Citrix ADC

Configurar Azure AD como IdP de SAML y Citrix ADC como SP SAML

El proveedor de servicios (SP) de SAML es una entidad SAML implementada por el proveedor de servicios. Cuando un usuario intenta acceder a una aplicación protegida, el SP evalúa la solicitud del cliente. Si el cliente no está autenticado (no tiene una cookie NSC_TMAA o NSC_TMAS válida), el SP redirige la solicitud al proveedor de identidad (IdP) SAML. El SP también valida las aserciones SAML que se reciben del IdP.

El IdP de SAML (proveedor de identidad) es una entidad SAML que se implementa en la red del cliente. El IdP recibe solicitudes del SP SAML y redirige a los usuarios a una página de inicio de sesión, donde deben introducir sus credenciales. El IdP autentica estas credenciales con el directorio de usuario (servidor de autenticación externo, como LDAP) y, a continuación, genera una aserción SAML que se envía al SP. El SP valida el token y el usuario obtiene acceso a la aplicación protegida solicitada.

En el siguiente diagrama se muestra el mecanismo de autenticación SAML.

Mecanismo SAML

Configuraciones de Azure AD

Configurar los ajustes de inicio de sesión único:

  1. En el portal de Azure, haga clic en Azure Active Directory.

  2. En la sección Administrar del panel de navegación, haga clic en Aplicaciones empresariales. Aparece una muestra aleatoria de las aplicaciones de su arrendatario de Azure AD.

  3. En la barra de búsqueda, escriba Citrix ADC.

    Aplicación SAML ADC

  4. En la sección Administrar, selecciona Inicio de sesión único.

  5. Seleccione SAML para configurar el inicio de sesión único. Aparece la página Configurar inicio de sesión único con SAML - Vista previa . Aquí, Azure actúa como proveedor de identidad de SAML.

  6. Descargue el certificado (Base64) presente en el Certificado de firma SAML para utilizarlo como SAMLIDPCertName mientras configura Citrix ADC como SP SAML.

    Sso de configuración SAML

  7. Configurar las opciones de SAML básicas:

    Identificador (ID de entidad): Obligatorio para algunas aplicaciones. Identifica de forma exclusiva la aplicación para la que se está configurando el inicio de sesión único. Azure AD envía el identificador a la aplicación como parámetro de audiencia del token SAML. Se espera que la aplicación lo valide. Este valor también aparece como ID de entidad en cualquier metadato SAML proporcionado por la aplicación.

    URL de respuesta: Obligatoria. Especifica dónde espera recibir la aplicación el token SAML. La URL de respuesta también se denomina URL de Assertion Consumer Service (ACS).

    URL de inicio de sesión: Cuando un usuario abre esta URL, el proveedor de servicios redirige a Azure AD para autenticarlo e iniciar sesión en él.

    Estado de retransmisión: Especifica a la aplicación hacia dónde redirigir al usuario una vez finalizada la autenticación.

Configuraciones laterales de Citrix ADC

  1. Vaya a Seguridad>Directivas AAA>Autenticación>Directivas básicas>SAML.

  2. Seleccione la ficha Servidores, haga clic en Agregar, introduzca valores para los siguientes parámetros y haga clic en Crear.

    Descripción del parámetro:

    El valor de los parámetros en negrita debe tomarse de las configuraciones del lado de Azure.

    Nombre: nombre del servidor

    URL de redirección: Introduzca la URL de inicio de sesión utilizada anteriormente en la sección “Configuración de Citrix ADC” de Azure AD. https://login.microsoftonline.com/3e6d1786-4e0c-4c70-86d2-ae7811f97f79/saml2

    URL de cierre de sesión única - https://login.microsoftonline.com/3e6d1786-4e0c-4c70-86d2-ae7811f97f79/saml2

    Encuadernación SAML - POST

    Enlace de cierre de sesión - REDIRECT

    Nombre del certificado IDP - Certificado IDPCert (Base64) presente bajo Certificado de firma SAML.

    Campo de usuario: Nombre principal de usuario. Tomado de la sección “Atributos de usuario y reclamaciones” de Azure IdP.

    Nombre del certificado de firma: No es necesario para Azure AD. Seleccione el certificado SP SAML (con clave privada) que Citrix ADC utiliza para firmar solicitudes de autenticación al proveedor de identidad. El mismo certificado (sin clave privada) debe importarse al proveedor de identidad para que el proveedor de identidad pueda verificar la firma de la solicitud de autenticación. La mayoría de los desplazados internos no necesitan este campo.

    IssuerName - Identificador. https://idp.g.nssvctesting.net

    Rechazar afirmación sin firmar - ACTIVADO

    Audiencia: audiencia a la que se aplica la afirmación enviada por IdP. Normalmente se trata de un nombre de entidad o URL que representa ServiceProvider.

    Algoritmo de firma - RSA-SHA256

    Método de resumen - SHA256

    Grupo de autenticación predeterminado: grupo predeterminado que se elige cuando la autenticación se realiza correctamente, además de los grupos extraídos.

    Campo Nombre de grupo: nombre de la etiqueta en la afirmación que contiene grupos de usuarios.

    Tiempo de sesgo (minutos): esta opción especifica el sesgo del reloj permitido en número de minutos que Citrix ADC ServiceProvider permite en una aserción entrante.

    Dos factores: OFF

    Contexto de autenticación solicitado: exacto

    Tipo de clase de autenticación: ninguno

    Enviar huella digital - DESACTIVADO

    Aplicar nombre de usuario - ACTIVADO

    Forzar autenticación - DESACTIVADO

    Respuesta SAML del almacén - DESACTIVADO

De forma similar, cree una directiva SAML correspondiente y enlazarla al servidor virtual de autenticación.

Nota: Azure AD no espera el campo ID de asunto de la solicitud SAML. Para que Citrix ADC no envíe el campo ID de asunto, escriba el siguiente comando en el símbolo del sistema de Citrix ADC.

nsapimgr_wr.sh -ys call="ns_saml_dont_send_subject"

Configurar Azure AD como IdP de SAML y Citrix ADC como SP SAML