Configuraciones de autenticación adaptable relacionadas

Modificar un FQDN

No puede modificar un FQDN si se ha seleccionado Autenticación adaptable como método de autenticación en la configuración de Workspace. Debe cambiar a un método de autenticación diferente para modificar el FQDN. Sin embargo, puede modificar el certificado si es necesario.

Importante:

• Antes de modificar el FQDN, asegúrese de que el nuevo FQDN esté asignado a la dirección IP pública del servidor virtual del IdP.
• Los usuarios existentes que estén conectados a Citrix Gateway mediante directivas de OAuth deben migrar el método de autenticación a la autenticación adaptable. Para obtener más información, consulte Migrar el método de autenticación a la autenticación adaptable.

Para modificar un FQDN, realice lo siguiente:

1. Cambie a un método de autenticación diferente de la Autenticación adaptable.

   

2. Selecciona Comprendo el impacto en la experiencia del suscriptor y, a continuación, haz clic en Confirmar .

   Al hacer clic en Confirmar, el inicio de sesión del espacio de trabajo para los usuarios finales se ve afectado y la Autenticación adaptable no se usa para la autenticación hasta que la autenticación adaptable vuelva Por lo tanto, se recomienda modificar el FQDN durante un período de mantenimiento.

3. En la pantalla Cargar certificado, modifique el FQDN.

   

4. Haga clic en Guardar cambios.

   Importante:

   Si modifica un FQDN, también debe volver a cargar el certificado.

5. Vuelva a habilitar el método de autenticación adaptable haciendo clic en Habilitar (paso 3) en la página de inicio de la autenticación adaptable.

   

6. Haga clic en Actualizar.

URL personalizada del espacio de trabajo o URL personalizada

Una URL de espacio de trabajo personalizada le permite usar un dominio de su elección para acceder a su almacén de Citrix Workspace. Los usuarios pueden acceder a Workspace mediante la URL predeterminada del espacio de trabajo, la URL del espacio de trabajo personalizada o ambas.

Para configurar una URL de espacio de trabajo personalizada o una URL personalizada, debes realizar lo siguiente:

1. Configura tu dominio personalizado. Para obtener más información, consulta Cómo configurar tu dominio personalizado.

2. Configure un nuevo perfil de OAuthIDP con el mismo ID de cliente, secreto y público que su perfil actual o predeterminado (AAuthAutoConfig_oauthIdpProf) pero con una URL de redireccionamiento diferente. Para obtener más información, consulte Configuración de directivas y perfiles de OAuth.

   Ejemplo:

   Perfil actual:

   -add authentication OAuthIDPProfile AAuthAutoConfig_oauthIdpProf -clientID xxxx -clientSecret yyyy -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_07_09_20_09_30 -redirectURL "https://accounts-internal.cloud.com/core/login-cip" -audience zzzz -sendPassword ON

   add authentication OAuthIdPPolicy AAuthAutoConfig_oauthIdpPol -rule true -action AAuthAutoConfig_oauthIdpProf

   bind authentication vserver auth_vs -policy AAuthAutoConfig_oauthIdpPol -priority 100 -gotoPriorityExpression NEXT

   Nuevo perfil:

   add authentication OAuthIDPProfile AAuthAutoConfig_oauthIdpProf_Custom1 -clientID xxxx -clientSecret yyyy -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_07_09_20_09_30 -redirectURL "https://custom_domain/core/login-cip" -audience zzzz -sendPassword ON

   add authentication OAuthIdPPolicy AAuthAutoConfig_oauthIdpPol_Custom1 -rule true -action AAuthAutoConfig_oauthIdpProf_Custom1

   bind authentication vserver auth_vs -policy AAuthAutoConfig_oauthIdpPol_Custom1 -priority 101 -gotoPriorityExpression NEXT

Importante:

• El servicio de autenticación adaptativa crea la directiva y el perfil de OAuth durante la fase de aprovisionamiento. Como resultado, el administrador de Citrix Cloud no tiene acceso al secreto de cliente no cifrado. Puede obtener el secreto cifrado en el archivo ns.conf. Para crear un perfil de OAuth, debe usar el secreto cifrado y crear el perfil solo con los comandos de la CLI.
• No puede crear un perfil de OAuth mediante la interfaz de usuario de NetScaler.

