SAML SPとしてのCitrix ADC

SAMLサービスプロバイダー(SP)はサービスプロバイダーによってデプロイされたSAMLエンティティです。ユザが保護されたアプリケションにアクセスしようとすると，spはクラアント要求を評価します。クライアントが認証されていない(有効なNSC_TMAAまたはNSC_TMASクッキーがない)場合,SPは要求をSAMLアイデンティティ・プロバイダ(IdP)にリダイレクトします。

また，SPはIdPから受信したSAMLアサ，ションも検証します。

Citrix ADCアプライアンスがSPとして構成されている場合,すべてのユーザー要求は,関連するSAMLアクションに関連付けられたトラフィック管理仮想サーバー(負荷分散またはコンテンツスイッチング)によって受信されます。

Citrix ADCアプライアンスは,ログアウト時のPOSTおよびリダイレクトバインディングもサポートしています。

注

Citrix ADCアプライアンスは,SAML IdPがアプライアンスまたは任意の外部SAML IdPで構成されるデプロイメントで,SAML SPとして使用できます。

SAML SPとして使用する場合，Citrix ADCアプラアンスは以下を実行します。

• Samlト，クンからユ，ザ，情報(属性)を抽出できます。この情報は，Citrix ADCアプラaapl .アンス上で構成されているポリシ.で使用できます。たとえば,GroupMember属性とemailaddress属性を抽出する場合は,SAMLActionでAttribute2パラメ，タ，をAttribute3パラメ，タ，をメ，ルアドレスとして指定します。

  注

  ユーザー名,パスワード,ログアウトURLなどのデフォルト属性は,暗黙的に解析され,セッションに格納されるため,属性1 ~ 16で抽出しないでください。

• 着信samlアサションから最大127バトの属性名を抽出できます。以前の制限は63バescトでした。

• ポスト，リダレクト，アティファクトのバンディングをサポトします。

  注

  膨張またはデコード後のアサーションが10 kを超える場合,大量のデータにはリダイレクトバインディングを使用しないでください。

• アサ，ションを復号化できます。

• Samlアサ，ションから複数値の属性を抽出できます。これらの属性は，次のようなネストされたXMLタグで送信されます。

  Value1 Value2

  注

  Citrix ADC 13.0ビルド63. x以降では,SAML属性の個々の最大長が増加し,最大40 kバイトが許可されるようになりました。すべての属性のサ▪▪ズは40kバ▪▪トを超えてはなりません。

  Citrix ADCアプライアンスは,以前のXMLで示されている場合,Value1のみを抽出する古いファームウェアとは異なり,Value1とValue2の両方を特定の属性の値として抽出できます。

• Samlアサ，ションの有効性を指定できます。

  Citrix ADC SAML IdPとピアSAML SPのシステム時刻が同期していない場合,いずれかの当事者によってメッセージが無効になることがあります。このようなケ，スを回避するために，アサ，ションが有効な期間を設定できるようになりました。

  この期間は“スキュ，時間”と呼ばれ，メッセ，ジを受信する分数を指定します。スキュ，時間は，SAML SPおよびSAML IdPで構成できます。

• 認証要求の‘ForceAuthという余分な属性を外部のIdP (IDプロバイダ)に送信できます。デフォルトでは，ForceAuthnは" False "に設定されています。既存の認証コンテキストにもかかわらず認証を強制するようにIdPを提案するには,“True”に設定できます。また,アーティファクトバインディングで構成されている場合,Citrix ADC SPはクエリパラメータで認証要求を行います。

コマンドラインインターフェイスを使用してCitrix ADCアプライアンスをSAML SPとして構成するには

1. Saml spアクションを構成します。

   例

   次のコマンドは，認証されていないユ，ザ，要求をリダ，レクトするsamlアクションを追加します。

   add authentication samlAction SamlSPAct1 -samlIdPCertName nssp -samlSigningCertName nssp -samlRedirectUrl https://auth1.example.com -relaystateRule "AAA.LOGIN.RELAYSTATE.EQ(\"https://lb.example1.com/\")"

   注意事項

   • SamLActionコマンドので-samlIdPCertName提供される証明書は,シグニチャの検証を成功させるには,IdPの対応する証明書と一致する必要があります。
   • Samlはrsa証明書のみをサポ，トします。Hsm, fipsなどの他の証明書はサポ，トされていません。
   • 式の末尾に" / "を付けた完全なドメ▪▪ン名を付けることをお勧めします。
   • 管理者は，samlActionコマンドでRelaysStateRuleの式を設定する必要があります。式には,ユーザーが認証仮想サーバーにリダイレクトされる前に接続する公開ドメインのリストが含まれている必要があります。たとえば,式には,このSAMLアクションを認証に使用するフロントエンド仮想サーバー(VPN、磅またはCS)のドメインが含まれている必要があります。

