Citrix ADC

Gestión de sesiones y tráfico

Parámetros de la sesión

Después de configurar los perfiles de autenticación, autorización y auditoría, configure los ajustes de sesión para personalizar las sesiones de usuario. La configuración de la sesión es:

  • El tiempo de espera de la sesión.

    Controla el período tras el cual el usuario se desconecta automáticamente y debe volver a autenticarse para acceder a la intranet.

  • La configuración de autorización predeterminada.

    Determina si el dispositivo Citrix ADC permitirá o denegará de forma predeterminada el acceso al contenido para el que no existe una directiva de autorización específica.

  • Configuración de inicio de sesión único.

    Determina si el dispositivo Citrix ADC iniciará sesión de los usuarios en todas las aplicaciones web automáticamente después de autenticarse o pasará a los usuarios a la página de inicio de sesión de la aplicación web para autenticarse en cada aplicación.

  • Configuración del índice de credenciales.

    Determina si el dispositivo Citrix ADC utiliza las credenciales de autenticación principal o secundaria para el inicio de sesión único.

Para configurar los ajustes de sesión, puede adoptar uno de los dos enfoques. Si quiere una configuración diferente para distintas cuentas de usuario o grupos, cree un perfil para cada cuenta de usuario o grupo para el que quiera configurar los ajustes de sesiones personalizadas. También crea directivas para seleccionar las conexiones a las que aplicar perfiles concretos y vincular las directivas a usuarios o grupos. También puede enlazar una directiva al servidor virtual de autenticación que gestiona el tráfico al que quiere aplicar el perfil.

Si quiere la misma configuración para todas las sesiones o si quiere personalizar la configuración predeterminada de las sesiones que no tienen configurados perfiles y directivas específicos, puede configurar simplemente la configuración global de la sesión.

Perfiles de sesión

Para personalizar las sesiones de usuario, primero debe crear un perfil de sesión. El perfil de sesión permite anular la configuración global de cualquiera de los parámetros de sesión.

Nota

Los términos “perfil de sesión” y “acción de sesión” significan lo mismo.

Para crear un perfil de sesión mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para crear un perfil de sesión y comprobar la configuración:

add tm sessionAction <name> [-sessTimeout <mins>] [-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )] [-ssoDomain <string>][-httpOnlyCookie ( YES | NO )] [-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]

show tm sessionAction <name>
<!--NeedCopy-->

Ejemplo

> add tm sessionAction session-profile -sessTimeout 30 -defaultAuthorization ALLOW
 Done
> show tm sessionAction session-profile
1)      Name: session-profile
        Authorization action : ALLOW
        Session timeout: 30 minutes
 Done
<!--NeedCopy-->

Para modificar un perfil de sesión mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para modificar un perfil de sesión y comprobar la configuración:

set tm sessionAction <name> [-sessTimeout <mins>] [-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )] [-ssoDomain <string>][-httpOnlyCookie ( YES | NO )] [-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]

show tm sessionAction
<!--NeedCopy-->

Ejemplo


> set tm sessionAction session-profile -sessTimeout 30 -defaultAuthorization ALLOW
 Done
> show tm sessionAction session-profile
1)      Name: session-profile
        Authorization action : ALLOW
        Session timeout: 30 minutes
 Done
<!--NeedCopy-->

Para quitar un perfil de sesión mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba el siguiente comando para quitar un perfil de sesión:

rm tm sessionAction <name>
<!--NeedCopy-->

Para configurar perfiles de sesión mediante la utilidad de configuración

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Sesión.
  2. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Sesión.
  3. En el panel de detalles, haga clic en la ficha Perfiles .
  4. En la ficha Perfiles, realice una de las siguientes acciones:
    • Para crear un nuevo perfil de sesión, haga clic en Agregar.
    • Para modificar un perfil de sesión existente, selecciónelo y, a continuación, haga clic en Modificar.
  5. En el cuadro de diálogo Crear perfil de sesión de memoria de traducción o Configurar perfil de sesión de memoria de traducción, escriba o seleccione valores para los parámetros.
    • name*: actionName (no se puede cambiar para una acción de sesión configurada previamente).
    • Tiempo de espera de sesión: sessTimeout
    • Inicio de sesión único en aplicaciones web: inicio de sesión único
    • Acción de autorización predeterminada: DefaultAuthorizationAction
    • Índice de credenciales: SSOCredential
    • Dominio de inicio de sesión único: SSOdomain
    • Cookie de solo HTTP: HTTP OnlyCookie
    • Habilitar cookie persistent—Cookie persistente
    • Validez de cookies persistentes: validez de cookies persistentes
  6. Haga clic en Crear o Aceptar. El perfil de sesión que ha creado aparece en el panel Directivas y perfiles de sesión.