Programar la actualización de las instancias de autenticación adaptable

Para el sitio o la implementación actual, puede seleccionar el período de mantenimiento para la actualización.

Importante:

No actualice las instancias de autenticación adaptable a compilaciones RTM aleatorias. Citrix Cloud administra todas las actualizaciones.

1. En la interfaz de usuario de Autenticación adaptable, en la sección Aprovisionar instancias de autenticación adaptable, haga clic en el botón

   

2. Haga clic en Programar actualizaciones.
3. Seleccione el día y la hora de la actualización.

Desaprovisionar las instancias de autenticación adaptable

Los clientes pueden anular el aprovisionamiento de las instancias de Autenticación adaptable en los siguientes casos y según la sugerencia del soporte de Citrix.

• No se puede acceder a las instancias de Autenticación adaptable (especialmente después de una actualización programada), aunque es posible que este caso no se produzca.
• Si el cliente tiene que cambiar del modo de emparejamiento de VNet al modo de conector o viceversa.
• Si el cliente seleccionó una subred incorrecta en el momento de aprovisionar el modo de emparejamiento de VNet (la subred entra en conflicto con otras subredes de su centro de datos o VNet de Azure).

Nota: Al

desaprovisionar, también se elimina la copia de seguridad de la configuración de las instancias. Por lo tanto, debe descargar los archivos de copia de seguridad y guardarlos antes de anular el aprovisionamiento de las instancias de autenticación adaptable

Realice lo siguiente para anular el aprovisionamiento de una instancia de autenticación adaptable:

1. En la interfaz de usuario de Autenticación adaptable, en la sección Aprovisionar instancias de autenticación adaptable, haga clic en el botón

   

2. Haga clic en Desaprovisionar.

   Nota:

   Antes de desaprovisionar, debe desconectar Citrix Gateway de Configuración de Workspace.

3. Introduzca el ID de cliente para anular el aprovisionamiento de las instancias de autenticación adaptable.

Permitir el acceso seguro a la puerta de enlace

1. En la interfaz de usuario de Autenticación adaptable, en la sección Aprovisionar instancias de autenticación adaptable, haga clic en el botón

2. Haga clic en Acceso seguro a la administración.

   

3. En Las claves deben caducar en, selecciona una duración de caducidad para la nueva clave SSH.

4. Haga clic en Generar y descargar claves. Copie o descargue la clave privada SSH para usarla más adelante, ya que no se muestra después de cerrar la página. Esta clave se puede usar para iniciar sesión en las instancias de Autenticación adaptable con el nombre de usuario authadmin.

   Puede hacer clic en Generar y descargar claves para crear un nuevo par de claves si el par de claves anterior caduca. Sin embargo, solo puede haber un par de claves activo.

5. Haga clic en Listo.

Importante:

• Si usa PuTTY en Windows para conectarse a instancias de Autenticación adaptable, debe convertir la clave privada descargada a PEM. Para obtener información detallada, consulte https://www.puttygen.com/convert-pem-to-ppk.

• Se recomienda usar el siguiente comando para conectarse a las instancias de Autenticación adaptable a través del terminal desde el MAC o PowerShell/símbolo del sistema desde Windows (versión 10). ssh -i <path-to-private-key> authadmin@<ip address of ADC>
• Si quiere que los usuarios de AD accedan a la GUI de autenticación adaptable, debe agregarlos como nuevos administradores al grupo LDAP. Para obtener información detallada, consulte.https://support.citrix.com/article/CTX123782 Para todas las demás configuraciones, Citrix recomienda usar la GUI de autenticación adaptable y no los comandos de la CLI.

Configurar la conectividad con los servidores de autenticación locales mediante la interconexión de Azure VNet

Debe configurar esta configuración solo si ha seleccionado el tipo de conectividad como interconexión de Azure VNet.

