この記事は機械翻訳されています.免責事項
SAML 認証を設定するには
-
構成ユーティリティの[構成]タブで、[ Citrix Gateway]>[ポリシー]>[認証]を展開します。
-
ナビゲーションペインで、[ SAML] をクリックします。
-
詳細ペインで、[ 追加] をクリックします。
-
[認証ポリシーの作成] ダイアログボックスの [ 名前] に、ポリシーの名前を入力します。
-
「サーバー」の横にある「 新規」をクリックします。
-
[ 名前] に、サーバープロファイルの名前を入力します。
-
[IdP 証明書名] で証明書を選択するか、[ インストール] をクリックします。これは、SAML または IdP サーバーにインストールされる証明書です。
[インストール] をクリックした場合は、証明書と秘密キーを追加します。詳しくは、「Installing and Managing Certificates」を参照してください。
-
[ リダイレクト URL] に、認証 ID プロバイダ (IdP) の URL を入力します。
これは、SAML サーバーへのユーザーログオンの URL です。これは、NetScaler Gateway が最初の要求をリダイレクトするサーバーです。
-
[ シングルログアウト URL] で、サインアウトプロセスを完了するためにクライアントを IdP に返送するタイミングをアプライアンスが認識できるように、URL を指定します。
-
[ SAML バインディング] で、クライアントを SP から IdP に移動するために使用する方法を選択します。これは、IdP でクライアントがどのように接続するかを理解できるように、IdP で同じである必要があります。アプライアンスがSPとして動作する場合、POST、REDIRECT、およびARTIFACTバインディングをサポートします。
-
「 ログアウトバインド」で「 リダイレクト」を選択します。
-
[ IDP 証明書名] で、SAML 署名証明書の下にある IdPCert 証明書 (Base64) を選択します。
注:
[ メタデータのインポート] をクリックして、メタデータ構成が格納されている URL を選択することもできます。
-
ユーザーフィールドに、抽出するユーザー名を入力します。
-
[ 署名証明書名] で、アプライアンスが IdP への認証要求に署名するために使用する SAML SP 証明書(秘密キーを含む)を選択します。IdP が認証要求署名を検証できるように、同じ証明書(秘密キーなし)を IdP にインポートする必要があります。このフィールドは、ほとんどの IdP では必要ありません。
これは、NetScaler Gateway 仮想IPアドレスにバインドされている証明書です。SAML 発行者名は、lb.example.com や ng.example.com など、ユーザーがログオンする完全修飾ドメイン名 (FQDN) です。
-
発行者名に、アプライアンスが初期認証(GET)要求を送信する負荷分散またはNetScaler Gateway 仮想IPアドレスのFQDNを入力します。
-
[ 署名されていないアサーションを拒否する] で、IdP からのアサーションに署名を要求するかどうかを指定します。アサーションのみを署名する (ON) か、アサーションと IdP からの応答の両方に署名する (STRICT) 必要があります。
-
[ オーディエンス] に、IdP によって送信されたアサーションを適用できるオーディエンスを入力します。これは通常、サービスプロバイダーを表すエンティティ名または URL です。
-
「 署名アルゴリズム」で、「RSA-SHA256」を選択します。
-
ダイジェスト方式で、SHA256 を選択します。
-
[ デフォルト認証グループ(Default Authentication Group)] に、抽出されたグループに加えて、認証が成功した場合に選択されるデフォルトグループを入力します。
-
[ グループ名(Group Name)] に、ユーザグループを含むアサーション内のタグの名前を入力します。
-
[ Skew Time (mins)] に、サービスプロバイダーが着信アサーションで許可する許容クロックスキューを分単位で指定します。
-
[ 作成] をクリックし、 [ 閉じる] をクリックします。
-
[認証ポリシーの作成] ダイアログボックスの [名前付き式] の横にある [一般] を選択し、[True value] を選択し、[ 式の追加] をクリックして [ 作成] をクリックし、[ 閉じる] をクリックします。