Mejoras de autenticación para la autenticación SAML
Esta función es para aquellos que tienen conocimiento de SAML, y se requiere un conocimiento fundamental de autenticación para usar esta información. El lector debe entender FIPS para usar esta información.
Las siguientes funciones de NetScaler ADC se pueden utilizar con aplicaciones/servidores de terceros compatibles con la especificación SAML 2.0:
- Proveedor de servicios SAML (SP)
- Proveedor de identidad (IdP) SAML
El SP y el IdP permiten un inicio de sesión único (SSO) entre servicios en la nube. La función SAML SP proporciona una forma de abordar las reclamaciones de los usuarios de un IdP. El IdP puede ser un servicio de terceros u otro dispositivo NetScaler ADC. La función de proveedor de identidades SAML se utiliza para confirmar los inicios de sesión de los usuarios y proporcionar notificaciones consumidas por los SP.
Como parte de la compatibilidad con SAML, tanto el IdP como los módulos SP firman digitalmente los datos que se envían a los pares. La firma digital incluye una solicitud de autenticación de SP, aserción del IdP y mensajes de cierre de sesión entre estas dos entidades. La firma digital valida la autenticidad del mensaje.
La implementación actual de SAML SP e IdP realiza el cálculo de la firma en un motor de paquetes. Estos módulos utilizan certificados SSL para firmar los datos. En un NetScaler ADC compatible con FIPS, la clave privada del certificado SSL no está disponible en el motor de paquetes ni en el espacio de usuario, por lo que el módulo SAML de hoy no está preparado para hardware FIPS.
En este documento se describe el mecanismo para descargar los cálculos de firma a la tarjeta FIPS. La verificación de la firma se realiza en el software, ya que la clave pública está disponible.
Solución
El conjunto de funciones SAML se ha mejorado para utilizar una API SSL para la descarga de firmas. Consulte docs.citrix.com para obtener más información sobre estas subfunciones de SAML afectadas:
-
Enlace posterior a SAML SP: firma de AuthnRequest
-
Enlace posterior a IdP de SAML: firma de aserción/respuesta/ambos
-
Casos de cierre de sesión único de SAML SP: firma de logoutRequest en el modelo iniciado por SP y firma de LogoutResponse en el modelo iniciado por el IdP
-
Enlace de artefactos de SAML SP: firma de la solicitud ArtifactResolve
-
Enlace de redireccionamiento de SAML SP: firma de AuthnRequest
-
Enlace de redireccionamiento de IdP de SAML: firma de respuesta/aserción/ambos
-
Compatibilidad con cifrado SAML SP: descifrado de aserción
Plataforma
La API solo se puede descargar a una plataforma FIPS.
Configuración
La configuración de descarga se realiza automáticamente en la plataforma FIPS.
Sin embargo, dado que las claves privadas SSL no están disponibles para el espacio de usuario en el hardware FIPS, hay un ligero cambio de configuración al crear el certificado SSL en hardware FIPS.
Esta es la información de configuración:
-
add ssl fipsKey fips-keyCree una CSR y utilícelo en el servidor de CA para generar un certificado. A continuación, puede copiar ese certificado en /nsconfig/ssl. Supongamos que el archivo es fips3cert.cer.
-
add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-keyA continuación, especifique este certificado en la acción SAML del módulo SP SAML.
-
set samlAction \<name\> -samlSigningCertName fips-certÚselo en SAMLIDPProfile para el módulo IdP de SAML
-
set samlidpprofile fipstest –samlIdpCertName fips-cert
La clave FIPS no está disponible la primera vez. Si no hay ninguna clave FIPS, cree una tal y como se describe en Crear una clave FIPS.
-
create ssl fipskey \<fipsKeyName\> -modulus \<positive\_integer\> \[-exponent ( 3 | F4 )\] -
create certreq \<reqFileName\> -fipskeyName \<string\>