Améliorations de l’authentification SAML
Cette fonctionnalité nécessite une connaissance SAML, une maîtrise fondamentale de l’authentification et une compréhension FIPS pour utiliser ces informations.
Vous pouvez utiliser les fonctionnalités Citrix ADC suivantes avec des applications et des serveurs tiers compatibles avec la spécification SAML 2.0 :
- Fournisseur de services SAML (SP)
- Fournisseur d’identité SAML (IdP)
Le SP et l’IdP permettent un SingleSignon (SSO) entre les services cloud. La fonctionnalité de fournisseur de services SAML fournit un moyen de répondre aux réclamations des utilisateurs d’un fournisseur d’identité. L’IdP peut être un service tiers ou une autre appliance Citrix ADC. La fonctionnalité IdP SAML est utilisée pour affirmer les connexions utilisateur et fournir des réclamations consommées par les SP.
Dans le cadre de la prise en charge SAML, les modules IdP et SP signent numériquement les données envoyées aux homologues. La signature numérique inclut une demande d’authentification du fournisseur de services, une assertion du fournisseur d’identité et des messages de déconnexion entre ces deux entités. La signature numérique valide l’authenticité du message.
Les implémentations actuelles du SP SAML et de l’IdP effectuent le calcul de signature dans un moteur de paquets. Ces modules utilisent des certificats SSL pour signer les données. Dans un Citrix ADC conforme à la norme FIPS, la clé privée du certificat SSL n’est pas disponible dans le moteur de paquets ou l’espace utilisateur. Le module SAML n’est donc pas prêt pour le matériel FIPS.
Ce document décrit le mécanisme de déchargement des calculs de signature sur la carte FIPS. La vérification de la signature est effectuée dans le logiciel, car la clé publique est disponible.
Solution
Le jeu de fonctionnalités SAML est amélioré pour utiliser une API SSL pour le déchargement des signatures. Consultez la documentation du produit Citrix pour plus d’informations sur ces sous-fonctionnalités SAML affectées :
-
Post Binding du SP SAML — Signature de la requête AuthnRequest
-
Post Binding de l’IdP SAML — Signature de l’assertion/Réponse/Les deux
-
Scénarios de déconnexion unique du SP SAML — Signature de LogoutRequest dans le modèle initié par le SP et Signature de LogoutResponse dans le modèle initié par l’IdP
-
Liaison d’artefact du SP SAML — Signature de la demande ArtifactResolve
-
Liaison de redirection du SP SAML — Signature de la requête AuthnRequest
-
Liaison de redirection IdP SAML — Signature de la réponse/assertion/les deux
-
Prise en charge du chiffrement SP SAML — Déchiffrement de l’assertion
Plateforme
L’API ne peut être déchargée que vers une plateforme FIPS.
Configuration
La configuration du déchargement est effectuée automatiquement sur la plateforme FIPS.
Toutefois, étant donné que les clés privées SSL ne sont pas disponibles pour l’espace utilisateur dans le matériel FIPS, il y a un léger changement de configuration lors de la création du certificat SSL sur le matériel FIPS.
Voici les informations de configuration :
-
add ssl fipsKey fips-keyCréez une demande de signature de certificat et utilisez-la sur le serveur de l’autorité de certification pour générer un certificat. Vous pouvez ensuite copier ce certificat dans
/nsconfig/ssl. Supposons que le fichier soit fips3cert.cer. -
add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-keySpécifiez ensuite ce certificat dans l’action SAML du module SP SAML.
-
set samlAction <name> -samlSigningCertName fips-certDe même, vous l’utilisez dans le module
samlIdpProfilepour le fournisseur d’identité SAML. -
set samlidpprofile fipstest –samlIdpCertName fips-cert
La première fois, vous ne disposez pas de ce qui est fips-key décrit dans la section précédente. S’il n’y a pas de clé FIPS, créez-en une comme décrit dans Créer une clé FIPS.
create ssl fipskey <fipsKeyName> -modulus <positive_integer> [-exponent (3 | F4)]
create certreq <reqFileName> -fipskeyName <string>
<!--NeedCopy-->