This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
NetScaler 作为 SAML IdP
SAML IdP(身份提供程序)是部署在客户网络中的 SAML 实体。IdP 接收来自 SAML SP 的请求,并将用户重定向到登录页面,用户必须在登录页面中输入凭据。IdP 通过 Active Directory(外部身份验证服务器,例如 LDAP)对这些凭据进行身份验证,然后生成发送到 SP 的 SAML 断言。
SP 验证令牌,然后授予用户对请求的受保护应用程序的访问权限。
当 NetScaler 设备配置为 IdP 时,所有请求都将由与相关 SAML IdP 配置文件关联的身份验证虚拟服务器接收。
注意
在部署中,在设备或任何外部 SAML SP 上配置 SAML SP 时,NetScaler 设备可以用作 IdP。
用作 SAML IdP 时,NetScaler 设备:
-
支持能够支持传统登录的所有身份验证方法。
-
以数字方式签署断言。
-
支持单重身份验证和双重身份验证。不得将 SAML 配置为辅助身份验证机制。
-
可以使用 SAML SP 的公钥加密断言。当断言包含敏感信息时,建议执行此操作。
-
可以配置为仅接受来自 SAML SP 的数字签名请求。
-
可以使用以下基于 401 的身份验证机制登录 SAML IdP:协商、NTLM 和证书。
-
除了 NameId 属性外,还可以配置为发送 16 个属性。必须从相应的身份验证服务器中提取属性。对于其中的每个人,您可以在 SAML IdP 配置文件中指定名称、表达式、格式和友好名称。
-
如果将 NetScaler 设备配置为多个 SAML SP 的 SAML IdP,则用户无需每次都进行明确身份验证即可访问不同 SP 上的应用程序。NetScaler 设备为第一次身份验证创建会话 cookie,随后的每个请求都使用此 Cookie 进行身份验证。
-
可以在 SAML 断言中发送多值属性。
-
支持发布和重定向绑定。NetScaler 版本 13.0 Build 36.27 中引入了对构件绑定的支持。
-
可以指定 SAML 断言的有效性。
如果 NetScaler SAML IdP 上的系统时间与对等 SAML SP 上的系统时间不同步,则任何一方都可能使消息失效。为了避免此类情况,您现在可以配置断言有效的持续时间。
此持续时间称为“倾斜时间”,指定必须接受消息的分钟数。可以在 SAML SP 和 SAML IdP 上配置倾斜时间。
-
可以配置为仅向在 IdP 上预配置的或信任的 SAML SP 提供断言。对于此配置,SAML IdP 必须具有相关 SAML SP 的服务提供商 ID(或颁发者名称)。
注意
继续操作之前,请确保您的身份验证虚拟服务器已链接到 LDAP 身份验证服务器。
使用命令行界面将 NetScaler 设备配置为 SAML IdP
-
配置 SAML IdP 配置文件。
示例
将 NetScaler 设备添加为 IdP,并将 SiteMinder 添加为 SP。
add authentication samlIdPProfile samlIDPProf1 -samlSPCertName siteminder-cert -encryptAssertion ON -samlIdPCertName ns-cert -assertionConsumerServiceURL http://sm-proxy.nsi-test.com:8080/affwebservices/public/saml2assertionconsumer -rejectUnsignedRequests ON -signatureAlg RSA-SHA256 -digestMethod SHA256<!--NeedCopy-->
-
配置 SAML 身份验证策略并将 SAML IdP 配置文件关联为策略的操作。
add authentication samlIdPPolicy samlIDPPol1 -rule true -action samlIDPProf1<!--NeedCopy-->
-
将策略绑定到身份验证虚拟服务器。
bind authentication vserver saml-auth-vserver -policy samlIDPPol1 -priority 100<!--NeedCopy-->
有关该命令的更多详细信息,请参阅 https://developer-docs.citrix.com/projects/citrix-adc-command-reference/en/latest/authentication/authentication-samlIdPProfile/
使用 GUI 将 NetScaler 设备配置为 SAML IdP
-
配置 SAML IdP 配置文件和策略。
导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Policies(策略)> Authentication(身份验证)> Advanced Policies(高级策略)> SAML IDP,然后创建一个将 SAML IdP 作为操作类型的策略,并将所需的 SAML IdP 配置文件与策略关联起来。
-
将 SAML IdP 策略与身份验证虚拟服务器关联。
导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Virtual Servers(虚拟服务器),然后将 SAML IdP 策略与身份验证虚拟服务器相关联。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.