Mejoras en la autenticación SAML
Esta función requiere conocimientos de SAML, conocimientos básicos de autenticación y comprensión de FIPS para utilizar esta información.
Puede utilizar las siguientes funciones de NetScaler ADC con aplicaciones y servidores de terceros compatibles con la especificación SAML 2.0:
- Proveedor de servicios SAML (SP)
- Proveedor de identidad (IdP) SAML
El SP y el IdP permiten un inicio de sesión único (SSO) entre servicios en la nube. La función SAML SP proporciona una forma de abordar las reclamaciones de los usuarios de un IdP. El IdP puede ser un servicio de terceros u otro dispositivo NetScaler ADC. La función de proveedor de identidades SAML se utiliza para confirmar los inicios de sesión de los usuarios y proporcionar notificaciones consumidas por los SP.
Como parte de la compatibilidad con SAML, tanto el IdP como los módulos SP firman digitalmente los datos que se envían a los pares. La firma digital incluye una solicitud de autenticación de SP, aserción del IdP y mensajes de cierre de sesión entre estas dos entidades. La firma digital valida la autenticidad del mensaje.
Las implementaciones actuales de SAML SP e IdP realizan el cálculo de firmas en un motor de paquetes. Estos módulos utilizan certificados SSL para firmar los datos. En un NetScaler ADC compatible con FIPS, la clave privada del certificado SSL no está disponible en el motor de paquetes ni en el espacio de usuario, por lo que el módulo SAML de hoy no está preparado para hardware FIPS.
En este documento se describe el mecanismo para descargar los cálculos de firma a la tarjeta FIPS. La verificación de la firma se realiza en el software, ya que la clave pública está disponible.
Solución
El conjunto de funciones SAML se ha mejorado para utilizar una API SSL para la descarga de firmas. Consulte la documentación del producto Citrix para obtener más información sobre estas subfunciones SAML afectadas:
-
Enlace posterior a SAML SP: firma de AuthnRequest
-
Enlace posterior a IdP de SAML: firma de aserción/respuesta/ambos
-
Casos de cierre de sesión único de SAML SP: firma de logoutRequest en el modelo iniciado por SP y firma de LogoutResponse en el modelo iniciado por el IdP
-
Enlace de artefactos de SAML SP: firma de la solicitud ArtifactResolve
-
Enlace de redireccionamiento de SAML SP: firma de AuthnRequest
-
Enlace de redireccionamiento de IdP de SAML: firma de respuesta/aserción/ambos
-
Compatibilidad con cifrado SAML SP: descifrado de aserción
Plataforma
La API solo se puede descargar a una plataforma FIPS.
Configuración
La configuración de descarga se realiza automáticamente en la plataforma FIPS.
Sin embargo, dado que las claves privadas SSL no están disponibles para el espacio de usuario en el hardware FIPS, hay un ligero cambio de configuración al crear el certificado SSL en hardware FIPS.
Esta es la información de configuración:
-
add ssl fipsKey fips-key
Cree una CSR y utilícelo en el servidor de CA para generar un certificado. A continuación, puede copiar el certificado en
/nsconfig/ssl
. Supongamos que el archivo es fips3cert.cer. -
add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key
A continuación, especifique este certificado en la acción SAML del módulo SP SAML.
-
set samlAction <name> -samlSigningCertName fips-cert
Del mismo modo, se utiliza en el módulo
samlIdpProfile
para el IdP de SAML. -
set samlidpprofile fipstest –samlIdpCertName fips-cert
La primera vez, no tiene la fips-key
descrita en la sección anterior. Si no hay ninguna clave FIPS, cree una tal y como se describe en Crear una clave FIPS.
create ssl fipskey <fipsKeyName> -modulus <positive_integer> [-exponent (3 | F4)]
create certreq <reqFileName> -fipskeyName <string>
<!--NeedCopy-->