Usar un dispositivo Citrix Gateway local como el proveedor de identidades para Citrix Cloud
Citrix Cloud admite el uso de dispositivos Citrix Gateway locales como proveedores de identidades para autenticar a los suscriptores que inician sesión en sus espacios de trabajo.
Con la autenticación de Citrix Gateway, puede:
- Siga autenticando a los usuarios a través de su dispositivo Citrix Gateway existente para que puedan acceder a los recursos de la implementación local de Virtual Apps and Desktops a través de Citrix Workspace.
- Utilice las funciones de autenticación, autorización y auditoría de Citrix Gateway (Citrix ADC AAA) con Citrix Workspace.
- Utilice funciones como la autenticación PassThrough, las tarjetas inteligentes, los tokens seguros, las directivas de acceso condicional, la federación y muchas otras para proporcionar a los usuarios acceso a los recursos que necesitan a través de Citrix Workspace.
La autenticación de Citrix Gateway se puede utilizar con las siguientes versiones de producto:
- Citrix Gateway 13.0 41.20 Advanced Edition o posterior
- Citrix Gateway 12.1 54.13 Advanced Edition o posterior
Requisitos previos
-
Cloud Connectors: necesita al menos dos servidores en los que instalar el software Citrix Cloud Connector.
-
Active Directory: Realice las comprobaciones necesarias.
-
Requisitos de Citrix Gateway
-
Utilice directivas avanzadas en la puerta de enlace local debido a la obsoleta de las directivas clásicas.
-
Al configurar la puerta de enlace para autenticar suscriptores en Citrix Workspace, la puerta de enlace actúa como proveedor de OpenID Connect. Los mensajes entre Citrix Cloud y Gateway se ajustan al protocolo OIDC, que implica la firma digital de tokens. Por lo tanto, debe configurar un certificado para firmar estos tokens.
-
Sincronización de reloj: la puerta de enlace debe estar sincronizada con la hora NTP.
-
Para obtener información detallada, consulte Requisitos previos.
Crear una directiva de IdP de OAuth en Citrix Gateway local
Importante:
Debe haber generado el ID de cliente, la URL secreta y la dirección URL de redirección en Citrix Cloud > Administración de identidades y accesos > ficha Autenticación . Para obtener información detallada, consulte Conectar una puerta de Citrix Gateway local a Citrix Cloud.
La creación de una directiva de autenticación de IdP de OAuth implica las siguientes tareas:
-
Cree un perfil de IdP de OAuth.
-
Agregue una directiva de IdP de OAuth.
-
Enlazar la directiva de IdP de OAuth a un servidor virtual de autenticación.
-
Enlazar el certificado globalmente.
Creación de un perfil de IdP de OAuth mediante la CLI
En el símbolo del sistema, escriba;
add authentication OAuthIDPProfile <name> [-clientID <string>] [-clientSecret ] [-redirectURL <URL>] [-issuer <string>] [-sendPassword ( ON | OFF )]
add authentication OAuthIdPPolicy <name> -rule <expression> -action <string>
bind authentication vserver <name> [-policy <string> [-priority <positive_integer>] [-gotoPriorityExpression <expression>]] [-portaltheme <string>]
Ejemplo:
add authentication OAuthIDPProfile oauthidp_staging -clientID <client> -clientSecret <Secret from client> -redirectURL "<url from client>" -issuer <https://GatewayFQDN.com> -sendPassword ON
add authentication OAuthIdPPolicy oauthidp_staging -rule true -action oauthidp_staging
bind authentication vserver auth -policy oauthidp_staging -priority 10 -gotoPriorityExpression next
bind vpn global -certkeyName MyCertKeyName
Creación de un perfil de IdP de OAuth mediante la GUI
-
Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > OAuth IDP.
-
En la página IdP de OAuth, seleccione la ficha Perfiles y haga clic en Agregar.
-
Configure el perfil de IdP de OAuth.
Nota:
-
Copie y pegue los valores de ID de cliente, secreto y URL de redirección desde Citrix Cloud > Administración de identidades y acceso > ficha Autenticación para establecer la conexión con Citrix Cloud.
-
Introduzca correctamente la URL de la puerta de enlace en el ejemplo de nombre del emisor: https://GatewayFQDN.com
-
También copie y pegue el ID de cliente en el campo Audiencia.
-
Enviar contraseña: habilite esta opción para admitir el inicio de sesión único. De forma predeterminada, esta opción está inhabilitada.
-
-
Haga clic en Crear.
-
En la página IdP de OAuth, seleccione Directivas y haga clic en Agregar.
-
Configure la directiva de IdP de OAuth.
-
Enlazar la directiva de IdP de OAuth al servidor virtual de autenticación, autorización y auditoría de autenticación.
- Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales.
- Seleccione el servidor virtual al que quiere vincular la directiva y, a continuación, haga clic en Modificar.
- En Directivas de autenticación avanzadas, haga clic en ** junto a **Sin directiva de IdP de OAuth.
- En la página Authentication OAuth IdP Policy, haga clic en Agregar enlace.
- En Seleccionar directiva, seleccione la directiva de IdP de OAuth.
- Haga clic en Enlazar.
Nota
Cuando SendPassword está configurado en ON (OFF de forma predeterminada), las credenciales de usuario se cifran y pasan a través de un canal seguro a Citrix Cloud. Al pasar las credenciales de usuario a través de un canal seguro, puede habilitar SSO en Citrix Virtual Apps and Desktops al iniciarse.
Compatibilidad con implementaciones GSLB activo-activas en Citrix Gateway
Citrix Gateway configurado como proveedor de identidades (IdP) mediante el protocolo OIDC puede admitir implementaciones GSLB activas-activas. La implementación de GSLB activo-activa en el IdP de Citrix Gateway proporciona la capacidad de equilibrar la carga de una solicitud de inicio de sesión de usuario entrante en varias ubicaciones geográficas.
Importante
Citrix recomienda vincular certificados de CA al servicio SSL y habilitar la validación de certificados en el servicio SSL para mejorar la seguridad.
Para obtener más información sobre la configuración de GSLB, consulte Ejemplo de configuración y configuración de GSLB.