Citrix ADC

Citrix ADC 作为 SAML IdP

SAML IdP(身份提供程序)是部署在客户网络上的 SAML 实体。IdP 接收来自 SAML SP 的请求,并将用户重定向到登录页,用户必须在登录页面中输入凭据。IdP 使用用户目录(外部身份验证服务器,如 LDAP)对这些凭据进行身份验证,然后生成发送到 SP 的 SAML 断言。

SP 验证令牌,然后向用户授予访问请求的受保护应用程序的权限。

将 Citrix ADC 设备配置为 IdP 时,与相关 SAML IdP 配置文件关联的身份验证虚拟服务器将接收所有请求。

注意

Citrix ADC 设备可用作部署中的 IdP,其中 SAML SP 可以在设备上或任何外部 SAML SP 上配置 SAML SP。

用作 SAML IdP 时,Citrix ADC 设备将执行以下操作:

  • 支持传统登录支持的所有身份验证方法。

  • 以数字方式签署断言。对 SHA256 算法的支持在 NetScaler 11.0 Build 55.x 中引入。

  • 支持单因素和双因素身份验证。SAML 不能配置为辅助身份验证机制。

  • 可以使用 SAML SP 的公钥加密断言。当断言包含敏感信息时,建议这样做。NetScaler 11.0 Build 55.x 中引入了支持。

  • 可配置为仅接受来自 SAML SP 的数字签名请求。NetScaler 11.0 Build 55.x 中引入了支持。

  • 可以使用以下基于 401 的身份验证机制登录到 SAML IdP:协商、NTLM 和证书。NetScaler 11.0 Build 55.x 中引入了支持。

  • 可以配置为发送 16 个属性,NameId 属性除外。必须从相应的身份验证服务器中提取属性。您可以在 SAML IdP 配置文件中指定名称、表达式、格式和友好名称。NetScaler 11.0 Build 55.x 中引入了支持。

  • 如果 Citrix ADC 设备配置为多个 SAML SP 的 SAML IdP,则用户可以访问不同 SP 上的应用程序,而无需每次显式身份验证。Citrix ADC 设备为第一次身份验证创建会话 cookie,每个后续请求都使用此 cookie 进行身份验证。NetScaler 11.0 Build 55.x 中引入了支持。

  • 可以在 SAML 断言中发送多值属性。NetScaler 11.0 Build 64.x 中引入了支持。

  • 支持发布和重定向绑定。NetScaler 11.0 Build 64.x 中引入了对重定向绑定的支持。Citrix ADC 版本 13.0 版本 36.27 介绍了对工件绑定的支持。

  • 可以指定 SAML 断言的有效性。

    如果 Citrix ADC SAML IdP 和对等方 SAML SP 上的系统时间不同步,则任何一方都可能使消息失效。为了避免这种情况,您现在可以配置断言有效的时间持续时间。

    此持续时间(称为“偏斜时间”)指定必须接受消息的分钟数。可以在 SAML SP 和 SAML IdP 上配置偏斜时间。

    注意

    NetScaler 11.0 Build 64.x 中引入了支持。

  • 可配置为仅向在 IdP 上预配置或信任的 SAML SP 提供断言服务。对于此配置,SAML IdP 必须具有相关 SAML SP 的服务提供程序 ID(或颁发者名称)。NetScaler 11.0 Build 64.x 中引入了支持。

    注意

    继续操作之前,请确保您有链接到 LDAP 身份验证服务器的身份验证虚拟服务器。

使用命令行界面将 Citrix ADC 设备配置为 SAML IdP 的步骤

  1. 配置 SAML IdP 配置文件。

    示例

    将 Citrix ADC 设备添加为 IdP,并将站点管理器作为 SP。

    add authentication samlIdPProfile samlIDPProf1 -samlSPCertName siteminder-cert -encryptAssertion ON -samlIdPCertName ns-cert -assertionConsumerServiceURL http://sm-proxy.nsi-test.com:8080/affwebservices/public/saml2assertionconsumer -rejectUnsignedRequests ON -signatureAlg RSA-SHA256 -digestMethod SHA256

  2. 配置 SAML 身份验证策略并将 SAML IdP 配置文件关联为策略的操作。

    add authentication samlIdPPolicy samlIDPPol1 -rule true -action samlIDPProf1

  3. 将策略绑定到身份验证虚拟服务器。

    bind authentication vserver saml-auth-vserver -policy samlIDPPol1 -priority 100

使用 GUI 将 Citrix ADC 设备配置为 SAML IdP

  1. 配置 SAML IdP 配置文件和策略。

    导航到安全”>“AAA-应用程序流量”>“策略”>“身份验证”>“高级策略”>“SAML IDP,创建以 SAML IdP 作为操作类型的策略,并将所需的 SAML IdP 配置文件与策略关联。

  2. 将 SAML IdP 策略与身份验证虚拟服务器关联。

    导航到安全”>“AAA-应用程序流量”>“虚拟服务器,并将 SAML IdP 策略与身份验证虚拟服务器关联。

支持 SAML IdP 中的工件绑定

配置为 SAML 身份提供程序 (IdP) 的 Citrix ADC 设备支持工件绑定。工件绑定增强了 SAML IdP 的安全性,并限制恶意用户检查断言。

针对 SAML IdP 的断言使用者服务 URL 支持

配置为 SAML 身份提供程序 (IdP) 的 Citrix ADC 设备现在支持断言消费者服务 (ACS) 索引以处理 SAML 服务提供程序 (SP) 请求。SAML IdP 从 SP 元数据导入 ACS 索引配置,或允许手动输入 ACS 索引信息。