Citrix Gateway

SAML 身份验证中的改进功能

此功能需要 SAML 知识、基本的身份验证熟练程度和 FIPS 了解才能使用此信息。

您可以将以下 Citrix ADC 功能用于与 SAML 2.0 规范兼容的第三方应用程序和服务器:

  • SAML 服务提供商 (SP)
  • SAML 身份提供商 (IdP)

SP 和 IdP 允许在云服务之间使用单点登录 (SSO)。SAML SP 功能提供了一种解决来自 IdP 的用户声明的方法。IdP 可以是第三方服务或其他 Citrix ADC 设备。SAML IdP 功能用于断言用户登录并提供 SP 使用的声明。

作为 SAML 支持的一部分,IdP 和 SP 模块都对发送给对等方的数据进行数字签名。数字签名包括来自 SP 的身份验证请求、来自 IdP 的断言以及这两个实体之间的注销消息。数字签名验证消息的真实性。

SAML SP 和 IdP 的当前实现在数据包引擎中执行签名计算。这些模块使用 SSL 证书对数据进行签名。在符合 FIPS 标准的 Citrix ADC 中,SSL 证书的私钥在数据包引擎或用户空间中不可用,因此当前的 SAML 模块尚未准备好用于 FIPS 硬件。

本文档介绍将签名计算卸载到 FIPS 卡的机制。签名验证是在软件中完成的,因为公钥可用。

解决方案

增强了 SAML 功能集,可以使用 SSL API 进行签名卸载。有关这些受影响的 SAML 子功能的详细信息,请参阅 Citrix 产品文档:

  1. SAML SP 发布绑定 — 对 AuthnRequest 进行签名

  2. SAML IdP Post 绑定-签署断言/响应/两者

  3. SAML SP 单一注销方案 — 在 SP 启动的模型中对 LogoutRequest 进行签名并在 IdP 启动的模型中对 LogoutResponse 进行签名

  4. SAML SP 工件绑定 — 对 ArtifactResolve 请求进行签名

  5. SAML SP 重定向绑定 — 对 AuthnRequest 进行签名

  6. SAML IdP 重定向绑定 — 响应/断言/全部签名

  7. SAML SP 加密支持 — 断言解密

平台

该 API 只能卸载到 FIPS 平台。

配置

卸载配置在 FIPS 平台上自动执行。

但是,由于 FIPS 硬件中的用户空间无法使用 SSL 私钥,因此在 FIPS 硬件上创建 SSL 证书时会发生轻微的配置更改。

以下是配置信息:

  • add ssl fipsKey fips-key

    创建 CSR 并在 CA 服务器上使用它来生成证书。然后,您可以在中复制该证书 /nsconfig/ssl。让我们假设这个文件是 fips3cert.cer。

  • add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key

    然后在 SAML SP 模块的 SAML 操作中指定此证书。

  • set samlAction <name> -samlSigningCertName fips-cert

    同样,您可以在 SAML IdP 模块中使用它。 samlIdpProfile

  • set samlidpprofile fipstest –samlIdpCertName fips-cert

FIPS 密钥首次不可用。如果没有 FIPS 密钥,请按照创建 FIPS 密钥所述 创建一个 FIPS 密钥

create ssl fipskey <fipsKeyName> -modulus <positive_integer> [-exponent (3 | F4)]

create certreq <reqFileName> -fipskeyName <string>
<!--NeedCopy-->
SAML 身份验证中的改进功能

在本文中