So konfigurieren Sie die SAML-Authentifizierung
-
Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration Citrix Gateway > Richtlinien > Authentifizierung.
-
Klicken Sie im Navigationsbereich auf SAML.
-
Klicken Sie im Detailbereich auf Hinzufügen.
-
Geben Sie im Dialogfeld Authentifizierungsrichtlinie erstellen in das Feld Nameeinen Namen für die Richtlinie ein.
-
Klicken Sie neben Server auf Neu.
-
Geben Sie unter Nameeinen Namen für das Serverprofil ein.
-
Wählen Sie unter IdP Certificate Name ein Zertifikat aus oder klicken Sie auf Installieren. Dies ist das auf dem SAML- oder IdP-Server installierte Zertifikat.
Wenn Sie auf Installieren klicken, fügen Sie das Zertifikat und den privaten Schlüssel hinzu. Weitere Informationen finden Sie unter Installieren und Verwalten von Zertifikaten.
-
Geben Sie unter Umleitungs-URLdie URL des Identitätsanbieters für die Authentifizierung (IdP) ein.
Dies ist die URL für die Benutzeranmeldung beim SAML-Server. Dies ist der Server, an den Citrix Gateway die erste Anfrage umleitet.
-
Geben Sie unter Single Logout URLdie URL an, damit die Appliance erkennen kann, wann der Client an den IdP zurückgesendet werden muss, um den Abmeldevorgang abzuschließen.
-
Wählen Sie in SAML-Bindungdie Methode aus, mit der der Client vom SP zum IdP verschoben werden soll. Dies muss beim IdP gleich sein, damit er versteht, wie sich der Client mit ihm verbindet. Wenn die Appliance als SP fungiert, unterstützt sie POST-, REDIRECT- und ARTIFACT-Bindungen.
-
Wählen Sie unter Logout-Bindungdie Option REDIRECT aus.
-
Wählen Sie unter IDP Certificate Namedas IDPcert Certificate (Base64) aus, das unter dem SAML-Signaturzertifikat vorhanden ist.
Hinweis:
Sie können auch auf Metadaten importieren klicken und die URL auswählen, unter der die Metadatenkonfiguration gespeichert wird.
-
Geben Sie im Benutzerfeldden zu extrahierenden Benutzernamen ein.
-
Wählen Sie unter Signaturzertifikatnamedas SAML SP-Zertifikat (mit privatem Schlüssel) aus, das die Appliance verwendet, um Authentifizierungsanforderungen an den IdP zu signieren. Das gleiche Zertifikat (ohne privaten Schlüssel) muss in den IdP importiert werden, damit der IdP die Signatur der Authentifizierungsanfrage überprüfen kann. Dieses Feld wird von den meisten IDPs nicht benötigt
Dies ist das Zertifikat, das an die virtuelle IP-Adresse von Citrix Gateway gebunden ist. Der SAML-Ausstellername ist der vollqualifizierte Domainname (FQDN), bei dem sich Benutzer anmelden, z. B. lb.example.com oder ng.example.com.
-
Geben Sie unter Name des Ausstellersden FQDN der Lastenausgleich- oder Citrix Gateway-IP-Adresse ein, an die das Gerät die anfängliche Authentifizierungsanforderung (GET) sendet.
-
Geben Sie im Feld Assertion ohne Vorzeichen ablehnenan, ob die Assertions vom IdP signiert werden sollen. Sie können sicherstellen, dass nur die Assertion signiert werden muss (ON) oder dass sowohl die Behauptung als auch die Antwort des IdP signiert werden müssen (STRICT).
-
Geben Sie in Audiencedas Publikum ein, für das die vom IdP gesendete Assertion anwendbar ist. Dies ist normalerweise ein Entitätsname oder eine URL, die den Dienstanbieter darstellt.
-
Wählen Sie in Signature AlgorithmRSA-SHA256
-
Wählen Sie in Digest-MethodeSHA256
-
Geben Sie unter Standardauthentifizierungsgruppezusätzlich zu den extrahierten Gruppen die Standardgruppe ein, die ausgewählt wird, wenn die Authentifizierung erfolgreich ist.
-
Geben Sie unter Gruppennameden Namen des Tags in der Assertion ein, die Benutzergruppen enthält.
-
Geben Sie im Skew Time (Minuten)den zulässigen Taktversatz in Minuten an, den der Dienstanbieter bei einer eingehenden Assertion zulässt.
-
Klicken Sie auf Erstellen und dann auf Schließen.
-
Wählen Sie im Dialogfeld Authentifizierungsrichtlinie erstellen neben Benannte Ausdrücke die Option Allgemein aus, wählen Sie Wahrer Wert aus, klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellenund dann auf Schließen.