Citrix ADC

SAML認証

セキュリティアサーションマークアップ言語 (SAML) は、シングルサインオン機能を提供する XML ベースの認証メカニズムであり、OASIS セキュリティサービス技術委員会によって定義されています。

NetScaler 12.0ビルド 51.x以降、多要素(nFactor)認証を使用するSAMLサービスプロバイダー(SP)として使用されるCitrix ADCアプライアンスは、ログインページのユーザー名フィールドに事前入力されるようになりました。アプライアンスは、SAML認証要求の一部として名前ID属性を送信し、Citrix ADC SAMLアイデンティティプロバイダー(IdP)から名前ID属性値を取得し、ユーザー名フィールドに事前入力します。

SAML 認証を使用する理由

サービスプロバイダー (LargeProvider) が顧客 (BigCompany) の多数のアプリケーションをホストするシナリオを考えてみましょう。BigCompanyには、これらのアプリケーションにシームレスにアクセスする必要があるユーザーがいます。従来のセットアップでは、LargeProviderはBigCompanyのユーザーのデータベースを維持する必要があります。これは、次の利害関係者のそれぞれにいくつかの懸念を提起します。

  • LargeProviderは、ユーザーデータのセキュリティを確保する必要があります。
  • BigCompanyは、ユーザーを検証し、独自のデータベースだけでなく、LargeProviderが管理するユーザーデータベースにもユーザーデータを最新の状態に保つ必要があります。たとえば、BigCompany データベースから削除されたユーザーは、LargeProvider データベースからも削除する必要があります。
  • ユーザーは、ホストされる各アプリケーションに個別にログオンする必要があります。

SAML 認証メカニズムは、別のアプローチを提供します。次の配置図は、SAMLがどのように機能するかを示しています(SPが開始するフロー)。

ローカライズされた画像

従来の認証メカニズムによって提起された懸念事項は、次のように解決されます。

  • LargeProvider は、BigCompany ユーザー用のデータベースを維持する必要はありません。LargeProviderは、アイデンティティ管理から解放され、より良いサービスを提供することに集中することができます。
  • BigCompanyは、LargeProviderユーザーデータベースが独自のユーザーデータベースと同期していることを確認する負担を負いません。
  • ユーザーは、LargeProviderでホストされている1つのアプリケーションに一度ログオンし、そこでホストされている他のアプリケーションに自動的にログオンできます。

Citrix ADCアプライアンスは、SAMLサービスプロバイダー(SP)およびSAMLアイデンティティプロバイダー(IdP)として展開できます。関連するトピックを読んで、Citrix ADCアプライアンスで実行する必要がある構成を理解してください。

SAMLサービスプロバイダーとして構成されたCitrix ADCアプライアンスは、オーディエンス制限チェックを強制できるようになりました。対象者制限条件は、SAML の返信側が指定された対象者の少なくとも 1 つのメンバーである場合のみ、「有効」と評価されます。

SAMLアサーション内の属性をグループ属性として解析するように、Citrix ADCアプライアンスを構成できます。これらをグループ属性として解析すると、アプライアンスはグループにポリシーをバインドできます。

SAML認証