Améliorations de l’authentification SAML
Cette fonctionnalité est destinée aux personnes ayant des connaissances en SAML, et des compétences fondamentales en matière d’authentification sont requises pour utiliser ces informations. Le lecteur doit comprendre le FIPS pour utiliser ces informations.
Les fonctionnalités Citrix ADC suivantes peuvent être utilisées avec des applications/serveurs tiers compatibles avec la spécification SAML 2.0 :
- Fournisseur de services SAML (SP)
- Fournisseur d’identité SAML (IdP)
Le SP et l’IdP permettent un SingleSignon (SSO) entre les services cloud. La fonctionnalité de fournisseur de services SAML fournit un moyen de répondre aux réclamations des utilisateurs d’un fournisseur d’identité. L’IdP peut être un service tiers ou une autre appliance Citrix ADC. La fonctionnalité IdP SAML est utilisée pour affirmer les connexions utilisateur et fournir des réclamations consommées par les SP.
Dans le cadre de la prise en charge SAML, les modules IdP et SP signent numériquement les données envoyées aux homologues. La signature numérique inclut une demande d’authentification du fournisseur de services, une assertion du fournisseur d’identité et des messages de déconnexion entre ces deux entités. La signature numérique valide l’authenticité du message.
L’implémentation actuelle de SAML SP et IdP effectue le calcul de signature dans un moteur de paquets. Ces modules utilisent des certificats SSL pour signer les données. Dans un Citrix ADC conforme à la norme FIPS, la clé privée du certificat SSL n’est pas disponible dans le moteur de paquets ou l’espace utilisateur. Le module SAML n’est donc pas prêt pour le matériel FIPS.
Ce document décrit le mécanisme de déchargement des calculs de signature sur la carte FIPS. La vérification de la signature est effectuée dans le logiciel, car la clé publique est disponible.
Solution
Le jeu de fonctionnalités SAML est amélioré pour utiliser une API SSL pour le déchargement des signatures. Consultez docs.citrix.com pour plus de détails sur les sous-fonctionnalités SAML concernées :
-
Post Binding du SP SAML — Signature de la requête AuthnRequest
-
Post Binding de l’IdP SAML — Signature de l’assertion/Réponse/Les deux
-
Scénarios de déconnexion unique du SP SAML — Signature de LogoutRequest dans le modèle initié par le SP et Signature de LogoutResponse dans le modèle initié par l’IdP
-
Liaison d’artefact du SP SAML — Signature de la demande ArtifactResolve
-
Liaison de redirection du SP SAML — Signature de la requête AuthnRequest
-
Liaison de redirection IdP SAML — Signature de la réponse/assertion/les deux
-
Prise en charge du chiffrement SP SAML — Déchiffrement de l’assertion
Plateforme
L’API ne peut être déchargée que vers une plateforme FIPS.
Configuration
La configuration du déchargement est effectuée automatiquement sur la plateforme FIPS.
Toutefois, étant donné que les clés privées SSL ne sont pas disponibles pour l’espace utilisateur dans le matériel FIPS, il y a un léger changement de configuration lors de la création du certificat SSL sur le matériel FIPS.
Voici les informations de configuration :
-
add ssl fipsKey fips-key
Créez une demande de signature de certificat et utilisez-la sur le serveur de l’autorité de certification pour générer un certificat. Vous pouvez ensuite copier ce certificat dans /nsconfig/ssl. Supposons que le fichier soit fips3cert.cer.
-
add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key
Spécifiez ensuite ce certificat dans l’action SAML du module SP SAML.
-
set samlAction \<name\> -samlSigningCertName fips-cert
Utilisez-le dans SAMLIDPProfile pour le module SAML IdP
-
set samlidpprofile fipstest –samlIdpCertName fips-cert
La clé FIPS n’est pas disponible pour la première fois. S’il n’y a pas de clé FIPS, créez-en une comme décrit dans Créer une clé FIPS.
-
create ssl fipskey \<fipsKeyName\> -modulus \<positive\_integer\> \[-exponent ( 3 | F4 )\]
-
create certreq \<reqFileName\> -fipskeyName \<string\>