Citrix Gateway

Configuration de l’authentification SAML

Le langage SAML (Security Assertion Markup Language) est une norme XML pour l’échange d’authentification et d’autorisation entre les fournisseurs d’identité (IdP) et les fournisseurs de services. Citrix Gateway prend en charge l’authentification SAML.

Lorsque vous configurez l’authentification SAML, vous créez les paramètres suivants :

  • Nom du certificat IdP. Il s’agit de la clé publique qui correspond à la clé privée de l’IdP.
  • URL de redirection. Il s’agit de l’URL de l’IdP d’authentification. Les utilisateurs qui ne sont pas authentifiés sont redirigés vers cette URL.
  • Champ utilisateur. Vous pouvez utiliser ce champ pour extraire le nom d’utilisateur si l’IdP envoie le nom d’utilisateur dans un format différent de celui de la balise NameIdentifier de la balise Subject. Ce paramètre est facultatif.
  • Nom du certificat de signature. Il s’agit de la clé privée du serveur Citrix Gateway utilisée pour signer la demande d’authentification auprès de l’IdP. Si vous ne configurez pas de nom de certificat, l’assertion est envoyée sans signature ou la demande d’authentification est rejetée.
  • Nom de l’émetteur SAML. Cette valeur est utilisée lors de l’envoi de la demande d’authentification. Il doit y avoir un nom unique dans le champ émetteur pour indiquer l’autorité à partir de laquelle l’assertion est envoyée. Il s’agit d’un champ facultatif.
  • Groupe d’authentification par défaut. Il s’agit du groupe sur le serveur d’authentification à partir duquel les utilisateurs sont authentifiés.
  • Deux facteurs. Ce paramètre active ou désactive l’authentification à deux facteurs.
  • Rejette l’assertion non signée. Si cette option est activée, Citrix Gateway rejette l’authentification des utilisateurs si le nom du certificat de signature n’est pas configuré.

Citrix Gateway prend en charge la post-liaison HTTP. Dans cette liaison, l’expéditeur répond à l’utilisateur avec un OK 200 contenant une publication automatique de formulaire avec les informations requises. Plus précisément, un formulaire par défaut doit contenir deux champs masqués appelés SAMLRequest et SAMLResponse, selon qu’il s’agit d’une demande ou d’une réponse. Le formulaire inclut également RelayState, qui est un état ou des informations utilisées par l’expéditeur pour envoyer des informations arbitraires qui ne sont pas traitées par la partie de confiance. La partie de confiance renvoie simplement les informations de sorte que lorsque la partie expéditrice reçoit l’assertion avec RelayState, elle sache quoi faire ensuite. Citrix vous recommande de chiffrer ou de masquer le RelayState.

Configuration d’Active Directory Federation Services 2.0

Vous pouvez configurer Active Directory Federation Services (AD FS) 2.0 sur n’importe quel ordinateur Windows Server 2008 ou Windows Server 2012 que vous utilisez dans un rôle de serveur fédéré. Lorsque vous configurez le serveur ADFS pour qu’il soit compatible avec Citrix Gateway, vous devez configurer les paramètres suivants à l’aide de l’Assistant d’approbation de partie de confiance dans Windows Server 2008 ou Windows Server 2012.

Paramètres Windows Server 2008 :

  • Fiducie de la partie de confiance. Vous fournissez l’emplacement du fichier de métadonnées Citrix Gateway https://vserver.fqdn.com/ns.metadata.xml, par exemple, où vserver.fqdn.com est le nom de domaine complet (FQDN) du serveur virtuel Citrix Gateway. Le nom de domaine complet se trouve sur le certificat de serveur lié au serveur virtuel.
  • Règles d’autorisation. Vous pouvez autoriser ou refuser aux utilisateurs l’accès à la partie de confiance.

Paramètres Windows Server 2012 :

  • Fiducie de la partie de confiance. Vous fournissez l’emplacement du fichier de métadonnées Citrix Gateway https://vserver.fqdn.com/ns.metadata.xml, par exemple, où vserver.fqdn.com est le nom de domaine complet (FQDN) du serveur virtuel Citrix Gateway. Le nom de domaine complet se trouve sur le certificat de serveur lié au serveur virtuel.

  • Profil AD FS. Sélectionnez le profil AD FS.

  • Certificat. Citrix Gateway ne prend pas en charge le chiffrement. Il n’est pas nécessaire de sélectionner un certificat.

  • Activez la prise en charge du protocole WebSSO SAML 2.0. Ceci active la prise en charge de l’SSO SAML 2.0. Vous fournissez l’URL du serveur virtuel Citrix Gateway, par exemple https:netScaler.virtualServerName.com/cgi/samlauth.

