配置SAML身份验证
在配置实用程序中,在configuration选项卡上展开Citrix网关>策略>认证.
在导航窗格中,单击萨米尔.
在详细信息窗格中,单击添加.
在“创建身份验证策略”对话框中的名称,键入策略的名称。
在服务器旁边,单击新.
在名称,键入服务器配置文件的名称。
在IdP证书名称中,选择一个证书或单击安装. 这是安装在SAML或IdP服务器上的证书。
如果单击“安装”,请添加证书和私钥。有关详细信息,请参阅安装和管理证书.
在重定向URL,输入身份验证身份提供者(IdP)的URL。
这是用户登录到SAML服务器的URL。这是Citrix Gateway将初始请求重定向到的服务器。
在单一注销URL,指定URL,以便设备能够识别何时将客户端发送回IdP以完成注销过程。
在SAML绑定,选择将客户端从SP移动到IdP的方法。这需要在IdP上是相同的,这样它才能理解客户机是如何连接到它的。当设备充当SP时,它支持POST、REDIRECT和ARTIFACT绑定。
在注销绑定选择重新使用
在国内流离失所者证书的名字,选择SAML签名证书下存在的IdPCert证书(Base64)。
注:
你也可以点击导入元数据并选择存储元数据配置的URL。
在用户字段,输入要提取的用户名。
在签名证书的名字,选择设备用于向IdP签署身份验证请求的SAML SP证书(带有私钥)。必须将相同的证书(不带私钥)导入到IdP中,IdP才能验证认证请求签名。大多数idp不需要该字段
这是绑定到Citrix网关虚拟IP地址的证书。SAML发行者名称为用户登录的完全限定域名(FQDN),例如:lb.example.com、ng.example.com。
在发行人的名字,输入负载均衡虚拟IP地址或Citrix Gateway虚拟IP地址的FQDN,设备向其发送初始身份验证(GET)请求。
在拒绝无符号断言,指定是否需要对来自IdP的断言进行签名。您可以确保只有断言必须被签名(ON),或者断言和来自IdP的响应都必须被签名(STRICT)。
在观众,输入IdP发送的断言适用的受众。这通常是表示服务提供商的实体名称或URL。
在签名算法,选择RSA-SHA256
在摘要法,选择SHA256
在默认身份验证组,除了输入提取的组外,还输入身份验证成功时选择的默认组。
在组名,在包含用户组的断言中输入标记的名称。
在倾斜时间(分钟),指定服务提供程序在传入断言中允许的允许时钟偏移(以分钟为单位)。
点击创造然后单击关.
在“创建身份验证策略”对话框的“命名表达式”旁边,选择“常规”,选择“真值”,然后单击添加表达式,点击创造,然后单击关.