Documentation Produit
Gateway
Current Release 13.1 13.0 12.1
Voir PDF
Merci pour vos commentaires

Ce article a été traduit automatiquement. (Clause de non responsabilité)

  Lire en anglais

Améliorations de l’authentification SAML

March 27, 2024
Contributeur: 
C

Cette fonctionnalité nécessite une connaissance SAML, une maîtrise fondamentale de l’authentification et une compréhension FIPS pour utiliser ces informations.

Vous pouvez utiliser les fonctionnalités Citrix ADC suivantes avec des applications et des serveurs tiers compatibles avec la spécification SAML 2.0 :

  • Fournisseur de services SAML (SP)
  • Fournisseur d’identité SAML (IdP)

Le SP et l’IdP permettent un SingleSignon (SSO) entre les services cloud. La fonctionnalité de fournisseur de services SAML fournit un moyen de répondre aux réclamations des utilisateurs d’un fournisseur d’identité. L’IdP peut être un service tiers ou une autre appliance Citrix ADC. La fonctionnalité IdP SAML est utilisée pour affirmer les connexions utilisateur et fournir des réclamations consommées par les SP.

Dans le cadre de la prise en charge SAML, les modules IdP et SP signent numériquement les données envoyées aux homologues. La signature numérique inclut une demande d’authentification du fournisseur de services, une assertion du fournisseur d’identité et des messages de déconnexion entre ces deux entités. La signature numérique valide l’authenticité du message.

Les implémentations actuelles du SP SAML et de l’IdP effectuent le calcul de signature dans un moteur de paquets. Ces modules utilisent des certificats SSL pour signer les données. Dans un Citrix ADC conforme à la norme FIPS, la clé privée du certificat SSL n’est pas disponible dans le moteur de paquets ou l’espace utilisateur. Le module SAML n’est donc pas prêt pour le matériel FIPS.

Ce document décrit le mécanisme de déchargement des calculs de signature sur la carte FIPS. La vérification de la signature est effectuée dans le logiciel, car la clé publique est disponible.

Solution

Le jeu de fonctionnalités SAML est amélioré pour utiliser une API SSL pour le déchargement des signatures. Consultez la documentation du produit Citrix pour plus d’informations sur ces sous-fonctionnalités SAML affectées :

  1. Post Binding du SP SAML — Signature de la requête AuthnRequest

  2. Post Binding de l’IdP SAML — Signature de l’assertion/Réponse/Les deux

  3. Scénarios de déconnexion unique du SP SAML — Signature de LogoutRequest dans le modèle initié par le SP et Signature de LogoutResponse dans le modèle initié par l’IdP

  4. Liaison d’artefact du SP SAML — Signature de la demande ArtifactResolve

  5. Liaison de redirection du SP SAML — Signature de la requête AuthnRequest

  6. Liaison de redirection IdP SAML — Signature de la réponse/assertion/les deux

  7. Prise en charge du chiffrement SP SAML — Déchiffrement de l’assertion

Plateforme

L’API ne peut être déchargée que vers une plateforme FIPS.

Configuration

La configuration du déchargement est effectuée automatiquement sur la plateforme FIPS.

Toutefois, étant donné que les clés privées SSL ne sont pas disponibles pour l’espace utilisateur dans le matériel FIPS, il y a un léger changement de configuration lors de la création du certificat SSL sur le matériel FIPS.

Voici les informations de configuration :

  • add ssl fipsKey fips-key

    Créez une demande de signature de certificat et utilisez-la sur le serveur de l’autorité de certification pour générer un certificat. Vous pouvez ensuite copier ce certificat dans /nsconfig/ssl. Supposons que le fichier soit fips3cert.cer.

  • add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key

    Spécifiez ensuite ce certificat dans l’action SAML du module SP SAML.

  • set samlAction <name> -samlSigningCertName fips-cert

    De même, vous l’utilisez dans le module samlIdpProfile pour le fournisseur d’identité SAML.

  • set samlidpprofile fipstest –samlIdpCertName fips-cert

La première fois, vous ne disposez pas de ce qui est fips-key décrit dans la section précédente. S’il n’y a pas de clé FIPS, créez-en une comme décrit dans Créer une clé FIPS.

create ssl fipskey <fipsKeyName> -modulus <positive_integer> [-exponent (3 | F4)]

create certreq <reqFileName> -fipskeyName <string>
La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.
Améliorations de l’authentification SAML
March 27, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.