Pour configurer l’authentification SAML
-
Dans l’utilitaire de configuration, dans l’onglet Configuration, développez Citrix Gateway > Policies > Authentication.
-
Dans le volet de navigation, cliquez sur SAML.
-
Dans le volet d’informations, cliquez sur Ajouter.
-
Dans la boîte de dialogue Créer une politique d’authentification, dans Nom, tapez le nom de la stratégie.
-
À côté de Serveur, cliquez sur Nouveau.
-
Dans Nom, saisissez le nom du profil de serveur.
-
Dans Nom du certificat IdP, sélectionnez un certificat ou cliquez sur Installer. Il s’agit du certificat installé sur le serveur SAML ou IdP.
Si vous cliquez sur Installer, ajoutez le certificat et la clé privée. Pour de plus amples informations, consultez la section Installation et gestion des certificats.
-
Dans la zone URL de redirection, saisissez l’URL du fournisseur d’identité d’authentification (IdP).
Il s’agit de l’URL de l’ouverture de session de l’utilisateur sur le serveur SAML. Il s’agit du serveur vers lequel Citrix Gateway redirige la demande initiale.
-
Dans URL de déconnexion unique, spécifiez l’URL afin que l’appliance puisse reconnaître quand renvoyer le client à l’IdP pour terminer le processus de déconnexion.
-
Dans la liaison SAML, sélectionnez la méthode à utiliser pour déplacer le client du fournisseur de services vers l’IdP. Il doit en être de même pour l’IdP afin qu’il comprenne comment le client s’y connecte. Lorsque l’appliance agit en tant que SP, elle prend en charge les liaisons POST, REDIRECT et ARTIFACT.
-
Dans Liaison de déconnexion, sélectionnez REDIRIGER.
-
Dans Nom du certificat IDP, sélectionnez le certificat IDPCert (Base64) présent sous le certificat de signature SAML.
Remarque :
Vous pouvez également cliquer sur Importer les métadonnées et sélectionner l’URL dans laquelle la configuration des métadonnées est stockée.
-
Dans le champ Utilisateur, entrez le nom d’utilisateur à extraire.
-
Dans Nom du certificat de signature, sélectionnez le certificat SP SAML (avec clé privée) que l’appliance utilise pour signer les demandes d’authentification à l’IdP. Le même certificat (sans clé privée) doit être importé sur l’IdP, de sorte que l’IdP puisse vérifier la signature de la demande d’authentification. Ce champ n’est pas nécessaire pour la plupart des IdP
Il s’agit du certificat lié à l’adresse IP virtuelle Citrix Gateway. Le nom de l’émetteur SAML est le nom de domaine complet (FQDN) auquel les utilisateurs ouvrent une session, par exemple lb.example.com ou ng.example.com.
-
Dans Nom de l’émetteur, entrez le nom de domaine complet de l’équilibrage de charge ou de l’adresse IP virtuelle Citrix Gateway à laquelle l’appliance envoie la demande d’authentification initiale (GET).
-
Dans Refuser une assertion non signée, spécifiez si vous souhaitez que les assertions de l’IdP soient signées. Vous pouvez vous assurer que seule l’assertion doit être signée (ON) ou que l’assertion et la réponse de l’IdP doivent être signées (STRICT).
-
Dans Audience, saisissez l’audience pour laquelle l’assertion envoyée par IdP est applicable. Il s’agit généralement d’un nom d’entité ou d’une URL qui représente le fournisseur de services.
-
Dans Signature Algorithm, sélectionnez RSA-SHA256
-
Dans Méthode Digest, sélectionnez SHA256
-
Dans Groupe d’authentificationpar défaut, entrez le groupe par défaut choisi lorsque l’authentification réussit en plus des groupes extraits.
-
Dans Nom du groupe, saisissez le nom de la balise dans l’assertion qui contient des groupes d’utilisateurs.
-
Dans Skew Time (minutes), spécifiez le décalage d’horloge autorisé en minutes que le fournisseur de services autorise sur une assertion entrante.
-
Cliquez sur Créer, puis sur Fermer.
-
Dans la boîte de dialogue Créer une politique d’authentification, à côté de Expressions nommées, sélectionnez Général, sélectionnez Valeur vraie, cliquez sur Ajouter une expression, sur Créer, puis sur Fermer.