Directivas de sesión

Después de crear uno o varios perfiles de sesión, crea directivas de sesión y, a continuación, enlaza las directivas de forma global o a un servidor virtual de autenticación para ponerlas en vigor.

Para crear una directiva de sesión mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para crear una directiva de sesión y comprobar la configuración:

-  add tm sessionPolicy <name> <rule> <action>
-  show tm sessionPolicy <name>
<!--NeedCopy-->

Ejemplo

> add tm sessionPolicy session-pol "URL == /\*.gif" session-profile
Done
> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/\*.gif'
        Action: session-profile
 Done
<!--NeedCopy-->

Para modificar una directiva de sesión mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para modificar una directiva de sesión y comprobar la configuración:

-  set tm sessionPolicy <name> [-rule <expression>] [-action <action>]
-  show tm sessionPolicy <name>
<!--NeedCopy-->

Ejemplo

> set tm sessionPolicy session-pol "URL == /\*.gif" session-profile
 Done
> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/\*.gif'
        Action: session-profile
 Done
<!--NeedCopy-->

Para enlazar globalmente una directiva de sesión mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para enlazar globalmente una directiva de sesión y verificar la configuración:

bind tm global -policyName <policyname> [-priority <priority>]
<!--NeedCopy-->

Ejemplo

> bind tm global -policyName session-pol
 Done

> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/*.gif'
        Action: session-profile
        Policy is bound to following entities
        1) TM GLOBAL    PRIORITY : 0
 Done

<!--NeedCopy-->

Para enlazar una directiva de sesión a un servidor virtual de autenticación mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba el siguiente comando para enlazar una directiva de sesión a un virtual de autenticación y compruebe la configuración:

bind authentication vserver <name> -policy <policyname> [-priority <priority>]
<!--NeedCopy-->

Ejemplo

bind authentication vserver auth-vserver-1 -policyName Session-Pol-1 -priority 1000
Done
<!--NeedCopy-->

Para desenlazar una directiva de sesión de un servidor virtual de autenticación mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para desvincular una directiva de sesión de un servidor virtual de autenticación y compruebe la configuración:

unbind authentication vserver <name> -policy <policyname>
<!--NeedCopy-->

Ejemplo

unbind authentication vserver auth-vserver-1 -policyName Session-Pol-1
Done
<!--NeedCopy-->

Para desenlazar una directiva de sesión vinculada globalmente mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para desenlazar una directiva de sesión vinculada globalmente:

unbind tm global -policyName <policyname>
<!--NeedCopy-->

Ejemplo

unbind tm global -policyName Session-Pol-1
Done
<!--NeedCopy-->

Para quitar una directiva de sesión mediante la interfaz de línea de comandos

En primer lugar, desvincule la directiva de sesión de global y, a continuación, en el símbolo del sistema, escriba los siguientes comandos para quitar una directiva de sesión y comprobar la configuración:

rm tm sessionPolicy <name>
<!--NeedCopy-->

Ejemplo


rm tm sessionPolicy Session-Pol-1
Done

<!--NeedCopy-->

Para configurar y enlazar directivas de sesión mediante la utilidad de configuración

