SAML 認証の認証機能の強化
この機能はSAMLの知識があるユーザー向けであり、この情報を使用するには基本的な認証能力が必要です。この情報を使用するには、読者がFIPSを理解している必要があります。
以下のCitrix ADC機能は、SAML 2.0仕様と互換性のあるサードパーティのアプリケーション/サーバーで使用できます:
- SAML サービスプロバイダー (SP)
- SAML アイデンティティプロバイダ (IdP)
SP と IdP は、クラウドサービス間でシングルサインオン (SSO) を許可します。SAML SP 機能は、IdP からのユーザクレームに対処する方法を提供します。IdPは、サードパーティのサービスまたは別のNetScaler ADCアプライアンスにすることができます。SAML IdP 機能は、ユーザーログオンをアサートし、SP によって消費されるクレームを提供するために使用されます。
SAML サポートの一環として、IdP モジュールと SP モジュールの両方が、ピアに送信されるデータにデジタル署名します。デジタル署名には、SP からの認証要求、IdP からのアサーション、およびこれらの 2 つのエンティティ間のログアウトメッセージが含まれます。デジタル署名は、メッセージの信頼性を検証します。
SAML SP と IdP の現在の実装は、パケットエンジンで署名計算を行います。これらのモジュールは SSL 証明書を使用してデータに署名します。FIPS準拠のNetScaler ADCでは、SSL証明書の秘密キーはパケットエンジンまたはユーザー空間で利用できないため、今日のSAMLモジュールはFIPSハードウェアに対応していません。
このドキュメントでは、シグニチャ計算を FIPS カードにオフロードするメカニズムについて説明します。署名の検証は、公開鍵が利用可能であるため、ソフトウェアで行われます。
解決策
SAML 機能セットは、シグニチャオフロードに SSL API を使用するように拡張されました。影響を受けるこれらの SAML サブ機能の詳細については、docs.citrix.com を参照してください:
-
SAML SP ポストバインディング — 認証リクエストの署名
-
SAML IdP ポストバインディング — アサーション/レスポンス/両方の署名
-
SAML SP シングルログアウトシナリオ — SP 開始モデルでのログアウトリクエストの署名と IdP 開始モデルでのログアウトレスポンスの署名
-
SAML SP アーティファクトバインディング — ArtifactResolve リクエストの署名
-
SAML SP リダイレクトバインディング — 認証リクエストの署名
-
SAML IdP リダイレクトバインディング — レスポンス/アサーション/両方の署名
-
SAML SP 暗号化のサポート — アサーションの復号化
プラットフォーム
API は FIPS プラットフォームにのみオフロードできます。
構成
オフロード設定は FIPS プラットフォームで自動的に実行されます。
ただし、SSL 秘密キーは FIPS ハードウェアのユーザー空間では使用できないため、FIPS ハードウェアでの SSL 証明書の作成には若干の構成変更があります。
設定情報は次のとおりです。
-
add ssl fipsKey fips-keyCSR を作成し、CA サーバで使用して証明書を生成します。その後、その証明書を /nsconfig/ssl にコピーできます。ファイルが fips3cert.cerだと仮定しましょう。
-
add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key次に、SAML SP モジュールの SAML アクションでこの証明書を指定します。
-
set samlAction \<name\> -samlSigningCertName fips-certSAML IdP モジュールの samlIdpProfile でこれを使用してください
-
set samlidpprofile fipstest –samlIdpCertName fips-cert
FIPS キーは初めて使用できません。FIPS キーがない場合は、「FIPS キーの作成」 の説明に従って作成します。
-
create ssl fipskey \<fipsKeyName\> -modulus \<positive\_integer\> \[-exponent ( 3 | F4 )\] -
create certreq \<reqFileName\> -fipskeyName \<string\>