ADC

NetScaler 作为 SAML IdP

SAML IdP(身份提供程序)是部署在客户网络中的 SAML 实体。IdP 接收来自 SAML SP 的请求,并将用户重定向到登录页面,用户必须在登录页面中输入凭据。IdP 通过 Active Directory(外部身份验证服务器,例如 LDAP)对这些凭据进行身份验证,然后生成发送到 SP 的 SAML 断言。

SP 验证令牌,然后授予用户对请求的受保护应用程序的访问权限。

当 NetScaler 设备配置为 IdP 时,所有请求都将由与相关 SAML IdP 配置文件关联的身份验证虚拟服务器接收。

注意

在部署中,在设备或任何外部 SAML SP 上配置 SAML SP 时,NetScaler 设备可以用作 IdP。

用作 SAML IdP 时,NetScaler 设备:

  • 支持能够支持传统登录的所有身份验证方法。

  • 以数字方式签署断言。

  • 支持单重身份验证和双重身份验证。不得将 SAML 配置为辅助身份验证机制。

  • 可以使用 SAML SP 的公钥加密断言。当断言包含敏感信息时,建议执行此操作。

  • 可以配置为仅接受来自 SAML SP 的数字签名请求。

  • 可以使用以下基于 401 的身份验证机制登录 SAML IdP:协商、NTLM 和证书。

  • 除了 NameId 属性外,还可以配置为发送 16 个属性。必须从相应的身份验证服务器中提取属性。对于其中的每个人,您可以在 SAML IdP 配置文件中指定名称、表达式、格式和友好名称。

  • 如果将 NetScaler 设备配置为多个 SAML SP 的 SAML IdP,则用户无需每次都进行明确身份验证即可访问不同 SP 上的应用程序。NetScaler 设备为第一次身份验证创建会话 cookie,随后的每个请求都使用此 Cookie 进行身份验证。

  • 可以在 SAML 断言中发送多值属性。

  • 支持发布和重定向绑定。NetScaler 版本 13.0 Build 36.27 中引入了对构件绑定的支持。

  • 可以指定 SAML 断言的有效性。

    如果 NetScaler SAML IdP 上的系统时间与对等 SAML SP 上的系统时间不同步,则任何一方都可能使消息失效。为了避免此类情况,您现在可以配置断言有效的持续时间。

    此持续时间称为“倾斜时间”,指定必须接受消息的分钟数。可以在 SAML SP 和 SAML IdP 上配置倾斜时间。

  • 可以配置为仅向在 IdP 上预配置的或信任的 SAML SP 提供断言。对于此配置,SAML IdP 必须具有相关 SAML SP 的服务提供商 ID(或颁发者名称)。

    注意

    继续操作之前,请确保您的身份验证虚拟服务器已链接到 LDAP 身份验证服务器。

使用命令行界面将 NetScaler 设备配置为 SAML IdP

  1. 配置 SAML IdP 配置文件。

    示例

    将 NetScaler 设备添加为 IdP,并将 SiteMinder 添加为 SP。

    add authentication samlIdPProfile samlIDPProf1 -samlSPCertName siteminder-cert -encryptAssertion ON -samlIdPCertName ns-cert -assertionConsumerServiceURL http://sm-proxy.nsi-test.com:8080/affwebservices/public/saml2assertionconsumer -rejectUnsignedRequests ON -signatureAlg RSA-SHA256 -digestMethod SHA256<!--NeedCopy-->

  2. 配置 SAML 身份验证策略并将 SAML IdP 配置文件关联为策略的操作。

    add authentication samlIdPPolicy samlIDPPol1 -rule true -action samlIDPProf1<!--NeedCopy-->

  3. 将策略绑定到身份验证虚拟服务器。

    bind authentication vserver saml-auth-vserver -policy samlIDPPol1 -priority 100<!--NeedCopy-->

    有关该命令的更多详细信息,请参阅 https://developer-docs.citrix.com/projects/citrix-adc-command-reference/en/latest/authentication/authentication-samlIdPProfile/

使用 GUI 将 NetScaler 设备配置为 SAML IdP

  1. 配置 SAML IdP 配置文件和策略。

    导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Policies(策略)> Authentication(身份验证)> Advanced Policies(高级策略)> SAML IDP,然后创建一个将 SAML IdP 作为操作类型的策略,并将所需的 SAML IdP 配置文件与策略关联起来。

  2. 将 SAML IdP 策略与身份验证虚拟服务器关联。

    导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Virtual Servers(虚拟服务器),然后将 SAML IdP 策略与身份验证虚拟服务器相关联。

NetScaler 作为 SAML IdP