SAML IdP としてのNetScaler
SAML IdP (ID プロバイダー) は、顧客ネットワークにデプロイされる SAML エンティティです。IdP は SAML SP からリクエストを受信し、認証情報を入力する必要があるログオンページにユーザーをリダイレクトします。IdP は、Active Directory(LDAP などの外部認証サーバ)でこれらの認証情報を認証し、SP に送信される SAML アサーションを生成します。
SPはトークンを検証し、要求された保護されたアプリケーションへのアクセス権をユーザーに付与します。
NetScalerアプライアンスがIdPとして構成されている場合、すべての要求は、関連するSAML IdPプロファイルに関連付けられている認証仮想サーバーによって受信されます。
注
NetScalerアプライアンスは、SAML SPがアプライアンスまたは任意の外部SAML SPで構成されている展開環境で、IdPとして使用できます。
SAML IdP、NetScalerアプライアンスとして使用する場合:
-
従来のログオンでサポートされるすべての認証方法をサポートします。
-
アサーションにデジタル署名します。
-
単一要素認証と 2 要素認証をサポートします。SAML をセカンダリ認証メカニズムとして設定しないでください。
-
SAML SP のパブリックキーを使用してアサーションを暗号化できます。これは、アサーションに機密情報が含まれている場合に推奨されます。
-
SAML SP からのデジタル署名された要求のみを受け入れるように設定できます。
-
ネゴシエート、NTLM、証明書の 401 ベースの認証メカニズムを使用して SAML IdP にログオンできます。
-
nameID 属性のほかに 16 個の属性を送信するように設定できます。属性は適切な認証サーバから抽出する必要があります。それぞれについて、SAML IdP プロファイルで名前、式、形式、およびフレンドリ名を指定できます。
-
NetScalerアプライアンスが複数のSAML SP用のSAML IdPとして構成されている場合、ユーザーは毎回明示的に認証しなくても、さまざまなSP上のアプリケーションにアクセスできます。NetScalerアプライアンスは最初の認証用にセッションCookie を作成し、それ以降のリクエストではすべてこのCookie を認証に使用します。
-
SAML アサーションで複数値属性を送信できます。
-
ポストバインディングとリダイレクトバインディングをサポートします。アーティファクトバインディングのサポートは、NetScalerリリース13.0ビルド36.27で導入されました。
-
SAML アサーションの有効性を指定できます。
NetScaler SAML IdPとピアSAML SPのシステム時刻が同期していない場合、メッセージはどちらかの当事者によって無効にされる可能性があります。このような状況を回避するために、アサーションが有効な期間を設定できるようになりました。
この時間を「スキュータイム」と呼び、メッセージを受け入れる必要がある分数を指定します。スキュータイムは SAML SP と SAML IdP で設定できます。
-
IdP で事前設定されている、または IdP によって信頼されている SAML SP に対してのみアサーションを提供するように設定できます。この設定では、SAML IdP には、関連する SAML SP のサービスプロバイダー ID(または発行者名)が必要です。
注
先に進む前に、LDAP 認証サーバーにリンクされた認証仮想サーバーがあることを確認してください。
コマンドラインインターフェイスを使用してNetScalerアプライアンスをSAML IdPとして構成するには
-
SAML IdP プロファイルを設定します。
例
SiteMinderをSPとして、NetScalerアプライアンスをIdPとして追加します。
add authentication samlIdPProfile samlIDPProf1 -samlSPCertName siteminder-cert -encryptAssertion ON -samlIdPCertName ns-cert -assertionConsumerServiceURL http://sm-proxy.nsi-test.com:8080/affwebservices/public/saml2assertionconsumer -rejectUnsignedRequests ON -signatureAlg RSA-SHA256 -digestMethod SHA256<!--NeedCopy--> -
SAML 認証ポリシーを設定し、SAML IdP プロファイルをポリシーのアクションとして関連付けます。
add authentication samlIdPPolicy samlIDPPol1 -rule true -action samlIDPProf1<!--NeedCopy--> -
認証仮想サーバにポリシーをバインドします。
bind authentication vserver saml-auth-vserver -policy samlIDPPol1 -priority 100<!--NeedCopy-->コマンドの詳細については、次を参照してください。 https://developer-docs.citrix.com/projects/citrix-adc-command-reference/en/latest/authentication/authentication-samlIdPProfile/
GUIを使用してNetScalerアプライアンスをSAML IdPとして構成するには
-
SAML IdP プロファイルとポリシーを設定します。
[ セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [詳細ポリシー] > [SAML IDP] に移動し、SAML IdP をアクションタイプとするポリシーを作成し、必要な SAML IdP プロファイルをポリシーに関連付けます。
-
SAML IdP ポリシーを認証仮想サーバーに関連付けます。
[セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバー] に移動し、SAML IdP ポリシーを認証仮想サーバーに関連付けます。