Configuration de l’authentification SAML
Le langage SAML (Security Assertion Markup Language) est une norme XML pour l’échange d’authentification et d’autorisation entre les fournisseurs d’identité (IdP) et les fournisseurs de services. NetScaler Gateway prend en charge l’authentification SAML.
Lorsque vous configurez l’authentification SAML, vous créez les paramètres suivants :
- Nom du certificat IdP. Il s’agit de la clé publique qui correspond à la clé privée de l’IdP.
- URL de redirection. Il s’agit de l’URL de l’IdP d’authentification. Les utilisateurs qui ne sont pas authentifiés sont redirigés vers cette URL.
- Champ utilisateur. Vous pouvez utiliser ce champ pour extraire le nom d’utilisateur si l’IdP envoie le nom d’utilisateur dans un format différent de celui de la balise NameIdentifier de la balise Subject. Ce paramètre est facultatif.
- Nom du certificat de signature. Il s’agit de la clé privée du serveur NetScaler Gateway qui est utilisée pour signer la demande d’authentification auprès de l’IdP. Si vous ne configurez pas de nom de certificat, l’assertion est envoyée sans signature ou la demande d’authentification est rejetée.
- Nom de l’émetteur SAML. Cette valeur est utilisée lors de l’envoi de la demande d’authentification. Il doit y avoir un nom unique dans le champ émetteur pour indiquer l’autorité à partir de laquelle l’assertion est envoyée. Il s’agit d’un champ facultatif.
- Groupe d’authentification par défaut. Il s’agit du groupe sur le serveur d’authentification à partir duquel les utilisateurs sont authentifiés.
- Deux facteurs. Ce paramètre active ou désactive l’authentification à deux facteurs.
- Rejette l’assertion non signée. Si cette option est activée, NetScaler Gateway rejette l’authentification des utilisateurs si le nom du certificat de signature n’est pas configuré.
NetScaler Gateway prend en charge le protocole HTTP post-binding. Dans cette liaison, l’expéditeur répond à l’utilisateur avec un OK 200 contenant une publication automatique de formulaire avec les informations requises. Plus précisément, le formulaire par défaut doit contenir deux champs cachés appelés SAMLRequest
et,SAMLResponse
selon qu’il s’agit d’une demande ou d’une réponse. Le formulaire inclut également RelayState, qui est un état ou une information utilisés par la partie expéditrice pour envoyer des informations arbitraires qui ne sont pas traitées par une partie utilisatrice. La partie utilisatrice renvoie les informations de sorte que lorsque la partie expéditrice reçoit l’assertion avec RelayState, la partie expéditrice sache quoi faire ensuite. Il est recommandé de crypter ou de masquer le RelayState.
Remarque
Lorsque NetScaler Gateway est utilisé comme IdP vers Citrix Cloud, vous n’avez pas besoin de configurer la règle RelayState sur NetScaler Gateway.
En cas de chaînage d’IdP, il suffit de configurer la règle RelayState uniquement sur la première stratégie SAML. Dans ce contexte, le chaînage d’IdP est un scénario dans lequel une action SAML configurée fait référence à un IdP de serveur virtuel d’authentification contenant une autre action SAML.
Configuration d’Active Directory Federation Services 2.0
Vous pouvez configurer Active Directory Federation Services (AD FS) 2.0 sur n’importe quel ordinateur Windows Server 2008 ou Windows Server 2012 que vous utilisez dans un rôle de serveur fédéré. Lorsque vous configurez le serveur ADFS pour qu’il soit compatible avec NetScaler Gateway, vous devez configurer les paramètres suivants à l’aide de l’assistant Reying Party Trust dans Windows Server 2008 ou Windows Server 2012.
Paramètres Windows Server 2008 :
- Fiducie de la partie de confiance. Vous indiquez l’emplacement du fichier de métadonnées NetScaler Gateway, par exemple,
https://vserver.fqdn.com/ns.metadata.xml
où vserver.fqdn.com est le nom de domaine complet (FQDN) du serveur virtuel NetScaler Gateway. Le nom de domaine complet se trouve sur le certificat de serveur lié au serveur virtuel. - Règles d’autorisation. Vous pouvez autoriser ou refuser aux utilisateurs l’accès à la partie de confiance.
Paramètres Windows Server 2012 :
-
Fiducie de la partie de confiance. Vous indiquez l’emplacement du fichier de métadonnées NetScaler Gateway, par exemple,
https://vserver.fqdn.com/ns.metadata.xml
où vserver.fqdn.com est le nom de domaine complet (FQDN) du serveur virtuel NetScaler Gateway. Le nom de domaine complet se trouve sur le certificat de serveur lié au serveur virtuel. -
Profil AD FS. Sélectionnez le profil AD FS.
-
Certificat. NetScaler Gateway ne prend pas en charge le chiffrement. Il n’est pas nécessaire de sélectionner un certificat.