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Sesión.
  2. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Sesión.
  3. En el panel de detalles, en la ficha Directivas, realice una de las siguientes acciones:
    • Para crear una nueva directiva de sesión, haga clic en Agregar.
    • Para modificar una directiva de sesión existente, selecciónela y, a continuación, haga clic en Modificar.
  4. En el cuadro de diálogo Crear directiva de sesión o Configurar directiva de sesión, escriba o seleccione los valores de los parámetros.
    • name*—policyName (no se puede cambiar para una directiva de sesión configurada previamente).
    • Perfil de solicidad*: nombreacción
    • expresión*: regla (se introducen expresiones seleccionando primero el tipo de expresión en la lista desplegable situada más a la izquierda debajo del área de texto Expresión y, a continuación, escribiendo la expresión directamente en el área de texto de la expresión, o haciendo clic en Agregar para abrir el cuadro de diálogo Agregar expresión y utilizar el menú desplegable. listas en él para construir su expresión.)
  5. Haga clic en Crear o Aceptar. La directiva que ha creado aparece en el panel de detalles de la página Directivas y perfiles de sesión.
  6. Para enlazar globalmente una directiva de sesión, en el panel de detalles, seleccione Enlaces globales en la lista desplegable Acción y rellene el cuadro de diálogo.
    • Seleccione el nombre de la directiva de sesión que quiere enlazar globalmente.
    • Haga clic en OK.
  7. Para enlazar una directiva de sesión a un servidor virtual de autenticación, en el panel de navegación, haga clic en Servidores virtualesy agregue esa directiva a la lista de directivas.
    • En el panel de detalles, seleccione el servidor virtual y, a continuación, haga clic en Modificar.
    • En la sección Selecciones avanzadas a la derecha del área de detalles, haga clic en Directivas.
    • Seleccione una directiva o haga clic en el icono más para agregar una directiva.
    • En la columna Prioridad de la izquierda, modifique la prioridad predeterminada para asegurarse de que la directiva se evalúa en el orden correcto.
    • Haga clic en OK. Aparece un mensaje en la barra de estado que indica que la directiva se ha configurado correctamente.

Configuración de sesión global

Además de crear directivas y perfiles de sesión, o en lugar de crearlas, puede configurar la configuración global de la sesión. Esta configuración controla la configuración de la sesión cuando no hay ninguna directiva explícita que los anule.

Para configurar la configuración de la sesión mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para configurar la configuración global de la sesión y verifique la configuración:

set tm sessionParameter [-sessTimeout <mins>][-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )][-ssoDomain <string>][-httpOnlyCookie ( YES | NO )][-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]
<!--NeedCopy-->

Ejemplo

> set tm sessionParameter -sessTimeout 30
  Done
> set tm sessionParameter -defaultAuthorizationAction DENY
  Done
> set tm sessionParameter -SSO ON
  Done
> set tm sessionParameter -ssoCredential PRIMARY
  Done
<!--NeedCopy-->

Para configurar los ajustes de sesión mediante la utilidad de configuración

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones
  2. En el panel de detalles, en Configuración, haga clic en Cambiar configuración global.
  3. En el cuadro de diálogo Configuración global de la sesión, escriba o seleccione los valores de los parámetros.
    • Tiempo de espera de sesión: sessTimeout
    • Acción de autorización predeterminada: DefaultAuthorizationAction
    • Inicio de sesión único en aplicaciones web: inicio de sesión único
    • Índice de credenciales: SSOCredential
    • Dominio de inicio de sesión único: SSOdomain
    • Cookie de solo HTTP: HTTP OnlyCookie
    • Habilitar cookie persistent—Cookie persistente
    • Validez de cookie persistente (minutos) — PersistentCookieValidity
    • Página de inicio: página de inicio
  4. Haga clic en OK.

Configuración de tráfico

Si utiliza el inicio de sesión único (SSO) basado en formularios o SAML para sus aplicaciones protegidas, configure esa función en la configuración de Tráfico. El inicio de sesión único permite a los usuarios iniciar sesión una vez para acceder a todas las aplicaciones protegidas, en lugar de exigirles que inicien sesión por separado para acceder a cada una de ellas.

El inicio de sesión único basado en formularios le permite utilizar un formulario web de su propio diseño como método de inicio de sesión en lugar de una ventana emergente genérica. Por lo tanto, puede incluir el logotipo de su empresa y otra información que quiera que vean sus usuarios en el formulario de inicio de sesión. El inicio de sesión único de SAML le permite configurar un dispositivo Citrix ADC o una instancia de dispositivo virtual para autenticarse en otro dispositivo Citrix ADC en nombre de los usuarios que se han autenticado con el primer dispositivo.

Para configurar cualquier tipo de inicio de sesión único, primero debe crear un formulario o un perfil de inicio de sesión único de SAML. A continuación, crea un perfil de tráfico y lo vincula al perfil de SSO que creó. A continuación, crea una directiva y la vincula al perfil de tráfico. Por último, vincula la directiva de forma global o a un servidor virtual de autenticación para poner en práctica la configuración.

