Citrix ADC

Funciones adicionales compatibles con SAML

Las siguientes funciones son compatibles con SAML.

Compatibilidad con lectura y generación de metadatos para la configuración del proveedor de identidades y SP SAML

El dispositivo Citrix ADC ahora admite archivos de metadatos como medio de entidades de configuración tanto para SAML Service Provider (SP) como para Identity Provider (IdP). El archivo de metadatos es un archivo XML estructurado que describe la configuración de una entidad. Los archivos de metadatos para SP y IdP son independientes. Según la implementación y, a veces, una entidad SP o IdP puede tener varios archivos de metadatos. Como administrador, puede exportar e importar archivos de metadatos (SP SAML e IdP) en Citrix ADC. La funcionalidad de exportación e importación de metadatos para SAML SP e IdP se explica en las siguientes secciones.

Exportación de metadatos para SAML SP

Considere un ejemplo en el que Citrix ADC está configurado como SAML SP y un proveedor de identidades SAML quiere importar metadatos que contengan la configuración de Citrix ADC SP. Suponga que el dispositivo Citrix ADC ya está configurado con un atributo “SAMLAction” que especifica la configuración de SAML SP.

Para exportar metadatos desde usuarios o administradores, consulte Citrix Gateway o servidor virtual de autenticación como se muestra a continuación:

https://vserver.company.com/metadata/samlsp/<action-name>

Importación de metadatos para SAML SP

Actualmente, la configuración de SAML Action en el dispositivo Citrix ADC requiere varios parámetros. El administrador los especifica manualmente. Sin embargo, los administradores a menudo no conocen la nomenclatura si se trata de interoperabilidad con diferentes sistemas SAML. Si los metadatos del IdP están disponibles, se puede evitar la mayor parte de la configuración en la entidad ‘SAMLAction’. De hecho, se puede omitir toda la configuración específica del IdP si se proporciona el archivo de metadatos del IdP. La entidad ‘SAMLAction’ ahora toma un parámetro adicional para leer la configuración del archivo de metadatos.

Al importar metadatos en un dispositivo Citrix ADC, los metadatos no contienen ningún algoritmo de firma que se va a utilizar, contienen los detalles del endpoint. Los metadatos se pueden firmar con ciertos algoritmos que se pueden utilizar para verificar los metadatos en sí. Los algoritmos no se almacenan en la entidad ‘SAMLAction’.

Por lo tanto, lo que se especifica en la entidad ‘SAMLAction’ son los que se utilizan al enviar los datos. Los datos entrantes pueden contener un algoritmo diferente para procesar un dispositivo Citrix ADC.

Para obtener los archivos de metadatos mediante la interfaz de línea de comandos.

set samlAction <name> [-metadataUrl <url> [-metadataRefreshInterval <int>] https://idp.citrix.com/samlidp/metadata.xml

Nota

El parámetro MetadaReshInterval es el intervalo en minutos para obtener información de metadatos de la dirección URL de metadatos especificada. Valor predeterminado 36000.

Importación de metadatos para IdP de SAML

El parámetro “SamlidpProfile” toma un nuevo argumento para leer toda la configuración específica de SP. La configuración del IdP de SAML se puede simplificar reemplazando las propiedades específicas del SP por un archivo de metadatos del SP. Este archivo se consulta a través de HTTP.

Para leer desde el archivo de metadatos mediante la interfaz de línea de comandos:

set samlIdPProfile <name> [-metadataUrl <url>] [-metadataRefreshInterval <int>]

Compatibilidad con atributos nombre-valor para la autenticación SAML

Ahora puede configurar atributos de autenticación SAML con un nombre único junto con valores. Los nombres se configuran en el parámetro de acción SAML y los valores se obtienen consultando los nombres. Al especificar el valor del atributo name, los administradores pueden buscar fácilmente el valor del atributo asociado con el nombre del atributo. Además, los administradores ya no tienen que recordar el atributo solo por su valor.

Importante

  • En el comando SAMLAction, puede configurar un máximo de 64 atributos separados por comas con un tamaño total inferior a 2048 bytes.
  • Citrix recomienda utilizar la lista de atributos. El uso de “atributo 1 al atributo 16” causará un error de sesión si el tamaño del atributo extraído es grande.

Para configurar los atributos nombre-valor mediante la CLI

En el símbolo del sistema, escriba:

add authentication samlAction <name> [-Attributes <string>]

Ejemplo:

add authentication samlAction samlAct1 -attributes “mail,sn,userprincipalName”

Compatibilidad con URL de servicio al consumidor de aserción para IdP de SAML

Un dispositivo Citrix ADC configurado como proveedor de identidad SAML (IdP) ahora admite la indexación de Assertion Consumer Service (ACS) para procesar la solicitud de proveedor de servicios SAML (SP). El IdP de SAML importa la configuración de indexación ACS desde los metadatos del SP o permite introducir manualmente la información de índices ACS. En la tabla siguiente se enumeran algunos artículos específicos de implementaciones en las que el dispositivo Citrix ADC se utiliza como un SP SAML o un IdP SAML.

