler

Nachdem Sie die Einstellungen konfiguriert haben, überprüfen Sie die Daten der vertrauenden Seite, bevor Sie den Assistenten für die Weiterleitung von Vertrauensstellungen abschließen. Sie überprüfen das virtuelle Citrix Gateway-Serverzertifikat mit der Endpunkt-URL, z. B. https://vserver.fqdn.com/cgi/samlauth

Nachdem Sie die Konfiguration der Einstellungen im Assistenten für die Weiterleitung von Vertrauensstellungen abgeschlossen haben, wählen Sie die konfigurierte Vertrauensstellung aus, und bearbeiten Sie die Eigenschaften. Sie müssen Folgendes tun:

  • Setzen Sie den sicheren Hash-Algorithmus auf SHA-1.

    Hinweis: Citrix unterstützt nur SHA-1.

  • Löschen Sie das Verschlüsselungszertifikat. Verschlüsselte Assertionen werden nicht unterstützt.

  • Bearbeiten Sie die Anspruchsregeln, einschließlich der folgenden:

    • Transformationsregel auswählen
    • Anspruchsregel hinzufügen
    • Vorlage für Anspruchsregeln auswählen: LDAP-Attribute als Ansprüche senden
    • Geben Sie einen Namen
    • Attributspeicher auswählen: Active Directory
    • < Active Directory parameters >Wählen Sie das LDAP-Attribut:
    • Ausgehende Anspruchsregel als “Namens-ID” auswählen

    Hinweis: XML-Tags für Attributnamen werden nicht unterstützt.

  • Konfigurieren Sie die Abmelde-URL für Single Sign-off. Die Anspruchsregel lautet Abmelde-URL senden. Die benutzerdefinierte Regel sollte wie folgt sein:

    pre codeblock => issue(Type = "logoutURL", Value = "https://<adfs.fqdn.com>/adfs/ls/", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"); <!--NeedCopy-->

Nachdem Sie AD FS-Einstellungen konfiguriert haben, laden Sie das AD FS-Signaturzertifikat herunter, und erstellen Sie dann einen Zertifikatschlüssel auf Citrix Gateway. Anschließend können Sie die SAML-Authentifizierung auf Citrix Gateway mithilfe des Zertifikats und des Schlüssels konfigurieren.

SAML-Zwei-Faktor-Authentifizierung konfigurieren

Sie können SAML-Zwei-Faktor-Authentifizierung konfigurieren. Verwenden Sie beim Konfigurieren der SAML-Authentifizierung mit LDAP-Authentifizierung die folgenden Richtlinien:

  • Wenn SAML der primäre Authentifizierungstyp ist, deaktivieren Sie die Authentifizierung in der LDAP-Richtlinie und konfigurieren Sie die Gruppen-Extraktion. Binden Sie dann die LDAP-Richtlinie als sekundären Authentifizierungstyp.
  • Die SAML-Authentifizierung verwendet kein Kennwort und verwendet nur den Benutzernamen. Außerdem informiert die SAML-Authentifizierung Benutzer nur, wenn die Authentifizierung erfolgreich ist. Wenn die SAML-Authentifizierung fehlschlägt, werden die Benutzer nicht benachrichtigt. Da keine Fehlerantwort gesendet wird, muss SAML entweder die letzte Richtlinie in der Kaskade oder die einzige Richtlinie sein.
  • Citrix empfiehlt, dass Sie tatsächliche Benutzernamen anstelle von undurchsichtigen Zeichenfolgen konfigurieren.
  • SAML kann nicht als sekundärer Authentifizierungstyp gebunden werden.
Konfigurieren der SAML-Authentifizierung