SAML-Authentifizierung konfigurieren
Die Security Assertion Markup Language (SAML) ist ein XML-basierter Standard für den Austausch von Authentifizierung und Autorisierung zwischen Identity Providern (IdP) und Service Providern. NetScaler Gateway unterstützt SAML-Authentifizierung.
Wenn Sie die SAML-Authentifizierung konfigurieren, erstellen Sie die folgenden Einstellungen:
- IdP-Zertifikatsname. Dies ist der öffentliche Schlüssel, der dem privaten Schlüssel beim IdP entspricht.
- Umleitungs-URL. Dies ist die URL des Authentifizierungs-IdP. Benutzer, die nicht authentifiziert sind, werden auf diese URL umgeleitet.
- Benutzer-Feld. Sie können dieses Feld verwenden, um den Benutzernamen zu extrahieren, wenn der IdP den Benutzernamen in einem anderen Format als das NameIdentifier-Tag des Subject -Tags sendet. Dies ist eine optionale Einstellung.
- Name des signierenden Zertifikats. Dies ist der private Schlüssel des NetScaler Gateway-Servers, mit dem die Authentifizierungsanforderung an den IdP signiert wird. Wenn Sie keinen Zertifikatnamen konfigurieren, wird die Assertion unsigniert gesendet oder die Authentifizierungsanforderung wird abgelehnt.
- Name des SAML-Ausstellers. Dieser Wert wird verwendet, wenn die Authentifizierungsanfrage gesendet wird. Das Feld des Emittenten muss einen eindeutigen Namen enthalten, um die Behörde anzugeben, von der die Assertion gesendet wird. Dies ist ein optionales Feld.
- Standard-Authentifizierungsgruppe. Dies ist die Gruppe auf dem Authentifizierungsserver, von der aus Benutzer authentifiziert werden.
- Zwei Faktor. Diese Einstellung aktiviert oder deaktiviert die Zwei-Faktor-Authentifizierung.
- Lehnen Sie eine unsignierte Assertion ab. Wenn aktiviert, lehnt NetScaler Gateway die Benutzerauthentifizierung ab, wenn der Name des Signaturzertifikats nicht konfiguriert ist.
NetScaler Gateway unterstützt die HTTP-Nachbindung. In dieser Bindung antwortet die sendende Partei dem Benutzer mit einem 200-OK, das einen form-automatischen Beitrag mit den erforderlichen Informationen enthält. Insbesondere muss das Standardformular zwei versteckte Felder mit dem Namen SAMLRequest
und SAMLResponse
enthalten, je nachdem, ob es sich bei dem Formular um eine Anfrage oder eine Antwort handelt. Das Formular enthält auch RelayState, einen Status oder eine Information, die von der sendenden Partei verwendet wird, um beliebige Informationen zu senden, die nicht von einer vertrauenswürdigen Partei verarbeitet werden. Die vertrauende Partei sendet die Informationen zurück, sodass die sendende Partei weiß, was als Nächstes zu tun ist, wenn die sendende Partei die Assertion zusammen mit RelayState erhält. Es wird empfohlen, den RelayState zu verschlüsseln oder zu verschleiern.
Hinweis
Wenn NetScaler Gateway als IdP für Citrix Cloud verwendet wird, müssen Sie die RelayState-Regel auf NetScaler Gateway nicht konfigurieren.
Im Falle einer IdP-Verkettung reicht es aus, die RelayState-Regel nur für die erste SAML-Richtlinie zu konfigurieren. In diesem Zusammenhang ist IdP-Ketten ein Szenario, in dem sich eine konfigurierte SAML-Aktion auf einen virtuellen Authentifizierungsserver-IdP bezieht, der eine weitere SAML-Aktion enthält.
Konfigurieren der Active Directory-Verbunddienste 2.0
Sie können Active Directory-Verbunddienste (AD FS) 2.0 auf jedem Windows Server 2008- oder Windows Server 2012-Computer konfigurieren, den Sie in einer Verbundserverrolle verwenden. Wenn Sie den ADFS-Server so konfigurieren, dass er mit NetScaler Gateway kompatibel ist, müssen Sie die folgenden Parameter mit dem Vertrauensassistenten für vertrauende Parteien in Windows Server 2008 oder Windows Server 2012 konfigurieren.
Windows Server 2008 Parameter:
- Vertrauen auf Partei vertrauen. Sie geben den Speicherort der NetScaler Gateway-Metadatendatei an
https://vserver.fqdn.com/ns.metadata.xml
, z. B. wo vserver.fqdn.com der vollqualifizierte Domänenname (FQDN) des virtuellen NetScaler Gateway-Servers ist. Sie finden den FQDN auf dem Serverzertifikat, das an den virtuellen Server gebunden ist. - Autorisierungsregeln. Sie können Benutzern den Zugriff auf die verantwortende Partei gewähren oder verweigern.
Windows Server 2012 Parameter:
-
Vertrauen auf Partei vertrauen. Sie geben den Speicherort der NetScaler Gateway-Metadatendatei an
https://vserver.fqdn.com/ns.metadata.xml
, z. B. wo vserver.fqdn.com der vollqualifizierte Domänenname (FQDN) des virtuellen NetScaler Gateway-Servers ist. Sie finden den FQDN auf dem Serverzertifikat, das an den virtuellen Server gebunden ist. -
ADFS-Profil. Wählen Sie das ADFS-Profil aus.
-
Zertifikat. NetScaler Gateway unterstützt keine Verschlüsselung. Sie müssen kein Zertifikat auswählen.