En la tabla siguiente se enumeran algunos artículos específicos de implementaciones en las que el dispositivo Citrix ADC se utiliza como un SP SAML o un IdP SAML.

SAML SP Proveedor de identidades SAML Enlace de información
Citrix ADC AD de Microsoft Azure Citrix Support
Okta Citrix ADC Citrix Support
AWS Citrix ADC Citrix Support

Información sobre otras implementaciones específicas:

Compatibilidad de tipo de credencial WebView para mecanismos de autenticación

La autenticación de un dispositivo Citrix ADC ahora puede admitir el protocolo AuthV3. El tipo de credencial WebView en el protocolo Authv3 admite todo tipo de mecanismos de autenticación (incluidos SAML y OAuth). El tipo de credencial WebView forma parte de AuthV3, que Citrix Receiver y el explorador implementan en aplicaciones web.

En el siguiente ejemplo se explica el flujo de eventos webView a través de Citrix Gateway y Citrix Receiver:

  1. Citrix Receiver negocia con Citrix Gateway para la compatibilidad con el protocolo AuthV3.
  2. El dispositivo Citrix ADC responde positivamente y sugiere una dirección URL de inicio específica.
  3. A continuación, Citrix Receiver se conecta al extremo específico (URL).
  4. Citrix Gateway envía una respuesta al cliente para iniciar WebView.
  5. Citrix Receiver inicia WebView y envía la solicitud inicial al dispositivo Citrix ADC.
  6. El dispositivo Citrix ADC redirige el URI al extremo de inicio de sesión del explorador.
  7. Una vez completada la autenticación, el dispositivo Citrix ADC envía la respuesta de finalización a WebView.
  8. WebView ahora sale y devuelve el control a Citrix Receiver para continuar con el protocolo AuthV3 para el establecimiento de sesiones.

Aumento del tamaño SessionIndex en SAML SP

El tamaño SessionIndex del proveedor de servicios (SP) SAML se incrementa a 96 bytes. Anteriormente, el tamaño máximo predeterminado de SessionIndex era de 63 bytes.

Nota

Compatibilidad introducida en NetScaler 13.0 Build 36.x

Compatibilidad de referencia de clase de autenticación personalizada para SAML SP

Puede configurar el atributo de referencia de clase de autenticación personalizada en el comando de acción SAML. Con el atributo de referencia de clase de autenticación personalizada, puede personalizar los nombres de clase en las etiquetas SAML apropiadas. El atributo de referencia de clase de autenticación personalizada junto con el espacio de nombres se envía al IdP de SAML como parte de la solicitud de autenticación de SAML SP.

Anteriormente, mediante el comando de acción SAML, solo se podía configurar un conjunto de clases predefinidas definidas en el atributo AuthnctXClassRef.

Importante

Al configurar el atributo CustomAuthnctXClassRef, asegúrese de lo siguiente:

  • Los nombres de las clases deben incluir caracteres alfanuméricos o una dirección URL válida con etiquetas XML adecuadas.
  • Si tiene que configurar varias clases personalizadas, cada clase debe estar separada por comas

Para configurar los atributos CustomAuthnCTXClassRef mediante la CLI

En el símbolo del sistema, escriba:

  • add authentication samlAction <name> [-customAuthnCtxClassRef <string>]
  • set authentication samlAction <name> [-customAuthnCtxClassRef <string>]

Ejemplo:

  • add authentication samlAction samlact1 –customAuthnCtxClassRef http://www.class1.com/LoA1,http://www.class2.com/LoA2
  • set authentication samlAction samlact2 –customAuthnCtxClassRef http://www.class3.com/LoA1,http://www.class4.com/LoA2

Para configurar los atributos CustomAuthnCTXClassRef mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Acciones > SAML.
  2. En la página SAML, seleccione la ficha Servidores y haga clic en Agregar.
  3. En la página Crear servidor SAML de autenticación, escriba el nombre de la acción SAML.
  4. Desplácese hacia abajo para configurar los tipos de clase en la sección Tipos de clase de autenticación personalizada.

    tipos de clases de autenticación personalizados

Soporte para el enlace de artefactos en SAML IdP

El dispositivo Citrix ADC configurado como proveedor de identidad SAML (IdP) admite el enlace de artefactos. El enlace de artefactos mejora la seguridad del IdP de SAML y restringe a los usuarios malintencionados la inspección de la aserción.

Compatibilidad con URL de servicio al consumidor de aserción para IdP de SAML

Un dispositivo Citrix ADC configurado como proveedor de identidad SAML (IdP) ahora admite la indexación de Assertion Consumer Service (ACS) para procesar la solicitud de proveedor de servicios SAML (SP). El IdP de SAML importa la configuración de indexación ACS desde los metadatos del SP o permite introducir manualmente la información de índices ACS.

