SAML認証の構成
セキュリティーアサーションマークアップ言語(SAML)はIDプロバイダー(IdP)とサービスプロバイダーの間で認証と承認を交換するためのXMLベースの標準です。Citrix网关は,SAML認証をサポートしています。
萨米尔認証を構成するときは、次の設定を作成します。
- 国内流离失所者証明書名。国内流离失所者の秘密鍵に対応する公開鍵です。
- リダイレクト 网址これは、認証 国内流离失所者の 统一资源定位地址です。認証されていないユーザーは、この 统一资源定位地址にリダイレクトされます。
- [ユーザフィールド]: 国内流离失所者が 主题タグの 名称标识符タグとは異なる形式でユーザー名を送信する場合、このフィールドを使用してユーザー名を抽出できます。これはオプションの設定です。
- 署名証明書名。これは,IdPへの認証要求に署名するために使用されるCitrix网关サーバーの秘密鍵です。証明書名を設定しない場合,アサーションは署名なしに送信されるか,認証要求は拒否されます。
- 萨米尔発行者名。この値は、認証要求が送信されるときに使用されます。発行者フィールドには、アサーションが送信される権限を示す一意の名前が必要です。これはオプションのフィールドです。
- デフォルトの認証グループ。これは,ユーザの認証元となる認証サーバ上のグループです。
- 2つのファクター。この設定では2要素認証を有効または無効にします。
- 署名されていないアサーションを拒否します。有効にすると,署名証明書名が構成されていない場合,Citrix网关はユーザー認証を拒否します。
Citrix网关は、HTTP POSTバインディングをサポートしています。このバインディングでは、送信側は、必要な情報を持つフォーム自動投稿を含む200行でユーザーに応答します。具体的には、そのデフォルトフォームには、フォームがリクエストかレスポンスかに応じて、SAMLRequestと 同样的反应という 2.つの非表示フィールドが含まれている必要があります。フォームには 再结晶も含まれています。再结晶は、証明書利用者によって処理されない任意の情報を送信するために送信側によって使用される状態または情報です。証明書利用者は、送信側が再结晶とともにアサーションを取得したときに、送信側が次に何をすべきかを知るように、単に情報を送り返します。再结晶を暗号化または難読化することをお勧めします。
活动目录フェデレーションサービス 2の構成
フェデレーションサーバーの役割で使用する任意の Windows Server 2008コンピューターまたは Windows Server 2012コンピューターで、活动目录フェデレーションサービス (AD FS)2.0を構成できます。Citrix网关で動作するように AD FSサーバーを構成する場合は、証明書利用者の信頼ウィザードを使用して、次のパラメーターを構成する必要があります。
Windows Server 2008パラメーター:
- 証明書利用者の信頼。Citrix网关のメタデータファイルの場所(https://vserver.fqdn.com/ns.metadata.xmlなど)を指定します。ここで,vserver.fqdn.comはCitrix网关仮想サーバーの完全修飾ドメイン名(FQDN)です。FQDNは,仮想サーバーにバインドされたサーバー証明書にあります。
- 承認規則。証明書利用者へのアクセスをユーザーに許可または拒否できます。
2012年サーバーのパラメーター:
証明書利用者の信頼。Citrix网关のメタデータファイルの場所(https://vserver.fqdn.com/ns.metadata.xmlなど)を指定します。ここで,vserver.fqdn.comはCitrix网关仮想サーバーの完全修飾ドメイン名(FQDN)です。FQDNは,仮想サーバーにバインドされたサーバー証明書にあります。
AD FSプロファイル。AD FSプロファイルを選択します。
証明書。Citrix网关は暗号化をサポートしていません。証明書を選択する必要はありません。
SAML 2.0 WebSSOプロトコルのサポートを有効にします。これにより,SAML 2.0 SSOのサポートが有効になります。Citrix网关仮想サーバーのURL (https:netScaler.virtualServerName.com/cgi/samlauthなど)を指定します。
