Verbesserungen bei der SAML-Authentifizierung
Diese Funktion erfordert SAML-Kenntnisse, grundlegende Authentifizierungskenntnisse und FIPS-Verständnis, um diese Informationen verwenden zu können.
Sie können die folgenden Citrix ADC-Funktionen mit Anwendungen und Servern von Drittanbietern verwenden, die mit der SAML 2.0-Spezifikation kompatibel sind:
- SAML-Dienstanbieter (SP)
- SAML Identity Provider (IdP)
SP und IdP ermöglichen einen Single Sign-On (SSO) zwischen Cloudservices. Die SAML SP-Funktion bietet eine Möglichkeit, Benutzeransprüche eines IdP zu adressieren. Der IdP kann ein Drittanbieterdienst oder eine andere Citrix ADC Appliance sein. Die SAML-IdP-Funktion wird verwendet, um Benutzeranmeldungen geltend zu machen und von SPs verbrauchte Ansprüche bereitzustellen.
Im Rahmen der SAML-Unterstützung signieren sowohl IdP- als auch SP-Module die Daten, die an Peers gesendet werden, digital. Die digitale Signatur umfasst eine Authentifizierungsanforderung von SP, Assertion von IdP und Abmeldungen zwischen diesen beiden Entitäten. Die digitale Signatur bestätigt die Echtheit der Nachricht.
Die aktuellen Implementierungen von SAML SP und IdP führen die Signaturberechnung in einer Paket-Engine durch. Diese Module verwenden SSL-Zertifikate, um die Daten zu signieren. In einem FIPS-konformen Citrix ADC ist der private Schlüssel des SSL-Zertifikats nicht in der Paket-Engine oder im Benutzerbereich verfügbar, sodass das SAML-Modul heute nicht für FIPS-Hardware bereit ist.
In diesem Dokument wird der Mechanismus zum Auslagern von Signaturberechnungen auf die FIPS-Karte beschrieben. Die Signaturüberprüfung erfolgt in der Software, da der öffentliche Schlüssel verfügbar ist.
Lösung
Der SAML-Funktionssatz wurde erweitert, um eine SSL-API für den Signatur-Offload zu verwenden. Einzelheiten zu diesen betroffenen SAML-Unterfunktionen finden Sie in der Citrix Produktdokumentation:
-
SAML SP Post Binding — Signieren von AuthnRequest
-
SAML IdP Post Binding - Unterzeichnung der Assertion/Response/Both
-
SAML SP Single Logout Szenarien — Signieren von LogoutRequest im SP-initiierten Modell und Signieren von LogoutResponse im IdP-initiierten Modell
-
SAML SP Artefakt-Bindung — Signieren einer ArtifactResolve-Anfrage
-
SAML SP Redirect Binding — Signieren von AuthnRequest
-
SAML IdP Redirect Binding - Signieren von Response/Assertion/Both
-
Unterstützung von SAML SP Encryption — Entschlüsselung von Assertion
Plattform
Die API kann nur auf eine FIPS-Plattform ausgelagert werden.
Konfiguration
Die Offload-Konfiguration erfolgt automatisch auf der FIPS-Plattform.
Da private SSL-Schlüssel jedoch nicht für den Benutzerbereich in FIPS-Hardware verfügbar sind, ändert sich das Erstellen des SSL-Zertifikats auf FIPS-Hardware geringfügig an der Konfiguration.
Hier sind die Konfigurationsinformationen:
-
add ssl fipsKey fips-key
Erstellen Sie eine CSR und verwenden Sie sie auf dem CA-Server, um ein Zertifikat zu generieren. Sie können das Zertifikat dann in kopieren
/nsconfig/ssl
. Nehmen wir an, dass die Datei fips3cert.cerist. -
add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key
Geben Sie dann dieses Zertifikat in der SAML-Aktion für das SAML SP-Modul an.
-
set samlAction <name> -samlSigningCertName fips-cert
Ebenso verwenden Sie dies im Modul
samlIdpProfile
für das SAML-IdP-Modul. -
set samlidpprofile fipstest –samlIdpCertName fips-cert
Beim ersten Mal haben Sie das im vorhergehenden Abschnitt fips-key
beschriebene nicht. Wenn kein FIPS-Schlüssel vorhanden ist, erstellen Sie einen, wie unter Erstellen eines FIPS-Schlüssels beschrieben.
create ssl fipskey <fipsKeyName> -modulus <positive_integer> [-exponent (3 | F4)]
create certreq <reqFileName> -fipskeyName <string>
<!--NeedCopy-->