    Cette URL est l’URL Assertion Consumer Service sur le dispositif Citrix Gateway. Il s’agit d’un paramètre constant et Citrix Gateway attend une réponse SAML sur cette URL.

  • Identificateur de confiance de la partie de confiance. Entrez le nom Citrix Gateway. Il s’agit d’une URL qui identifie les parties de confiance, telles que https://netscalerGateway.virtualServerName.com/adfs/services/trust.

  • Règles d’autorisation. Vous pouvez autoriser ou refuser aux utilisateurs l’accès à la partie de confiance.

  • Configurez les règles de réclamation. Vous pouvez configurer les valeurs des attributs LDAP à l’aide des règles de transformation d’émission et utiliser le modèle Envoyer les attributs LDAP en tant que revendications. Vous configurez ensuite les paramètres LDAP qui incluent :

    • Adresses e-mail
    • sAMAccountName
    • User Principal Name (UPN)
    • Membre de
  • Signature du certificat. Vous pouvez spécifier les certificats de vérification de signature en sélectionnant les propriétés d’une partie de relais, puis en ajoutant le certificat.

    Si le certificat de signature est inférieur à 2 048 bits, un message d’avertissement apparaît. Vous pouvez ignorer cet avertissement pour continuer. Si vous configurez un déploiement de test, désactivez la liste de révocation de certificats (CRL) sur la partie relais. Si vous ne désactivez pas la vérification, AD FS tente de valider le certificat par la CRL.

    Vous pouvez désactiver la liste de révocation de certificats en exécutant la commande suivante : Set-ADFWRelayingPartyTrust - SigningCertficateRevocatOnCheck NoneTargetName NetScaler

Après avoir configuré les paramètres, vérifiez les données de la partie de confiance avant de terminer l’Assistant d’approbation de la partie relais. Vous vérifiez le certificat de serveur virtuel Citrix Gateway avec l’URL du point de terminaison, par exemple https://vserver.fqdn.com/cgi/samlauth.

Une fois que vous avez terminé de configurer les paramètres de l’Assistant d’approbation de partie relais, sélectionnez l’approbation configurée, puis modifiez les propriétés. Procédez comme suit :

  • Définissez l’algorithme de hachage sécurisé sur SHA-1.

    Remarque : Citrix prend uniquement en charge SHA-1.

  • Supprimez le certificat de chiffrement. Les assertions chiffrées ne sont pas prises en charge.

  • Modifiez les règles de réclamation, notamment les suivantes :

    • Sélectionnez la règle de transformation
    • Ajouter une règle de réclamation
    • Sélectionner un modèle de règle de réclamation : Envoyer les attributs LDAP en tant que revendications
    • Donnez un nom
    • Sélectionner le magasin d’attributs : Active Directory
    • Sélectionnez l’attribut LDAP : <Active Directory parameters>
    • Sélectionnez Règle de réclamation sortante comme « ID de nom »

    Remarque : Les balises XML de nom d’attribut ne sont pas prises en charge.

  • Configurez l’URL de déconnexion pour l’authentification unique. La règle de réclamation est Envoyer l’URL de déconnexion. La règle personnalisée doit être la suivante :

    pre codeblock => issue(Type = "logoutURL", Value = "https://<adfs.fqdn.com>/adfs/ls/", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"); <!--NeedCopy-->

Après avoir configuré les paramètres AD FS, téléchargez le certificat de signature AD FS, puis créez une clé de certificat sur Citrix Gateway. Vous pouvez ensuite configurer l’authentification SAML sur Citrix Gateway à l’aide du certificat et de la clé.

Configuration de l’authentification à deux facteurs SAML

Vous pouvez configurer l’authentification à deux facteurs SAML. Lorsque vous configurez l’authentification SAML avec l’authentification LDAP, suivez les instructions suivantes :

  • Si SAML est le principal type d’authentification, désactivez l’authentification dans la stratégie LDAP et configurez l’extraction de groupe. Ensuite, liez la stratégie LDAP en tant que type d’authentification secondaire.
  • L’authentification SAML n’utilise pas de mot de passe et utilise uniquement le nom d’utilisateur. De plus, l’authentification SAML n’informe les utilisateurs que lorsque l’authentification réussit. Si l’authentification SAML échoue, les utilisateurs ne sont pas avertis. Étant donné qu’aucune réponse d’échec n’est envoyée, SAML doit être la dernière stratégie de la cascade ou la seule stratégie.
  • Citrix vous recommande de configurer des noms d’utilisateur réels plutôt que des chaînes opaques.
  • SAML ne peut pas être lié en tant que type d’authentification secondaire.
Configuration de l’authentification SAML