Gateway

SAML 身份验证的身份验证改进

此功能适用于具有 SAML 知识的人,使用此信息需要基本的身份验证能力。读者必须了解 FIPS 才能使用这些信息。

以下 Citrix ADC 功能可用于与 SAML 2.0 规范兼容的第三方应用程序/服务器:

  • SAML 服务提供商 (SP)
  • SAML 身份提供商 (IdP)

SP 和 IdP 允许在云服务之间使用单点登录 (SSO)。SAML SP 功能提供了一种解决来自 IdP 的用户声明的方法。IdP 可以是第三方服务或其他 Citrix ADC 设备。SAML IdP 功能用于断言用户登录并提供 SP 使用的声明。

作为 SAML 支持的一部分,IdP 和 SP 模块都对发送给对等方的数据进行数字签名。数字签名包括来自 SP 的身份验证请求、来自 IdP 的断言以及这两个实体之间的注销消息。数字签名验证消息的真实性。

SAML SP 和 IdP 的当前实现是在数据包引擎中进行签名计算。这些模块使用 SSL 证书对数据进行签名。在符合 FIPS 标准的 Citrix ADC 中,SSL 证书的私钥在数据包引擎或用户空间中不可用,因此当前的 SAML 模块尚未准备好用于 FIPS 硬件。

本文档介绍将签名计算卸载到 FIPS 卡的机制。签名验证是在软件中完成的,因为公钥可用。

解决方案

增强了 SAML 功能集,可以使用 SSL API 进行签名卸载。有关这些受影响的 SAML 子功能的详细信息,请参阅 docs.citrix.com:

  1. SAML SP 发布绑定 — 对 AuthnRequest 进行签名

  2. SAML IdP Post 绑定-签署断言/响应/两者

  3. SAML SP 单一注销方案 — 在 SP 启动的模型中对 LogoutRequest 进行签名并在 IdP 启动的模型中对 LogoutResponse 进行签名

  4. SAML SP 工件绑定 — 对 ArtifactResolve 请求进行签名

  5. SAML SP 重定向绑定 — 对 AuthnRequest 进行签名

  6. SAML IdP 重定向绑定 — 响应/断言/全部签名

  7. SAML SP 加密支持 — 断言解密

平台

该 API 只能卸载到 FIPS 平台。

配置

卸载配置在 FIPS 平台上自动执行。

但是,由于 FIPS 硬件中的用户空间无法使用 SSL 私钥,因此在 FIPS 硬件上创建 SSL 证书时会发生轻微的配置更改。

以下是配置信息:

  • add ssl fipsKey fips-key

    创建 CSR 并在 CA 服务器上使用它来生成证书。然后您可以在 /nsconfig/ssl 中复制该证书。让我们假设该文件是 fips3cert.cer。

  • add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key

    然后在 SAML SP 模块的 SAML 操作中指定此证书。

  • set samlAction \<name\> -samlSigningCertName fips-cert

    在 SAML IdP 模块的 samlidpProfile 中使用此功能

  • set samlidpprofile fipstest –samlIdpCertName fips-cert

FIPS 密钥首次不可用。如果没有 FIPS 密钥,请按照创建 FIPS 密钥中的说明创建一个。

  • create ssl fipskey \<fipsKeyName\> -modulus \<positive\_integer\> \[-exponent ( 3 | F4 )\]

  • create certreq \<reqFileName\> -fipskeyName \<string\>

SAML 身份验证的身份验证改进