Citrix ADC

Citrix ADC 作为 SAML IdP

SAML IdP(身份提供程序)是部署在客户网络上的 SAML 实体。IdP 接收来自 SAML SP 的请求,并将用户重定向到登录页,用户必须在登录页面中输入凭据。IdP 通过活动目录(外部身份验证服务器,如 LDAP)对这些凭据进行身份验证,然后生成发送到 SP 的 SAML 断言。

SP 验证令牌,然后向用户授予访问请求的受保护应用程序的权限。

将 Citrix ADC 设备配置为 IdP 时,与相关 SAML IdP 配置文件关联的身份验证虚拟服务器将接收所有请求。

注意

Citrix ADC 设备可用作部署中的 IdP,其中 SAML SP 可以在设备上或任何外部 SAML SP 上配置 SAML SP。

用作 SAML IdP 时,Citrix ADC 设备将执行以下操作:

  • 支持传统登录支持的所有身份验证方法。

  • 以数字方式签署断言。

  • 支持单因素和双因素身份验证。SAML 不能配置为辅助身份验证机制。

  • 可以使用 SAML SP 的公钥加密断言。当断言包含敏感信息时,建议这样做。

  • 可配置为仅接受来自 SAML SP 的数字签名请求。

  • 可以使用以下基于 401 的身份验证机制登录到 SAML IdP:协商、NTLM 和证书。

  • 可以配置为发送 16 个属性,NameId 属性除外。必须从相应的身份验证服务器中提取属性。您可以在 SAML IdP 配置文件中指定名称、表达式、格式和友好名称。

  • 如果 Citrix ADC 设备配置为多个 SAML SP 的 SAML IdP,则用户可以访问不同 SP 上的应用程序,而无需每次显式身份验证。Citrix ADC 设备为第一次身份验证创建会话 cookie,每个后续请求都使用此 cookie 进行身份验证。

  • 可以在 SAML 断言中发送多值属性。

  • 支持发布和重定向绑定。Citrix ADC 13.0 Build 36.27 中引入了对工件绑定的支持。

  • 可以指定 SAML 断言的有效性。

    如果 Citrix ADC SAML IdP 和对等方 SAML SP 上的系统时间不同步,则任何一方都可能使消息失效。为了避免这种情况,您现在可以配置断言有效的时间持续时间。

    此持续时间(称为“偏斜时间”)指定必须接受消息的分钟数。可以在 SAML SP 和 SAML IdP 上配置偏斜时间。

  • 可配置为仅向在 IdP 上预配置或信任的 SAML SP 提供断言服务。对于此配置,SAML IdP 必须具有相关 SAML SP 的服务提供程序 ID(或颁发者名称)。

    注意

    继续操作之前,请确保您有链接到 LDAP 身份验证服务器的身份验证虚拟服务器。

使用命令行界面将 Citrix ADC 设备配置为 SAML IdP 的步骤

  1. 配置 SAML IdP 配置文件。

    示例

    将 Citrix ADC 设备添加为 IdP,并将站点管理器作为 SP。

    add authentication samlIdPProfile samlIDPProf1 -samlSPCertName siteminder-cert -encryptAssertion ON -samlIdPCertName ns-cert -assertionConsumerServiceURL http://sm-proxy.nsi-test.com:8080/affwebservices/public/saml2assertionconsumer -rejectUnsignedRequests ON -signatureAlg RSA-SHA256 -digestMethod SHA256

  2. 配置 SAML 身份验证策略并将 SAML IdP 配置文件关联为策略的操作。

    add authentication samlIdPPolicy samlIDPPol1 -rule true -action samlIDPProf1

  3. 将策略绑定到身份验证虚拟服务器。

    bind authentication vserver saml-auth-vserver -policy samlIDPPol1 -priority 100

    有关该命令的更多详细信息,请参阅 https://developer-docs.citrix.com/projects/citrix-adc-command-reference/en/latest/authentication/authentication-samlIdPProfile/

使用 GUI 将 Citrix ADC 设备配置为 SAML IdP

  1. 配置 SAML IdP 配置文件和策略。

    导航到安全”>“AAA-应用程序流量”>“策略”>“身份验证”>“高级策略”>“SAML IDP,创建以 SAML IdP 作为操作类型的策略,并将所需的 SAML IdP 配置文件与策略关联。

  2. 将 SAML IdP 策略与身份验证虚拟服务器关联。

    导航到安全”>“AAA-应用程序流量”>“虚拟服务器,并将 SAML IdP 策略与身份验证虚拟服务器关联。

Citrix ADC 作为 SAML IdP