-
Activez la prise en charge du protocole WebSSO SAML 2.0. Ceci active la prise en charge de l’SSO SAML 2.0. Vous fournissez l’URL du serveur virtuel NetScaler Gateway, par exemple.
https:netScaler.virtualServerName.com/cgi/samlauth
Cette URL est l’URL du service Assertion Consumer sur l’appliance NetScaler Gateway. Il s’agit d’un paramètre constant et NetScaler Gateway attend une réponse SAML sur cette URL.
-
Identificateur de confiance de la partie de confiance. Entrez le nom NetScaler Gateway. Il s’agit d’une URL qui identifie les parties de confiance, telles que
https://netscalerGateway.virtualServerName.com/adfs/services/trust
. -
Règles d’autorisation. Vous pouvez autoriser ou refuser aux utilisateurs l’accès à la partie de confiance.
-
Configurez les règles de réclamation. Vous pouvez configurer les valeurs des attributs LDAP en utilisant les règles de transformation des émissions et en utilisant le modèle Envoyer les attributs LDAP sous forme de réclamations. Vous configurez ensuite les paramètres LDAP qui incluent :
- Adresses e-mail
- sAMAccountName
- User Principal Name (UPN)
- Membre de
-
Signature du certificat. Vous pouvez spécifier les certificats de vérification de signature en sélectionnant les propriétés d’une partie de relais, puis en ajoutant le certificat.
Si le certificat de signature est inférieur à 2 048 bits, un message d’avertissement apparaît. Vous pouvez ignorer cet avertissement pour continuer. Si vous configurez un déploiement de test, désactivez la liste de révocation de certificats (CRL) sur la partie relais. Si vous ne désactivez pas la vérification, AD FS tente de valider le certificat par la CRL.
Vous pouvez désactiver la liste de révocation de certificats en exécutant la commande suivante : Set-ADFWRelayingPartyTrust - SigningCertficateRevocatOnCheck NoneTargetName NetScaler
Après avoir configuré les paramètres, vérifiez les données de la partie de confiance avant de terminer l’Assistant d’approbation de la partie relais. Vous vérifiez le certificat du serveur virtuel NetScaler Gateway à l’aide de l’URL du point de terminaison, par exemple. https://vserver.fqdn.com/cgi/samlauth
Une fois que vous avez terminé de configurer les paramètres de l’Assistant d’approbation de partie relais, sélectionnez l’approbation configurée, puis modifiez les propriétés. Procédez comme suit :
-
Définissez l’algorithme de hachage sécurisé sur SHA-1.
Remarque : NetScaler prend uniquement en charge SHA-1.
-
Supprimez le certificat de chiffrement. Les assertions chiffrées ne sont pas prises en charge.
-
Modifiez les règles de réclamation, notamment les suivantes :
- Sélectionnez la règle de transformation
- Ajouter une règle de réclamation
- Sélectionner un modèle de règle de réclamation : Envoyer les attributs LDAP en tant que revendications
- Donnez un nom
- Sélectionner le magasin d’attributs : Active Directory
- Sélectionnez l’attribut LDAP : <Active Directory parameters>
- Sélectionnez Règle de réclamation sortante comme « ID de nom »
Remarque : Les balises XML de nom d’attribut ne sont pas prises en charge.
-
Configurez l’URL de déconnexion pour l’authentification unique. La règle de réclamation est Envoyer l’URL de déconnexion. La règle personnalisée doit être la suivante :
pre codeblock => issue(Type = "logoutURL", Value = "https://<adfs.fqdn.com>/adfs/ls/", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"); <!--NeedCopy-->
Après avoir configuré les paramètres AD FS, téléchargez le certificat de signature AD FS, puis créez une clé de certificat sur NetScaler Gateway. Vous pouvez ensuite configurer l’authentification SAML sur NetScaler Gateway à l’aide du certificat et de la clé.
Configuration de l’authentification à deux facteurs SAML
Vous pouvez configurer l’authentification à deux facteurs SAML. Lorsque vous configurez l’authentification SAML avec l’authentification LDAP, suivez les instructions suivantes :
- Si SAML est le principal type d’authentification, désactivez l’authentification dans la stratégie LDAP et configurez l’extraction de groupe. Ensuite, liez la stratégie LDAP en tant que type d’authentification secondaire.
- L’authentification SAML n’utilise pas de mot de passe et utilise uniquement le nom d’utilisateur. De plus, l’authentification SAML n’informe les utilisateurs que lorsque l’authentification réussit. Si l’authentification SAML échoue, les utilisateurs ne sont pas avertis. Étant donné qu’aucune réponse d’échec n’est envoyée, SAML doit être la dernière stratégie de la cascade ou la seule stratégie.
- Il est recommandé de configurer des noms d’utilisateur réels plutôt que des chaînes opaques.
- SAML ne peut pas être lié en tant que type d’authentification secondaire.