Citrix Gateway

Authentifizierungsverbesserungen für SAML-Authentifizierung

Diese Funktion ist für Personen mit SAML-Kenntnissen, und grundlegende Authentifizierungskenntnisse sind erforderlich, um diese Informationen zu verwenden. Der Leser muss FIPS verstehen, um diese Informationen zu verwenden.

Die folgenden Citrix ADC-Funktionen können mit Drittanbieteranwendungen/Servern verwendet werden, die mit der SAML 2.0-Spezifikation kompatibel sind:

  • SAML-Dienstanbieter (SP)
  • SAML-Identitätsanbieter (IdP)

SP und IdP ermöglichen ein Single Sign-On (SSO) zwischen Clouddiensten. Die SAML-SP-Funktion bietet eine Möglichkeit, Benutzeransprüche von einem IdP zu adressieren. Der IdP kann ein Drittanbieterdienst oder eine andere Citrix ADC-Appliance sein. Die SAML-IdP-Funktion wird verwendet, um Benutzeranmeldungen durchzusetzen und Ansprüche bereitzustellen, die von SPs verbraucht werden.

Im Rahmen der SAML-Unterstützung signieren sowohl IdP- als auch SP-Module die Daten, die an Peers gesendet werden, digital. Die digitale Signatur enthält eine Authentifizierungsanforderung von SP, Assertion from IdP und Abmeldungsnachrichten zwischen diesen beiden Entitäten. Die digitale Signatur überprüft die Authentizität der Nachricht.

Die aktuelle Implementierung von SAML SP und IdP führt die Signaturberechnung in einer Paketengine durch. Diese Module verwenden SSL-Zertifikate, um die Daten zu signieren. In einem FIPS-kompatiblen Citrix ADC ist der private Schlüssel des SSL-Zertifikats nicht in der Paketengine oder im Benutzerbereich verfügbar. Daher ist das SAML-Modul heute nicht für FIPS-Hardware bereit.

Dieses Dokument beschreibt den Mechanismus zum Auslagern von Signaturberechnungen auf die FIPS-Karte. Die Signaturüberprüfung erfolgt in der Software, da der öffentliche Schlüssel verfügbar ist.

Lösung

Der SAML-Funktionsumfang wird erweitert, um eine SSL-API für die Signaturablagerung zu verwenden. Weitere Informationen zu diesen betroffenen SAML-Teilfunktionen finden Sie unter docs.citrix.com:

  1. SAML SP Post Binding – Signing of AuthnRequest

  2. SAML IdP Post Binding – Signing of Assertion/Response/Both

  3. SAML SP Single Logout scenarios – Signing of LogoutRequest in SP initiated model and Signing of LogoutResponse in IdP initiated model

  4. SAML SP Artifact binding – Signing of ArtifactResolve request

  5. SAML SP Redirect Binding – Signing of AuthnRequest

  6. SAML IdP Redirect Binding – Signing of Response/Assertion/Both

  7. SAML SP Encryption support – Decryption of Assertion

Plattform

Die API kann nur auf eine FIPS-Plattform ausgelagert werden.

Konfiguration

Die Offload-Konfiguration wird automatisch auf der FIPS-Plattform durchgeführt.

Da private SSL-Schlüssel jedoch nicht für den Benutzerspeicher in FIPS-Hardware verfügbar sind, gibt es eine leichte Konfigurationsänderung beim Erstellen des SSL-Zertifikats auf FIPS-Hardware.

Hier sind die Konfigurationsinformationen:

  • add ssl fipsKey fips-key

    Sie müssten dann eine CSR erstellen und sie auf dem Zertifizierungsstellenserver verwenden, um ein Zertifikat zu generieren. Sie können dieses Zertifikat dann in /nsconfig/ssl kopieren. Nehmen wir an, dass die Datei fips3cert.cer ist.

  • add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key

    Sie müssen dieses Zertifikat dann in der SAML-Aktion für SAML-SP-Modul angeben.

  • set samlAction <name> -samlSigningCertName fips-cert

    Ebenso müssen Sie dies in samlIdpProfile für SAML IdP-Modul verwenden

  • set samlidpprofile fipstest –samlIdpCertName fips-cert

Beim ersten Mal haben Sie nicht den oben beschriebenen fips-key. Wenn kein FIPS-Schlüssel vorhanden ist, erstellen Sie einen wie beschrieben unter: https://support.citrix.com/servlet/KbServlet/download/9539-102-665378/NS9000\_FIPS\_6\[1\]\[1\].1.pdf

  • create ssl fipskey <fipsKeyName> -modulus <positive_integer> [-exponent ( 3 | F4 )]

  • create certreq <reqFileName> -fipskeyName <string>

Authentifizierungsverbesserungen für SAML-Authentifizierung