Configuration de l’authentification SAML

SAML (Security Assertion Markup Language) est une norme XML pour l’échange d’authentification et d’autorisation entre les fournisseurs d’identité (IdP) et les fournisseurs de services. Citrix Gateway prend en charge l’authentification SAML.

Lorsque vous configurez l’authentification SAML, vous créez les paramètres suivants :

  • Nom du certificat IdP. Il s’agit de la clé publique qui correspond à la clé privée de l’IdP.
  • URL de redirection. Il s’agit de l’URL de l’IdP d’authentification. Les utilisateurs qui ne sont pas authentifiés sont redirigés vers cette URL.
  • Champ utilisateur. Vous pouvez utiliser ce champ pour extraire le nom d’utilisateur si l’IdP envoie le nom d’utilisateur dans un format différent de celui de la balise NameIdentifier de la balise Subject. Il s’agit d’un paramètre facultatif.
  • Nom du certificat de signature. Il s’agit de la clé privée du serveur Citrix Gateway qui est utilisée pour signer la demande d’authentification à l’IdP. Si vous ne configurez pas de nom de certificat, l’assertion est envoyée non signée ou la demande d’authentification est rejetée.
  • Nom de l’émetteur SAML. Cette valeur est utilisée lors de l’envoi de la demande d’authentification. Il doit y avoir un nom unique dans le champ de l’émetteur pour indiquer l’autorité à partir de laquelle l’assertion est envoyée. Il s’agit d’un champ facultatif.
  • Groupe d’authentification par défaut. Il s’agit du groupe sur le serveur d’authentification à partir duquel les utilisateurs sont authentifiés.
  • Deux facteurs. Ce paramètre active ou désactive l’authentification à deux facteurs.
  • Rejeter l’assertion non signée. Si cette option est activée, Citrix Gateway rejette l’authentification utilisateur si le nom du certificat de signature n’est pas configuré.

Citrix Gateway prend en charge la post-liaison HTTP. Dans cette liaison, l’expéditeur répond à l’utilisateur avec un 200 OK qui contient une publication automatique de formulaire avec les informations requises. Plus précisément, ce formulaire par défaut doit contenir deux champs cachés appelés samlRequest et samlResponse, selon que le formulaire est une requête ou une réponse. Le formulaire inclut également RelayState, qui est un état ou des informations utilisées par l’expéditeur pour envoyer des informations arbitraires qui ne sont pas traitées par la partie qui se fie. La partie qui se fie renvoie simplement les informations de sorte que lorsque l’expéditeur obtient l’assertion avec RelayState, l’expéditeur sait quoi faire ensuite. Citrix vous recommande de chiffrer ou de masquer RelayState.

Configuration des services de fédération Active Directory 2.0

Vous pouvez configurer Active Directory Federation Services (AD FS) 2.0 sur n’importe quel ordinateur Windows Server 2008 ou Windows Server 2012 que vous utilisez dans un rôle de serveur fédéré. Lorsque vous configurez le serveur AD FS pour qu’il fonctionne avec Citrix Gateway, vous devez configurer les paramètres suivants à l’aide de l’Assistant d’approbation de partie de confiance dans Windows Server 2008 ou Windows Server 2012.

Paramètres de Windows Server 2008 :

  • Confiance de la partie de confiance. Vous fournissez l’emplacement du fichier de métadonnées Citrix Gateway, par exemple https://vserver.fqdn.com/ns.metadata.xml, où vserver.fqdn.com est le nom de domaine complet (FQDN) du serveur virtuel Citrix Gateway. Vous pouvez trouver le nom de domaine complet sur le certificat de serveur lié au serveur virtuel.
  • Règles d’autorisation. Vous pouvez autoriser ou refuser aux utilisateurs l’accès à la partie de confiance.

Paramètres de Windows Server 2012 :

  • Confiance de la partie de confiance. Vous fournissez l’emplacement du fichier de métadonnées Citrix Gateway, par exemple https://vserver.fqdn.com/ns.metadata.xml, où vserver.fqdn.com est le nom de domaine complet (FQDN) du serveur virtuel Citrix Gateway. Vous pouvez trouver le nom de domaine complet sur le certificat de serveur lié au serveur virtuel.

  • Profil AD FS. Sélectionnez le profil AD FS.

  • Certificat. Citrix Gateway ne prend pas en charge le chiffrement. Vous n’avez pas besoin de sélectionner un certificat.

  • Activez la prise en charge du protocole SAML 2.0 WebSSO. Cela permet la prise en charge de l’SSO SAML 2.0. Vous fournissez l’URL du serveur virtuel Citrix Gateway, par exemplehttps:netScaler.virtualServerName.com/cgi/samlauath.

    Cette URL est l’URL du service Consumer Assertion sur l’appliance Citrix Gateway. Il s’agit d’un paramètre constant et Citrix Gateway attend une réponse SAML sur cette URL.

  • Identifiant de confiance de la partie de confiance. Entrez le nom Citrix Gateway. Il s’agit d’une URL qui identifie les parties de confiance, telles quehttps://netscalerGateway.virtualServerName.com/adfs/services/trust

  • Règles d’autorisation. Vous pouvez autoriser ou refuser aux utilisateurs l’accès à la partie de confiance.

  • Configurer les règles de revendication. Vous pouvez configurer les valeurs des attributs LDAP à l’aide des règles de transformation d’émission et du modèle Envoyer les attributs LDAP en tant que revendications. Vous configurez ensuite les paramètres LDAP qui incluent :

    • Adresses e-mail
    • sAMAccountName
    • Nom principal de l’utilisateur (UPN)
    • Membre de
  • Signature du certificat. Vous pouvez spécifier les certificats de vérification de signature en sélectionnant les propriétés d’une partie de relais, puis en ajoutant le certificat.

    Si le certificat de signature est inférieur à 2048 bits, un message d’avertissement s’affiche. Vous pouvez ignorer l’avertissement pour continuer. Si vous configurez un déploiement de test, désactivez la liste de révocation de certificats (CRL) sur la partie relais. Si vous ne désactivez pas la vérification, AD FS tente la liste de révocation de certificats pour valider le certificat.

    Vous pouvez désactiver la liste de révocation de certificats en exécutant la commande suivante : Set-ADFWRelayingPartyTrust - SigningCertFicateRevoCatonCheck None-TargetName NetScaler

Après avoir configuré les paramètres, vérifiez les données de la partie de confiance avant de terminer l’Assistant d’approbation de partie de relais. Vous vérifiez le certificat du serveur virtuel Citrix Gateway avec l’URL du point de terminaison, par exemplehttps://vserver.fqdn.com/cgi/samlauth.

Une fois que vous avez terminé de configurer les paramètres dans l’Assistant Appropriation de partie relais, sélectionnez l’approbation configurée, puis modifiez les propriétés. Vous devez effectuer les opérations suivantes :

  • Définissez l’algorithme de hachage sécurisé sur SHA-1.

    Remarque : Citrix prend en charge SHA-1 uniquement.

  • Supprimez le certificat de chiffrement. Les assertions chiffrées ne sont pas prises en charge.

  • Modifiez les règles de réclamation, notamment les suivantes :

    • Sélectionner une règle de transformation
    • Ajouter une règle de réclamation
    • Sélectionner un modèle de règle de réclamation : Envoyer des attributs LDAP en tant que revendications
    • Donnez un nom
    • Sélectionner le magasin d’attributs : Active Directory
    • < Active Directory parameters >Sélectionnez l’attribut LDAP :
    • Sélectionnez la règle de réclamation en cours de sortie comme « ID de nom »

    Remarque : les balises XML Nom d’attribut ne sont pas prises en charge.

  • Configurez l’URL de déconnexion pour l’authentification unique. La règle de réclamation est Envoyer l’URL de déconnexion. La règle personnalisée doit être la suivante :

    pre codeblock => issue(Type = "logoutURL", Value = "https://<adfs.fqdn.com>/adfs/ls/", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified");

Après avoir configuré les paramètres AD FS, téléchargez le certificat de signature AD FS, puis créez une clé de certificat sur Citrix Gateway. Vous pouvez ensuite configurer l’authentification SAML sur Citrix Gateway à l’aide du certificat et de la clé.

Configuration de l’authentification à deux facteurs SAML

Vous pouvez configurer l’authentification à deux facteurs SAML. Lorsque vous configurez l’authentification SAML avec l’authentification LDAP, suivez les instructions suivantes :

  • Si SAML est le type d’authentification principal, désactivez l’authentification dans la stratégie LDAP et configurez l’extraction de groupe. Ensuite, liez la stratégie LDAP en tant que type d’authentification secondaire.
  • L’authentification SAML n’utilise pas de mot de passe et utilise uniquement le nom d’utilisateur. En outre, l’authentification SAML informe uniquement les utilisateurs lorsque l’authentification réussit. Si l’authentification SAML échoue, les utilisateurs ne sont pas avertis. Comme une réponse à un échec n’est pas envoyée, SAML doit être soit la dernière stratégie de la cascade, soit la seule stratégie.
  • Citrix vous recommande de configurer les noms d’utilisateur réels au lieu de chaînes opaques.
  • SAML ne peut pas être lié en tant que type d’authentification secondaire.