Citrix ADC

Fonctionnalités supplémentaires prises en charge pour SAML

Les fonctionnalités suivantes sont pris en charge pour SAML.

Prise en charge de la lecture et de la génération des métadonnées pour la configuration du SP et de l’IdP SAML

L’appliance Citrix ADC prend désormais en charge les fichiers de métadonnées en tant que moyens d’entités de configuration pour le fournisseur de services SAML (SP) et le fournisseur d’identité (IdP). Le fichier de métadonnées est un fichier XML structuré qui décrit la configuration d’une entité. Les fichiers de métadonnées pour le SP et IdP sont séparés. En fonction du déploiement, et parfois, une entité SP ou IdP peut disposer de plusieurs fichiers de métadonnées. En tant qu’administrateur, vous pouvez exporter et importer des fichiers de métadonnées (SAML SP et IdP) sur Citrix ADC. Les fonctionnalités d’exportation et d’importation de métadonnées pour le SP et IdP SAML sont expliquées dans les sections suivantes.

Exportation de métadonnées pour le SP SAML

Prenons un exemple où Citrix ADC est configuré en tant que SP SAML et qu’un IdP SAML souhaite importer des métadonnées contenant la configuration SP Citrix ADC. Supposons que l’appliance Citrix ADC est déjà configurée avec un attribut « SAMLAction » qui spécifie la configuration du SP SAML.

Pour exporter des métadonnées à partir d’utilisateurs ou d’administrateurs, interroger Citrix Gateway ou serveur virtuel d’authentification comme indiqué ci-dessous :

https://vserver.company.com/metadata/samlsp/<action-name>

Importation de métadonnées pour SAML SP

Actuellement, la configuration SAML Action sur l’appliance Citrix ADC prend différents paramètres. L’administrateur les spécifie manuellement. Cependant, les administrateurs ne sont souvent pas au courant de la nomenclature s’il s’agit d’interopérabilité avec différents systèmes SAML. Si les métadonnées de IdP sont disponibles, la majeure partie de la configuration dans l’entité ‘SAMLAction’ peut être évitée. En fait, toute la configuration spécifique à l’IdP peut être omise si le fichier de métadonnées IdP est fourni. L’entité ‘SAMLAction’ prend désormais un paramètre supplémentaire pour lire la configuration à partir du fichier de métadonnées.

Lorsque vous importez des métadonnées dans un dispositif Citrix ADC, les métadonnées ne contiennent aucun algorithme de signature à utiliser, elles contiennent les détails du point de terminaison. Une métadonnées peut être signée avec certains algorithmes qui peuvent être utilisés pour vérifier les métadonnées elles-mêmes. Les algorithmes ne sont pas stockés dans l’entité ‘SAMLAction’.

Par conséquent, ce que vous spécifiez dans l’entité ‘SamlAction’ sont ceux utilisés lors de l’envoi des données. Une donnée entrante peut contenir un algorithme différent pour une appliance Citrix ADC à traiter.

Pour récupérer les fichiers de métadonnées à l’aide de l’interface de ligne de commande.

set samlAction <name> [-metadataUrl <url> [-metadataRefreshInterval <int>] https://idp.citrix.com/samlidp/metadata.xml

Remarque

Le paramètre MetadatareFreshInterval est l’intervalle en minutes pour récupérer les informations de métadonnées à partir de l’URL de métadonnées spécifiée. Valeur par défaut 36000.

Importation de métadonnées pour IdP SAML

Le paramètre “samlIdPProfile” prend un nouvel argument pour lire toute la configuration spécifique au SP. La configuration SAML IdP peut être simplifiée en remplaçant les propriétés spécifiques du SP par un fichier de métadonnées SP. Ce fichier est interrogé via HTTP.

