Citrix ADC作为SAML IdP
SAML IdP(身份提供者)是部署在客户网络上的SAML实体。IdP接收来自SAML SP的请求,并将用户重定向到登录页面,用户必须在该页面输入凭证。IdP使用活动目录(外部身份验证服务器,例如LDAP)对这些凭据进行身份验证,然后生成一个SAML断言,发送给SP。
SP验证令牌,然后授予用户访问请求的受保护应用程序的权限。
当将Citrix ADC设备配置为IdP时,所有请求都由与相关SAML IdP配置文件相关联的身份验证虚拟服务器接收。
请注意
在SAML SP配置在该设备或任何外部SAML SP上的部署中,可以将Citrix ADC设备用作IdP。
当作为SAML IdP使用时,Citrix ADC设备:
支持所有支持传统登录的身份验证方法。
数字标识断言。
支持单因素和双因素认证。不能将SAML配置为辅助身份验证机制。
可以使用SAML SP的公钥加密断言。当断言包含敏感信息时,建议这样做。
可以配置为只接受来自SAML SP的数字签名请求。
可以通过以下基于401的认证机制登录SAML IdP:协商、NTLM和证书。
除了NameId属性,可以配置为发送16个属性。必须从适当的身份验证服务器提取属性。对于它们中的每一个,您都可以在SAML IdP配置文件中指定名称、表达式、格式和友好名称。
如果将Citrix ADC设备配置为用于多个SAML SP的SAML IdP,则用户可以访问不同SPs上的应用程序,而不必每次都显式地进行身份验证。Citrix ADC设备为第一次身份验证创建一个会话cookie,随后的每个请求都使用这个cookie进行身份验证。
可以在SAML断言中发送多值属性。
支持post和redirect绑定。对工件绑定的支持是在Citrix ADC发行版13.0 Build 36.27中引入的。
可以指定SAML断言的有效性。
如果Citrix ADC SAML IdP和对等SAML SP上的系统时间不同步,任何一方都可能使消息无效。为了避免这种情况,您现在可以配置断言有效的持续时间。
这个持续时间称为“倾斜时间”,指定必须接受消息的分钟数。可以在SAML SP和SAML IdP上配置偏移时间。
可以配置为仅向在IdP上预先配置或被IdP信任的SAML SPs提供断言。对于此配置,SAML IdP必须具有相关SAML sp的服务提供商ID(或颁发者名称)。
请注意
在继续之前,请确保您有一个连接到LDAP认证服务器的认证虚拟服务器。
使用命令行接口将Citrix ADC设备配置为SAML IdP
配置SAML IdP配置文件。
例子
添加Citrix ADC设备作为IdP, SiteMinder作为SP。
add authentication samlIdPProfile samlIDPProf1 -samlSPCertName siteminder-cert -encryptAssertion ON -samlIdPCertName ns-cert -assertionConsumerServiceURL http://sm-proxy.nsi-test.com:8080/affwebservices/public/saml2assertionconsumer -rejectUnsignedRequests ON -signatureAlg RSA-SHA256 -digestMethod SHA256 -acsUrlRuleAAA.LOGIN.SAML_REQ_ACS_URL.REGEX_MATCH (re https://example2 \ .com/cgi/samlauth # ^ $ #)点需要注意
在SAML IdP配置文件中配置acsURLRule,接受此IdP的适用服务提供商url列表的表达式。这个表达式取决于所使用的SP。如果将Citrix ADC配置为SP,则ACS URL为
https:// < SP-domain_name > / cgi / samlauth.Citrix建议在表达式中使用完整的URL进行匹配。SAML只支持RSA证书。不支持其他证书,如HSM、FIPS等。
必须用" ^ "符号(例如:^https)以及字符串末尾的美元符号" $ "来指定域的开头(例如:samlauth$)。
有关该命令的详细信息,请参见https://developer-docs.citrix.com/projects/citrix-adc-command-reference/en/latest/authentication/authentication-samlAction和https://support.citrix.com/article/CTX316577.
配置SAML认证策略,并将SAML IdP配置文件关联为策略的动作。
add authentication samlIdPPolicy samlIDPPol1 -rule true -action samlIDPProf1将策略绑定到认证虚拟服务器。
绑定认证vserver saml-auth-vserver -policy samlIDPPol1 -priority 100有关该命令的详细信息,请参见https://developer-docs.citrix.com/projects/citrix-adc-command-reference/en/latest/authentication/authentication-samlIdPProfile.
使用GUI将Citrix ADC设备配置为SAML IdP
导航到安全> AAA-Policies >认证> > SAML IdP先进的政策.
选择服务器选项卡上,单击添加,输入以下参数,单击创建.
参数描述:
断言消费者服务URL——经过身份验证的用户将被重定向到的URL。
IdP证书名称-用于认证页面的证书-密钥对。
SP证书名称-服务提供者的证书在此场景中,不需要密钥。
签名断言——在将客户端重定向回服务提供者时对断言和响应进行签名的选项。
发行者名称-标识符。在SP和IdP上指定的唯一ID,以帮助彼此识别服务提供商。
服务提供商ID -将在SP和IdP上指定的唯一ID,以帮助彼此识别服务提供商。这可以是任何内容,不需要是下面指定的URL,但需要在SP和IdP配置文件上相同。
拒绝未签名的请求——可以指定的选项,以确保只接受使用SP证书签名的断言。
签名算法—用于对IdP和SP之间的断言进行签名和验证的算法,这需要在IdP和SP配置文件上相同。
摘要方法-用来验证IdP和SP之间断言的完整性的算法,这需要在IdP和SP配置文件上相同。
SAML绑定-与SP配置文件中描述的相同,它需要在SP和IdP上都是相同的。
配置SAML IdP策略与认证虚拟服务器关联。
导航到安全> AAA -应用流量>虚拟服务器,并将SAML IdP策略与认证虚拟服务器关联。