Gateway

Verbesserungen bei der SAML-Authentifizierung

Diese Funktion erfordert SAML-Kenntnisse, grundlegende Authentifizierungskenntnisse und FIPS-Verständnis, um diese Informationen verwenden zu können.

Sie können die folgenden NetScaler-Funktionen mit Anwendungen und Servern von Drittanbietern verwenden, die mit der SAML 2.0-Spezifikation kompatibel sind:

  • SAML-Dienstanbieter (SP)
  • SAML Identity Provider (IdP)

SP und IdP ermöglichen einen Single Sign-On (SSO) zwischen Cloudservices. Die SAML SP-Funktion bietet eine Möglichkeit, Benutzeransprüche eines IdP zu adressieren. Der IdP kann ein Drittanbieterdienst oder eine andere NetScaler Appliance sein. Die SAML-IdP-Funktion wird verwendet, um Benutzeranmeldungen geltend zu machen und von SPs verbrauchte Ansprüche bereitzustellen.

Im Rahmen der SAML-Unterstützung signieren sowohl IdP- als auch SP-Module die Daten, die an Peers gesendet werden, digital. Die digitale Signatur umfasst eine Authentifizierungsanforderung von SP, Assertion von IdP und Abmeldungen zwischen diesen beiden Entitäten. Die digitale Signatur bestätigt die Echtheit der Nachricht.

Die aktuellen Implementierungen von SAML SP und IdP führen die Signaturberechnung in einer Paket-Engine durch. Diese Module verwenden SSL-Zertifikate, um die Daten zu signieren. In einem FIPS-konformen NetScaler ist der private Schlüssel des SSL-Zertifikats nicht in der Paket-Engine oder im Benutzerbereich verfügbar, sodass das SAML-Modul heute nicht für FIPS-Hardware bereit ist.

In diesem Dokument wird der Mechanismus zum Auslagern von Signaturberechnungen auf die FIPS-Karte beschrieben. Die Signaturüberprüfung erfolgt in der Software, da der öffentliche Schlüssel verfügbar ist.

Lösung

Der SAML-Funktionssatz wurde erweitert, um eine SSL-API für den Signatur-Offload zu verwenden. Einzelheiten zu den betroffenen SAML-Unterfunktionen finden Sie in der NetScaler-Produktdokumentation:

  1. SAML SP Post Binding — Signieren von AuthnRequest

  2. SAML IdP Post Binding - Unterzeichnung der Assertion/Response/Both

  3. SAML SP Single Logout Szenarien — Signieren von LogoutRequest im SP-initiierten Modell und Signieren von LogoutResponse im IdP-initiierten Modell

  4. SAML SP Artefakt-Bindung — Signieren einer ArtifactResolve-Anfrage

  5. SAML SP Redirect Binding — Signieren von AuthnRequest

  6. SAML IdP Redirect Binding - Signieren von Response/Assertion/Both

  7. Unterstützung von SAML SP Encryption — Entschlüsselung von Assertion

Plattform

Die API kann nur auf eine FIPS-Plattform ausgelagert werden.

Konfiguration

Die Offload-Konfiguration erfolgt automatisch auf der FIPS-Plattform.

Da private SSL-Schlüssel jedoch nicht für den Benutzerbereich in FIPS-Hardware verfügbar sind, ändert sich das Erstellen des SSL-Zertifikats auf FIPS-Hardware geringfügig an der Konfiguration.

Hier sind die Konfigurationsinformationen:

  • add ssl fipsKey fips-key

    Erstellen Sie eine CSR und verwenden Sie sie auf dem CA-Server, um ein Zertifikat zu generieren. Sie können das Zertifikat dann in kopieren /nsconfig/ssl. Nehmen wir an, dass die Datei fips3cert.cerist.

  • add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key

    Geben Sie dann dieses Zertifikat in der SAML-Aktion für das SAML SP-Modul an.

  • set samlAction <name> -samlSigningCertName fips-cert

    Ebenso verwenden Sie dies im Modul samlIdpProfile für das SAML-IdP-Modul.

  • set samlidpprofile fipstest –samlIdpCertName fips-cert

Der FIPS-Schlüssel ist beim ersten Mal nicht verfügbar. Wenn kein FIPS-Schlüssel vorhanden ist, erstellen Sie einen wie beschrieben Erstellen Sie einen FIPS-Schlüssel.

create ssl fipskey <fipsKeyName> -modulus <positive_integer> [-exponent (3 | F4)]

create certreq <reqFileName> -fipskeyName <string>
<!--NeedCopy-->
Verbesserungen bei der SAML-Authentifizierung