Nota:

Si utiliza IDP de terceros como Okta, Azure AD o Ping, este paso no es obligatorio.

1. En la interfaz de usuario de Connect autenticación adaptable, haga clic en Aprovisionar y, a continuación, haga clic en Emparejamiento de redes virtuales de Azure.

   

   El campo Citrix Managed Service Principal contiene el ID de aplicación de una entidad de servicio de Azure creada por Citrix para su cliente. Esta entidad de servicio es necesaria para permitir que Citrix agregue una interconexión de VNet a una VNet en la suscripción y el arrendatario.

   Para permitir que esta entidad de servicio inicie sesión en el arrendatario del cliente, el administrador del sitio del cliente (administrador global del arrendatario) debe ejecutar los siguientes comandos de PowerShell para agregar el SPN al arrendatario. También se puede usar CloudShell. Connect-AzureAD New-AzureADServicePrincipal -AppId $App_ID Donde $App_ID es un ID de aplicación de SPN compartido por Citrix.

   Nota:

   • El comando mencionado anteriormente genera un nombre principal de servicio que debe usarse para las asignaciones de roles.
   • Para permitir que esta entidad de servicio agregue una interconexión de VNet de Azure, el administrador del sitio del cliente (no limitado al administrador global) debe agregar una función de “Colaborador de red” a la VNet que debe estar vinculada a la VNet administrada por Citrix.
   • SPN es un identificador único que se utiliza para asociar la red virtual de Citrix en Azure. La asociación del SPN con la VNet permite que la red virtual de Citrix se conecte a la red local de los clientes a través de la VNet de Azure.

2. Cree un emparejamiento de VNet.

   • Introduzca el ID de arrendatario para el que se realizaron los pasos anteriores y haga clic en Obtener.

   Esto completa el ID de recurso de VNet administrado por el cliente con las VNet candidatas para las que se agrega la función de colaborador de red para el SPN. Si no ve la VNet, asegúrese de que los pasos anteriores se ejecutan correctamente o repita los pasos.

   Nota:

   Para obtener más información sobre cómo encontrar su ID de arrendatario, consulte https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-how-to-find-tenant.

3. Seleccione Usar Azure VPN Gateway para conectar las redes locales a Azure.
4. En Customer managed VNet Resource ID, seleccione la VNet identificada para la interconexión y haga clic en Add. La VNet se agrega a la tabla con el estado inicial de En curso. Una vez que el emparejamiento se haya completado correctamente, el estado cambia a Hecho.
5. Haga clic en Listo.

6. Continúe con la configuración, consulte Paso 1: Provisión de la autenticación adaptable.

   Importante:

   • Para que el tráfico fluya entre la VNet administrada por Citrix y la red local, es posible que se cambien las reglas de firewall y enrutamiento en las instalaciones para dirigir el tráfico a la VNet administrada por Citrix.
   • Solo puede agregar un par de VNet a la vez. Actualmente, no se permiten varios pares de VNet. Puede eliminar una interconexión de VNet o crear una según sea necesario.

Configurar el respaldo y la restauración

El servicio Administración de entrega de aplicaciones lleva a cabo la administración de copias de seguridad para las instancias Para obtener más información, consulte Realizar copias de seguridad y restaurar instancias de NetScaler.

1. En el mosaico Administración de entrega de aplicaciones, haga clic en Administrar .
2. Vaya a Infraestructura > Instancias y acceda a las copias de seguridad.

Nota:

Si no ve el servicio incorporado, incorpore el servicio de administración de entrega de aplicaciones. Para obtener más información, consulte Primeros pasos.

Ejemplo de configuración de equilibrio de carga de LDAP y LDAPS

La instancia de autenticación adaptable de Citrix proporciona soporte para LDAP/LDAPS mediante un servidor virtual de equilibrio de carga.