Perfiles de tráfico

Después de crear al menos un formulario o un perfil sso SAML, debe crear un perfil de tráfico.

Nota:

En esta función, los términos “perfil” y “acción” significan lo mismo.

Para crear un perfil de tráfico mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

add tm trafficAction <name> [-appTimeout <mins>][-SSO ( ON | OFF ) [-formSSOAction <string>]][-persistentCookie ( ENABLED | DISABLED )][-InitiateLogout ( ON | OFF )]
<!--NeedCopy-->

Ejemplo

add tm trafficAction Traffic-Prof-1 –appTimeout 10 -SSO ON -formSSOAction SSO-Prof-1
<!--NeedCopy-->

Para modificar un perfil de sesión mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

set tm trafficAction <name> [-appTimeout <mins>] [-SSO ( ON | OFF ) [-formSSOAction <string>]] [-persistentCookie ( ENABLED | DISABLED )] [-InitiateLogout ( ON | OFF )]
<!--NeedCopy-->

Ejemplo

set tm trafficAction Traffic-Prof-1 –appTimeout 10 -SSO ON -formSSOAction SSO-Prof-1
<!--NeedCopy-->

Para quitar un perfil de sesión mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

rm tm trafficAction <name>
<!--NeedCopy-->

Ejemplo

rm tm trafficAction Traffic-Prof-1
<!--NeedCopy-->

Para configurar perfiles de tráfico mediante la utilidad de configuración

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Tráfico.
  2. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Tráfico.
  3. En el panel de detalles, haga clic en la ficha Perfiles.
  4. En la ficha Perfiles, realice una de las siguientes acciones:
    • Para crear un nuevo perfil de tráfico, haga clic en Agregar.
    • Para modificar un perfil de tráfico existente, selecciónelo y, a continuación, haga clic en Modificar.
  5. En el cuadro de diálogo Crear perfil de tráfico o Configurar perfil de tráfico, especifique los valores de los parámetros.
    • nombre*: nombre (no se puede cambiar para una acción de sesión configurada previamente).
    • AppTimeout: AppTimeout
    • Inicio de sesión único: inicio de sesión único
    • Acción de SSO de formulario: acción de formulario SSO
    • Acción de inicio de sesión único de SAML: acción SAMLSSO
    • Habilitar cookie persistent—Cookie persistente
    • Iniciar cierre de sesión: iniciar sesión
  6. Haga clic en Crear o Aceptar. El perfil de tráfico que ha creado aparece en el panel Directivas de tráfico, Perfiles y en el panel Form SSO Profiles o SAML SSO Profiles, según corresponda.

Compatibilidad con expresiones AAA.USER y AAA.LOGIN

La expresión AAA.USER se ha implementado ahora para reemplazar las expresiones HTTP.REQ.USER existentes. La expresión AAA.USER se aplica para controlar el tráfico no HTTP, como Secure Web Gateway (SWG) y el mecanismo de acceso basado en roles (RBA). Las expresiones AAA.USER equivalen a las expresiones HTTP.REQ.USER.

Puede utilizar la expresión en varias acciones o configuraciones de perfiles.

En el símbolo del sistema, escriba:

add tm trafficAction <name> [SSO (ON|OFF)] [-userExpression <string>]

add tm trafficAction <name> [SSO (ON|OFF)] [-passwdExpression <string>]

<!--NeedCopy-->

Ejemplo

add tm trafficAction tm_act -SSO ON -userExpression "AAA.USER.NAME"

add tm trafficAction tm_act -SSO ON -userExpression "AAA.USER.PASSWD"

add tm trafficPolicy tm_pol true tm_act

bind lb vserver lb1 -policyName tm_pol -priority 2
<!--NeedCopy-->

Nota:

Si utiliza la expresión HTTP.REQ.USER, el mensaje de advertencia “HTTP.REQ.USER ha quedado obsoleto. Usar AAA.USER en su lugar” aparece en el símbolo del sistema.

