ADC

NetScaler como proveedor de identidades SAML

El IDP de SAML (proveedor de identidades) es una entidad SAML que se implementa en la red del cliente. El IDP recibe solicitudes del SP SAML y redirige a los usuarios a una página de inicio de sesión, donde deben introducir sus credenciales. El IDP autentica estas credenciales con el directorio activo (servidor de autenticación externo, como LDAP) y, a continuación, genera una aserción SAML que se envía al SP.

El SP valida el token y el usuario obtiene acceso a la aplicación protegida solicitada.

Cuando el dispositivo NetScaler se configura como un IDP, todas las solicitudes se reciben en un servidor virtual de autenticación que está asociado con el perfil de IDP de SAML relevante.

Nota

Un dispositivo NetScaler se puede utilizar como IDP en una implementación en la que el SP SAML esté configurado en el dispositivo o en cualquier SP SAML externo.

Cuando se utiliza como proveedor de identidades SAML, un dispositivo NetScaler:

  • Admite todos los métodos de autenticación que admite para los inicios de sesión tradicionales.

  • Firma afirmaciones digitalmente.

  • Admite la autenticación de un solo factor y de dos factores. SAML no debe configurarse como el mecanismo de autenticación secundario.

  • Puede cifrar aserciones mediante la clave pública del SP SAML. Esto se recomienda cuando la afirmación incluye información confidencial.

  • Puede configurarse para aceptar solo solicitudes firmadas digitalmente desde SAML SP.

  • Puede iniciar sesión en el IDP de SAML mediante los siguientes mecanismos de autenticación basados en 401: Negociar, NTLM y Certificate.

  • Se puede configurar para enviar 16 atributos además del atributo nameID. Los atributos se deben extraer del servidor de autenticación apropiado. Para cada uno de ellos, puede especificar el nombre, la expresión, el formato y un nombre descriptivo en el perfil del IDP de SAML.

  • Si el dispositivo NetScaler está configurado como un IDP de SAML para varios SP SAML, un usuario puede obtener acceso a las aplicaciones en los diferentes SPs sin autenticarse explícitamente cada vez. El dispositivo NetScaler crea una cookie de sesión para la primera autenticación y cada solicitud posterior utiliza esta cookie para la autenticación.

  • Puede enviar atributos con varios valores en una aserción SAML.

  • Admite enlaces posteriores y redireccionamientos. La compatibilidad con el enlace de artefactos se introduce en la versión 13.0 compilación 36.27 de NetScaler.

  • Puede especificar la validez de una aserción SAML.

    Si la hora del sistema en el IDP SAML de NetScaler y el SP SAML del mismo par no están sincronizados, es posible que cualquiera de las partes invalide los mensajes. Para evitar estos casos, ahora puede configurar la duración de tiempo para la cual las afirmaciones son válidas.

    Esta duración, denominada “tiempo de desviación”, especifica el número de minutos durante los que se debe aceptar el mensaje. El tiempo de inclinación se puede configurar en el SP de SAML y en el IDP de SAML.

  • Se puede configurar para entregar aserciones solo a los SP SAML preconfigurados o confiables por el IDP. Para esta configuración, el IDP de SAML debe tener el ID del proveedor de servicios (o el nombre del emisor) de los SP SAML relevantes.

    Nota

    Antes de continuar, asegúrese de que tiene un servidor virtual de autenticación que esté vinculado a un servidor de autenticación LDAP.

Para configurar un dispositivo NetScaler como IdP de SAML mediante la interfaz de línea de comandos

  1. Configure un perfil de IDP de SAML.

    Ejemplo

    Agregar un dispositivo NetScaler como IDP con SiteMinder como SP.

    add authentication samlIdPProfile samlIDPProf1 -samlSPCertName siteminder-cert -encryptAssertion ON -samlIdPCertName ns-cert -assertionConsumerServiceURL http://sm-proxy.nsi-test.com:8080/affwebservices/public/saml2assertionconsumer -rejectUnsignedRequests ON -signatureAlg RSA-SHA256 -digestMethod SHA256<!--NeedCopy-->

  2. Configure la directiva de autenticación SAML y asocie el perfil de IDP de SAML como acción de la directiva.

    add authentication samlIdPPolicy samlIDPPol1 -rule true -action samlIDPProf1<!--NeedCopy-->

  3. Enlazar la directiva al servidor virtual de autenticación.

    bind authentication vserver saml-auth-vserver -policy samlIDPPol1 -priority 100<!--NeedCopy-->

    Para obtener más información sobre el comando, consulte https://developer-docs.citrix.com/projects/citrix-adc-command-reference/en/latest/authentication/authentication-samlIdPProfile/.

Para configurar un dispositivo NetScaler como IdP SAML mediante la interfaz gráfica de usuario

  1. Configure el perfil y la directiva del IdP de SAML.

    Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > IDP de SAML, cree una directiva con el IdP de SAML como tipo de acción y asocie el perfil de IdP de SAML requerido a la directiva.

  2. Asocie la directiva IDP de SAML con un servidor virtual de autenticación.

    Vaya a Seguridad > AAA: Tráfico de aplicaciones > Servidores virtuales y asocie la directiva IdP SAML con el servidor virtual de autenticación.

NetScaler como proveedor de identidades SAML