Soporte de descarga de FIPS

Un dispositivo FIPS Citrix ADC MPX utilizado como proveedor de servicios SAML ahora admite aserciones cifradas. Además, ahora se puede configurar un dispositivo Citrix ADC MPX FIPS que funcione como proveedor de servicios SAML o proveedor de identidad SAML para utilizar los algoritmos SHA2 en hardware FIPS.

Nota

En el modo FIPS, solo se admite el algoritmo RSA-V1_5 como algoritmo de transporte de claves.

Configuración del soporte de descarga FIPS mediante la interfaz de línea de comandos:

  1. Agregar SSL FIPS

    agregar ssl FIPsKey fips-key

  2. Cree una CSR y úselo en el servidor de CA para generar un certificado. A continuación, puede copiar el certificado en /nsconfig/ssl. Supongamos que el archivo es fips3cert.cer.

    add ssl certKey fips-cert -cert fips3cert.cer -fipsKey fips-key<!--NeedCopy-->

  3. Especifique este certificado en la acción SAML para el módulo SAML SP

    set samlAction <name> -samlSigningCertName fips-cert<!--NeedCopy-->

  4. Usar el certificado en SAMLIPpProfile para el módulo SAML IDP

    set samlidpprofile fipstest –samlIdpCertName fips-cert<!--NeedCopy-->

Terminologías SAML comunes

Las siguientes son algunas terminologías SAML comunes:

  • Aserción: Una aserción SAML es un documento XML devuelto por el proveedor de identidad al proveedor de servicios después de la autenticación del usuario. La aserción tiene una estructura muy específica, tal como se define en el estándar SAML.

  • Tipos de aserciones: Los siguientes son los tipos de aserción.

    • Autenticación: el usuario es autenticado por un medio particular en un momento determinado
    • Autorización: al usuario se le concedió o denegó el acceso a un recurso especificado
    • Atributos: el usuario está asociado con los atributos suministrados
  • Assertion Consumer Service (ACS): Endpoint (URL) del proveedor de servicios que es responsable de recibir y analizar una aserción SAML

  • Restricción de audiencia: valor dentro de la aserción SAML que especifica a quién (y solo a quién) está destinada la aserción. La “audiencia” será el proveedor de servicios y suele ser una URL, pero técnicamente puede formatearse como cualquier cadena de datos.

  • Proveedor de identidad (IdP): En términos de SAML, el Proveedor de Identidad es la entidad que verifica la identidad del usuario, en respuesta a una solicitud del Proveedor de Servicios.

    El Proveedor de Identidad es responsable de mantener y autenticar la identidad del usuario

  • Proveedor de servicios (SP): En términos de SAML, el Proveedor de Servicios (SP) ofrece un servicio al usuario y permite al usuario iniciar sesión mediante SAML. Cuando el usuario intenta iniciar sesión, el SP envía una solicitud de autenticación SAML al proveedor de identidades (IdP)

  • Enlace SAML: los solicitantes y respondedores SAML se comunican mediante el intercambio de mensajes. El mecanismo para transportar estos mensajes se denomina enlace SAML.

  • Artefacto HTTP: Una de las opciones de enlace admitidas por el protocolo SAML. El artefacto HTTP es útil en casos en los que el solicitante y el respondedor SAML utilizan un agente de usuario HTTP y no desean transmitir todo el mensaje, ya sea por razones técnicas o de seguridad. En su lugar, se envía un artefacto SAML, que es un ID único para toda la información. El IdP puede usar el artefacto para recuperar la información completa. El emisor del artefacto debe mantener el estado mientras el artefacto está pendiente. Se debe configurar un servicio de resolución de artefactos (ARS).

    HTTP Artefacto envía el artefacto como un parámetro de consulta.

  • HTTP POST: Una de las opciones de enlace admitidas por el protocolo SAML.

    HTTP POST envía el contenido del mensaje como un parámetro POST, en la carga útil.

  • Redirección HTTP: Una de las opciones de enlace admitidas por el protocolo SAML.

    Cuando se utiliza la redirección HTTP, el proveedor de servicios redirige al usuario al proveedor de identidades donde se produce el inicio de sesión, y el proveedor de identidades redirige al usuario al proveedor de servicios. El redireccionamiento HTTP requiere la intervención del User-Agent (el explorador).

    HTTP Redirect envía el contenido del mensaje en la URL. Debido a esto, no se puede usar para la respuesta SAML, porque el tamaño de la respuesta generalmente superará la longitud de URL permitida por la mayoría de los exploradores web.

    Nota: El dispositivo Citrix ADC admite enlaces POST y Redirect durante el cierre de sesión.

  • Metadatos: Los metadatos son los datos de configuración en SP e IDP para saber cómo comunicarse entre sí que estarán en estándares XML

Otros artículos útiles de Citrix relacionados con la autenticación SAML

Puede encontrar útiles los siguientes artículos relacionados con la autenticación SAML.