配置SAML验证

安全断言标记语言(SAML)是一种基于xml的标准，用于在身份提供者(IdP)和服务提供者之间交换身份验证和授权。Citrix Gateway支持SAML认证。

在配置SAML身份验证时，需要创建以下设置:

• 国内流离失所者证书的名字。这是与IdP上的私钥相对应的公钥。
• 重定向URL。认证IdP的URL。未经过身份验证的用户将被重定向到此URL。
• 用户字段。如果IdP以不同于主题标记的NameIdentifier标记的格式发送用户名，则可以使用此字段提取用户名。这是一个可选设置。
• 签名证书的名字。这是Citrix Gateway服务器的私钥，用于向IdP签署身份验证请求。如果不配置证书名称，则断言将以未签名的方式发送，或者身份验证请求将被拒绝。
• SAML发行人名称。发送身份验证请求时使用此值。“颁发者”字段中必须有唯一的名称，以表示从中发送断言的机构。这是一个可选字段。
• 默认的身份验证。这是身份验证服务器上对用户进行身份验证的组。
• 两个因素。此设置启用或禁用双因素身份验证。
• 拒绝无符号断言。如果启用，如果没有配置签名证书名称，Citrix Gateway将拒绝用户身份验证。

Citrix网关支持HTTP后绑定。在此绑定中，发送方用一个200 OK回复用户，其中包含一个带有所需信息的自动表单post。具体来说，默认表单必须包含两个被称为SAMLRequest和SAMLResponse，这取决于表单是请求还是响应。该表单还包括RelayState，它是发送方用于发送依赖方未处理的任意信息的状态或信息。依赖方只需将信息发送回，这样当发送方获得断言和RelayState时，发送方就知道接下来要做什么。Citrix建议您加密或混淆RelayState。

配置活动目录联合服务2.0

您可以在联合服务器角色中使用的任何Windows Server 2008或Windows Server 2012计算机上配置Active Directory联合身份验证服务（AD FS）2.0。将ADFS服务器配置为与Citrix网关兼容时，需要使用Windows server 2008或Windows server 2012中的依赖方信任向导配置以下参数。

Windows Server 2008参数:

• 依赖方的信任。提供Citrix Gateway元数据文件位置，例如https://vserver.fqdn.com/ns.metadata.xml，其中vserver.fqdn.com为Citrix Gateway虚拟服务器的FQDN。可以在虚拟服务器绑定的服务器证书上找到FQDN。
• 授权规则。您可以允许或拒绝用户访问依赖方。

Windows Server 2012参数：

• 依赖方的信任。提供Citrix Gateway元数据文件位置，例如https://vserver.fqdn.com/ns.metadata.xml，其中vserver.fqdn.com为Citrix Gateway虚拟服务器的FQDN。可以在虚拟服务器绑定的服务器证书上找到FQDN。

• 广告FS概要文件。选择AD FS配置文件。

• 证书。Citrix Gateway不支持加密。您不需要选择证书。

• 启用对SAML2.0WebSSO协议的支持。这支持SAML2.0 SSO。您可以提供Citrix网关虚拟服务器URL，例如https: netScaler.virtualServerName.com/cgi/samlauth．

  这个URL是Citrix Gateway设备上的断言消费者服务URL。这是一个常量参数，Citrix Gateway希望在这个URL上得到SAML响应。

• 依赖方信任标识符。输入Citrix网关的名称。这是一个标识依赖方的URL，例如https://netscalerGateway.virtualServerName.com/adfs/services/trust．

• 授权规则。您可以允许或拒绝用户访问依赖方。

• 配置索赔规则。您可以使用发布转换规则配置LDAP属性的值，并使用模板发送LDAP属性作为声明。然后配置LDAP设置，包括：

  • 电子邮件地址
  • sAMAccountName
  • 用户主体名称(UPN)
  • MemberOf

• 证书签名。您可以通过选择“中继方属性”来指定签名验证证书，然后添加该证书。

  如果签名证书小于2048位，将显示警告消息。您可以忽略警告以继续。如果正在配置测试部署，请禁用中继方上的证书吊销列表（CRL）。如果不禁用检查，AD FS将尝试CRL验证证书。

  Set-ADFWRelayingPartyTrust SigningCertficateRevocatonCheck无- targetname NetScaler

配置设置后，在完成中继方信任向导之前，请验证依赖方数据。您可以使用端点URL检查Citrix Gateway虚拟服务器证书，例如https://vserver.fqdn.com/cgi/samlauth．

在中继方信任向导中完成配置设置后，选择已配置的信任，然后编辑属性。执行以下:

• 设置安全哈希算法为SHA-1。

  注意:Citrix仅支持SHA-1。

• 删除加密证书。不支持加密的断言。

• 编辑索赔规则，包括以下内容:

  • 选择变换规则
  • 添加声明规则
  • 选择索赔规则模板：将LDAP属性作为索赔发送
  • 说出名字
  • 选择“属性存储:活动目录”
  • 选择LDAP属性:
  • 选择Out Going Claim Rule作为“Name ID”

  注意:不支持属性名称XML标记。

• 为单点登录配置登出URL。声明规则为发送注销URL。自定义规则必须如下:

  pre-codeblock=>issue（Type=“logoutURL”，Value=“https:///adfs/ls/”，属性[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename“]=“urn:oasis:names:tc:SAML:2.0:attrname格式：未指定”）；<--需要复制-->

AD FS配置完成后，请下载AD FS签名证书，并在Citrix Gateway上创建证书密钥。然后可以使用证书和密钥在Citrix Gateway上配置SAML身份验证。

配置SAML双因素身份验证

您可以配置SAML双因素身份验证。使用LDAP身份验证配置SAML身份验证时，请使用以下准则：

• 如果采用SAML认证方式，请在LDAP策略中关闭认证，并配置组提取。然后将LDAP策略绑定为辅助认证类型。
• SAML身份验证不使用密码，只使用用户名。而且，SAML身份验证只在身份验证成功时通知用户。如果SAML身份验证失败，则不会通知用户。由于没有发送失败响应，SAML必须是级联中的最后一个策略或唯一的策略。
• Citrix建议您配置实际的用户名，而不是不透明的字符串。
• 无法将SAML绑定为辅助身份验证类型。