Citrix ADC como IdP de SAML

El IdP de SAML (proveedor de identidad) es una entidad SAML que se implementa en la red del cliente. El IdP recibe solicitudes del SP SAML y redirige a los usuarios a una página de inicio de sesión, donde deben introducir sus credenciales. El IdP autentica estas credenciales con el directorio de usuario (servidor de autenticación externo, como LDAP) y, a continuación, genera una aserción SAML que se envía al SP.

El SP valida el token y el usuario obtiene acceso a la aplicación protegida solicitada.

Cuando el dispositivo Citrix ADC está configurado como IdP, todas las solicitudes son recibidas por un servidor virtual de autenticación asociado al perfil de IdP SAML correspondiente.

Nota

Un dispositivo Citrix ADC se puede utilizar como IdP en una implementación donde el SP SAML está configurado en el dispositivo o en cualquier SP SAML externo.

Cuando se utiliza como proveedor de identidades SAML, un dispositivo Citrix ADC:

  • Admite todos los métodos de autenticación que admite para inicios de sesión tradicionales.

  • Firma digitalmente las afirmaciones. El soporte para el algoritmo SHA256 se introduce en NetScaler 11.0 Build 55.x.

  • Admite autenticación de un solo factor y de dos factores. SAML no debe configurarse como mecanismo de autenticación secundario.

  • Puede cifrar aserciones mediante la clave pública del SP SAML. Esto se recomienda cuando la aserción incluye información confidencial. Soporte introducido en NetScaler 11.0 Build 55.x.

  • Puede configurarse para aceptar solo solicitudes firmadas digitalmente desde SAML SP. Soporte introducido en NetScaler 11.0 Build 55.x.

  • Puede iniciar sesión en el IdP de SAML mediante los siguientes mecanismos de autenticación basados en 401: Negotiate, NTLM y Certificate. Soporte introducido en NetScaler 11.0 Build 55.x.

  • Se puede configurar para enviar 16 atributos además del atributo NameID. Los atributos deben extraerse del servidor de autenticación apropiado. Para cada uno de ellos, puede especificar el nombre, la expresión, el formato y un nombre descriptivo en el perfil IdP de SAML. Soporte introducido en NetScaler 11.0 Build 55.x.

  • Si el dispositivo Citrix ADC está configurado como IdP SAML para varios SP SAML, un usuario puede obtener acceso a aplicaciones en los diferentes SP sin autenticarse explícitamente cada vez. El dispositivo Citrix ADC crea una cookie de sesión para la primera autenticación y cada solicitud posterior utiliza esta cookie para la autenticación. Soporte introducido en NetScaler 11.0 Build 55.x.

  • Puede enviar atributos de varios valores en una aserción SAML. Soporte introducido en NetScaler 11.0 Build 64.x.

  • Soporta enlaces de publicación y redireccionamiento. El soporte para enlaces de redireccionamiento se introduce en NetScaler 11.0 Build 64.x. La compatibilidad con el enlace de artefactos se presenta en Citrix ADC versión 13.0 Build 36.27.

  • Puede especificar la validez de una aserción SAML.

    Si la hora del sistema en Citrix ADC SAML IdP y el SP SAML del mismo nivel no está sincronizada, cualquiera de las partes podría invalidar los mensajes. Para evitar estos casos, ahora puede configurar la duración de tiempo para la que las aserciones son válidas.

    Esta duración, llamada “tiempo de sesgo”, especifica el número de minutos para los que se debe aceptar el mensaje. El tiempo de inclinación se puede configurar en el SP SAML y en el IdP de SAML.

    Nota

    Soporte introducido en NetScaler 11.0 Build 64.x.

  • Se puede configurar para servir aserciones solo a los SPs SAML que están preconfigurados o confiados por el IdP. Para esta configuración, el IdP de SAML debe tener el ID del proveedor de servicios (o nombre del emisor) de los SPs SAML relevantes. Soporte introducido en NetScaler 11.0 Build 64.x.

    Nota

    Antes de continuar, asegúrese de que tiene un servidor virtual de autenticación vinculado a un servidor de autenticación LDAP.

Para configurar un dispositivo Citrix ADC como IdP SAML mediante la interfaz de línea de comandos

  1. Configure un perfil de IdP SAML.

    Ejemplo

    Agregar un dispositivo Citrix ADC como IdP con SiteMinder como SP.

    add authentication samlIdPProfile samlIDPProf1 -samlSPCertName siteminder-cert -encryptAssertion ON -samlIdPCertName ns-cert -assertionConsumerServiceURL http://sm-proxy.nsi-test.com:8080/affwebservices/public/saml2assertionconsumer -rejectUnsignedRequests ON -signatureAlg RSA-SHA256 -digestMethod SHA256

  2. Configure la directiva de autenticación SAML y asocie el perfil de IdP de SAML como acción de la directiva.

    add authentication samlIdPPolicy samlIDPPol1 -rule true -action samlIDPProf1

  3. Enlazar la directiva al servidor virtual de autenticación.

    bind authentication vserver saml-auth-vserver -policy samlIDPPol1 -priority 100

Para configurar un dispositivo Citrix ADC como IdP SAML mediante la interfaz gráfica de usuario

  1. Configure el perfil y la directiva del IdP de SAML.

    Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > IDP de SAML, cree una directiva con IDP de SAML como tipo de acción y asocie el perfil de IDP de SAML requerido a la directiva.

  2. Asocie la directiva IdP de SAML con un servidor virtual de autenticación.

    Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtualesy asocie la directiva IdP SAML con el servidor virtual de autenticación.

Soporte para el enlace de artefactos en SAML IdP

El dispositivo Citrix ADC configurado como proveedor de identidad SAML (IdP) admite el enlace de artefactos. El enlace de artefactos mejora la seguridad del IdP de SAML y restringe a los usuarios malintencionados la inspección de la aserción.

Compatibilidad con URL de servicio al consumidor de aserción para IdP de SAML

Un dispositivo Citrix ADC configurado como proveedor de identidad SAML (IdP) ahora admite la indexación de Assertion Consumer Service (ACS) para procesar la solicitud de proveedor de servicios SAML (SP). El IdP de SAML importa la configuración de indexación ACS desde los metadatos del SP o permite introducir manualmente la información de índices ACS.