SAML身份验证的改进
该特性需要SAML知识、基本身份验证熟练程度和FIPS理解才能使用该信息。
您可以在与SAML 2.0规范兼容的第三方应用程序和服务器中使用下列Citrix ADC特性:
- SAML服务提供商(SP)
- SAML身份提供者(IdP)
SP和IdP允许云服务之间的单点登录。SAML SP特性提供了一种处理来自IdP的用户声明的方法。IdP可以是第三方服务或另一个Citrix ADC设备。SAML IdP特性用于断言用户登录并提供供服务提供商使用的声明。
作为SAML支持的一部分,IdP和SP模块都对发送到对等点的数据进行数字签名。数字签名包括SP的身份验证请求、IdP的断言和两个实体之间的注销消息。数字签名验证消息的真实性。
目前SAML SP和IdP的实现是在包引擎中进行签名计算的。这些模块使用SSL证书对数据进行签名。在符合FIPS的Citrix ADC中,SSL证书的私钥在包引擎或用户空间中不可用,因此SAML模块目前还不能用于FIPS硬件。
本文档描述了将签名计算卸载到FIPS卡的机制。签名验证在软件中完成,因为公钥是可用的。
解决方案
SAML特性集得到了增强,可以使用SSL API进行签名卸载。有关这些受影响的SAML子特性的详细信息,请参阅Citrix产品文档:
SAML SP Post Binding - AuthnRequest的签名
SAML IdP后绑定-签名断言/响应/两者
SAML SP单注销场景——SP发起模型中的LogoutRequest签名和IdP发起模型中的LogoutResponse签名
SAML SP工件绑定-对ArtifactResolve请求进行签名
SAML SP重定向绑定- AuthnRequest签名
SAML IdP重定向绑定-响应/断言/两者的签名
SAML SP加密支持-解密断言
平台
API只能卸载到FIPS平台上。
配置
在FIPS平台上自动执行卸载配置。
但是,由于在FIPS硬件中的用户空间中不能使用SSL私钥,因此在FIPS硬件上创建SSL证书时,会有一个细微的配置更改。
下面是配置信息:
add ssl fipsKey fips-key创建CSR并在CA服务器上使用它生成证书。然后您可以复制证书
/ nsconfig / ssl.让我们假设这个文件是fips3cert.cer。add ssl certKey fips3cert。cer -fipsKey fips-key然后在SAML SP模块的SAML操作中指定此证书。
设置samlAction-samlSigningCertName fips-cert 同样地,你在
samlIdpProfileSAML IdP模块。set samlidpprofile fipstest -samlIdpCertName fips-cert . conf
第一次,你没有fips-key在前一节中描述。如果没有FIPS密钥,创建一个描述如下:https://support.citrix.com/servlet/kbservlet/download/9539 - 102 665378/ns9000_fips_6 [1] [1] .1.pdf
create ssl fipskey -modulus [-expone (3 | F4)] create certreq -fipskeyName