SAML身份验证
安全断言标记语言(SAML)是一种基于XML的身份验证机制,提供单点登录功能,由OASIS安全服务技术委员会定义。
笔记
从NetScaler 12.0 Build 51.x,使用多因素(nfactor)身份验证的Citrix ADC设备使用多因素(NFactor)身份验证现在预先填充登录页面上的用户名字段。该设备作为SAML授权请求的一部分发送名称id属性,从Citrix ADC SAML Identity Provider(IDP)中检索名称ID属性值,并预先填充用户名字段。
为什么使用SAML身份验证
考虑一个场景,其中一个服务提供商(LargeProvider)为一个客户(BigCompany)托管许多应用程序。大公司的用户必须无缝访问这些应用程序。在传统的设置中,LargeProvider需要维护一个大公司用户的数据库。这给下列各涉众带来了一些担忧:
- LargeProvider必须确保用户数据的安全。
- BigCompany必须验证用户并保持用户数据的最新,不仅在其自己的数据库中,而且在由LargeProvider维护的用户数据库中。例如,从BigCompany数据库中删除的用户也必须从LargeProvider数据库中删除。
- 用户必须单独登录到每个托管应用程序。
SAML身份验证机制提供了一种替代方法。以下部署图显示了SAML如何工作(SP启动流程)。
传统身份验证机制引起的问题解决如下:
- LargeProvider不必为大公司用户维护数据库。从身份管理中解放出来,LargeProvider可以专注于提供更好的服务。
- Bigcompany不承担确保RightProvider用户数据库与其自己的用户数据库同步的负担。
- 用户可以登录到LargeProvider上托管的一个应用程序,并自动登录到托管在该应用程序上的其他应用程序。
Citrix ADC设备可以部署为SAML服务提供商(SP)和SAML身份提供商(IdP)。通读相关主题,了解必须在Citrix ADC设备上执行的配置。
配置为SAML服务提供商的Citrix ADC设备现在可以强制执行访问群体限制检查。只有当SAML应答方是至少一个指定受众的成员时,受众限制条件才会计算为“有效”。
您可以将Citrix ADC设备配置为将SAML断言中的属性解析为组属性。将它们解析为组属性使设备能够将策略绑定到组。
SAML身份验证
收到了!
失败!