Citrix ADC

SAML IdP としてのCitrix ADC

SAML IdP (ID プロバイダー) は、顧客ネットワークにデプロイされる SAML エンティティです。IdP は SAML SP から要求を受信し、ユーザーをログオンページにリダイレクトします。このページでは、認証情報を入力する必要があります。IdP は、ユーザーディレクトリ (LDAP などの外部認証サーバー) を使用してこれらの資格情報を認証し、SP に送信される SAML アサーションを生成します。

SPはトークンを検証し、要求された保護されたアプリケーションへのアクセス権をユーザーに付与します。

Citrix ADCアプライアンスがIdPとして構成されている場合、すべての要求は、関連するSAML IdPプロファイルに関連付けられた認証仮想サーバーによって受信されます。

Citrix ADC アプライアンスは、SAML SP がアプライアンスまたは外部 SAML SP のいずれかに構成されている展開で IdP として使用できます。

SAML IdPとして使用する場合、Citrix ADCアプライアンスは以下を実行します。

  • 従来のログオンでサポートされているすべての認証方法をサポートします。

  • アサーションにデジタル署名します。SHA256アルゴリズムのサポートは、NetScaler 11.0ビルド55.xで導入されました。

  • 一要素認証と 2 要素認証をサポートします。SAML をセカンダリ認証メカニズムとして設定しないでください。

  • SAML SP の公開キーを使用してアサーションを暗号化できます。これは、アサーションに機密情報が含まれている場合に推奨されます。サポートは、NetScaler 11.0ビルド55.xで導入されました。

  • SAML SP からのデジタル署名された要求のみを受け入れるように構成できます。サポートは、NetScaler 11.0ビルド55.xで導入されました。

  • ネゴシエート、NTLM、および証明書の 401 ベースの認証メカニズムを使用して SAML IdP にログオンできます。サポートは、NetScaler 11.0ビルド55.xで導入されました。

  • NameId 属性に加えて 16 個の属性を送信するように設定できます。属性は、適切な認証サーバから抽出する必要があります。それぞれについて、SAML IdP プロファイルで名前、式、形式、およびフレンドリ名を指定できます。サポートは、NetScaler 11.0ビルド55.xで導入されました。

  • Citrix ADCアプライアンスが複数のSAML SPのSAML IdPとして構成されている場合、ユーザーは毎回明示的に認証することなく、異なるSP上のアプリケーションにアクセスできます。Citrix ADCアプライアンスは、最初の認証用にセッションCookieを作成し、それ以降のすべてのリクエストでこのCookieを認証に使用します。サポートは、NetScaler 11.0ビルド55.xで導入されました。

  • SAML アサーションで複数値属性を送信できます。サポートは、NetScaler 11.0ビルド64.xで導入されました。

  • ポストおよびリダイレクトバインディングをサポートします。リダイレクトバインディングのサポートは、NetScaler 11.0ビルド64.xで導入されました。アーティファクトバインディングのサポートは、Citrix ADCリリース13.0ビルド36.27で導入されました。

  • SAML アサーションの有効性を指定できます。

    Citrix ADC SAML IdP とピア SAML SP のシステム時刻が同期していない場合、いずれかの当事者によってメッセージが無効になることがあります。このようなケースを回避するために、アサーションが有効な期間を設定できるようになりました。

    この期間は「スキュー時間」と呼ばれ、メッセージを受け付ける必要がある分数を指定します。スキュー時間は、SAML SP および SAML IdP で構成できます。

    サポートは、NetScaler 11.0ビルド64.xで導入されました。

  • IdP で事前構成されている、または IdP によって信頼されている SAML SP にのみアサーションを提供するように構成できます。この構成では、SAML IdP には、関連する SAML SP のサービスプロバイダー ID(または発行者名)が必要です。サポートは、NetScaler 11.0ビルド64.xで導入されました。

    先に進む前に、LDAP 認証サーバにリンクされている認証仮想サーバがあることを確認してください。

コマンドラインインターフェイスを使用してCitrix ADCアプライアンスをSAML IdPとして構成するには

  1. SAML IdP プロファイルを設定します。

    SiteMinder を SP として使用して、Citrix ADC アプライアンスをIdP として追加する。

    add authentication samlIdPProfile samlIDPProf1 -samlSPCertName siteminder-cert -encryptAssertion ON -samlIdPCertName ns-cert -assertionConsumerServiceURL http://sm-proxy.nsi-test.com:8080/affwebservices/public/saml2assertionconsumer -rejectUnsignedRequests ON -signatureAlg RSA-SHA256 -digestMethod SHA256

  2. SAML 認証ポリシーを設定し、SAML IdP プロファイルをポリシーのアクションとして関連付けます。

    add authentication samlIdPPolicy samlIDPPol1 -rule true -action samlIDPProf1

  3. 認証仮想サーバにポリシーをバインドします。

    bind authentication vserver saml-auth-vserver -policy samlIDPPol1 -priority 100

GUI を使用して Citrix ADC アプライアンスをSAML IdP として構成するには

  1. SAML IdP プロファイルとポリシーを設定します。

    [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [高度なポリシー] > [SAML IDP] に移動し、アクションタイプとして SAML IdP を使用してポリシーを作成し、必要な SAML IdP プロファイルをポリシーに関連付けます。

  2. SAML IdP ポリシーを認証仮想サーバーに関連付けます。

    [セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバー] に移動し、SAML IdP ポリシーを認証仮想サーバーに関連付けます。

SAML IdP でのアーティファクトバインディングのサポート

SAML ID プロバイダー (IdP) として構成された Citrix ADC アプライアンスは、アーティファクトバインディングをサポートします。アーティファクトバインディングは SAML IdP のセキュリティを強化し、悪意のあるユーザーがアサーションを検査するのを制限します。

SAML IdP に対するアサーションコンシューマーサービス URL のサポート

SAML ID プロバイダー (IdP) として構成された Citrix ADC アプライアンスで、アサーションコンシューマーサービス (ACS) インデックス作成がサポートされ、SAML サービスプロバイダー (SP) 要求を処理できるようになりました。SAML IdP は、ACS インデックス設定を SP メタデータからインポートするか、ACS インデックス情報を手動で入力できるようにします。