Citrix ADC为SAML IDP

SAML IDP（身份提供程序）是在部署在网上中间的saml繁体.idp接收来自saml sp的请求，并将用作重定向到页面，用来必须登录向到中输入.idp通讯活动目录（外部身份验证验证器，例如LDAP）对这些凭据进行，然后生成发作到sp的saml断言。

SP验证令牌，然后然后用作对请求的受受使用程度的访问它们。

将citrix adc设备配置别为IDP时，与相关saml IDP配置文缺点的身份验证虚拟将接收所身份。

注意

Citrix ADC设备可在设备上或任何外部SAML SP上配置了SAML SP的部署中使用IDP。

用途SAML IDP时，Citrix ADC设备：

• 中国

• 以数据方向签署断言。

• 支持单重身份验证和双重身份验证。不得将saml配置为辅助身份验证制机。

• 可用Saml SP的公共加值。

• 可以是为仅而是来自saml sp的数码名目。

• 可用用力下基下基础401的身份身份机械登录Saml IDP：协商，NTLM和证书。

• 除了名称属性外，还可以为发布16个属性。必须从相应的身份身份验证器中提取属性。对于其中的每个人，您可以在Saml Idp配置文章中名词，表达式，格式和耶和好名字。

• 如果citrix adc设备是否为多个saml sp的saml IDP，用语无需每次进行显式身份即可访问访问验证即可口SP上的使用程序.Citrix ADC设备为第一致验证会饼干，后续的每个请求请求使用此饼干进行。

• 可以在Saml断言中发出多元。

• 支持发布和重定向绑定.citrix adc 13.0 build 36.27中引入了对项目绑定的。

• 可以是saml断言的有力。

  如果citrix adc saml iDP上的时空时间与对saml saml sp上的时空不一致，则则可以被任何失效。

  此持续时空为“倾斜时间”，指定必须接受消息的分析数。可以在Saml sp和saml Idp上配置倾斜倾斜倾斜倾斜倾斜倾斜时间。

• 可以为仅在IDP上预配置的saml spl sp提供断言。

  注意

  继续继续作用之迹，请确保您的身份身份虚拟虚拟已链接到链接到链接到链接到。

使用命令行界面将Citrix ADC设备配置别为SAML IDP

1. 配置Saml IDP配置文章。

   示例

   将Citrix ADC设备加载为IDP，并将舵机加载为SP。

   添加身份验证samlidpprofile samlidpprof1 -samlspcertname siteminder-cert -encryptassertion --encryptassertion --encryptasertion -samliveconsumerserviceurl http://sm-proxy.nsi-test.com：8080/Affwebservices/publicunsignedrequests -signaturealg rsa-sha256 -digestmethodsha256 -acsurlrule aaa.login.saml_req_acs_url.regex_match（重新＃^ https：// example2 \ .com / cgi / samlauth $＃）

   注意事项

   • 在Saml IDP配置文梦中，配置Acsurlrule.，该acurlrule采用此idp的使用服务服务商URL列表达达式。此达达式取决于正在使用的sp。如果citrix adc配置为sp，则acs url将为https：// / cgi / samlauth.citrix建议在表达式中包含完整url以进行匹配。

   • Saml仅仅rsa证书。不支持hsm，fips等等证书。

   • 您必须使用“^”符号（例如：^ https）以及字符串末尾的美丽符名“$”（例如：samlauth $）指定域的起始位置。

   有关该命令的更多信息，请参阅https://developer-docs.citrix.com/projects/citrix-adc-command-reference/en/latest/authentication/authentication-samlaction.和https://support.citrix.com/article/ctx316577。

2. 配置saml身份验证策略并saml idp配置文学关键词。

   添加身份验证samlidppolicy samlidppol1 -rule true - apaction samlidpprof1

3. 将策略绑定到身份身份验证仪器。

   绑定身份验证vserver saml-auth-vserver -policy samlidppol1-priority 100

   有关该命令的更多信息，请参阅https://developer-docs.citrix.com/projects/citrix-adc-command-reference/en/latest/authentication/authentication-samlidpprofile.。

使用GUI将CITRIX ADC设备配置为SAML IDP

1. 导航到安全> AAA策略>身份验证>高级策略> SAML IDP。

2. 选择服务器选项卡，单击加加，输入以下数码的值，然后单位创建。

   参数描述：

   断言消费者服务url-经过身份身份验证的用词将重定向到的网址。

   IDP证书名称 - 用来于身份验证页面的证书密钥对。

   sp证书名称 - 服务提供商的书面书在这这情况下，这不到密钥。

   签名断言 - 在将客户端重定向回服务提供商名单的选项。

   发行人名称 - 标识符。在sp和idp上指定的唯一体，以帮助彼此识别服务提供商。

   商ID-将在SP和IDP上指定的唯一体ID，以可相互识别服务提供赞。

   拒绝拒绝名录请求 - 可以使用sp证书籍签确保。

   签名要法 - 用〖idp和sp之间的断言行“和sp之间的断言行”和〗的方法，这在IDP和SP配置文中中间都需要相同。

   摘要方法 - 用来于验证idp和sp之间是的算法，这在IDP和SP配置文中中间都需要相同。

   Saml绑定 - 与sp配置文化中间的相同，sp和IDP上都需要。

3. 将SAML IDP策略与身份验证服务服务服务仪。

   导航到安全性（安全）> AAA - 申请流量（AAA - 应用程料）>虚拟服务器（虚拟虚拟器），然后将saml iDP策略策略身份验证虚拟虚拟服务服务服务服务服务服务身份身份联。