Nota:

• Si no utiliza el equilibrio de carga para LDAP/LDAPS, evite crear un servicio o un servidor para un servidor LDAP, ya que esto podría interrumpir el túnel de autenticación adaptable.
• Si utiliza el equilibrio de carga para LDAP, cree un grupo de servicios y vincúlelo al servicio de equilibrio de carga y no a un servicio independiente.
• Cuando utilice un servidor virtual de equilibrio de carga para la autenticación, asegúrese de agregar la dirección IP del servidor virtual de equilibrio de carga en lugar de la dirección IP real del servidor LDAP en la acción LDAP.
• De forma predeterminada, un monitor TCP está enlazado al servicio que se crea. En las instancias de NetScaler de Autenticación adaptable, el servicio se marca como ACTIVO de forma predeterminada si se utiliza un monitor TCP.
• Para la monitorización, se recomienda utilizar monitores personalizados.

Requisitos previos

Dirección IP privada (dirección RFC1918) del servidor virtual de equilibrio de carga. Puede ser una dirección IP ficticia, ya que se utiliza para la configuración interna.

Servidores LDAP de equilibrio de carga

Para los servidores LDAP de equilibrio de carga, cree un grupo de servicios y vincúlelo al servidor virtual de equilibrio de carga. No cree un servicio para equilibrar la carga de los servidores LDAP.

Configure LDAP mediante la CLI de NetScaler:

Puede utilizar los siguientes comandos de CLI como referencia para configurar LDAP.

1. add serviceGroup <serviceGroupName> <serviceType>
2. bind servicegroup <serviceGroupName> (<IP> | <serverName>) <port>
3. add lb vserver <name> <serviceType> <ip> <port> - El puerto debe ser 389. Este puerto se usa para la comunicación interna y la conexión a un servidor local se realiza a través de SSL según el puerto configurado para el grupo de servicios.
4. bind lb vserver <name> <serviceGroupName>
5. add authentication ldapAction <name> {-serverIP} <ip_addr> | {-serverName <string>}} <lb vserver ip>
6. add authentication policy <ldap_policy_name> -rule <expression> -action <string>
7. bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <ldap_policy_priority> -gotoPriorityExpression NEXT

Configure LDAP mediante la interfaz gráfica de usuario de NetScaler:

1. Vaya a Administración del tráfico > Equilibrio de carga y, a continuación, haga clic en Servidores virtuales.

2. Cree un servidor virtual de tipo TCP y puerto 389.

   No cree un servidor virtual de equilibrio de carga de tipo SSL/SSL_TCP.

3. Vaya a Administración del tráfico > Equilibrio de carga y, a continuación, haga clic en Grupos de servicios.
4. Cree un grupo de servicios de tipo TCP y puerto 389.
5. Enlazar el grupo de servicios al servidor virtual que ha creado en el paso 1.

Para obtener más información sobre los procedimientos, consulte Configurar el equilibrio de carga básico.

Servidores LDAPS de equilibrio de carga

Para los servidores LDAPS de equilibrio de carga, debe crear un servidor virtual de equilibrio de carga de tipo TCP para evitar el cifrado SSL interno o el descifrado en la instancia de autenticación adaptable. El servidor virtual de equilibrio de carga gestiona el cifrado/descifrado de TLS en este caso. No cree un servidor virtual de equilibrio de carga de tipo SSL.

Configure LDAPS mediante la CLI de NetScaler:

Puede utilizar los siguientes comandos de CLI como referencia para configurar LDAPS.

1. add lb vserver <name> <serviceType> <ip> <port> - El puerto debe ser el 636.
2. bind lb vserver <name> <serviceGroupName>
3. add authentication ldapAction <name> {-serverIP} <ip_addr> | {-serverName <string>}} <lb vserver ip>
4. add authentication policy <ldap_policy_name> -rule <expression> -action <string>
5. bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <ldap_policy_priority> -gotoPriorityExpression NEXT

Configure LDAPS mediante la interfaz gráfica de usuario de NetScaler:

1. Vaya a Administración del tráfico > Equilibrio de carga y, a continuación, haga clic en Servidores virtuales.

2. Cree un servidor virtual de tipo TCP y puerto 636.

   No cree un servidor virtual de equilibrio de carga de tipo SSL/SSL_TCP.

