Citrix Gateway

SAML 身份验证改进

此功能适用于拥有 SAML 知识的用户,并且使用此信息需要基本身份验证能力。读者必须了解 FIPS 才能使用这些信息。

以下 Citrix ADC 功能可用于与 SAML 2.0 规范兼容的第三方应用程序/服务器:

  • SAML 服务提供商 (SP)
  • SAML 身份提供商 (IdP)

SP 和 IdP 允许云服务之间的单点登录 (SSO)。SAML SP 功能提供了一种解决来自 IdP 的用户声明的方法。IdP 可以是第三方服务或其他 Citrix ADC 设备。SAML IdP 功能用于断言用户登录并提供 SP 使用的声明。

作为 SAML 支持的一部分,IdP 和 SP 模块都对发送到对等方的数据进行数字签名。数字签名包括来自 SP 的身份验证请求、来自 IdP 的断言以及这两个实体之间的注销消息。数字签名验证邮件的真实性。

SAML SP 和 IdP 的当前实现在数据包引擎中执行签名计算。这些模块使用 SSL 证书对数据进行签名。在符合 FIPS 标准的 Citrix ADC 中,SSL 证书的私钥在数据包引擎或用户空间中不可用,因此 SAML 模块当前尚未准备好用于 FIPS 硬件。

本文档介绍了将签名计算卸载到 FIPS 卡的机制。签名验证是在软件中完成的,因为公钥是可用的。

解决方案

SAML 功能集得到增强,以使用 SSL API 进行签名卸载。有关这些受影响的 SAML 子功能的详细信息,请参阅 docs.citrix.com:

  1. SAML SP 后绑定 - AuthnRequest 的签名

  2. SAML IdP 后绑定-决议/响应的签名

  3. SAML SP 单点注销方案 - SP 启动模型中 LogoutRequest 的签名,以及 IdP 启动模型中 LogoutResponse 的签名

  4. SAML SP 工件绑定 - ArtifactResolve 请求的签名

  5. SAML SP 重定向绑定 - AuthnRequest 的签名

  6. SAML IdP 重定向绑定-回应/决定的签名

  7. SAML SP 加密支持 — 断言解密

平台

API 只能卸载到 FIPS 平台。

配置

卸载配置在 FIPS 平台上自动执行。

但是,由于 SSL 私钥不适用于 FIPS 硬件中的用户空间,因此在 FIPS 硬件上创建 SSL 证书时会发生轻微的配置更改。

以下是配置信息:

  • add ssl fipsKey fips-key

    然后,您需要创建 CSR 并在 CA 服务器上使用它来生成证书。然后,您可以在 /nsconfig/ssl 中复制该证书。让我们假设文件是 fips3cert.cer。

  • add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key

    然后,您需要在 SAML SP 模块的 SAML 操作中指定此证书。

  • set samlAction <name> -samlSigningCertName fips-cert

    同样,您需要在 SAML IdP 模块的 samlIdpProfile 中使用

  • set samlidpprofile fipstest –samlIdpCertName fips-cert

第一次,你不会有上面描述的 fips-key。如果没有 FIPS 密钥,请按如下所述创建一个:https://support.citrix.com/servlet/KbServlet/download/9539-102-665378/NS9000\_FIPS\_6\[1\]\[1\].1.pdf

  • create ssl fipskey <fipsKeyName> -modulus <positive_integer> [-exponent ( 3 | F4 )]

  • create certreq <reqFileName> -fipskeyName <string>

SAML 身份验证改进