Usar un dispositivo Citrix Gateway local como el proveedor de identidades para Citrix Cloud
Citrix Cloud admite el uso de dispositivos Citrix Gateway locales como proveedores de identidades para autenticar a los suscriptores que inician sesión en sus espacios de trabajo.
Con la autenticación de Citrix Gateway, puede:
- Siga autenticando a los usuarios a través de su dispositivo Citrix Gateway existente para que puedan acceder a los recursos de la implementación local de Virtual Apps and Desktops a través de Citrix Workspace.
- Utilice las funciones de autenticación, autorización y auditoría de Citrix Gateway con Citrix Workspace.
- Utilice funciones como la autenticación PassThrough, las tarjetas inteligentes, los tokens seguros, las directivas de acceso condicional, la federación y muchas otras para proporcionar a los usuarios acceso a los recursos que necesitan a través de Citrix Workspace.
La autenticación de Citrix Gateway se puede utilizar con las siguientes versiones de producto:
- Citrix Gateway 13.0 41.20 Advanced Edition o posterior
- Citrix Gateway 12.1 54.13 Advanced Edition o posterior
Requisitos previos
-
Cloud Connectors: necesita al menos dos servidores en los que instalar el software Citrix Cloud Connector.
-
Active Directory : realice las comprobaciones necesarias.
-
Requisitos de Citrix Gateway
-
Utilice políticas avanzadas en la puerta de enlace local debido a la depreciación de las políticas clásicas.
-
Al configurar Gateway para autenticar a los suscriptores en Citrix Workspace, la puerta de enlace actúa como proveedor de OpenID Connect. Los mensajes entre Citrix Cloud y Gateway se ajustan al protocolo OIDC, que implica la firma digital de tokens. Por lo tanto, debe configurar un certificado para firmar estos tokens.
-
Sincronización de reloj: la puerta de enlace debe estar sincronizada con la hora NTP.
-
Para obtener más información, consulte Prerequisites.
Crear una directiva de IdP de OAuth en Citrix Gateway local
Importante:
Debe haber generado el ID de cliente, el secreto y la URL de redirección en la pestaña Citrix Cloud > Administración de identidades y accesos > Autenticación . Para obtener más información, consulte Conectar un Citrix Gateway local a Citrix Cloud.
La creación de una directiva de autenticación de IdP de OAuth implica las siguientes tareas:
-
Cree un perfil de IdP de OAuth.
-
Agregue una política de proveedor de identidades de OAuth.
-
Vincular la directiva de IdP de OAuth a un servidor virtual de autenticación.
-
Enlazar el certificado globalmente.
Creación de un perfil de IdP de OAuth mediante la CLI
En el símbolo del sistema, escriba;
add authentication OAuthIDPProfile <name> [-clientID <string>][-clientSecret ][-redirectURL <URL>][-issuer <string>][-audience <string>][-skewTime <mins>] [-defaultAuthenticationGroup <string>]
add authentication OAuthIdPPolicy <name> -rule <expression> [-action <string> [-undefAction <string>] [-comment <string>][-logAction <string>]
add authentication ldapAction <name> -serverIP <IP> -ldapBase "dc=aaa,dc=local"
ldapBindDn <administrator@aaa.local> -ldapBindDnPassword <password> -ldapLoginName sAMAccountName
add authentication policy <name> -rule <expression> -action <string>
bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <integer> -gotoPriorityExpression NEXT
bind authentication vserver auth_vs -policy <OAuthIDPPolicyName> -priority <integer> -gotoPriorityExpression END
bind vpn global –certkey <>
<!--NeedCopy-->
Creación de un perfil de IdP de OAuth mediante la GUI
-
Vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > IDP de OAuth.
! [
Oauth-IDP-navigation] (/en-us/citrix-adc/media/oauth-navigation-to-idp.png) -
En la página IDP de OAuth, seleccione la pestaña Perfiles y haga clic en Agregar.
-
Configure el perfil de IdP de OAuth.
Nota:
-
Copie y pegue los valores de ID de cliente, secreto y URL de redirección desde la pestaña Citrix Cloud > Administración de identidades y accesos > Autenticación para establecer la conexión con Citrix Cloud.
-
Introduzca la URL de la puerta de enlace correctamente en el ejemplo de nombre del emisor : https://GatewayFQDN.com
-
También copie y pegue el ID de cliente en el campo Audiencia .
-
Enviar contraseña: habilite esta opción para la compatibilidad con el inicio de sesión único. De forma predeterminada, esta opción está inhabilitada.
-
-
En la pantalla Crear perfil de proveedor de identidad de OAuth de autenticación, establezca valores para los siguientes parámetros y haga clic en Crear.
-
Nombre : nombre del perfil de autenticación. Debe comenzar con una letra, un número o el carácter de guión bajo (_) y debe contener solo letras, números y el guión (-), punto (.) libra (#), espacio (), at (@), igual a (=), dos puntos (:) y caracteres de guión bajo. No se puede cambiar después de crear el perfil.
- ID de cliente : cadena única que identifica SP. El servidor de autorización infunde la configuración del cliente mediante este ID. Longitud máxima: 127.