Pour lire à partir du fichier de métadonnées à l’aide de l’interface de ligne de commande :

set samlIdPProfile <name> [-metadataUrl <url>] [-metadataRefreshInterval <int>]

Prise en charge des attributs nom-valeur pour l’authentification SAML

Vous pouvez désormais configurer les attributs d’authentification SAML avec un nom unique ainsi que des valeurs. Les noms sont configurés dans le paramètre d’action SAML et les valeurs sont obtenues en interrogeant les noms. En spécifiant la valeur de l’attribut name, les administrateurs peuvent facilement rechercher la valeur d’attribut associée au nom de l’attribut. De plus, les administrateurs n’ont plus à se souvenir de l’attribut par sa seule valeur.

Important

  • Dans la commande SamlAction, vous pouvez configurer un maximum de 64 attributs séparés par une virgule avec une taille totale inférieure à 2048 octets.
  • Citrix vous recommande d’utiliser la liste des attributs. L’utilisation de « l’attribut 1 à l’attribut 16 » entraînera l’échec de la session si la taille de l’attribut extrait est grande.

Pour configurer les attributs nom-valeur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add authentication samlAction <name> [-Attributes <string>]

Exemple :

add authentication samlAction samlAct1 -attributes “mail,sn,userprincipalName”

Prise en charge de l’URL du service de consommation d’assertion pour IdP SAML

Une appliance Citrix ADC configurée en tant que fournisseur d’identité SAML (IdP) prend désormais en charge l’indexation ACS (Assertion Consumer Service) pour traiter la demande de fournisseur de services (SP) SAML. L’IdP SAML importe la configuration d’indexation ACS à partir des métadonnées SP ou permet de saisir manuellement les informations d’index ACS. Le tableau suivant répertorie certains articles spécifiques aux déploiements où l’appliance Citrix ADC est utilisée en tant que SP SAML ou IdP SAML.

Le tableau suivant répertorie certains articles spécifiques aux déploiements où l’appliance Citrix ADC est utilisée en tant que SP SAML ou IdP SAML.

SAML SP Fournisseur d’identité SAML Lien d’information
Citrix ADC Microsoft Azure AD support Citrix
Okta Citrix ADC support Citrix
AWS Citrix ADC support Citrix

Quelques informations sur d’autres déploiements spécifiques :

Prise en charge des types d’informations d’identification WebView pour les mécanismes d’authentification

L’authentification d’une appliance Citrix ADC peut désormais prendre en charge le protocole AuthV3. Le type d’informations d’identification WebView dans le protocole Authv3 prend en charge tous les types de mécanismes d’authentification (y compris SAML et OAuth). Le type d’informations d’identification WebView fait partie de Authv3, qui est implémenté par Citrix Receiver et le navigateur dans les applications Web.

L’exemple suivant explique le flux des événements WebView via Citrix Gateway et Citrix Receiver :

  1. Citrix Receiver négocie avec Citrix Gateway pour la prise en charge du protocole AuthV3.
  2. L’appliance Citrix ADC répond positivement et suggère une URL de démarrage spécifique.
  3. Citrix Receiver se connecte ensuite au point de terminaison (URL) spécifique.
  4. Citrix Gateway envoie une réponse au client pour démarrer WebView.
  5. Citrix Receiver démarre WebView et envoie la demande initiale à l’appliance Citrix ADC.
  6. L’appliance Citrix ADC redirige l’URI vers le point de terminaison de connexion du navigateur.
  7. Une fois l’authentification terminée, l’appliance Citrix ADC envoie une réponse d’achèvement à WebView.
  8. Le WebView se ferme maintenant et donne le contrôle à Citrix Receiver pour continuer le protocole Authv3 pour l’établissement de session.

Augmentation de la taille de SessionIndex dans le SP SAML

La taille SessionIndex du fournisseur de services (SP) SAML est augmentée à 96 octets. Auparavant, la taille maximale par défaut de SessionIndex était de 63 octets.

