Verbesserungen der Authentifizierung für die SAML-Authentifizierung
Diese Funktion richtet sich an Personen mit SAML-Kenntnissen, und für die Verwendung dieser Informationen sind grundlegende Authentifizierungskenntnisse erforderlich. Der Leser muss FIPS verstehen, um diese Informationen verwenden zu können.
Die folgenden Citrix ADC-Funktionen können mit Anwendungen/Servern von Drittanbietern verwendet werden, die mit der SAML 2.0-Spezifikation kompatibel sind:
- SAML-Dienstanbieter (SP)
- SAML Identity Provider (IdP)
SP und IdP ermöglichen einen Single Sign-On (SSO) zwischen Cloudservices. Die SAML SP-Funktion bietet eine Möglichkeit, Benutzeransprüche eines IdP zu adressieren. Der IdP kann ein Drittanbieterdienst oder eine andere Citrix ADC Appliance sein. Die SAML-IdP-Funktion wird verwendet, um Benutzeranmeldungen geltend zu machen und von SPs verbrauchte Ansprüche bereitzustellen.
Im Rahmen der SAML-Unterstützung signieren sowohl IdP- als auch SP-Module die Daten, die an Peers gesendet werden, digital. Die digitale Signatur umfasst eine Authentifizierungsanforderung von SP, Assertion von IdP und Abmeldungen zwischen diesen beiden Entitäten. Die digitale Signatur bestätigt die Echtheit der Nachricht.
Die aktuelle Implementierung von SAML SP und IdP führt die Signaturberechnung in einer Paket-Engine durch. Diese Module verwenden SSL-Zertifikate, um die Daten zu signieren. In einem FIPS-konformen Citrix ADC ist der private Schlüssel des SSL-Zertifikats nicht in der Paket-Engine oder im Benutzerbereich verfügbar, sodass das SAML-Modul heute nicht für FIPS-Hardware bereit ist.
In diesem Dokument wird der Mechanismus zum Auslagern von Signaturberechnungen auf die FIPS-Karte beschrieben. Die Signaturüberprüfung erfolgt in der Software, da der öffentliche Schlüssel verfügbar ist.
Lösung
Der SAML-Funktionssatz wurde erweitert, um eine SSL-API für den Signatur-Offload zu verwenden. Einzelheiten zu diesen betroffenen SAML-Unterfunktionen finden Sie auf docs.citrix.com:
-
SAML SP Post Binding — Signieren von AuthnRequest
-
SAML IdP Post Binding - Unterzeichnung der Assertion/Response/Both
-
SAML SP Single Logout Szenarien — Signieren von LogoutRequest im SP-initiierten Modell und Signieren von LogoutResponse im IdP-initiierten Modell
-
SAML SP Artefakt-Bindung — Signieren einer ArtifactResolve-Anfrage
-
SAML SP Redirect Binding — Signieren von AuthnRequest
-
SAML IdP Redirect Binding - Signieren von Response/Assertion/Both
-
Unterstützung von SAML SP Encryption — Entschlüsselung von Assertion
Plattform
Die API kann nur auf eine FIPS-Plattform ausgelagert werden.
Konfiguration
Die Offload-Konfiguration erfolgt automatisch auf der FIPS-Plattform.
Da private SSL-Schlüssel jedoch nicht für den Benutzerbereich in FIPS-Hardware verfügbar sind, ändert sich das Erstellen des SSL-Zertifikats auf FIPS-Hardware geringfügig an der Konfiguration.
Hier sind die Konfigurationsinformationen:
-
add ssl fipsKey fips-keyErstellen Sie eine CSR und verwenden Sie sie auf dem CA-Server, um ein Zertifikat zu generieren. Sie können dieses Zertifikat dann in /nsconfig/ssl kopieren. Nehmen wir an, dass die Datei fips3cert.cerist.
-
add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-keyGeben Sie dann dieses Zertifikat in der SAML-Aktion für das SAML SP-Modul an.
-
set samlAction \<name\> -samlSigningCertName fips-certVerwenden Sie dies in samlidpProfile für das SAML-IdP-Modul
-
set samlidpprofile fipstest –samlIdpCertName fips-cert
Der FIPS-Schlüssel ist beim ersten Mal nicht verfügbar. Wenn kein FIPS-Schlüssel vorhanden ist, erstellen Sie einen, wie unter Erstellen eines FIPS-Schlüssels beschrieben.
-
create ssl fipskey \<fipsKeyName\> -modulus \<positive\_integer\> \[-exponent ( 3 | F4 )\] -
create certreq \<reqFileName\> -fipskeyName \<string\>