SAML 認証を設定するには
-
構成ユーティリティの[構成]タブで、 NetScaler Gateway >[ポリシー][認証]の順に展開します。
-
ナビゲーションペインで、[ SAML] をクリックします。
-
詳細ウィンドウで、[ 追加] をクリックします。
-
[認証ポリシーの作成] ダイアログボックスの [ 名前] に、ポリシーの名前を入力します。
-
[サーバー] の横にある [ 新規] をクリックします。
-
[ 名前] に、サーバープロファイルの名前を入力します。
-
[IdP 証明書名] で証明書を選択するか、[ インストール] をクリックします。これは、SAML または IdP サーバーにインストールされる証明書です。
[インストール] をクリックした場合は、証明書と秘密キーを追加します。詳しくは、「Installing and Managing Certificates」を参照してください。
-
[ リダイレクト URL] に、認証 ID プロバイダ (IdP) の URL を入力します。
これは、SAML サーバーへのユーザーログオンの URL です。これは、NetScaler Gateway が最初の要求をリダイレクトするサーバーです。
-
[ シングルログアウト URL] で、サインアウトプロセスを完了するためにクライアントを IdP に返送するタイミングをアプライアンスが認識できるように、URL を指定します。
-
[ SAML バインディング] で、クライアントを SP から IdP に移動するために使用する方法を選択します。これは、IdP でクライアントがどのように接続するかを理解できるように、IdP で同じである必要があります。アプライアンスがSPとして動作する場合、POST、REDIRECT、およびARTIFACTバインディングをサポートします。
-
「 ログアウトバインド」で「 リダイレクト」を選択します。
-
[ IDP 証明書名] で、SAML 署名証明書の下にある IdPCert 証明書 (Base64) を選択します。
注:
[ メタデータのインポート] をクリックして、メタデータ構成が格納されている URL を選択することもできます。
-
[ ユーザーフィールド]に、抽出するユーザー名を入力します。
-
[ 署名証明書名] で、アプライアンスが IdP への認証要求に署名するために使用する SAML SP 証明書(秘密キーを含む)を選択します。IdP が認証要求署名を検証できるように、同じ証明書(秘密キーなし)を IdP にインポートする必要があります。このフィールドは、ほとんどの IdP では必要ありません。
これは、NetScaler Gateway 仮想IPアドレスにバインドされている証明書です。SAML 発行者名は、lb.example.com や ng.example.com など、ユーザーがログオンする完全修飾ドメイン名 (FQDN) です。
-
発行者名に、アプライアンスが初期認証(GET)要求を送信する負荷分散またはCitrix Gateway 仮想IPアドレスのFQDNを入力します。
-
[ 署名されていないアサーションを拒否する] で、IdP からのアサーションに署名を要求するかどうかを指定します。アサーションのみを署名する (ON) か、アサーションと IdP からの応答の両方に署名する (STRICT) 必要があります。
-
[ オーディエンス] に、IdP によって送信されたアサーションを適用できるオーディエンスを入力します。これは通常、サービスプロバイダーを表すエンティティ名または URL です。
-
「 署名アルゴリズム」で、「RSA-SHA256」を選択します。
-
ダイジェスト方式で、SHA256 を選択します。
-
[ デフォルト認証グループ(Default Authentication Group)] に、抽出されたグループに加えて、認証が成功した場合に選択されるデフォルトグループを入力します。
-
[ グループ名(Group Name)] に、ユーザグループを含むアサーション内のタグの名前を入力します。
-
[ Skew Time (mins)] に、サービスプロバイダーが着信アサーションで許可する許容クロックスキューを分単位で指定します。
-
[ 作成] をクリックし、 [ 閉じる] をクリックします。
-
[認証ポリシーの作成] ダイアログボックスで、[名前付き式] の横にある [全般]、[True value]、[ 式の追加]、[ 作成]、[ 閉じる] の順にクリックします。