- Secreto de cliente : cadena secreta establecida por el usuario y el servidor de autorización. Longitud máxima: 239.
- URL de redirección : punto final del SP en el que se debe publicar el código/token.
- Nombre del emisor : identidad del servidor cuyos tokens se van a aceptar. Longitud máxima: 127. Ejemplo:https://GatewayFQDN.com
- Público : destinatario objetivo del token que envía el proveedor de identidad. El destinatario podría comprobarlo.
- Tiempo de sesgo : esta opción especifica el sesgo del reloj permitido en minutos que Citrix ADC permite en un token entrante. Por ejemplo, si SkewTime es 10, entonces el token sería válido desde (hora actual - 10) min hasta (tiempo actual + 10) min, es decir, 20 min en total. Valor predeterminado: 5.
- Grupo deautenticación predeterminado: grupo agregado a la lista de grupos internos de la sesión cuando este perfil es elegido por IdP que se puede utilizar en el flujo nFactor. Se puede utilizar en la expresión (AAA.USER.IS_MEMBER_OF («xxx»)) para políticas de autenticación para identificar el flujo nFactor relacionado con la parte que confía. Longitud máxima: 63
Se agrega un grupo a la sesión para este perfil para simplificar la evaluación de políticas y ayudar a personalizar las políticas. Este es el grupo predeterminado que se elige cuando la autenticación se realiza correctamente además de los grupos extraídos. Longitud máxima: 63.
! [
Oauth-IDP-profile-parameters] (/en-us/citrix-adc/media/oauth-idp-profile.png) -
-
Haga clic en Directivas y en Agregar.
-
En la pantalla Crear directiva de IDP de OAuth de autenticación, establezca los valores para los siguientes parámetros y haga clic en Crear.
- Nombre : nombre de la directiva de autenticación.
- Acción : nombre del perfil creado anteriormente.
- Acción de registro : nombre de la acción de registro de mensajes que se va a utilizar cuando una solicitud coincide con esta política. No es un archivo obligatorio.
- Acción porresultados indefinidos: acción que debe realizarse si el resultado de la evaluación de políticas no está definido (FNUD). No es un campo obligatorio.
- Expresión: expresión de sintaxis predeterminada que utiliza la directiva para responder a una solicitud específica. Por ejemplo, true.
- Comentarios : cualquier comentario sobre la política.
! [
Oauth-IDP-policy] (/en-us/citrix-adc/media/oauth-idp-policy.png)
Nota:
Cuando SendPassword se establece en ACTIVADO (DESACTIVADO de forma predeterminada), las credenciales de usuario se cifran y pasan a través de un canal seguro a Citrix Cloud. Pasar credenciales de usuario a través de un canal seguro le permite habilitar el SSO en Citrix Virtual Apps and Desktops al iniciarlo.
Vinculación de la directiva OAuthIdP y la directiva LDAP al servidor virtual de autenticación
-
Vaya a Configuración > Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Acciones > LDAP.
-
En la pantalla Acciones LDAP, haga clic en Agregar.
-
En la pantalla Crear servidor LDAP de autenticación, establezca los valores de los siguientes parámetros y haga clic en Crear.
- Nombre — Nombre de la acción LDAP
- Servidor/serverIP: proporciona FQDN o IP del servidor LDAP
- Elija los valores adecuados para Tipo de seguridad, Puerto, Tipo de servidor, Tiempo de espera
- Asegúrese de que la autenticación esté marcada
-
DN base: base desde la que iniciar la búsqueda LDAP. Por ejemplo,
dc=aaa,dc=local. - DN de enlace de administrador: nombre de usuario del enlace al servidor LDAP. Por ejemplo, admin@aaa.local.
- Contraseña de administrador/Confirmar contraseña: Contraseña para enlazar LDAP
- Haz clic en Probar conexión para probar la configuración.
- Atributo de nombre de inicio de sesión del servidor: elija «SAMAccountName»
- Otros campos no son obligatorios y, por lo tanto, se pueden configurar según sea necesario.
-
Vaya a Configuración > Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Directiva.
-
En la pantalla Directivas de autenticación, haga clic en Agregar.
-
En la página Crear directiva de autenticación, establezca los valores de los siguientes parámetros y haga clic en Crear.
- Nombre: nombre de la directiva de autenticación LDAP.
- Tipo de acción: elija LDAP.
- Acción: elija la acción LDAP.
- Expresión: expresión de sintaxis predeterminada que utiliza la directiva para responder a una solicitud específica. Por ejemplo, cierto**.
Compatibilidad con implementaciones GSLB activo-activas en Citrix Gateway
Citrix Gateway configurado como proveedor de identidad (IdP) mediante el protocolo OIDC puede admitir implementaciones GSLB activo-activas. La implementación de GSLB activo-activa en el proveedor de identidades de Citrix Gateway proporciona la capacidad de equilibrar la carga de una solicitud de inicio de sesión de usuario entrante en varias ubicaciones geográficas.
Importante
Citrix recomienda vincular certificados de CA al servicio SSL y habilitar la validación de certificados en el servicio SSL para mejorar la seguridad.
Para obtener más información sobre cómo configurar la configuración de GSLB, consulte Ejemplo de configuración y configuración de GSLB.