配置SAML单点登录

要跨服务提供商托管的应用程序提供单点登录功能,可以在SAML SP上配置SAML单点登录。

使用命令行接口配置SAML单点登录

1. 配置SAML SSO配置文件。

   示例

   在以下命令中，示例是具有来自SharePoint门户的网络链接的负载平衡虚拟服务器.Nssp.example.com是用于平衡SharePoint服务器负载的流量管理虚拟服务器。

   add tm samlSSOProfile tm-saml-sso -samlSigningCertName nssp -assertionConsumerServiceURL "https://nssp2.example.com/cgi/samlauth" -relaystateRule "\\"https://nssp2.example.com/samlsso.html\\"" -sendPassword ON -samlIssuerName nssp.example.com

2. 将SAML SSO配置文件与流量操作相关联。

   示例

   以下命令将启用SSO、并将在上面创建的SAML SSO配置文件绑定到流量操作。

   add tm trafficAction html\_act -SSO ON -samlSSOProfile tm-saml -SSO

3. 配置指定何时必须执行操作的流量策略。

   示例

   以下命令将流量操作与流量策略相关联。

   add tm trafficPolicy html_pol "HTTP.REQ.URL.CONTAINS(\\"abc.html\\")" html_act

4. 将之前创建的流量策略绑定到流量管理虚拟服务器（负载平衡或内容交换）。或者，可以在全局范围内关联流量策略。

   注意

   此流量管理虚拟服务器必须与与SAML操作关联的相关身份验证虚拟服务器关联。

   bind lb vserver lb1_ssl -policyName html_pol -priority 100 - gotopriityexpression END -type REQUEST

使用GUI配置SAML单点登录

要配置SAML单点登录,您需要定义SAML SSO配置文件,流量配置文件和流量策略,并将流量策略绑定到流量管理虚拟服务器或全局绑定到Citrix ADC设备。

1. 导航到安全(安全)> AAA -应用程序流量(AAA -应用程序流量)>政策(策略)>交通流(量)> SAML SSO配置文件(SAML SSO配置文件)，然后单击添加（添加）。

2. 在创建SAML SSO配置文件(创建SAML SSO配置文件)页面上,输入以下字段的值,然后单击创建（创建）。

   • 名(名称)——SAML SSO配置文件的名称
   • 主张消费服务Url(断言使用者服务Url)——断言要发送到的Url
   • 签名证书名称(签名证书名称)——用于对断言进行签名的SSL证书的名称
   • SP证书名称(SP证书名称)——用于加密断言的对等方/接收方的SSL证书的名称
   • 发行人名称(颁发者名称)——从Citrix ADC发送到国内流离失所者的请求中使用的名称,用于唯一标识Citrix ADC
   • 签名算法(签名算法)——用于签名/验证SAML事务的算法
   • 消化方法(摘要方法)——国内流离失所者发送的断言适用的受众。这通常是表示服务提供商的实体名称或URL
   • 观众(受众)——国内流离失所者发送的断言适用的受众。这通常是表示服务提供商的实体名称或URL
   • 斜时间(分钟)(倾斜时间(分钟))——断言有效的当前时间两侧的分钟数
   • 签署断言(签名断言)——当Citrix ADC IDP发送断言时,可选择对部分断言进行签名。根据用户的选择,可以酒后驾车断言或响应或两者进行签名,或者不签名。
   • 名字身份证格式(名称ID格式)- - -在断言中发送的名称标识符的格式
   • 名字ID表达式(名称ID表达式)——将被评估以获取要在断言中发送的名称标识符的表达式

3. 导航到安全(安全)> AAA -应用程序流量(AAA -应用程序流量)>政策(策略)>交通流(量)>交通概况(流量策略)，然后单击添加（添加）。

4. 在创建交通配置文件（创建流量配置文件）页面上，输入以下字段的值，然后单击创建（创建）。

   • 名(名称)——流量操作的名称。
   • AppTimeout(分钟)(应用程序超时(分钟))——用户不活动状态的时间间隔(以分钟为单位),之后连接将关闭。
   • 单点登录——选择“ON”(开)
   • SAML SSO配置文件(SAML SSO配置文件)-选择创建的SAML SSO配置文件
   • Kerberos kdc账户(KCD帐户)——约束的委派帐户名称
   • SSO用户表达(SSO用户表达式)——将被评估以获取单点登录用户名的表达式
   • SSO密码表达式(SSO密码表达式)——将被评估以获取单点登录密码的表达式

5. 导航到安全(安全)> AAA -应用程序流量(AAA -应用程序流量)>政策(策略)>交通流(量)>交通政策(流量策略)，然后单击添加（添加）。

6. 在创建交通策略（创建流量策略）页面上，输入以下字段的值，然后单击创建（创建）。

   • 名(名称)——要创建的流量策略的名称
   • 概要文件(配置文件)-选择创建的流量配置文件
   • 表达式(表达式)-策略用于响应特定请求的默认语法表达式。例如,真的。

7. 要将流量策略绑定到流量管理虚拟服务器，请选择虚拟服务器。

8. 单击政策（策略）。

9. 在选择政策（选择策略）字段中选择交通（流量），在选择类型（选择类型）字段中选择请求（请求），然后单击继续（继续）。

   ![单击以添加策略(/ en - us / citrix-adc /媒体/ saml - 9. png)

10. 在选择政策（选择策略）字段下，单击以选择创建的流量。

11. 单击选择（选择）。

12. 单击绑定（绑定）将流量策略绑定到虚拟服务器。