配置SAML身份验证
在配置实用程序中,在configuration选项卡上展开Citrix网关>策略>认证.
2 .在导航栏中单击SAML.
在详细信息窗格中,单击添加.
在“创建认证策略”对话框中名字,键入策略的名称。
在“服务器”旁边,单击新.
在名字,为服务器配置文件键入名称。
在“IdP证书名称”中选择证书或单击安装.这是安装在SAML或IdP服务器上的证书。
如果单击“安装”,则需要添加证书和私钥。有关更多信息,请参见安装和管理证书.
在重定向URL,输入IdP (authentication Identity Provider)的URL。
这是用户登录到SAML服务器的URL。这是Citrix Gateway将初始请求重定向到的服务器。
在单一登出网址指定URL,以便设备能够识别何时将客户端发送回IdP以完成签出过程。
在SAML绑定,选择用于将客户端从SP移动到IdP的方法。这在IdP上需要是相同的,以便它理解客户端如何连接到它。当设备充当SP时,它支持POST、REDIRECT和ARTIFACT绑定。
在注销绑定中,选择重定向。
在IDP证书名称,选择SAML签名证书下的IdPCert证书(Base64)。
注意:
你也可以点击导入元数据并选择存储元数据配置的URL。
在用户字段,输入要提取的用户名。
在签名证书名称选择设备用于向IdP签署身份验证请求的SAML SP证书(带私钥)。IdP必须导入相同的证书(不带私钥),以便IdP验证认证请求签名。大多数国内流离失所者不需要这个字段
与Citrix网关虚拟IP地址绑定的证书。SAML发行者名称是用户登录到的完全限定域名(FQDN),例如lb.example.com或ng.example.com。
在发行人的名字,输入设备向其发送初始身份验证(GET)请求的负载平衡或Citrix网关虚拟IP地址的FQDN。
在拒绝无符号断言,指定是否需要对来自IdP的断言进行签名。您可以确保只有断言必须签名(ON),或者断言和来自IdP的响应都必须签名(STRICT)。
在观众,输入IdP发送的断言适用的受众。这通常是代表服务提供者的实体名称或URL。
在签名算法,选择“RSA-SHA256”
在消化方法,选择SHA256
在默认认证组,在提取的组之外,输入认证成功时选择的默认组。
在组名称,在包含用户组的断言中输入标签的名称。
在倾斜时间(分钟),指定服务提供者在传入断言上允许的时钟偏差(以分钟为单位)。
点击创建、然后点击关闭.
2 .在“创建认证策略”对话框中,在“命名表达式”后选择“常规”,选择“真值”,单击添加表情,点击创建,然后点击关闭.