SAML IdP としてのCitrix ADC
SAML IdP (ID プロバイダー) は、顧客ネットワークにデプロイされる SAML エンティティです。IdP は SAML SP から要求を受信し、ユーザーをログオンページにリダイレクトします。このページでは、認証情報を入力する必要があります。IdPは、Active Directory(LDAPなどの外部認証サーバー)を使用してこれらの資格情報を認証してから、SPに送信されるSAMLアサーションを生成します。
SPはトークンを検証し、要求された保護されたアプリケーションへのアクセス権をユーザーに付与します。
Citrix ADCアプライアンスがIdPとして構成されている場合、すべての要求は、関連するSAML IdPプロファイルに関連付けられた認証仮想サーバーによって受信されます。
注
Citrix ADC アプライアンスは、SAML SP がアプライアンスまたは外部 SAML SP のいずれかに構成されている展開で IdP として使用できます。
SAML IdPとして使用する場合、Citrix ADCアプライアンスは以下を実行します。
-
従来のログオンでサポートされているすべての認証方法をサポートします。
-
アサーションにデジタル署名します。
-
一要素認証と 2 要素認証をサポートします。SAML をセカンダリ認証メカニズムとして設定しないでください。
-
SAML SP の公開キーを使用してアサーションを暗号化できます。これは、アサーションに機密情報が含まれている場合に推奨されます。
-
SAML SP からのデジタル署名された要求のみを受け入れるように構成できます。
-
ネゴシエート、NTLM、および証明書の 401 ベースの認証メカニズムを使用して SAML IdP にログオンできます。
-
NameId 属性に加えて 16 個の属性を送信するように設定できます。属性は、適切な認証サーバから抽出する必要があります。それぞれについて、SAML IdP プロファイルで名前、式、形式、およびフレンドリ名を指定できます。
-
Citrix ADCアプライアンスが複数のSAML SPのSAML IdPとして構成されている場合、ユーザーは毎回明示的に認証することなく、異なるSP上のアプリケーションにアクセスできます。Citrix ADCアプライアンスは、最初の認証用にセッションCookieを作成し、それ以降のすべてのリクエストでこのCookieを認証に使用します。
-
SAML アサーションで複数値属性を送信できます。
-
ポストおよびリダイレクトバインディングをサポートします。アーティファクトバインディングのサポートは、Citrix ADCリリース13.0ビルド36.27で導入されました。
-
SAML アサーションの有効性を指定できます。
Citrix ADC SAML IdP とピア SAML SP のシステム時刻が同期していない場合、いずれかの当事者によってメッセージが無効になることがあります。このようなケースを回避するために、アサーションが有効な期間を設定できるようになりました。
この期間は「スキュー時間」と呼ばれ、メッセージを受け付ける必要がある分数を指定します。スキュー時間は、SAML SP および SAML IdP で構成できます。
-
IdP で事前構成されている、または IdP によって信頼されている SAML SP にのみアサーションを提供するように構成できます。この構成では、SAML IdP には、関連する SAML SP のサービスプロバイダー ID(または発行者名)が必要です。
注
先に進む前に、LDAP 認証サーバにリンクされている認証仮想サーバがあることを確認してください。
コマンドラインインターフェイスを使用してCitrix ADCアプライアンスをSAML IdPとして構成するには
-
SAML IdP プロファイルを設定します。
例
SiteMinder を SP として使用して、Citrix ADC アプライアンスをIdP として追加する。
add authentication samlIdPProfile samlIDPProf1 -samlSPCertName siteminder-cert -encryptAssertion ON -samlIdPCertName ns-cert -assertionConsumerServiceURL http://sm-proxy.nsi-test.com:8080/affwebservices/public/saml2assertionconsumer -rejectUnsignedRequests ON -signatureAlg RSA-SHA256 -digestMethod SHA256 -
SAML 認証ポリシーを設定し、SAML IdP プロファイルをポリシーのアクションとして関連付けます。
add authentication samlIdPPolicy samlIDPPol1 -rule true -action samlIDPProf1 -
認証仮想サーバにポリシーをバインドします。
bind authentication vserver saml-auth-vserver -policy samlIDPPol1 -priority 100コマンドの詳細については、https://developer-docs.citrix.com/projects/citrix-adc-command-reference/en/latest/authentication/authentication-samlIdPProfile/を参照してください。
GUI を使用して Citrix ADC アプライアンスをSAML IdP として構成するには
-
SAML IdP プロファイルとポリシーを設定します。
[セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [高度なポリシー] > [SAML IDP] に移動し、アクションタイプとして SAML IdP を使用してポリシーを作成し、必要な SAML IdP プロファイルをポリシーに関連付けます。
-
SAML IdP ポリシーを認証仮想サーバーに関連付けます。
[セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバー] に移動し、SAML IdP ポリシーを認証仮想サーバーに関連付けます。