3. Vaya a Administración del tráfico > Equilibrio de carga y, a continuación, haga clic en Servicio.
4. Cree un servicio de tipo SSL_TCP y el puerto 636.
5. Enlazar el servicio al servidor virtual que ha creado en el paso 1.

Para obtener más información sobre los procedimientos, consulte Configurar el equilibrio de carga básico.

Crea monitores personalizados

Cree monitores personalizados mediante la interfaz gráfica de usuario de NetScaler:

1. Vaya a Administración del Tráfico > Equilibrio de carga > Monitores.
2. Cree un monitor de tipo LDAP. Asegúrese de configurar el intervalo de sondeo del monitor en 15 segundos y el tiempo de espera de respuesta en 10 segundos.
3. Enlaza este monitor a tu servicio.

Para obtener más información, consulte Monitores personalizados.

Disposición para agregar hasta 15 direcciones IP de administrador

El servicio de autenticación adaptable le permite introducir hasta 15 subredes IP públicas y direcciones IP individuales para acceder a la consola de administración de Autenticación adaptable.

Puntos a tener en cuenta al introducir las direcciones IP o subredes:

• Asegúrese de que los CIDR de las subredes IP públicas estén entre /20 y /32.B.
• Asegúrese de que no haya superposición entre las entradas.

Ejemplos:

• No se aceptan 192.0.2.0/24 y 192.0.2.8 porque 192.0.2.8 se encuentra dentro de 192.0.5.0/24.
• Subredes superpuestas: 192.0.2.0/24 y 192.0.0.0/20 no se aceptan porque las subredes se superponen.

• Al introducir un valor de subred de red, introduzca la dirección IP de la red como el valor de la dirección IP.

  Ejemplo:

  • 192.0.2.2/24 es incorrecto, en su lugar utilice 191.0.2.0/24
  • 192.0.2.0/20 es incorrecto, en su lugar utilice 192.0.0.0/20

Para habilitar esta función, póngase en contacto con el soporte de Citrix.

Migrar el método de autenticación a la autenticación adaptable

Los clientes que ya utilizan la autenticación adaptable con el método de autenticación como Citrix Gateway deben migrar la autenticación adaptable y, a continuación, eliminar la configuración de OAuth de la instancia de autenticación adaptable.

1. Cambie a un método de autenticación diferente que no sea Citrix Gateway.

2. En Citrix Cloud > Administración de acceso e identidad, haga clic en el botón de puntos suspensivos correspondiente a Citrix Gateway y, a continuación, haga clic en Desconectar.

   

3. Seleccione Comprendo el impacto en la experiencia del suscriptor y, a continuación, haga clic en Confirmar.

   Al hacer clic en Confirmar, el inicio de sesión del espacio de trabajo para los usuarios finales se ve afectado y la Autenticación adaptable no se usa para la autenticación hasta que la autenticación adaptable vuelva

4. En la consola de administración de instancias de autenticación adaptable, elimina la configuración relacionada con OAuth.

   Mediante la CLI:

   unbind authentication vs <authvsName> -policy <oauthIdpPolName>
   rm authentication oauthIdpPolicy <oauthIdpPolName>
   rm authentication oauthIdpProfile <oauthIdpProfName>
   <!--NeedCopy-->
   

   Mediante la interfaz gráfica de usuario:

   1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Servidores virtuales.
   2. Desvincula la directiva de OAuth.
   3. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > OAuth IDP.
   4. Elimine la directiva y el perfil de OAuth.

5. Vaya a Citrix Cloud > Administración de identidades y accesos. En la pestaña Autenticación, en Autenticación adaptativa, haga clic en el menú de puntos suspensivos y seleccione Administrar .

   O acceso https://adaptive-authentication.cloud.com

6. Haga clic en Ver detalles.
7. En la pantalla Cargar certificado, haga lo siguiente:
   • Agregue el FQDN de autenticación adaptable.
   • Elimine los certificados y los archivos de claves y cárguelos de nuevo.