このURLはCitrix网关アプライアンス上のアサーションコンシューマーサービスのURLです。これは定数パラメーターであり,Citrix网关はこのURLに対するSAML応答を想定しています。
証明書利用者の信頼識別子。“Citrix网关”という名前を入力します。これは,証明書利用者を識別するURLです。たとえば,https://netscalerGateway.virtualServerName.com/adfs/services/trust。
承認規則。証明書利用者へのアクセスをユーザーに許可または拒否できます。
要求ルールを構成します。発行変換規則を使用して LDAP属性の値を構成し、「要求として LDAP属性を送信」テンプレートを使用できます。次に、次の情報を含む LDAP設定を構成します。
- メールアドレス
- sAMAccountName
- ユーザー プリンシパル名 (万国邮联)
- memberOf
証明書の署名。署名検証証明書を指定するには、[中継者のプロパティ] を選択して証明書を追加します。
署名証明書が2048ビット未満の場合は,警告メッセージが表示されます。警告を無視して続行できます。テスト展開を設定している場合は,リレーパーティで証明書失効リスト(CRL)を無効にします。チェックを無効にしないと,广告FSはCRLで証明書の検証を試みます。
CRLを無効にするには、次のコマンドを実行します。设置ADFWRelayingPartyTrust-SigningCertificateVocationCheck None TargetName NetScaler
設定を構成したら,中継パーティの信頼ウィザードを完了する前に,証明書利用者のデータを確認します。Citrix网关仮想サーバー証明書は,https://vserver.fqdn.com/cgi/samlauthなどのエンドポイント统一资源定位地址で確認します。
中継パーティの信頼ウィザードでの設定の構成が完了したら、構成された信頼を選択し、プロパティを編集します。次のことを行う必要があります。
セキュアハッシュアルゴリズムをsha - 1に設定します。
注:Citrixではsha - 1のみがサポートされています。
暗号化証明書を削除します。暗号化されたアサーションはサポートされていません。
以下を含む要求ルールを編集します。
- 変換規則の選択
- 要求ルールの追加
- 要求規則テンプレートの選択:要求として LDAP属性を送信する
- 名前をつける
- 属性ストアの選択:Active Directory
- 参数< Active Directory > LDAP属性を選択:
- 「名前 ID“として「外出要求ルール」を選択します。
注:属性名 XMLタグはサポートされていません。
シングルサインオフのログアウト 统一资源定位地址を設定します。要求ルールは [ログアウト 统一资源定位地址の送信] です。カスタムルールは、次のようになります。
pre-codeblock=>issue(Type=“logoutURL”,Value=“https:///adfs/ls/”,属性[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename“]=“urn:oasis:names:tc:SAML:2.0:attrname格式:未指定”);
AD FSの設定を構成したら、AD FS署名証明書をダウンロードし、Citrix网关で証明書キーを作成します。その後、証明書とキーを使用して、Citrix网关で萨米尔認証を構成できます。
SAML 2要素認証の設定
SAMLの2要素認証を設定できます。LDAP認証を使用してSAML認証を構成する場合は,次のガイドラインに従ってください。
- SAMLがプライマリ認証タイプである場合は,LDAPポリシーで認証を無効にし,グループ抽出を設定します。次に、LDAPポリシーをセカンダリ認証タイプとしてバインドします。
- 萨米尔認証では、パスワードは使用されず、ユーザー名のみが使用されます。また、萨米尔認証は、認証が成功した場合にのみユーザーに通知します。萨米尔認証が失敗した場合、ユーザーには通知されません。失敗応答は送信されないため、萨米尔はカスケードの最後のポリシーか、唯一のポリシーである必要があります。
- 不透明な文字列ではなく,実際のユーザー名を構成することをお勧めします。
- SAMLをセカンダリ認証タイプとしてバインドすることはできません。