Gateway

SAML-Authentifizierung konfigurieren

Die Security Assertion Markup Language (SAML) ist ein XML-basierter Standard für den Austausch von Authentifizierung und Autorisierung zwischen Identity Providern (IdP) und Service Providern. Citrix Gateway unterstützt SAML-Authentifizierung.

Wenn Sie die SAML-Authentifizierung konfigurieren, erstellen Sie die folgenden Einstellungen:

  • IdP-Zertifikatsname. Dies ist der öffentliche Schlüssel, der dem privaten Schlüssel beim IdP entspricht.
  • Umleitungs-URL. Dies ist die URL des Authentifizierungs-IdP. Benutzer, die nicht authentifiziert sind, werden auf diese URL umgeleitet.
  • Benutzer-Feld. Sie können dieses Feld verwenden, um den Benutzernamen zu extrahieren, wenn der IdP den Benutzernamen in einem anderen Format als das NameIdentifier-Tag des Subject -Tags sendet. Dies ist eine optionale Einstellung.
  • Name des signierenden Zertifikats. Dies ist der private Schlüssel des Citrix Gateway-Servers, mit dem die Authentifizierungsanforderung an den IdP signiert wird. Wenn Sie keinen Zertifikatnamen konfigurieren, wird die Assertion unsigniert gesendet oder die Authentifizierungsanforderung wird abgelehnt.
  • Name des SAML-Ausstellers. Dieser Wert wird verwendet, wenn die Authentifizierungsanfrage gesendet wird. Das Feld des Emittenten muss einen eindeutigen Namen enthalten, um die Behörde anzugeben, von der die Assertion gesendet wird. Dies ist ein optionales Feld.
  • Standard-Authentifizierungsgruppe. Dies ist die Gruppe auf dem Authentifizierungsserver, von der aus Benutzer authentifiziert werden.
  • Zwei Faktor. Diese Einstellung aktiviert oder deaktiviert die Zwei-Faktor-Authentifizierung.
  • Lehnen Sie eine unsignierte Assertion ab. Wenn aktiviert, lehnt Citrix Gateway die Benutzerauthentifizierung ab, wenn der Name des Signaturzertifikats nicht konfiguriert ist.

Citrix Gateway unterstützt die HTTP-Nachbindung. In dieser Bindung antwortet die sendende Partei dem Benutzer mit einem 200-OK, das einen form-automatischen Beitrag mit den erforderlichen Informationen enthält. Insbesondere muss das Standardformular zwei versteckte Felder namens SAMLRequest und SAMLResponse enthalten, je nachdem, ob es sich bei dem Formular um eine Anfrage oder eine Antwort handelt. Das Formular enthält auch RelayState, bei dem es sich um einen Status oder Informationen handelt, die von der sendenden Partei verwendet wird, um willkürliche Informationen zu senden, die nicht von der versendenden Partei verarbeitet werden. Die vertrauende Partei sendet die Informationen zurück, sodass die sendende Partei weiß, was als Nächstes zu tun ist, wenn die sendende Partei die Assertion zusammen mit RelayState erhält. Es wird empfohlen, RelayState zu verschlüsseln oder zu verschleiern.

Hinweis

  • Wenn Citrix Gateway als IdP für Citrix Cloud verwendet wird, müssen Sie die RelayState-Regel auf Citrix Gateway nicht konfigurieren.

  • Im Falle einer IdP-Verkettung reicht es aus, die RelayState-Regel nur für die erste SAML-Richtlinie zu konfigurieren. In diesem Zusammenhang ist IdP-Ketten ein Szenario, in dem sich eine konfigurierte SAML-Aktion auf einen virtuellen Authentifizierungsserver-IdP bezieht, der eine weitere SAML-Aktion enthält.

Konfigurieren der Active Directory-Verbunddienste 2.0

Sie können Active Directory-Verbunddienste (AD FS) 2.0 auf jedem Windows Server 2008- oder Windows Server 2012-Computer konfigurieren, den Sie in einer Verbundserverrolle verwenden. Wenn Sie den AD FS-Server für die Verwendung mit Citrix Gateway konfigurieren, müssen Sie die folgenden Parameter mithilfe des Relying Party Trust Wizard in Windows Server 2008 oder Windows Server 2012 konfigurieren.

Windows Server 2008 Parameter:

  • Vertrauen auf Partei vertrauen. Sie geben den Speicherort der Citrix Gateway-Metadatendatei an https://vserver.fqdn.com/ns.metadata.xml, z. B. wo vserver.fqdn.com der vollqualifizierte Domänenname (FQDN) des virtuellen Citrix Gateway-Servers ist. Sie finden den FQDN auf dem Serverzertifikat, das an den virtuellen Server gebunden ist.
  • Autorisierungsregeln. Sie können Benutzern den Zugriff auf die verantwortende Partei gewähren oder verweigern.

Windows Server 2012 Parameter:

  • Vertrauen auf Partei vertrauen. Sie geben den Speicherort der Citrix Gateway-Metadatendatei an https://vserver.fqdn.com/ns.metadata.xml, z. B. wo vserver.fqdn.com der vollqualifizierte Domänenname (FQDN) des virtuellen Citrix Gateway-Servers ist. Sie finden den FQDN auf dem Serverzertifikat, das an den virtuellen Server gebunden ist.

  • ADFS-Profil. Wählen Sie das ADFS-Profil aus.

  • Zertifikat. Citrix Gateway unterstützt keine Verschlüsselung. Sie müssen kein Zertifikat auswählen.

