This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
SAML 認証の改善
この機能を使用するには、この情報を使用するには、SAML の知識、基本的な認証の習熟度、および FIPS の理解が必要です。
SAML 2.0仕様と互換性のあるサードパーティのアプリケーションおよびサーバーでは、次のNetScaler ADC機能を使用できます。
- SAML サービスプロバイダー (SP)
- SAML アイデンティティプロバイダ (IdP)
SP と IdP は、クラウドサービス間でシングルサインオン (SSO) を許可します。SAML SP 機能は、IdP からのユーザクレームに対処する方法を提供します。IdPは、サードパーティのサービスまたは別のNetScaler ADCアプライアンスにすることができます。SAML IdP 機能は、ユーザーログオンをアサートし、SP によって消費されるクレームを提供するために使用されます。
SAML サポートの一環として、IdP モジュールと SP モジュールの両方が、ピアに送信されるデータにデジタル署名します。デジタル署名には、SP からの認証要求、IdP からのアサーション、およびこれらの 2 つのエンティティ間のログアウトメッセージが含まれます。デジタル署名は、メッセージの信頼性を検証します。
SAML SP および IdP の現在の実装は、パケットエンジンでシグニチャ計算を実行します。これらのモジュールは SSL 証明書を使用してデータに署名します。FIPS準拠のNetScaler ADCでは、SSL証明書の秘密キーはパケットエンジンまたはユーザー空間で利用できないため、今日のSAMLモジュールはFIPSハードウェアに対応していません。
このドキュメントでは、シグニチャ計算を FIPS カードにオフロードするメカニズムについて説明します。署名の検証は、公開鍵が利用可能であるため、ソフトウェアで行われます。
解決策
SAML 機能セットは、シグニチャオフロードに SSL API を使用するように拡張されました。影響を受けるこれらのSAMLサブ機能について詳しくは、Citrix 製品ドキュメントを参照してください。
-
SAML SP ポストバインディング — 認証リクエストの署名
-
SAML IdP ポストバインディング — アサーション/レスポンス/両方の署名
-
SAML SP シングルログアウトシナリオ — SP 開始モデルでのログアウトリクエストの署名と IdP 開始モデルでのログアウトレスポンスの署名
-
SAML SP アーティファクトバインディング — ArtifactResolve リクエストの署名
-
SAML SP リダイレクトバインディング — 認証リクエストの署名
-
SAML IdP リダイレクトバインディング — レスポンス/アサーション/両方の署名
-
SAML SP 暗号化のサポート — アサーションの復号化
プラットフォーム
API は FIPS プラットフォームにのみオフロードできます。
構成
オフロード設定は FIPS プラットフォームで自動的に実行されます。
ただし、SSL 秘密キーは FIPS ハードウェアのユーザー空間では使用できないため、FIPS ハードウェアでの SSL 証明書の作成には若干の構成変更があります。
設定情報は次のとおりです。
-
add ssl fipsKey fips-keyCSR を作成し、CA サーバで使用して証明書を生成します。その後、その証明書を
/nsconfig/sslにコピーできます。ファイルが fips3cert.cerだと仮定しましょう。 -
add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key次に、SAML SP モジュールの SAML アクションでこの証明書を指定します。
-
set samlAction <name> -samlSigningCertName fips-cert同様に、SAML IdP モジュールの
samlIdpProfileでこれを使用します。 -
set samlidpprofile fipstest –samlIdpCertName fips-cert
最初に、前のセクションで説明されたfips-keyがありません。FIPS キーがない場合は、「FIPS キーの作成」 の説明に従って作成します。
create ssl fipskey <fipsKeyName> -modulus <positive_integer> [-exponent (3 | F4)]
create certreq <reqFileName> -fipskeyName <string>
<!--NeedCopy-->
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.