Améliorations d’authentification pour l’authentification SAML

Cette fonctionnalité est destinée aux personnes ayant des connaissances SAML, et une compétence fondamentale en authentification est requise pour utiliser ces informations. Le lecteur doit comprendre FIPS pour utiliser cette information.

Les fonctionnalités suivantes de Citrix ADC peuvent être utilisées avec des applications/serveurs tiers compatibles avec la spécification SAML 2.0 :

  • Fournisseur de services SAML (SP)
  • Fournisseur d’identité SAML (IdP)

SP et IdP permettent un SingleSignon (SSO) entre les services cloud. La fonctionnalité SP SAML fournit un moyen de traiter les revendications des utilisateurs à partir d’un IdP. L’IdP peut être un service tiers ou un autre dispositif Citrix ADC. La fonctionnalité IdP SAML est utilisée pour affirmer les ouvertures de session des utilisateurs et fournir des réclamations consommées par les SP.

Dans le cadre de la prise en charge SAML, les modules IdP et SP signent numériquement les données envoyées aux homologues. La signature numérique inclut une demande d’authentification du SP, l’assertion de l’IdP et des messages de déconnexion entre ces deux entités. La signature numérique valide l’authenticité du message.

L’implémentation actuelle de SAML SP et IdP effectue le calcul des signatures dans un moteur de paquets. Ces modules utilisent des certificats SSL pour signer les données. Dans un Citrix ADC conforme à la norme FIPS, la clé privée du certificat SSL n’est pas disponible dans le moteur de paquets ou l’espace utilisateur, de sorte que le module SAML aujourd’hui n’est pas prêt pour le matériel FIPS.

Ce document décrit le mécanisme permettant de décharger les calculs de signature sur la carte FIPS. La vérification de la signature est effectuée dans le logiciel, car la clé publique est disponible.

Solution

Le jeu de fonctionnalités SAML est amélioré pour utiliser une API SSL pour le déchargement des signatures. Consultez docs.citrix.com pour plus de détails sur ces sous-fonctionnalités SAML affectées :

  1. Liaison POST SP SAML — Signature de AuthnRequest

  2. Liaison POST IdP SAML — Signature d’assertion/Réponse/Les deux

  3. Scénarios de déconnexion unique SAML SP — Signature de LogoutRequest dans le modèle initié par SP et Signature de LogoutResponse dans le modèle initié par IdP

  4. Liaison d’artefact SAML SP — Signature de la requête ArtifactResolve

  5. Liaison de redirection SAML SP — Signature de AuthnRequest

  6. Liaison de redirection SAML IdP — Signature de la réponse/assertion/les deux

  7. Prise en charge du chiffrement SAML SP — Décryptage de l’assertion

Plateforme

L’API peut être déchargée uniquement sur une plate-forme FIPS.

Configuration

La configuration de déchargement est effectuée automatiquement sur la plate-forme FIPS.

Cependant, comme les clés privées SSL ne sont pas disponibles pour l’espace utilisateur dans le matériel FIPS, il y a un léger changement de configuration lors de la création du certificat SSL sur le matériel FIPS.

Voici les informations de configuration :

  • add ssl fipsKey fips-key

    Vous devrez alors créer un CSR et l’utiliser sur le serveur de l’autorité de certification pour générer un certificat. Vous pouvez ensuite copier ce certificat dans /nsconfig/ssl. Supposons que le fichier est fips3cert.cer.

  • add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key

    Vous devrez alors spécifier ce certificat dans l’action SAML pour le module SP SAML.

  • set samlAction <name> -samlSigningCertName fips-cert

    De même, vous devez l’utiliser dans SamliDpProfile pour le module IdP SAML

  • set samlidpprofile fipstest –samlIdpCertName fips-cert

La première fois, vous n’aurez pas la clé fips-décrite ci-dessus. S’il n’y a pas de clé FIPS, créez-en une comme décrit à l’adresse suivante :https://support.citrix.com/servlet/KbServlet/download/9539-102-665378/NS9000\_FIPS\_6\[1\]\[1\].1.pdf

  • create ssl fipskey <fipsKeyName> -modulus <positive_integer> [-exponent ( 3 | F4 )]

  • create certreq <reqFileName> -fipskeyName <string>

Améliorations d’authentification pour l’authentification SAML