配置SAML验证

安全断言标记语言(SAML)是一种基于xml的标准，用于在身份提供者(IdP)和服务提供者之间交换身份验证和授权。Citrix Gateway支持SAML认证。

配置SAML身份验证时，将创建以下设置：

• 国内流离失所者证书的名字。这是与IdP上的私钥相对应的公钥。
• 重定向URL。认证IdP的URL。未经过身份验证的用户将被重定向到此URL。
• 用户现场。如果IdP发送的用户名格式与Subject标签的NameIdentifier标签不同，可以使用该字段提取用户名。这是一个可选设置。
• 签名证书的名字。这是Citrix Gateway服务器的私钥，用于向IdP签署身份验证请求。如果不配置证书名称，则断言将以未签名的方式发送，或者身份验证请求将被拒绝。
• SAML发行人的名字。发送认证请求时使用此值。在颁发者字段中必须有一个唯一的名称，以表示发送断言的机构。这是一个可选字段。
• 默认身份验证组。这是身份验证服务器上对用户进行身份验证的组。
• 两个因素。此设置启用或禁用双因素身份验证。
• 拒绝无符号断言。如果启用，如果没有配置签名证书名称，Citrix Gateway将拒绝用户身份验证。

Citrix网关支持HTTP后绑定。在此绑定中，发送方用一个200 OK回复用户，其中包含一个带有所需信息的自动表单post。具体来说，默认表单必须包含两个被称为SAMLRequest和同样的反应，这取决于表单是请求还是响应。该表单还包括RelayState，它是发送方用来发送没有被依赖方处理的任意信息的状态或信息。依赖方只需发回信息，以便当发送方获得断言和RelayState时，发送方知道下一步要做什么。Citrix建议对RelayState进行加密或模糊处理。

配置活动目录联合服务2.0

可以在联邦服务器角色中使用的任何Windows Server 2008或Windows Server 2012计算机上配置Active Directory联合服务(AD FS) 2.0。当配置ADFS服务器兼容Citrix Gateway时，需要在Windows server 2008或Windows server 2012环境下，通过依赖方信任向导配置如下参数。

Windows Server 2008参数:

• 依赖方信托。您可以提供Citrix网关元数据文件位置，例如https://vserver.fqdn.com/ns.metadata.xml，其中vserver.fqdn.com是Citrix网关虚拟服务器的完全限定域名（fqdn）。您可以在绑定到虚拟服务器的服务器证书上找到FQDN。
• 授权规则。您可以允许或拒绝用户访问依赖方。

Windows Server 2012参数:

• 依赖方信托。您可以提供Citrix网关元数据文件位置，例如https://vserver.fqdn.com/ns.metadata.xml，其中vserver.fqdn.com是Citrix网关虚拟服务器的完全限定域名（fqdn）。您可以在绑定到虚拟服务器的服务器证书上找到FQDN。

• AD FS配置文件。选择AD FS配置文件。

• 证书。Citrix Gateway不支持加密。您不需要选择证书。

• 启用对SAML 2.0 WebSSO协议的支持。这支持SAML 2.0 SSO。您提供Citrix Gateway虚拟服务器URL，例如https: netScaler.virtualServerName.com/cgi/samlauth．

  这个URL是Citrix Gateway设备上的断言消费者服务URL。这是一个常量参数，Citrix Gateway希望在这个URL上得到SAML响应。

• 依赖方信任标识符。输入名称Citrix Gateway。这是一个标识依赖方的URL，例如https://netscalerGateway.virtualServerName.com/adfs/services/trust．

• 授权规则。您可以允许或拒绝用户访问依赖方。

• 配置规则。可以使用发行转换规则配置LDAP属性的值，并使用模板Send LDAP attributes as Claims。然后配置LDAP设置，包括:

  • 电子邮件地址
  • sAMAccountName
  • 用户主体名称（UPN）
  • 成员

• 证书签名。您可以通过选择中继方的属性，然后添加证书来指定签名验证证书。

  如果签名证书小于2048位，则会出现警告信息。您可以忽略此警告，继续操作。如果配置的是测试部署，请禁用中继方的证书吊销列表(CRL)。如果没有禁用检查，AD FS会尝试使用CRL验证证书。

  Set-ADFWRelayingPartyTrust SigningCertficateRevocatonCheck无- targetname NetScaler

配置设置后，请在完成中继方信任向导之前验证依赖方数据。您可以使用端点URL检查Citrix网关虚拟服务器证书，例如https://vserver.fqdn.com/cgi/samlauth．

在中继方信任向导中完成配置设置后，选择已配置的信任，然后编辑属性。执行以下:

• 将安全哈希算法设置为SHA-1。

  注意：Citrix仅支持SHA-1。

• 删除加密证书。不支持加密的断言。

• 编辑索赔规则，包括以下内容：

  • 选择变换规则
  • 添加声明规则
  • 选择索赔规则模板:将LDAP属性作为索赔发送
  • 提供一个名称
  • 选择“属性存储:活动目录”
  • 选择LDAP属性：
  • 选择外出索赔规则作为“名称ID”

  注意:不支持属性名称XML标记。

• 为单次注销配置注销URL。声明规则是发送注销URL。自定义规则必须如下所示：

  pre codeblock => issue(Type = "logoutURL"， Value = "https:///adfs/ls/"， Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified");<！——NeedCopy >

AD FS配置完成后，请下载AD FS签名证书，并在Citrix Gateway上创建证书密钥。然后可以使用证书和密钥在Citrix Gateway上配置SAML身份验证。

配置SAML双因素身份验证

可以配置SAML双因素身份验证。在使用LDAP身份验证配置SAML身份验证时，请遵循以下指导原则:

• 如果SAML是主要身份验证类型，请在LDAP策略中禁用身份验证并配置组提取。然后，将LDAP策略绑定为辅助身份验证类型。
• SAML身份验证不使用密码，只使用用户名。此外，SAML身份验证仅在身份验证成功时通知用户。如果SAML身份验证失败，则不会通知用户。由于未发送故障响应，SAML必须是级联中的最后一个策略或唯一策略。
• Citrix建议您配置实际的用户名，而不是不透明的字符串。
• 不能将SAML绑定为辅助认证类型。