Citrix ADC en tant qu’IdP SAML

L’IdP SAML (Identity Provider) est une entité SAML déployée sur le réseau client. L’IdP reçoit des demandes du SP SAML et redirige les utilisateurs vers une page d’ouverture de session, où ils doivent entrer leurs informations d’identification. L’IdP authentifie ces informations d’identification avec le répertoire utilisateur (serveur d’authentification externe, tel que LDAP), puis génère une assertion SAML envoyée au SP.

Le SP valide le jeton, et l’utilisateur est ensuite autorisé à accéder à l’application protégée demandée.

Lorsque l’appliance Citrix ADC est configurée en tant qu’IdP, toutes les demandes sont reçues par un serveur virtuel d’authentification associé au profil IdP SAML approprié.

Remarque

Une appliance Citrix ADC peut être utilisée comme IdP dans un déploiement où le SP SAML est configuré sur l’appliance ou sur n’importe quel SP SAML externe.

Lorsqu’il est utilisé en tant qu’IdP SAML, une appliance Citrix ADC :

  • Prend en charge toutes les méthodes d’authentification qu’il prend en charge pour les ouvertures de session traditionnelles.

  • Signature numérique des assertions. La prise en charge de l’algorithme SHA256 est introduite dans NetScaler 11.0 Build 55.x.

  • Prend en charge l’authentification à un facteur et à deux facteurs. SAML ne doit pas être configuré comme mécanisme d’authentification secondaire.

  • Peut chiffrer les assertions à l’aide de la clé publique du SP SAML. Ceci est recommandé lorsque l’assertion inclut des informations sensibles. Prise en charge introduite dans NetScaler 11.0 Build 55.x.

  • Peut être configuré pour accepter uniquement les demandes signées numériquement à partir du SP SAML. Prise en charge introduite dans NetScaler 11.0 Build 55.x.

  • Vous pouvez vous connecter à l’IdP SAML à l’aide des mécanismes d’authentification basés sur 401 suivants : Negotiate, NTLM et Certificate. Prise en charge introduite dans NetScaler 11.0 Build 55.x.

  • Peut être configuré pour envoyer 16 attributs en plus de l’attribut NameID. Les attributs doivent être extraits du serveur d’authentification approprié. Pour chacun d’eux, vous pouvez spécifier le nom, l’expression, le format et un nom convivial dans le profil IdP SAML. Prise en charge introduite dans NetScaler 11.0 Build 55.x.

  • Si l’appliance Citrix ADC est configurée en tant qu’IdP SAML pour plusieurs SP SAML, un utilisateur peut accéder aux applications sur les différents SP sans s’authentifier explicitement à chaque fois. L’appliance Citrix ADC crée un cookie de session pour la première authentification, et chaque requête ultérieure utilise ce cookie pour l’authentification. Prise en charge introduite dans NetScaler 11.0 Build 55.x.

  • Peut envoyer des attributs à plusieurs valeurs dans une assertion SAML. Prise en charge introduite dans NetScaler 11.0 Build 64.x.

  • Prend en charge les liaisons de poste et de redirection. La prise en charge des liaisons de redirection est introduite dans NetScaler 11.0 Build 64.x. La prise en charge de la liaison d’artefact est introduite dans Citrix ADC version 13.0 Build 36.27.

  • Peut spécifier la validité d’une assertion SAML.

    Si l’heure système sur Citrix ADC SAML IdP et le SP SAML homologue n’est pas synchronisée, les messages peuvent être invalidés par l’une ou l’autre partie. Pour éviter de tels cas, vous pouvez maintenant configurer la durée pendant laquelle les assertions sont valides.

    Cette durée, appelée « temps d’inclinaison », spécifie le nombre de minutes pour lesquelles le message doit être accepté. Le temps d’inclinaison peut être configuré sur le SP SAML et l’IdP SAML.

    Remarque

    Prise en charge introduite dans NetScaler 11.0 Build 64.x.

  • Peut être configuré pour servir des assertions uniquement aux SP SAML préconfigurés sur ou approuvés par l’IdP. Pour cette configuration, l’IdP SAML doit avoir l’ID du fournisseur de services (ou le nom de l’émetteur) des SP SAML concernés. Prise en charge introduite dans NetScaler 11.0 Build 64.x.

    Remarque

    Avant de continuer, assurez-vous que vous disposez d’un serveur virtuel d’authentification lié à un serveur d’authentification LDAP.

Pour configurer une appliance Citrix ADC en tant qu’IdP SAML à l’aide de l’interface de ligne de commande

  1. Configurez un profil IdP SAML.

    Exemple

    Ajout d’une appliance Citrix ADC en tant qu’IdP avec SiteMinder en tant que SP.

    add authentication samlIdPProfile samlIDPProf1 -samlSPCertName siteminder-cert -encryptAssertion ON -samlIdPCertName ns-cert -assertionConsumerServiceURL http://sm-proxy.nsi-test.com:8080/affwebservices/public/saml2assertionconsumer -rejectUnsignedRequests ON -signatureAlg RSA-SHA256 -digestMethod SHA256

  2. Configurez la stratégie d’authentification SAML et associez le profil IdP SAML comme action de la stratégie.

    add authentication samlIdPPolicy samlIDPPol1 -rule true -action samlIDPProf1

  3. Liez la stratégie au serveur virtuel d’authentification.

    bind authentication vserver saml-auth-vserver -policy samlIDPPol1 -priority 100

Pour configurer une appliance Citrix ADC en tant qu’IdP SAML à l’aide de l’interface graphique

  1. Configurez le profil et la stratégie d’IdP SAML.

    Accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification > Stratégies avancées > IDP SAML, créez une stratégie avec IdP SAML comme type d’action et associez le profil IdP SAML requis à la stratégie.

  2. Associez la stratégie IdP SAML à un serveur virtuel d’authentification.

    Accédez à Sécurité > AAA - Trafic d’applications > Serveurs virtuelset associez la stratégie IdP SAML au serveur virtuel d’authentification.

Prise en charge de la liaison d’artefact dans l’IdP SAML

L’appliance Citrix ADC configurée en tant que fournisseur d’identité SAML (IdP) prend en charge la liaison d’artefacts. La liaison d’artefact améliore la sécurité de l’IdP SAML et empêche les utilisateurs malveillants d’inspecter l’assertion.

Prise en charge de l’URL du service de consommation d’assertion pour IdP SAML

Une appliance Citrix ADC configurée en tant que fournisseur d’identité SAML (IdP) prend désormais en charge l’indexation ACS (Assertion Consumer Service) pour traiter la demande de fournisseur de services (SP) SAML. L’IdP SAML importe la configuration d’indexation ACS à partir des métadonnées SP ou permet de saisir manuellement les informations d’index ACS.