Remarque

Prise en charge introduite dans NetScaler 13.0 Build 36.x

Prise en charge des références de classe d’authentification personnalisée pour le SP SAML

Vous pouvez configurer l’attribut de référence de classe d’authentification personnalisée dans la commande action SAML. À l’aide de l’attribut de référence de classe d’authentification personnalisé, vous pouvez personnaliser les noms de classe dans les balises SAML appropriées. L’attribut de référence de classe d’authentification personnalisée ainsi que l’espace de noms sont envoyés à l’IdP SAML dans le cadre de la demande d’authentification SAML SP.

Auparavant, à l’aide de la commande d’action SAML, vous pouviez configurer uniquement un ensemble de classes prédéfinies définies dans l’attribut authNCTXClassRef.

Important

Lors de la configuration de l’attribut CustomAuthNCTXClassRef, assurez-vous de ce qui suit :

  • Les noms des classes doivent inclure des caractères alphanumériques ou une URL valide avec des balises XML appropriées.
  • Si vous devez configurer plusieurs classes personnalisées, chaque classe doit être séparée par des virgules

Pour configurer les attributs CustomAuthNCTXClassRef à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

  • add authentication samlAction <name> [-customAuthnCtxClassRef <string>]
  • set authentication samlAction <name> [-customAuthnCtxClassRef <string>]

Exemple :

  • add authentication samlAction samlact1 –customAuthnCtxClassRef http://www.class1.com/LoA1,http://www.class2.com/LoA2
  • set authentication samlAction samlact2 –customAuthnCtxClassRef http://www.class3.com/LoA1,http://www.class4.com/LoA2

Pour configurer les attributs CustomAuthNCTXClassRef à l’aide de l’interface graphique

  1. Accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification > Stratégies avancées > Actions > SAML.
  2. Sur la page SAML, sélectionnez l’onglet Serveurs et cliquez sur Ajouter .
  3. Sur la page Créer une authentification Serveur SAML, entrez le nom de l’action SAML.
  4. Faites défiler la page vers le bas pour configurer les types de classe dans la section Types de classe d’authentification personnalisée.

    types de classe d'authentification personnalisée

Prise en charge de la liaison d’artefact dans l’IdP SAML

L’appliance Citrix ADC configurée en tant que fournisseur d’identité SAML (IdP) prend en charge la liaison d’artefacts. La liaison d’artefact améliore la sécurité de l’IdP SAML et empêche les utilisateurs malveillants d’inspecter l’assertion.

Prise en charge de l’URL du service de consommation d’assertion pour IdP SAML

Une appliance Citrix ADC configurée en tant que fournisseur d’identité SAML (IdP) prend désormais en charge l’indexation ACS (Assertion Consumer Service) pour traiter la demande de fournisseur de services (SP) SAML. L’IdP SAML importe la configuration d’indexation ACS à partir des métadonnées SP ou permet de saisir manuellement les informations d’index ACS.

Prise en charge du déchargement FIPS

Une appliance FIPS Citrix ADC MPX utilisée en tant que fournisseur de services SAML prend désormais en charge les assertions chiffrées. En outre, un dispositif Citrix ADC MPX FIPS fonctionnant en tant que fournisseur de services SAML ou fournisseur d’identité SAML peut désormais être configuré pour utiliser les algorithmes SHA2 sur le matériel FIPS.

Remarque

En mode FIPS, seul l’algorithme RSA-V1_5 est pris en charge en tant qu’algorithme de transport clé.

Configuration de la prise en charge du déchargement FIPS à l’aide de l’interface de ligne de commande :

  1. Ajouter SSL FIPS

    add ssl fipsKey fips-key

  2. Créez un CSR et utilisez-le sur le serveur CA pour générer un certificat. Vous pouvez ensuite copier le certificat dans /nsconfig/ssl. Supposons que le fichier est fips3cert.cer.

    add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key<!--NeedCopy-->

  3. Spécifiez ce certificat dans l’action SAML pour le module SP SAML

    set samlAction <name> -samlSigningCertName fips-cert<!--NeedCopy-->

  4. Utiliser le certificat dans le module SAMLIDPProfile pour SAML IDP

    set samlidpprofile fipstest –samlIdpCertName fips-cert<!--NeedCopy-->

Terminologies SAML courantes

Voici quelques terminologies SAML courantes :

  • Assertion : Une assertion SAML est un document XML renvoyé par le fournisseur d’identité au fournisseur de services après l’authentification de l’utilisateur. L’assertion a une structure très spécifique, telle que définie par la norme SAML.

