Citrix ADC

配置 SAML 单点登录

要跨服务提供商托管的应用程序提供单点登录功能,可以在 SAML SP 上配置 SAML 单点登录。

使用命令行接口配置 SAML 单点登录

  1. 配置 SAML SSO 配置文件。

    示例

    在以下命令中, 示例 是具有来自 SharePoint 门户的 Web 链接的负载平衡虚拟服务器。Nssp.example.com 是用于平衡 SharePoint 服务器负载的流量管理虚拟服务器。

    add tm samlSSOProfile tm-saml-sso -samlSigningCertName nssp -assertionConsumerServiceURL "https://nssp2.example.com/cgi/samlauth" -relaystateRule "\\"https://nssp2.example.com/samlsso.html\\"" -sendPassword ON -samlIssuerName nssp.example.com<!--NeedCopy-->

  2. 将 SAML SSO 配置文件与流量操作相关联。

    示例

    以下命令将启用 SSO,并将在上面创建的 SAML SSO 配置文件绑定到流量操作。

    add tm trafficAction html\_act -SSO ON -samlSSOProfile tm-saml-sso<!--NeedCopy-->

  3. 配置指定何时必须执行操作的流量策略。

    示例

    以下命令将流量操作与流量策略相关联。

    add tm trafficPolicy html_pol "HTTP.REQ.URL.CONTAINS(\\"abc.html\\")" html_act<!--NeedCopy-->

  4. 将之前创建的流量策略绑定到流量管理虚拟服务器(负载平衡或内容交换)。或者,可以在全局范围内关联流量策略。

    注意

    此流量管理虚拟服务器必须与与 SAML 操作关联的相关身份验证虚拟服务器关联。

    bind lb vserver lb1_ssl -policyName html_pol -priority 100 -gotoPriorityExpression END -type REQUEST<!--NeedCopy-->

使用 GUI 配置 SAML 单点登录

要配置 SAML 单点登录,您需要定义 SAML SSO 配置文件、流量配置文件和流量策略,并将流量策略绑定到流量管理虚拟服务器或全局绑定到 Citrix ADC 设备。

  1. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量) > Policies(策略)> Traffic(流量)> SAML SSO Profiles(SAML SSO 配置文件),然后单击 Add(添加)。

    单击添加以获取 SAML SSO 配置

  2. Create SAML SSO Profiles(创建 SAML SSO 配置文件)页面上,输入以下字段的值,然后单击 Create(创建)。

    • Name(名称)- SAML SSO 配置文件的名称
    • Assertion Consumer Service Url(断言使用者服务 URL)- 断言要发送到的 URL
    • Signing Certificate Name(签名证书名称)- 用于对断言进行签名的 SSL 证书的名称
    • SP Certificate Name(SP 证书名称)- 用于加密断言的对等方/接收方的 SSL 证书的名称
    • Issuer Name(颁发者名称)- 从 Citrix ADC 发送到 IdP 的请求中使用的名称,用于唯一标识 Citrix ADC
    • Signature Algorithm(签名算法)- 用于签名/验证 SAML 事务的算法
    • Digest Method(摘要方法)- IdP 发送的断言适用的受众。这通常是表示服务提供商的实体名称或 URL
    • Audience(受众)- IdP 发送的断言适用的受众。这通常是表示服务提供商的实体名称或 URL
    • Skew Time (mins)(倾斜时间(分钟))- 断言有效的当前时间两侧的分钟数
    • Sign Assertion(签名断言)- 当 Citrix ADC IDP 发送断言时,可选择对部分断言进行签名。根据用户的选择,可以dui 断言或响应或两者进行签名,或者不签名。
    • Name ID Format(名称 ID 格式)- 在断言中发送的名称标识符的格式
    • Name ID Expression(名称 ID 表达式)- 将被评估以获取要在断言中发送的名称标识符的表达式

    创建 SAML 配置文件

  3. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量) > Policies(策略)> Traffic(流量)> Traffic Profiles(流量策略),然后单击 Add(添加)。

    单击以添加流量配置文件

  4. Create Traffic Profile(创建流量配置文件)页面上,输入以下字段的值,然后单击 Create(创建)。

    • Name(名称)- 流量操作的名称。
    • AppTimeout (minutes)(应用程序超时(分钟))- 用户不活动状态的时间间隔(以分钟为单位),之后连接将关闭。
    • 单点登录 - 选择“ON”(开)
    • SAML SSO Profile(SAML SSO 配置文件)- 选择创建的 SAML SSO 配置文件
    • KCD Account(KCD 帐户)- Kerberos 约束的委派帐户名称
    • SSO User Expression(SSO 用户表达式)- 将被评估以获取单点登录用户名的表达式
    • SSO Password Expression(SSO 密码表达式)- 将被评估以获取单点登录密码的表达式

    创建流量配置文件

  5. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量) > Policies(策略)> Traffic(流量)> Traffic Policies(流量策略),然后单击 Add(添加)。

    单击以添加流量策略

  6. Create Traffic policy(创建流量策略)页面上,输入以下字段的值,然后单击 Create(创建)。

    • Name(名称)- 要创建的流量策略的名称
    • Profile(配置文件)- 选择创建的流量配置文件
    • Expression(表达式)- 策略用于响应特定请求的默认语法表达式。例如,true。

    单击以创建流量策略

  7. 要将流量策略绑定到流量管理虚拟服务器,请选择虚拟服务器。

    单击以选择虚拟服务器

  8. 单击 Policies(策略)。

    单击“Policies”(策略)

  9. Choose Policy(选择策略)字段中选择 Traffic(流量),在 Choose Type(选择类型)字段中选择 Request(请求),然后单击 Continue(继续)。

    ![单击以添加策略(/en-us/citrix-adc/media/saml-9.png)

  10. Select Policy(选择策略)字段下,单击以选择创建的流量。

    单击以选择策略

  11. 单击 Select(选择)。

    单击“select”(选择)

  12. 单击 Bind(绑定)将流量策略绑定到虚拟服务器。

    绑定流量策略

配置 SAML 单点登录