Améliorations d’authentification pour l’authentification SAML
Cette fonctionnalité s’adresse aux personnes ayant des connaissances SAML, et une compétence fondamentale en matière d’authentification est requise pour utiliser ces informations. Le lecteur doit comprendre FIPS pour utiliser cette information.
Les fonctionnalités Citrix ADC suivantes peuvent être utilisées avec des applications/serveurs tiers compatibles avec la spécification SAML 2.0 :
- Fournisseur de services (SP) SAML
- Fournisseur d’identité SAML (IdP)
Le SP et l’IdP autorisent un SingleSignon (SSO) entre les services cloud. La fonctionnalité SP SAML fournit un moyen de traiter les revendications des utilisateurs à partir d’un IdP. L’IdP peut être un service tiers ou un autre dispositif Citrix ADC. La fonctionnalité IdP SAML permet d’affirmer les ouvertures de session des utilisateurs et de fournir des réclamations consommées par les SP.
Dans le cadre de la prise en charge SAML, les modules IdP et SP signent numériquement les données envoyées aux homologues. La signature numérique inclut une demande d’authentification du SP, l’assertion de l’IdP et des messages de déconnexion entre ces deux entités. La signature numérique valide l’authenticité du message.
L’implémentation actuelle de SAML SP et IdP effectue le calcul des signatures dans un moteur de paquets. Ces modules utilisent des certificats SSL pour signer les données. Dans un Citrix ADC conforme à la norme FIPS, la clé privée du certificat SSL n’est pas disponible dans le moteur de paquets ou l’espace utilisateur, de sorte que le module SAML aujourd’hui n’est pas prêt pour le matériel FIPS.
Ce document décrit le mécanisme permettant de décharger les calculs de signature sur la carte FIPS. La vérification de la signature est effectuée dans le logiciel, car la clé publique est disponible.
Solution
Le jeu de fonctionnalités SAML est amélioré pour utiliser une API SSL pour le déchargement de signature. Consultez docs.citrix.com pour plus de détails sur ces sous-fonctionnalités SAML affectées :
-
Liaison POST SP SAML — Signature de AuthnRequest
-
Liaison POST IdP SAML — Signature d’assertion/Réponse/Les deux
-
Scénarios de déconnexion unique SAML SP — Signature de LogoutRequest dans le modèle initié par SP et Signature de LogoutResponse dans le modèle initié par IdP
-
Liaison d’artefact SAML SP — Signature de la requête ArtifactResolve
-
Liaison de redirection SP SAML — Signature de AuthnRequest
-
Liaison de redirection IdP SAML — Signature de réponse/assertion/les deux
-
Prise en charge du chiffrement SAML SP — Décryptage de l’assertion
Plate-forme
L’API peut être déchargée uniquement sur une plate-forme FIPS.
Configuration
La configuration de déchargement est effectuée automatiquement sur la plate-forme FIPS.
Cependant, comme les clés privées SSL ne sont pas disponibles pour l’espace utilisateur dans le matériel FIPS, il y a un léger changement de configuration lors de la création du certificat SSL sur le matériel FIPS.
Voici les informations de configuration :
-
add ssl fipsKey fips-key
Vous devrez alors créer un CSR et l’utiliser sur le serveur de l’autorité de certification pour générer un certificat. Vous pouvez ensuite copier ce certificat dans /nsconfig/ssl. Supposons que ce fichier soit fips3cert.cer.
-
add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key
Vous devrez alors spécifier ce certificat dans l’action SAML pour le module SP SAML.
-
set samlAction <name> -samlSigningCertName fips-cert
De même, vous devez l’utiliser dans SamliDpProfile pour le module IdP SAML
-
set samlidpprofile fipstest –samlIdpCertName fips-cert
La première fois, vous n’aurez pas la clé fips-décrite ci-dessus. S’il n’y a pas de clé FIPS, créez-en une comme décrit à l’adresse suivante :https://support.citrix.com/servlet/KbServlet/download/9539-102-665378/NS9000\_FIPS\_6\[1\]\[1\].1.pdf
-
create ssl fipskey <fipsKeyName> -modulus <positive_integer> [-exponent ( 3 | F4 )]
-
create certreq <reqFileName> -fipskeyName <string>