  • Types d’assertions : Voici les types d’assertion.

    • Authentification - l’utilisateur est authentifié par un moyen particulier à un moment donné
    • Autorisation - l’utilisateur s’est vu accorder ou refuser l’accès à une ressource spécifiée
    • Attributs - l’utilisateur est associé aux attributs fournis
  • Assertion Consumer Service (ACS) : point de terminaison (URL) du fournisseur de services responsable de la réception et de l’analyse d’une assertion SAML

  • Restriction d’audience : Valeur de l’assertion SAML qui spécifie à qui (et seulement qui) l’assertion est destinée. Le « public » sera le fournisseur de services et est généralement une URL, mais peut techniquement être formaté comme n’importe quelle chaîne de données.

  • Fournisseur d’identité (IdP) : En termes de SAML, le fournisseur d’identité est l’entité qui vérifie l’identité de l’utilisateur, en réponse à une demande du fournisseur de services.

    Le fournisseur d’identité est responsable de la maintenance et de l’authentification de l’identité de l’utilisateur

  • Fournisseur de services (SP) : En termes de SAML, le fournisseur de services (SP) offre un service à l’utilisateur et permet à l’utilisateur de se connecter en utilisant SAML. Lorsque l’utilisateur tente de se connecter, le SP envoie une demande d’authentification SAML au fournisseur d’identité (IdP)

  • Binding SAML : Les demandeurs et les répondeurs SAML communiquent en échangeant des messages. Le mécanisme de transport de ces messages est appelé liaison SAML.

  • Artefact HTTP : une des options de liaison prises en charge par le protocole SAML. HTTP Artefact est utile dans les scénarios où le demandeur et le répondeur SAML utilisent un agent utilisateur HTTP et ne veulent pas transmettre le message entier, que ce soit pour des raisons techniques ou de sécurité. Au lieu de cela, un artefact SAML est envoyé, qui est un ID unique pour l’ensemble des informations. L’IdP peut ensuite utiliser l’artefact pour récupérer l’information complète. L’émetteur d’artefact doit maintenir l’état pendant que l’artefact est en attente. Un service de résolution d’artefact (ARS) doit être configuré.

    HTTP Artefact envoie l’artefact en tant que paramètre de requête.

  • HTTP POST : Une des options de liaison prises en charge par le protocole SAML.

    HTTP POST envoie le contenu du message en tant que paramètre POST, dans la charge utile.

  • Redirection HTTP : une des options de liaison prises en charge par le protocole SAML.

    Lorsque la redirection HTTP est utilisée, le fournisseur de services redirige l’utilisateur vers le fournisseur d’identité où se produit la connexion, et le fournisseur d’identité redirige l’utilisateur vers le fournisseur de services. La redirection HTTP nécessite une intervention de l’User-Agent (le navigateur).

    HTTP Redirection envoie le contenu du message dans l’URL. Pour cette raison, il ne peut pas être utilisé pour la réponse SAML, car la taille de la réponse dépassera généralement la longueur d’URL autorisée par la plupart des navigateurs.

    Remarque : L’appliance Citrix ADC prend en charge les liaisons POST et redirection lors de la déconnexion.

  • Métadonnées : Les métadonnées sont les données de configuration dans SP et IDP pour savoir comment communiquer entre eux, ce qui sera dans les normes XML

Autres articles Citrix utiles liés à l’authentification SAML

Les articles suivants relatifs à l’authentification SAML peuvent être utiles.