   

   Importante:

   Si modifica un FQDN o el par de claves de certificado directamente sin migrar a la Autenticación adaptable, se produce un error en la conexión a Identity and Access Management y se muestran los siguientes errores. Debe migrar al método de autenticación adaptable para corregir estos errores.

   • Error en el comando ADC. Una directiva ya está vinculada a la prioridad especificada.
   • Error en el comando ADC. No se puede desvincular una directiva que no está vinculada.

8. Haga clic en Guardar cambios.

   En este punto, Administración de acceso e identidad muestra Autenticación adaptable como Conectada y la instancia de Autenticación adaptable tiene el perfil de OAuth configurado automáticamente.

   Puede validarlo desde la GUI.

   1. Acceda a su instancia de autenticación adaptable e inicie sesión con sus credenciales.
   2. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Servidores virtuales. Debe ver que se creó el perfil del IdP de OAuth.
   3. Vaya a Citrix Cloud > Administración de identidades y accesos. La autenticación adaptable está en estado Conectado.

9. Vuelva a habilitar el método de autenticación adaptable haciendo clic en Habilitar (paso 3) en la página de inicio de la autenticación adaptable.

   

   Este paso habilita el método de autenticación como Autenticación adaptable en la configuración del espacio de trabajo

10. Haga clic en el enlace del espacio de trabajo en el paso 3 después dehacer clic Debe ver que el método de autenticación se ha cambiado a Autenticación adaptable.

Nota:

Los nuevos usuarios deben seguir los mismos pasos, excepto el paso para eliminar la configuración relacionada con OAuth.

Ejemplos de configuraciones de autenticación

Los clientes pueden configurar una directiva de autenticación de su elección y vincularla al servidor virtual de autenticación. Los enlaces de perfil de autenticación no son necesarios para el servidor virtual de autenticación. Solo se pueden configurar las directivas de autenticación. Los siguientes son algunos de los casos de uso.

Importante:

La configuración de autenticación debe realizarse solo en los nodos principales.

Autenticación multifactor con autenticación condicional

• Autenticación de doble factor con LDAP y RADIUS mediante el esquema de doble factor (toma la entrada del usuario solo una vez)
• Método de inicio de sesión de autenticación según los departamentos del usuario (empleado, socio, proveedor) en la organización con menú desplegable para seleccionar el departamento
• Método de inicio de sesión de autenticación según los dominios de usuario con menú desplegable
• Configure la entrada de ID de correo electrónico (o nombre de usuario) como primer factor con acceso condicional basado en la extracción de grupos con el ID de correo electrónico en el primer factor y proporcione diferentes tipos de inicio de sesión para cada grupo
• Autenticación multifactor mediante autenticación de certificados para usuarios con certificados de usuario y registro OTP nativo para usuarios sin certificado
• Tipo de autenticación diferente con autenticación condicional según las entradas del nombre de host del usuario
• Autenticación de doble factor con autenticación OTP nativa
• Re-CAPTCHA de Google

Integración de terceros con autenticación multifactor

• Configurar Azure AD como proveedor de identidades SAML (configurar el siguiente factor como directiva LDAP: NO_AUTH para completar la confianza de OAuth)
• Autenticación condicional con el primer factor como SAML y, a continuación, el inicio de sesión personalizado en el certificado o LDAP según los atributos
• Primer factor como inicio de sesión de webauth seguido de LDAP

Escaneos de postura del dispositivo (EPA)

• Comprobación de la postura del dispositivo para la comprobación de la versión seguida de un inicio de sesión personalizado para usuarios que cumplen con las normas (RADIUS) y no las cumplen
• Autenticación LDAP seguida de un análisis obligatorio de posición
• Comprobación de la postura del dispositivo antes y después de la autenticación de AD: un factor previo y posterior a la EPA
• Certificado de dispositivo como factor EPA

Casos diversos

• Agregar CLUF con autenticación
• Personalizar etiquetas de directivas de nFactor, esquema de inicio