Mejoras de Auth para Autenticación SAML

Esta función es para aquellos que tienen conocimiento de SAML, y se requiere un conocimiento fundamental de autenticación para usar esta información. El lector debe entender FIPS para usar esta información.

Las siguientes funciones de Citrix ADC se pueden utilizar con aplicaciones/servidores de terceros compatibles con la especificación SAML 2.0:

  • Proveedor de servicios SAML (SP)
  • Proveedor de identidad SAML (IdP)

SP y IdP permiten un SingleSign-On (SSO) entre servicios en la nube. La función SAML SP proporciona una forma de abordar las reclamaciones de usuarios de un proveedor de identidades. El IdP podría ser un servicio de terceros u otro dispositivo Citrix ADC. La función IdP de SAML se utiliza para afirmar inicios de sesión de usuario y proporcionar notificaciones consumidas por los SPs.

Como parte del soporte SAML, tanto los módulos de IdP como SP firman digitalmente los datos que se envían a los pares. La firma digital incluye una solicitud de autenticación del SP, la aserción del IdP y los mensajes de cierre de sesión entre estas dos entidades. La firma digital valida la autenticidad del mensaje.

La implementación actual de SAML SP y IdP realiza el cálculo de firmas en un motor de paquetes. Estos módulos utilizan certificados SSL para firmar los datos. En un ADC de Citrix compatible con FIPS, la clave privada del certificado SSL no está disponible en el motor de paquetes o en el espacio de usuario, por lo que el módulo SAML no está preparado hoy para el hardware FIPS.

Este documento describe el mecanismo para descargar los cálculos de firma a la tarjeta FIPS. La verificación de la firma se realiza en el software, ya que la clave pública está disponible.

Solución

El conjunto de funciones SAML se ha mejorado para utilizar una API SSL para la descarga de firmas. Consulte docs.citrix.com para obtener más información sobre estas subfunciones SAML afectadas:

  1. Enlace posterior de SAML SP — Firma de AuthnRequest

  2. Enlace de mensajes de IdP de SAML — Firma de aserción/respuesta/Ambos

  3. Escenarios de cierre de sesión único de SAML SP: firma de LogoutRequest en el modelo iniciado por SP y firma de LogoutResponse en el modelo iniciado por IdP

  4. Enlace de artefacto SAML SP — Firma de la solicitud ArtifactResolve

  5. Enlace de redirección de SAML SP — Firma de AuthnRequest

  6. Enlace de redirección de IdP SAML: firma de respuesta/aserción/ambos

  7. Compatibilidad con cifrado SAML SP — Descifrado de aserción

Plataforma

La API solo se puede descargar a una plataforma FIPS.

Configuración

La configuración de descarga se realiza automáticamente en la plataforma FIPS.

Sin embargo, dado que las claves privadas SSL no están disponibles para el espacio de usuario en el hardware FIPS, hay un ligero cambio de configuración en la creación del certificado SSL en el hardware FIPS.

Aquí está la información de configuración:

  • agregar ssl FIPSKey fips-key

    A continuación, deberá crear una CSR y utilizarla en el servidor de CA para generar un certificado. A continuación, puede copiar ese certificado en /nsconfig/ssl. Supongamos que ese archivo es fips3cert.cer.

  • add ssl CertKey fips-cert -cert fips3cert.cer -FIPSKey fips-key

    A continuación, deberá especificar este certificado en la acción SAML para el módulo SAML SP.

  • set samlAction <name> -samlSigningCertName fips-cert

    Del mismo modo, debe usar esto en SamlidpProfile para el módulo IdP SAML

  • set samlidpprofile fipstest —samlidpCertName fips-cert

La primera vez, no tendrá la clave fips-descrita anteriormente. Si no hay una clave FIPS, cree una como se describe en:https://support.citrix.com/servlet/KbServlet/download/9539-102-665378/NS9000\_FIPS\_6\[1\]\[1\].1.pdf

  • create ssl fipskey <gipsKeyName> -modulus <positive_integer> [-exponent (3 | F4)]

  • <string>create certreq <reqFileName> -FIPSKeyName

Mejoras de Auth para Autenticación SAML