Citrix ADC作为SAML SP
SAML服务提供商(SP)是由服务提供商部署的SAML实体。当用户尝试访问受保护的应用程序时,SP将评估客户端请求。如果客户端未经身份验证(没有有效的NSC_TMAA或NSC_TMAS饼干),SP会将请求重定向到SAML身份提供程序(IdP)。
SP还会验证从国内流离失所者收到的SAML断言。
将Citrix ADC设备配置为SP时,与相关SAML-作业关键词
Citrix ADC设备还支持在注销期间执行帖子和重定向绑定操作。
注意
Citrix ADC设备可在制备或任何外部SAML IDP上配置了SAML IDP的部署中用法SAML SP。
用药Saml SP时,Citrix ADC设备:
可以从saml令牌中提取用途信息(属性)。随后可在Citrix ADC设备上的策略中的策略中间使用此信息。例如,如果要提取groupmember和emailaddress属性,请在Samlaction中间指定attribute2.参数为GroupMember,指定attribute3.参数为emailaddress。
注意
不得在属性论文中提取默认属性,例如用户名:密码和注销URL,因为它们会在会话中隐式解析和存储。
可以从传入SAML断言中提取最多127个字节的属性名称。之前的限制是 63 个字节。
支持发布、重定向和伪影绑定。
注意
。
可以解密解密。
可以从saml断言中间更多。发现的XML XML标记,例如:
Value1 Value2 注意
从Citrix ADC 13.0版63本。x及更高版本中,SAML属性的个人最大长度已增加,以允许最大40 k字节。所有属性的大小不得超过40 k字节。
在提供之前的XML时,Citrix ADC设备可以将Value1和Value2作为给定属性的值提取,与仅提取Value1的旧固件相反。
可以是saml断言的有力。
如果Citrix ADC SAML IdP上的系统时间与对SAML SP等上的系统时间不同步,则消息可能会被任何一方失效。为了避免此类情况,您现在可以配置断言有效的持续时间。
此持续时间(为“偏斜时空”)指定指定接受消息的分类数。可以在Saml sp和saml Idp上配置倾斜倾斜倾斜倾斜倾斜时间。
可以在身份验证请求中向外部IdP(身份提供商)发送名为“ForceAuth”的额外属性。默认情况下,ForceAuthn设置为“假”。它可以设置为“True”以建议国内流离失所者在存在身份验证上下文的情况下强制执行身份验证。此外,当使用工件绑定配置时,Citrix ADC SP在查询参数中执行身份验证请求。
使用命令行界面将Citrix ADC设备配置为SAML SP
配置SAML SP操作。
示例
以下命令添加了一项SAML操作,用于重定向未经身份验证的用户请求。
添加身份验证samlaction samlspact1 -samlidpcertname nssp -samlsigningcertname nssp -samlredirecturl https://auth1.example.com -relaystaterule“aaa.login.relaystate.eq(\”https://lb.example1.com/ \“)”注意事项
- SamlACTION命令
-samlIdPCertName中产病人 - SAML仅支持RSA证书。不支持HSM, FIPS等其他证书。
- Citrix建议位于表达式中间使用带尾随“/”的完整名。
- 管理员必须在Samlaction命令中为relaysStateRule配置达达式。表达式必须包含包含连接已发布的列表,然后再重定重定到身份验证虚拟虚拟虚拟虚拟虚拟虚拟。CS)的域。
有关该命令的更多详细信息,请参阅https://developer-docs.citrix.com/projects/citrix-adc-command-reference/en/latest/authentication/authentication-samlaction.和https://support.citrix.com/article/ctx316577。
- SamlACTION命令
配置saml策略。
示例
以下命令定义了将定义的saml操作用于的saml策略。
添加认证策略SamlSPPol1 -rule true -action SamlSPAct1将saml策略绑定到身份验证验证服务服务。
示例
以下命令将SAML策略绑定到名为“av_saml”的身份验证虚拟服务器。
绑定认证vserver av_saml -policy SamlSPPol1将身份验证虚拟服务器绑定到相应的流量管理虚拟服务器。
示例
以下命令将加值为“LB1_SSL”的负载平衡仪器,并并名为“AV_SAML”的身份身份服务仪关键词。
add lb vserver lb1_ssl SSL 10.217.28.224 443 -persistenceType NONE -cltTimeout 180 -AuthenticationHost auth1.example.com -Authentication ON -authnVsName av_saml . add lb vserver lb1_ssl SSL 10.217.28.224 443 -persistenceType NONE -cltTimeout 180 -AuthenticationHost auth1.example.com -Authentication ON -authnVsName av_saml有关该命令的更多详细信息,请参阅https://developer-docs.citrix.com/projects/citrix-adc-command-reference/en/latest/authentication/authentication-samlaction.
使用GUI将Citrix ADC设备配置为SAML SP
导航到安全> AAA策略>身份验证>基本策略> SAML。
选择服务器选项卡,单击添加,输入以下参数的值,然后单击创建。
参数描述:
名称-服务器的名称
重定向URL——用户将对其进行身份验证的URL。除非在SAML设置下,某些IdP具有无法访问的特殊的URL。
单个注销URL——指定的URL,以便Citrix ADC可以识别何时将客户端发送回国内流离失所者以完成注销过程。我们不会在这个简单的部署中使用它。
SAML绑定——用于将客户端从SP移动到国内流离失所者的方法。这在国内流离失所者上需要相同,以便它了解客户端将如何连接到它。当Citrix ADC充当SP时,它支持开机自检,重定向和工件绑定。
注销绑定 - 重定向
Idp证书名称 - 存在于saml姓证书下的idpcert证书(base64)。
用户字段——IdP的SAML身份验证表单中包含SP要提取的用户名(如果需要)的部分。
签名证书名称,选择Citrix ADC用于对国内流离失所者的身份验证请求签名的SAML SP证书(带私钥)。必须将相同的证书(不带私钥)导入到国内流离失所者,以便IdP可以验证身份验证请求签名。大多数国内流离失所者并不需要此字段。
发行人名称-标识符。在SP和国内流离失所者上指定的唯一ID,以帮助彼此识别服务提供商。
拒绝未名录断言 - 是需要需要对idp的断言进行,可以是指定的。
受众idp发送的断言适用的受众。这通常是表示ServiceProvider的实体名称或URL。
签名算法-RSA-SHA256
摘要方法-SHA256
默认身份验证组-除了提取的组之外,身份验证成功时还选择的默认组。
组名字段-断言中包含用户组的标记的名称。
倾斜时间(分钟)——此选项指定Citrix ADC ServiceProvider允许对传入断言允许的时钟偏差(以分钟为单位)。
同样,创建相应的SAML策略并将其绑定到身份验证虚拟服务器。
导航到安全性(安全)> AAA - 申请流量(AAA - 应用程料)>虚拟服务器(虚拟虚拟器),然后将SAML策略与身份验证虚拟服务器相关联。
将身份验证服务器与相应的流量管理虚拟服务器关联。
导航到交通管理(流量管理)>负载平衡(负载平台)(或内容切换(内容切换))>虚拟服务器(虚拟服务器)中,选择虚拟服务器,然后将身份验证虚拟服务器与其关联。