   コマンドの詳細にいては，”https://developer-docs.citrix.com/projects/citrix-adc-command-reference/en/latest/authentication/authentication-samlAction“および”https://support.citrix.com/article/CTX316577を参照してください。

2. Samlポリシ，を設定します。

   例

   次のコマンドは,以前に定義されたSAMLアクションをすべてのトラフィックに適用するSAMLポリシーを定義します。

   add authentication policy SamlSPPol1 -rule true -action SamlSPAct1

3. Samlポリシを認証仮想サバにバンドします。

   例

   次のコマンドは,SAMLポリシーを“av_samlという名前の認証仮想サーバーにバインドします。

   bind authentication vserver av_saml -policy SamlSPPol1

4. 認証仮想サバを適切なトラフィック管理仮想サバにバンドします。

   例

   次のコマンドは,“lb1_sslという名前の負荷分散仮想サーバーを追加し,“av_samlという名前の認証仮想サーバーを負荷分散仮想サーバーに関連付けます。add lb vserver lb1_ssl SSL 10.217.28.224 443 -persistenceType NONE -cltTimeout 180 -AuthenticationHost auth1.example.com -Authentication ON -authnVsName av_saml

   コマンドの詳細にいては，https://developer-docs.citrix.com/projects/citrix-adc-command-reference/en/latest/authentication/authentication-samlActionを参照してください。

GUIを使用してCitrix ADCアプラescアンスをSAML SPとして構成するには

1. ［セキュリティ]> [aaaポリシ，]>[認証]>[基本ポリシ，]> [saml]に移動します。

2. ［サバ]タブを選択し，[追加]をクリックし，次のパラメ，タの値を入力して，[作成]をクリックします。

   パラメ，タの説明:

   名称:サ，バ，の名前

   リダレクトurl—ユザが認証するurl。一部のIdPには，SAMLセットアップでなければ到達できない特別なURLがあります。

   シングルログアウトURL-Citrix ADCがクライアントをIdPに戻してサインアウトプロセスを完了するタイミングを認識できるように指定するURL。この単純な展開では使用しません。

   SAMLバaapl . exeンド:クラaapl . exeアントをSPからIdPに移動するために使用されるメソッド。これはIdPでクライアントがどのように接続するかを理解するために,IdPで同じである必要があります。Citrix ADCがSPとして機能する場合,帖子,重定向,工件バインディングがサポートされます。

   ログアウトバ▪▪ンド—リダ▪▪レクト

   IDP証明書名-SAML署名証明書の下にあるIdPCert証明書(Base64)。

   用户Field-IdPのSAML認証フォ，ムのセクション。必要な場合に抽出するspのユザ名が含まれています。

   署名証明書名citrix ADCがIdPへの認証要求に署名するために使用するSAML SP証明書(秘密キー付き)を選択します。IdPが認証要求署名を検証できるように,同じ証明書(秘密キーなし)をIdPにインポートする必要があります。このフィ，ルドは，ほとんどのIdPでは必要ありません。

   発行者名-識別子。SPとIdPの両方で指定される一意のID。サビスプロバダを相互に識別するのに役立ます。

   署名されていないアサーションを拒否するIdPのアサーションに署名する必要がある場合に指定できるオプション。アサーションのみを署名(上)するか,IdPからのアサーションとレスポンスの両方を署名する必要がある(严格)ことを保証できます。

   受众- idpによって送信されたアサ，ションが適用されるオ，ディエンス。これは通常，ServiceProviderを表すエンティティ名またはURLです。

   署名アルゴリズム-rsa-sha256

   ダesc escジェストメソッド-sha256

   デフォルト認証グループ——抽出されたグループに加えて認証が成功したときに選択されるデフォルトグループ。

   グルプ名フィルド—ユザグルプを含むアサション内のタグの名前。

   スキュー時間(分)——このオプションは,Citrix ADC ServiceProviderが着信アサーションで許可するクロックスキューを分単位で指定します。

3. 同様に，対応するsamlポリシを作成し，それを認証仮想サバにバンドします。

   [セキュリティ]> [aaa -アプリケショントラフィック]>[仮想サバ.]に移動し，samlポリシ，を認証仮想サ，バ，に関連付けます。

4. 認証サ，バを適切なトラフィック管理仮想サ，バに関連付けます。

   ［トラフィック管理]>[負荷分散.](または[コンテンスッチング]）> [仮想サバ]に移動し，仮想サ，バ，を選択し，認証仮想サ，バ，をそれに関連付けます。