Citrix ADC

SAML 身份验证

安全断言标记语言 (SAML) 是一种基于 XML 的身份验证机制,提供单点登录功能,并由 OASIS 安全服务技术委员会定义。

注意

自 NetScaler 12.0 Build 51.x 起,用作具有多重 (nFactor) 身份验证的 SAML 服务提供程序 (SP) 的 Citrix ADC 设备现在会在登录页面上预填充用户名字段。设备在 SAML 授权请求中发送 NameID 属性,从 Citrix ADC SAML 身份提供程序 (IdP) 中检索 NameID 属性值,并预填充用户名字段。

为什么使用 SAML 身份验证

考虑服务提供商 (LargeProvider) 为客户(BigCompany)承载多个应用程序的场景。BigCompany 的用户必须无缝访问这些应用程序。在传统的设置中,LargeProvider 需要维护 BigCompany 的数据库用户。这引起以下每个利益相关者的一些关注意:

  • LargeProvider 必须确保用户数据的安全。
  • BigCompany 必须验证用户,并保持用户数据最新,不仅在自己的数据库中,而且在由 LargeProvider 维护的用户数据库中。例如,从 BigCompany 数据库中删除的用户也必须从 LargeProvider 数据库中删除。
  • 用户必须单独登录到每个托管应用程序。

SAML 身份验证机制提供了一种替代方法。下面的部署图显示了 SAML 的工作原理(SP 启动的流程)。

本地化后的图片

传统认证机制引起的问题解决如下:

  • LargeProvider 不必为 BigCompany 用户维护数据库。从身份管理中解脱出来,大提供商可以专注于提供更好的服务。
  • BigCompany 不承担确保 LargeProvider 用户数据库与其自己的用户数据库保持同步的负担。
  • 用户可以登录一次,登录到 LargeProvider 上托管的一个应用程序,并自动登录到托管该位置的其他应用程序。

Citrix ADC 设备可以部署为 SAML 服务提供程序 (SP) 和 SAML 身份提供程序 (IdP)。阅读相关主题,了解必须在 Citrix ADC 设备上执行的配置。

配置为 SAML 服务提供商的 Citrix ADC 设备现在可以强制执行受众限制检查。只有当 SAML 回复方是至少一个指定受众的成员时,受众限制条件才会计算为“有效”。

您可以将 Citrix ADC 设备配置为将 SAML 断言中的属性解析为组属性。将它们解析为组属性使设备能够将策略绑定到组。

SAML 身份验证