  • Expresión AAA.LOGIN. La expresión LOGIN representa el inicio de sesión previo, también conocido como solicitud de inicio de sesión. La solicitud de inicio de sesión puede proceder de Citrix Gateway, del proveedor de identidades SAML o de la autenticación de OAuth. Citrix ADC extraerá los atributos necesarios de la configuración de directivas. La expresión AAA.LOGIN contiene los atributos, que se pueden obtener según lo siguiente:
    • AAA.LOGIN.USERNAME. El nombre de usuario (si se encuentra) se obtiene de la solicitud de inicio de sesión actual. La misma expresión aplicada a una solicitud sin inicio de sesión (determinada por una autenticación, autorización y auditoría) da como resultado una cadena vacía.
    • AAA.LOGIN.PASSWORD. La contraseña de usuario (si se encuentra) se obtiene de la solicitud de inicio de sesión actual. La expresión da como resultado una cadena vacía si no se encuentra la contraseña.
    • AAA.LOGIN.PASSWORD2. La segunda contraseña (si se encuentra) se obtiene de la solicitud de inicio de sesión.
    • AAA.LOGIN.DOMAIN. La información del dominio se obtiene de la solicitud de inicio de sesión.
  • AAA.USER.ATTRIBUTE (“#”). La expresión se utiliza para almacenar el atributo de usuario. Aquí # puede ser un valor entero (entre 1 y 16) o un valor de cadena. Puede utilizar estos valores de índice mediante la expresión AAA.USER.ATTRIBUTE (“#”). El módulo de autenticación, autorización y auditoría busca el atributo de sesiones de usuario y AAA.USER.ATTRIBUTE("#") consulta la tabla hash para ese atributo en particular. Por ejemplo, si Attributes("samaccountname") está configurado, AAA.USER.ATTRIBUTE("samaccountname") consultaría el mapa hash y obtendría el valor correspondiente a samaccountname.

Directivas de tráfico

Después de crear uno o varios perfiles de tráfico y de SSO de formulario, se crean directivas de tráfico y, a continuación, se enlazan las directivas, ya sea de forma global o a un servidor virtual de administración del tráfico, para ponerlas en práctica.

Para crear una directiva de tráfico mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

add tm trafficPolicy <name> <rule> <action>
<!--NeedCopy-->

Ejemplo

add tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")" Traffic-Prof-1
<!--NeedCopy-->

Para modificar una directiva de tráfico mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

set tm trafficPolicy <name> <rule> <action>
<!--NeedCopy-->

Ejemplo

set tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")" Traffic-Prof-1
<!--NeedCopy-->

Para enlazar globalmente una directiva de tráfico mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

bind tm global -policyName <string> [-priority <priority>]
<!--NeedCopy-->

Ejemplo

bind tm global -policyName Traffic-Pol-1
<!--NeedCopy-->

Para enlazar una directiva de tráfico a un servidor virtual de equilibrio de carga o conmutación de contenido mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba uno de los siguientes comandos:

bind lb vserver <name> -policy <policyName> [-priority <priority>]

bind cs vserver <name> -policy <policyName> [-priority <priority>]
<!--NeedCopy-->

Ejemplo

bind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1 -priority 1000
<!--NeedCopy-->

Para desvincular una directiva de tráfico enlazado globalmente mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

unbind tm global -policyName <policyname>
<!--NeedCopy-->

Ejemplo

unbind tm global -policyName Traffic-Pol-1
<!--NeedCopy-->

Para desenlazar una directiva de tráfico de un servidor virtual de equilibrio de carga o conmutación de contenido mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba uno de los siguientes comandos:

unbind lb vserver <name> -policy <policyname>

unbind cs vserver <name> -policy <policyname>
<!--NeedCopy-->

Ejemplo

unbind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1
<!--NeedCopy-->

Para quitar una directiva de tráfico mediante la interfaz de línea de comandos

En primer lugar, desvincule la directiva de sesión de global y, a continuación, en el símbolo del sistema, escriba:

rm tm trafficPolicy <name>
<!--NeedCopy-->

Ejemplo

rm tm trafficPolicy Traffic-Pol-1
<!--NeedCopy-->

Para configurar y enlazar directivas de tráfico mediante la utilidad de configuración