  • Aktivieren Sie die Unterstützung für das SAML 2.0 WebSSO-Protokoll. Dies ermöglicht die Unterstützung von SAML 2.0 SSO. Sie geben die URL des virtuellen Citrix Gateway-Servers an, z. https:netScaler.virtualServerName.com/cgi/samlauthB.

    Diese URL ist die Assertion Consumer Service-URL auf dem Citrix Gateway-Gerät. Dies ist ein konstanter Parameter und Citrix Gateway erwartet eine SAML-Antwort auf diese URL.

  • Vertrauenskennung der vertrauenden Partei. Geben Sie den Namen Citrix Gateway ein. Dies ist eine URL, die verlässt, die beteiligten Parteien identifiziert, wie z. B. https://netscalerGateway.virtualServerName.com/adfs/services/trust.

  • Autorisierungsregeln. Sie können Benutzern den Zugriff auf die verantwortende Partei gewähren oder verweigern.

  • Konfigurieren Sie Antragsregeln. Sie können die Werte für LDAP-Attribute mithilfe von Ausgabentransformationsregeln konfigurieren und die Vorlage LDAP-Attribute als Forderungen senden verwenden. Sie konfigurieren dann LDAP-Einstellungen, die Folgendes beinhalten:

    • Email-Adressen
    • sAMAccountName
    • User Principal Name (UPN)
    • MemberOf
  • Signatur des Zertifikats. Sie können die Signaturüberprüfungszertifikate angeben, indem Sie die Eigenschaften einer weiterleitenden Partei auswählen und dann das Zertifikat hinzufügen.

    Wenn das Signaturzertifikat weniger als 2048 Bit beträgt, wird eine Warnmeldung angezeigt. Sie können die Warnung ignorieren, um fortzufahren. Wenn Sie eine Testbereitstellung konfigurieren, deaktivieren Sie die Certificate Revocation List (CRL) auf der Relaying Party. Wenn Sie die Prüfung nicht deaktivieren, versucht AD FS die CRL, das Zertifikat zu validieren.

    Sie können die CRL deaktivieren, indem Sie den folgenden Befehl ausführen: Set-ADFWRelayingPartyTrust - SigningCertficateRevocatonCheck None-TargetName NetScaler

Nachdem Sie die Einstellungen konfiguriert haben, überprüfen Sie die Daten der vertrauenden Partei, bevor Sie den Relaying Party Trust Wizard abschließen. Sie überprüfen das Zertifikat des virtuellen Citrix Gateway-Servers mit der Endpunkt-URL, z. https://vserver.fqdn.com/cgi/samlauthB.

Nachdem Sie die Konfiguration der Einstellungen im Relaying Party Trust Wizard abgeschlossen haben, wählen Sie die konfigurierte Vertrauensstellung aus und bearbeiten Sie dann die Eigenschaften. Sie müssen Folgendes tun:

  • Stellen Sie den sicheren Hash-Algorithmus auf SHA-1 ein.

    Hinweis: Citrix unterstützt nur SHA-1.

  • Löschen Sie das Verschlüsselungszertifikat. Verschlüsselte Behauptungen werden nicht unterstützt.

  • Bearbeiten Sie die Anspruchsregeln, einschließlich der folgenden:

    • Wählen Sie Transformationsregel
    • Anspruchsregel hinzufügen
    • Wählen Sie Vorlage für Anspruchsregeln: LDAP-Attribute als Ansprüche senden
    • Gib einen Namen
    • Attributspeicher wählen: Active Directory
    • Wählen Sie das LDAP-Attribut: <Active Directory parameters>
    • Wählen Sie Regel für ausgehende Ansprüche als “Namens-ID”

    Hinweis: XML-Tags für Attributnamen werden nicht unterstützt.

  • Konfigurieren Sie die Abmelde-URL für die einmalige Abmeldung. Die Anspruchsregel lautet Abmelde-URL senden. Die benutzerdefinierte Regel sollte wie folgt lauten:

    pre codeblock => issue(Type = "logoutURL", Value = "https://<adfs.fqdn.com>/adfs/ls/", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"); <!--NeedCopy-->

Nachdem Sie die AD FS-Einstellungen konfiguriert haben, laden Sie das AD FS-Signaturzertifikat herunter und erstellen Sie dann einen Zertifikatschlüssel auf Citrix Gateway. Sie können dann die SAML-Authentifizierung auf Citrix Gateway mit Zertifikat und Schlüssel konfigurieren.

Konfigurieren der SAML-Zwei-Faktor-Authentifizierung

Sie können die SAML-Zwei-Faktor-Authentifizierung konfigurieren. Wenn Sie die SAML-Authentifizierung mit LDAP-Authentifizierung konfigurieren, beachten Sie die folgenden Leitlinien:

  • Wenn SAML der primäre Authentifizierungstyp ist, deaktivieren Sie die Authentifizierung in der LDAP-Richtlinie und konfigurieren Sie die Gruppenextraktion. Binden Sie dann die LDAP-Richtlinie als sekundären Authentifizierungstyp.
  • Die SAML-Authentifizierung verwendet kein Kennwort und verwendet nur den Benutzernamen. Außerdem informiert die SAML-Authentifizierung Benutzer nur, wenn die Authentifizierung erfolgreich ist. Wenn die SAML-Authentifizierung fehlschlägt, werden Benutzer nicht benachrichtigt. Da keine Fehlerantwort gesendet wird, muss SAML entweder die letzte Richtlinie in der Kaskade oder die einzige Richtlinie sein.
  • Es wird empfohlen, tatsächliche Benutzernamen anstelle von undurchsichtigen Zeichenfolgen zu konfigurieren.
  • SAML kann nicht als sekundärer Authentifizierungstyp gebunden werden.
SAML-Authentifizierung konfigurieren