SAML 身份验证改进

此功能适用于拥有 SAML 知识的用户,并且使用此信息需要基本身份验证能力。读者必须了解 FIPS 才能使用这些信息。

以下 Citrix ADC 功能可用于与 SAML 2.0 规范兼容的第三方应用程序/服务器:

  • SAML 服务提供商 (SP)
  • SAML 身份提供商 (IdP)

SP 和 IdP 允许云服务之间的单点登录 (SSO)。SAML SP 功能提供了一种解决来自 IdP 的用户声明的方法。IdP 可以是第三方服务或其他 Citrix ADC 设备。SAML IdP 功能用于断言用户登录并提供 SP 使用的声明。

作为 SAML 支持的一部分,IdP 和 SP 模块都对发送到对等方的数据进行数字签名。数字签名包括来自 SP 的身份验证请求、来自 IdP 的断言以及这两个实体之间的注销消息。数字签名验证邮件的真实性。

SAML SP 和 IdP 的当前实现在数据包引擎中执行签名计算。这些模块使用 SSL 证书对数据进行签名。在符合 FIPS 标准的 Citrix ADC 中,SSL 证书的私钥在数据包引擎或用户空间中不可用,因此 SAML 模块当前尚未准备好用于 FIPS 硬件。

本文档介绍了将签名计算卸载到 FIPS 卡的机制。签名验证是在软件中完成的,因为公钥是可用的。

解决方案

SAML 功能集得到增强,以使用 SSL API 进行签名卸载。有关这些受影响的 SAML 子功能的详细信息,请参阅 docs.citrix.com:

  1. SAML SP 后绑定-签署认证请求

  2. SAML IdP 后绑定-决议/响应的签名

  3. SAML SP 单一注销方案 — 在 SP 启动模型中签署注销请求,并在 IdP 启动模型中签署 注销响应

  4. SAML SP 工件绑定-签名工件解决请求

  5. SAML SP 重定向绑定-签署授权请求

  6. SAML IdP 重定向绑定-回应/决定的签名

  7. SAML SP 加密支持 — 断言解密

平台

API 只能卸载到 FIPS 平台。

配置

卸载配置在 FIPS 平台上自动执行。

但是,由于 SSL 私钥不适用于 FIPS 硬件中的用户空间,因此在 FIPS 硬件上创建 SSL 证书时会发生轻微的配置更改。

以下是配置信息:

  • 添加 SSL 密钥 FIPS 密钥钥匙

    然后,您需要创建 CSR 并在 CA 服务器上使用它来生成证书。然后,您可以在 /nsconfig/SSl 中复制该证书。让我们假设文件是 fips3cert.cer。

  • 添加 SSL 证书密钥 FIPS 证书证书证书证书证书证书证书证书证书证书

    然后,您需要在 SAML SP 模块的 SAML 操作中指定此证书。

  • 设置萨姆动作 <name>-示例符号证书名称 FIPS 证书

    同样,您需要在 SAML IdP 模块的 SAML 配置文件中使用它

  • 设置相同配置文件-相同文件名称 FIPS 证书

第一次,你不会有上面描述的 fips-key。如果没有 FIPS 密钥,请按如下所述创建一个:https://support.citrix.com/servlet/KbServlet/download/9539-102-665378/NS9000\_FIPS\_6\[1\]\[1\].1.pdf

  • 创建 SSL 密钥 <gipsKeyName>-模数 <positive_integer> [-指数 (3 | F4)]

  • <string>创建证书 <reqFileName>-FIPS 密钥名称

SAML 身份验证改进