-
Aktivieren Sie die Unterstützung für das SAML 2.0 WebSSO-Protokoll. Dies ermöglicht die Unterstützung von SAML 2.0 SSO. Sie geben die URL des virtuellen NetScaler Gateway-Servers an, z.
https:netScaler.virtualServerName.com/cgi/samlauth
B.Diese URL ist die Assertion Consumer Service-URL auf dem NetScaler Gateway-Gerät. Dies ist ein konstanter Parameter und NetScaler Gateway erwartet eine SAML-Antwort auf diese URL.
-
Vertrauenskennung der vertrauenden Partei. Geben Sie den Namen NetScaler Gateway ein. Dies ist eine URL, die verlässt, die beteiligten Parteien identifiziert, wie z. B.
https://netscalerGateway.virtualServerName.com/adfs/services/trust
. -
Autorisierungsregeln. Sie können Benutzern den Zugriff auf die verantwortende Partei gewähren oder verweigern.
-
Konfigurieren Sie Antragsregeln. Sie können die Werte für LDAP-Attribute mit Issuance Transform Rules konfigurieren und die Vorlage “Send LDAP Attributes as Claims” verwenden. Sie konfigurieren dann LDAP-Einstellungen, die Folgendes beinhalten:
- Email-Adressen
- sAMAccountName
- User Principal Name (UPN)
- MemberOf
-
Signatur des Zertifikats. Sie können die Signaturüberprüfungszertifikate angeben, indem Sie die Eigenschaften einer weiterleitenden Partei auswählen und dann das Zertifikat hinzufügen.
Wenn das Signaturzertifikat weniger als 2048 Bit beträgt, wird eine Warnmeldung angezeigt. Sie können die Warnung ignorieren, um fortzufahren. Wenn Sie eine Testbereitstellung konfigurieren, deaktivieren Sie die Zertifikatsperrliste (CRL) auf der weiterleiten Partei. Wenn Sie die Prüfung nicht deaktivieren, versucht AD FS die CRL, das Zertifikat zu validieren.
Sie können die CRL deaktivieren, indem Sie den folgenden Befehl ausführen: Set-ADFWRelayingPartyTrust - SigningCertficateRevocatonCheck None-TargetName NetScaler
Nachdem Sie die Einstellungen konfiguriert haben, überprüfen Sie die Daten der vertrauenden Partei, bevor Sie den Relaying Party Trust Wizard abschließen. Sie überprüfen das Zertifikat des virtuellen NetScaler Gateway-Servers mit der Endpunkt-URL, z. https://vserver.fqdn.com/cgi/samlauth
B.
Nachdem Sie die Konfiguration der Einstellungen im Relaying Party Trust Wizard abgeschlossen haben, wählen Sie die konfigurierte Vertrauensstellung aus und bearbeiten Sie dann die Eigenschaften. Führen Sie folgende Schritte aus:
-
Stellen Sie den sicheren Hash-Algorithmus auf SHA-1 ein.
Hinweis: NetScaler unterstützt nur SHA-1.
-
Löschen Sie das Verschlüsselungszertifikat. Verschlüsselte Behauptungen werden nicht unterstützt.
-
Bearbeiten Sie die Anspruchsregeln, einschließlich der folgenden:
- Wählen Sie Transformationsregel
- Anspruchsregel hinzufügen
- Wählen Sie Vorlage für Anspruchsregeln: LDAP-Attribute als Ansprüche senden
- Gib einen Namen
- Attributspeicher wählen: Active Directory
- Wählen Sie das LDAP-Attribut: <Active Directory parameters>
- Wählen Sie Regel für ausgehende Ansprüche als “Namens-ID”
Hinweis: XML-Tags für Attributnamen werden nicht unterstützt.
-
Konfigurieren Sie die Abmelde-URL für die einmalige Abmeldung. Die Anspruchsregel lautet Abmelde-URL senden. Die benutzerdefinierte Regel muss wie folgt lauten:
pre codeblock => issue(Type = "logoutURL", Value = "https://<adfs.fqdn.com>/adfs/ls/", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"); <!--NeedCopy-->
Nachdem Sie die AD FS-Einstellungen konfiguriert haben, laden Sie das AD FS-Signaturzertifikat herunter und erstellen Sie dann einen Zertifikatschlüssel auf NetScaler Gateway. Sie können dann die SAML-Authentifizierung auf NetScaler Gateway mit Zertifikat und Schlüssel konfigurieren.
Konfigurieren der SAML-Zwei-Faktor-Authentifizierung
Sie können die SAML-Zwei-Faktor-Authentifizierung konfigurieren. Wenn Sie die SAML-Authentifizierung mit LDAP-Authentifizierung konfigurieren, beachten Sie die folgenden Leitlinien:
- Wenn SAML der primäre Authentifizierungstyp ist, deaktivieren Sie die Authentifizierung in der LDAP-Richtlinie und konfigurieren Sie die Gruppenextraktion. Binden Sie dann die LDAP-Richtlinie als sekundären Authentifizierungstyp.
- Die SAML-Authentifizierung verwendet kein Kennwort und verwendet nur den Benutzernamen. Außerdem informiert die SAML-Authentifizierung Benutzer nur, wenn die Authentifizierung erfolgreich ist. Wenn die SAML-Authentifizierung fehlschlägt, werden Benutzer nicht benachrichtigt. Da keine Fehlerantwort gesendet wird, muss SAML entweder die letzte Richtlinie in der Kaskade oder die einzige Richtlinie sein.
- Es wird empfohlen, tatsächliche Benutzernamen anstelle von undurchsichtigen Zeichenfolgen zu konfigurieren.
- SAML kann nicht als sekundärer Authentifizierungstyp gebunden werden.