Gateway

配置 SAML 身份验证

  1. 在配置实用程序中的“配置”选项卡上,展开 Citrix Gateway > 策略 > 身份验证

  2. 在导航窗格中,单击 SAML

  3. 在详细信息窗格中,单击“添加”。

  4. 在“创建身份验证策略”对话框的“名称”中,键入策略的名称。

SAML 身份验证策略

SAML 身份验证策略 2

  1. 在“服务器”旁边,单击“新建”。

  2. 名称中,键入服务器配置文件的名称。

  3. 在 IdP 证书名称中,选择一个证书或单击 安装。这是安装在 SAML 或 IdP 服务器上的证书。

    如果单击“安装”,请添加证书和私钥。有关详细信息,请参阅安装和管理证书

  4. 重定向 URL中,输入身份验证身份提供程序 (IdP) 的 URL。

    这是用户登录 SAML 服务器的 URL。这是 Citrix Gateway 将初始请求重定向到的服务器。

  5. 单一注销 URL中,指定 URL,以便设备能够识别何时将客户端发送回 IdP 以完成注销过程。

  6. SAML 绑定中,选择用于将客户端从 SP 移动到 IdP 的方法。这在 IdP 上必须是相同的,这样它才能理解客户端如何连接到它。当设备充当 SP 时,它支持开机自检、重定向和工件绑定。

  7. 注销绑定中,选择 重定向。

  8. IDP 证书名称中,选择 SAML 签名证书下的 IdPCert 证书 (Base64)。

    注意:

    您也可以单击 导入元数据 ,然后选择存储元数据配置的 URL。

  9. 用户字段中,输入要提取的用户名。

  10. 签名证书名称中,选择设备用于签署对 IdP 的身份验证请求的 SAML SP 证书(带有私钥)。必须将相同的证书(不带私钥)导入到 IdP,以便 IdP 可以验证身份验证请求签名。大多数 IdP 不需要此字段

    这是绑定到 Citrix Gateway 虚拟 IP 地址的证书。SAML 颁发者名称是用户登录的完全限定域名 (FQDN),例如 lb.example.com 或 ng.example.com。

  11. 颁发者名称中,输入负载平衡的 FQDN 或设备向其发送初始身份验证 (GET) 请求的 Citrix Gateway 虚拟 IP 地址。

  12. 拒绝无符号断言中,指定是否需要对来自 IdP 的断言进行签名。您可以确保只有断言必须签名 (开) 或者断言和 IdP 的响应都必须签名 (STICT)。

  13. 受众中,输入 IdP 发送的断言适用的受众。这通常是表示服务提供商的实体名称或 URL。

  14. 签名算法中,选择 RSA-SHA256

  15. 摘要方法中,选择 SHA256

  16. 默认身份验证组中,输入身份验证成功时选择的默认组以及提取的组。

  17. 组名称中,输入包含用户组的断言中标记的名称。

  18. Skew Time (mins)中,指定服务提供商在传入断言上允许的时钟偏差(以分钟为单位)。

  19. 单击“创建”,然后单击“关闭”。

  20. 在“创建身份验证策略”对话框中,在“命名表达式”旁边,选择“常规”,选择“True 值”,单击“添加表达式”,单击“创建”,然后单击“关闭”。

引用

配置 SAML 身份验证