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Tráfico.
  2. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Tráfico.
  3. En el panel de detalles, realice una de las acciones siguientes:
    • Para crear una nueva directiva de sesión, haga clic en Agregar.
    • Para modificar una directiva de sesión existente, selecciónela y, a continuación, haga clic en Modificar.
  4. En el cuadro de diálogo Crear directiva de tráficoo Configurar directiva de tráfico, especifique los valores de los parámetros.
    • name*—policyName (no se puede cambiar para una directiva de sesión configurada previamente).
    • profile*: nombreAcción
    • Expresión: regla (se introducen expresiones seleccionando primero el tipo de expresión en la lista desplegable situada más a la izquierda debajo del área de texto Expresión y, a continuación, escribiendo la expresión directamente en el área de texto de la expresión o haciendo clic en Agregar para abrir el cuadro de diálogo Agregar expresión y utilizar las listas desplegables que contiene para construye su expresión).
  5. Haga clic en Crear o Aceptar. La directiva que ha creado aparece en el panel de detalles de la página Directivas y perfiles de sesión.

Perfiles de SSO de formularios

Para habilitar y configurar el SSO basado en formularios, primero debe crear un perfil de SSO.

Nota

  • El inicio de sesión único basado en formularios no funciona si el formulario está personalizado para incluir Javascript.
  • En esta función, los términos “perfil” y “acción” significan lo mismo.

Para crear un perfil de SSO de formulario mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

add tm formSSOAction <name> -actionURL <URL> -userField <string> -passwdField <string> -ssoSuccessRule <expression> [-nameValuePair <string>] [-responsesize <positive_integer>][-nvtype ( STATIC | DYNAMIC )][-submitMethod ( GET | POST )]

show tm formSSOAction [<name>]
<!--NeedCopy-->

Ejemplo

add tm formSSOAction SSO-Prof-1 -actionURL "/logon.php"
-userField "loginID" -passwdField "passwd"
-nameValuePair "loginID passwd" -responsesize "9096"
-ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"
-nvtype STATIC -submitMethod GET
–sessTimeout 10 -defaultAuthorizationAction ALLOW
<!--NeedCopy-->

Para modificar el SSO de un formulario mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

set tm formSSOAction <name> -actionURL <URL> -userField <string> -passwdField <string> -ssoSuccessRule <expression> [-nameValuePair <string>] [-responsesize <positive_integer>][-nvtype ( STATIC | DYNAMIC )][-submitMethod ( GET | POST )]
<!--NeedCopy-->

Ejemplo

set tm formSSOAction SSO-Prof-1 -actionURL "/logon.php"
-userField "loginID" -passwdField "passwd"
-ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"
-nameValuePair "loginID passwd" -responsesize "9096"
-nvtype STATIC -submitMethod GET
–sessTimeout 10 -defaultAuthorizationAction ALLOW
<!--NeedCopy-->

Para quitar un perfil de SSO de formulario mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

rm tm formSSOAction <name>
<!--NeedCopy-->

Ejemplo

rm tm sessionAction SSO-Prof-1
<!--NeedCopy-->

Para configurar perfiles de SSO de formulario mediante la utilidad de configuración

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Tráfico.
  2. En el panel de detalles, haga clic en la ficha Perfiles de SSO de formulario .
  3. En la ficha Perfiles de SSO de formulario, realice una de las siguientes acciones:
    • Para crear un nuevo perfil de SSO de formulario, haga clic en Agregar.
    • Para modificar un perfil de SSO de formulario existente, selecciónelo y, a continuación, haga clic en Modificar.
  4. En el cuadro de diálogo Crear perfil de SSO de formulario o Configurar perfil de SSO de formulario, especifique los valores de los parámetros:
    • nombre*: nombre (no se puede cambiar para una acción de sesión configurada previamente).
    • URL de acción*: actionURL
    • Campo Nombre de usuario*: campo de usuario
    • Campo de contraseña*: campo de contraseña
    • expresión* — ssoSuccessRule
    • Pares de valor de nombre: NameValuePair
    • Tamaño de respuesta: tamaño de respuesta
    • Extracción: tipo NV
    • Método de envío: método Submit</span>
  5. Haga clic en Crear o Aceptary, a continuación, en Cerrar. El perfil de SSO de formulario que ha creado aparece en el panel Directivas de tráfico, perfilesy perfiles de SSO de formulario .

Perfiles de inicio de sesión único SAML

Para habilitar y configurar el inicio de sesión único basado en SAML, primero debe crear un perfil de SSO SAML.

