Gateway

SAML 認証の認証機能の強化

April 1, 2024

寄稿者:

この機能はSAMLの知識があるユーザー向けであり、この情報を使用するには基本的な認証能力が必要です。この情報を使用するには、読者がFIPSを理解している必要があります。

以下のCitrix ADC機能は、SAML 2.0仕様と互換性のあるサードパーティのアプリケーション/サーバーで使用できます：

SAML サービスプロバイダー (SP)
SAML アイデンティティプロバイダ (IdP)

SP と IdP は、クラウドサービス間でシングルサインオン (SSO) を許可します。SAML SP 機能は、IdP からのユーザクレームに対処する方法を提供します。IdPは、サードパーティのサービスまたは別のNetScaler ADCアプライアンスにすることができます。SAML IdP 機能は、ユーザーログオンをアサートし、SP によって消費されるクレームを提供するために使用されます。

SAML サポートの一環として、IdP モジュールと SP モジュールの両方が、ピアに送信されるデータにデジタル署名します。デジタル署名には、SP からの認証要求、IdP からのアサーション、およびこれらの 2 つのエンティティ間のログアウトメッセージが含まれます。デジタル署名は、メッセージの信頼性を検証します。

SAML SP と IdP の現在の実装は、パケットエンジンで署名計算を行います。これらのモジュールは SSL 証明書を使用してデータに署名します。FIPS準拠のNetScaler ADCでは、SSL証明書の秘密キーはパケットエンジンまたはユーザー空間で利用できないため、今日のSAMLモジュールはFIPSハードウェアに対応していません。

このドキュメントでは、シグニチャ計算を FIPS カードにオフロードするメカニズムについて説明します。署名の検証は、公開鍵が利用可能であるため、ソフトウェアで行われます。

解決策

SAML 機能セットは、シグニチャオフロードに SSL API を使用するように拡張されました。影響を受けるこれらの SAML サブ機能の詳細については、docs.citrix.com を参照してください：

SAML SP ポストバインディング — 認証リクエストの署名
SAML IdP ポストバインディング — アサーション/レスポンス/両方の署名
SAML SP シングルログアウトシナリオ — SP 開始モデルでのログアウトリクエストの署名と IdP 開始モデルでのログアウトレスポンスの署名
SAML SP アーティファクトバインディング — ArtifactResolve リクエストの署名
SAML SP リダイレクトバインディング — 認証リクエストの署名
SAML IdP リダイレクトバインディング — レスポンス/アサーション/両方の署名
SAML SP 暗号化のサポート — アサーションの復号化

プラットフォーム

API は FIPS プラットフォームにのみオフロードできます。

構成

オフロード設定は FIPS プラットフォームで自動的に実行されます。

ただし、SSL 秘密キーは FIPS ハードウェアのユーザー空間では使用できないため、FIPS ハードウェアでの SSL 証明書の作成には若干の構成変更があります。

設定情報は次のとおりです。

add ssl fipsKey fips-key

CSR を作成し、CA サーバで使用して証明書を生成します。その後、その証明書を /nsconfig/ssl にコピーできます。ファイルが fips3cert.cerだと仮定しましょう。
add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key

次に、SAML SP モジュールの SAML アクションでこの証明書を指定します。
set samlAction \<name\> -samlSigningCertName fips-cert

SAML IdP モジュールの samlIdpProfile でこれを使用してください
set samlidpprofile fipstest –samlIdpCertName fips-cert

FIPS キーは初めて使用できません。FIPS キーがない場合は、「FIPS キーの作成」の説明に従って作成します。

create ssl fipskey \<fipsKeyName\> -modulus \<positive\_integer\> \[-exponent ( 3 | F4 )\]
create certreq \<reqFileName\> -fipskeyName \<string\>

このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。

SAML 認証の認証機能の強化

April 1, 2024

寄稿者:

April 1, 2024

寄稿者: