Usar un dispositivo Citrix Gateway local como el proveedor de identidades para Citrix Cloud
Citrix Cloud admite el uso de dispositivos Citrix Gateway locales como proveedores de identidades para autenticar a los suscriptores que inician sesión en sus espacios de trabajo.
Con la autenticación de Citrix Gateway, puede:
- Siga autenticando a los usuarios a través de su dispositivo Citrix Gateway existente para que puedan acceder a los recursos de la implementación local de Virtual Apps and Desktops a través de Citrix Workspace.
- Use las funciones de autenticación, autorización y auditoría de Citrix Gateway con Citrix Workspace.
- Proporcione a sus usuarios acceso a los recursos que necesitan a través de Citrix Workspace mediante funciones como la autenticación de paso, tarjetas inteligentes, tokens seguros, directivas de acceso condicional y federación.
La autenticación de Citrix Gateway se puede utilizar con las siguientes versiones de producto:
- Citrix Gateway 13.0 41.20 Advanced Edition o posterior
- Citrix Gateway 12.1 54.13 Advanced Edition o posterior
Requisitos previos
-
Cloud Connectors: necesita al menos dos servidores en los que instalar el software Citrix Cloud Connector.
-
Active Directory: Realice las comprobaciones necesarias.
-
Requisitos de Citrix Gateway
-
Utilice directivas avanzadas en la puerta de enlace local debido a la obsolescencia de las directivas clásicas.
-
Al configurar la puerta de enlace para autenticar suscriptores en Citrix Workspace, la puerta de enlace actúa como un proveedor de OpenID Connect. Los mensajes entre Citrix Cloud y Gateway se ajustan al protocolo OIDC, que implica la firma digital de tokens. Por lo tanto, debe configurar un certificado para firmar estos tokens.
-
Sincronización de reloj: la puerta de enlace debe estar sincronizada con la hora NTP.
-
Para obtener más información, consulte Prerequisites.
Crear una directiva de IdP de OAuth en Citrix Gateway local
Importante:
Debe haber generado el ID de cliente, el secreto y la URL de redireccionamiento en la ficha Citrix Cloud > Administración de acceso e identidad > Autenticación. Para obtener más información, consulte Conectar un Citrix Gateway local a Citrix Cloud.
La creación de una directiva de autenticación de IdP de OAuth implica las siguientes tareas:
-
Crea un perfil de IdP de OAuth.
-
Agrega una directiva de IdP de OAuth.
-
Enlazar la directiva de IdP de OAuth a un servidor virtual de autenticación.
-
Enlazar el certificado globalmente.
Creación de un perfil de IdP de OAuth mediante la CLI
En el símbolo del sistema, escriba;
add authentication OAuthIDPProfile <name> [-clientID <string>][-clientSecret ][-redirectURL <URL>][-issuer <string>][-audience <string>][-skewTime <mins>] [-defaultAuthenticationGroup <string>]
add authentication OAuthIdPPolicy <name> -rule <expression> [-action <string> [-undefAction <string>] [-comment <string>][-logAction <string>]
add authentication ldapAction <name> -serverIP <IP> -ldapBase "dc=aaa,dc=local"
ldapBindDn <administrator@aaa.local> -ldapBindDnPassword <password> -ldapLoginName sAMAccountName
add authentication policy <name> -rule <expression> -action <string>
bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <integer> -gotoPriorityExpression NEXT
bind authentication vserver auth_vs -policy <OAuthIDPPolicyName> -priority <integer> -gotoPriorityExpression END
bind vpn global –certkey <>
<!--NeedCopy-->
Creación de un perfil de IdP de OAuth mediante la interfaz gráfica de usuario
-
Vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > IdP de OAuth.
! [
Oauth-IDP-navigation] (/en-us/citrix-adc/media/oauth-navigation-to-idp.png) -
En la página IdP de OAuth, seleccione la ficha Perfiles y haga clic en Agregar.
-
Configure el perfil de IdP de OAuth.
Nota:
-
Copie y pegue los valores de ID de cliente, secreto y URL de redireccionamiento desde la ficha Citrix Cloud > Administración de acceso e identidad > Autenticación para establecer la conexión con Citrix Cloud.
-
Introduzca la URL de la puerta de enlace correctamente en el Ejemplo de nombre del emisor: https://GatewayFQDN.com
-
También copie y pegue el ID de cliente en el campo Audiencia.
-
Enviar contraseña: habilite esta opción para admitir el inicio de sesión único. De forma predeterminada, esta opción está inhabilitada.
-
-
En la pantalla Crear perfil de proveedor de identidad de OAuth de autenticación, defina los valores para los siguientes parámetros y haga clic en Crear.
-
Nombre: Nombre del perfil de autenticación. Debe empezar por una letra, un número o un guion bajo (_). El nombre debe contener solo letras, números y los caracteres de guion (-), punto (.), almohadilla (#), espacio ( ), arroba (@), igual (=), dos puntos (:) y guiones bajos. No se puede cambiar una vez creado el perfil.
- ID de cliente: Cadena única que identifica al SP. El servidor de autorización defiere la configuración del cliente mediante este ID. Longitud máxima: 127.
- Secreto de cliente: Cadena secreta establecida por el usuario y el servidor de autorización. Longitud máxima: 239.
- URL de redirección: Punto final del SP en el que se debe publicar el código/token.
- Nombre del emisor: Identidad del servidor cuyos tokens se van a aceptar. Longitud máxima: 127. Ejemplo:https://GatewayFQDN.com
- Destinatario: Se dirige al destinatario del token enviado por el IdP. El destinatario comprueba este token.
- Tiempo sesgado: Esta opción especifica el sesgo de reloj permitido (en minutos) que Citrix ADC permite en un token entrante. Por ejemplo, si SkewTime es 10, el token sería válido desde (tiempo actual - 10) min a (tiempo actual+ 10) min, es decir, 20 min en total. Valor por defecto: 5.
- Grupo de autenticación predeterminado: Un grupo que se agrega a la lista de grupos internos de la sesión cuando el IdP elige este perfil y que se puede usar en el flujo nFactor. Se puede usar en la expresión (AAA.USER.IS_MEMBER_OF (“xxx”)) para que las directivas de autenticación identifiquen el flujo de nFactor relacionado con la parte de confianza. Longitud máxima: 63
Se agrega un grupo a la sesión para este perfil para simplificar la evaluación de directivas y ayudar a personalizar las directivas. Este grupo es el grupo predeterminado que se elige cuando la autenticación se realiza correctamente, además de los grupos extraídos. Longitud máxima: 63.
! [
Oauth-IDP-profile-parameters] (/en-us/citrix-adc/media/oauth-idp-profile.png) -
-
Haga clic en Directivas y en Agregar.
-
En la pantalla Crear directiva de IDP de OAuth de autenticación, defina los valores para los siguientes parámetros y haga clic en Crear.
- Nombre: Nombre de la directiva de autenticación.
- Acción: Nombre del perfil creado anteriormente.
- Acción de registro: Nombre de la acción de registro de mensajes que se utilizará cuando una solicitud coincida con esta directiva. No es un archivo obligatorio.
- Acción deresultado indefinido: acción a realizar si el resultado de la evaluación de directivas no está definido (UNDEF). No es un campo obligatorio.
- Expresión: Expresión sintáctica predeterminada que la directiva utiliza para responder a una solicitud específica. Por ejemplo, es cierto.
- Comentarios: Cualquier comentario sobre la directiva.
! [
Oauth-IDP-policy] (/en-us/citrix-adc/media/oauth-idp-policy.png)
Nota:
Cuando SendPassword se establece en ON (OFF de forma predeterminada), las credenciales de usuario se cifran y pasan a través de un canal seguro a Citrix Cloud. Pasar las credenciales de usuario a través de un canal seguro le permite habilitar el SSO en Citrix Virtual Apps and Desktops al iniciarse.
Enlace de la directiva OAuthIDP y la directiva LDAP al servidor virtual de autenticación
-
Vaya a Configuración > Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Acciones > LDAP.
-
En la pantalla Acciones de LDAP, haga clic en Agregar.
-
En la pantalla Crear servidor LDAP de autenticación, defina los valores de los siguientes parámetros y haga clic en Crear.
- Nombre: nombre de la acción LDAP
- ServerName/ServerIP: proporciona FQDN o IP del servidor LDAP
- Elija los valores adecuados para Tipo de seguridad, Puerto, Tipo de servidor, Tiempo de espera
- Asegúrese de que la autenticación esté marcada
-
DN base: Base desde la que se inicia la búsqueda LDAP. Por ejemplo,
dc=aaa,dc=local. - DN de enlace de administrador: nombre de usuario del enlace al servidor LDAP. Por ejemplo, admin@aaa.local.
- Contraseña de administrador/Confirmar contraseña: Contraseña para enlazar LDAP
- Haga clic en Probar conexión para probar su configuración.
- Atributo de nombre de inicio de sesión del servidor: elija “sAMAccountName”
- Otros campos no son obligatorios y, por lo tanto, se pueden configurar según sea necesario.
-
Vaya a Configuración > Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Directiva.
-
En la pantalla Directivas de autenticación, haga clic en Agregar.
-
En la página Crear directiva de autenticación, defina los valores de los siguientes parámetros y haga clic en Crear.
- Nombre: nombre de la directiva de autenticación LDAP.
- Tipo de acción: seleccione LDAP.
- Acción: seleccione la acción LDAP.
- Expresión: expresión de sintaxis predeterminada que utiliza la directiva para responder a una solicitud específica. Por ejemplo, cierto**.