Para crear un perfil de inicio de sesión único de SAML mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

add tm samlSSOProfile <name> -samlSigningCertName <string> -assertionConsumerServiceURL <URL> -relaystateRule <expression> -sendPassword (ON | OFF) [-samlIssuerName <string>]
<!--NeedCopy-->

Ejemplo

add tm samlSSOProfile saml-SSO-Prof-1 -samlSigningCertName "Example, Inc."  -assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true"  -sendPassword "ON" -samlIssuerName "Example, Inc."
<!--NeedCopy-->

Para modificar un inicio de sesión único de SAML mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

set tm samlSSOProfile <name> -samlSigningCertName <string> -assertionConsumerServiceURL <URL> -relaystateRule <expression> -sendPassword (ON | OFF) [-samlIssuerName <string>]
<!--NeedCopy-->

Ejemplo

set tm samlSSOProfile saml-SSO-Prof-1 -samlSigningCertName "Example, Inc."  -assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true"  -sendPassword "ON" -samlIssuerName "Example, Inc."
<!--NeedCopy-->

Para quitar un perfil de SSO SAML mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

rm tm samlSSOProfile <name>
<!--NeedCopy-->

Ejemplo

rm tm sessionAction saml-SSO-Prof-1
<!--NeedCopy-->

Para configurar un perfil de inicio de sesión único de SAML mediante la utilidad de configuración

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Tráfico.
  2. En el panel de detalles, haga clic en la ficha Perfiles de inicio de sesión único de SAML .
  3. En la ficha Perfiles de inicio de sesión único de SAML, realice una de las siguientes acciones:
    • Para crear un nuevo perfil de inicio de sesión único de SAML, haga clic en Agregar.
    • Para modificar un perfil de inicio de sesión único de SAML existente, selecciónelo y, a continuación, haga clic en OpenEdit.
  4. En el cuadro de diálogo Crear perfiles de inicio de sesión único SAML o Configurar perfiles de SSO SAML, defina los siguientes parámetros:
    • Nombre*
    • Nombre del certificado de firma*
    • URL ACS*
    • Regla de estado de relés*
    • Enviar contraseña
    • Nombre del emisor
  5. Haga clic en Crear o en Aceptary, a continuación, en Cerrar. El perfil de inicio de sesión único de SAML que ha creado aparece en el panel Directivas de tráfico, perfiles y perfiles de inicio de sesión único de SAML.

Tiempo de espera de sesión para OWA 2010

Ahora puede forzar el tiempo de espera de las conexiones de OWA 2010 tras un período de inactividad especificado. OWA envía repetidas solicitudes de mantenimiento al servidor para evitar tiempos de espera. Mantener las conexiones abiertas puede interferir con el inicio de sesión único.

Para forzar el tiempo de espera de OWA 2010 tras un período especificado mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos:

add tm trafficAction <actname> [-forcedTimeout <forcedTimeout> -forcedTimeoutVal <mins>]
<!--NeedCopy-->

Por<actname>, sustituye por un nombre su directiva de tráfico. Por<mins>, sustituya el número de minutos tras los cuales se iniciará un tiempo de espera forzado. Por, sustitúyalo por uno de los valores siguientes:

-START: Inicia el temporizador para que se agote el tiempo de espera forzado si aún no se ha iniciado un temporizador. Si existe un temporizador de ejecución, no tiene efecto. -STOP : detiene un temporizador de funcionamiento. Si no se encuentra ningún temporizador de ejecución, no tiene efecto. -RESET : reinicia un temporizador de ejecución. Si no se encuentra ningún temporizador de ejecución, inicia un temporizador como si se hubiera utilizado la opción START.

add tm trafficPolicy <polname> <rule> <actname>
<!--NeedCopy-->

Por<polname>, sustituye por un nombre su directiva de tráfico. Por<rule>, sustituya una regla en la directiva Citrix ADC Advanced.

bind lb vserver <vservername> –policyName <name> -priority <number>
<!--NeedCopy-->

Por<vservername>, sustituya el nombre del servidor virtual de administración del tráfico de autenticación, autorización y auditoría. Por<priority>, sustitúyalo por un entero que designe la prioridad de la directiva.

Ejemplo

add tm trafficAction act-owa2010timeout -forcedTimeout RESET -forcedTimeoutVal 10
add tm trafficPolicy pol-owa2010timeout true act-owa2010timeout
bind lb vserver vs-owa2010 -policyName pol-owa2010timeout -priority 10
<!--NeedCopy-->