ADC

Usar un dispositivo NetScaler Gateway local como el proveedor de identidades para Citrix Cloud

Citrix Cloud admite el uso de dispositivos NetScaler Gateway locales como proveedores de identidades para autenticar a los suscriptores que inician sesión en sus espacios de trabajo.

Al utilizar la autenticación de NetScaler Gateway, puede:

  • Siga autenticando a los usuarios a través de su dispositivo NetScaler Gateway existente para que puedan acceder a los recursos de la implementación local de Virtual Apps and Desktops a través de Citrix Workspace.
  • Utilice las funciones de autenticación, autorización y auditoría de NetScaler Gateway con Citrix Workspace.
  • Proporcione a sus usuarios acceso a los recursos que necesitan a través de Citrix Workspace mediante funciones como la autenticación de paso, tarjetas inteligentes, tokens seguros, directivas de acceso condicional y federación.

La autenticación de NetScaler Gateway se puede utilizar con las siguientes versiones de producto:

  • NetScaler Gateway 13.0 41.20 Advanced Edition o posterior
  • NetScaler Gateway 12.1 54.13 Advanced Edition o posterior

Requisitos previos

  • Cloud Connectors: necesita al menos dos servidores en los que instalar el software Citrix Cloud Connector.

  • Active Directory: Realice las comprobaciones necesarias.

  • Requisitos de NetScaler Gateway

    • Utilice directivas avanzadas en la puerta de enlace local debido a la obsolescencia de las directivas clásicas.

    • Al configurar la puerta de enlace para autenticar suscriptores en Citrix Workspace, la puerta de enlace actúa como un proveedor de OpenID Connect. Los mensajes entre Citrix Cloud y Gateway se ajustan al protocolo OIDC, que implica la firma digital de tokens. Por lo tanto, debe configurar un certificado para firmar estos tokens.

    • Sincronización de reloj: la puerta de enlace debe estar sincronizada con la hora NTP.

Para obtener más información, consulte Prerequisites.

Crear una directiva de IDP de OAuth en NetScaler Gateway local

Importante:

Debe haber generado el ID de cliente, el secreto y la URL de redireccionamiento en la ficha Citrix Cloud > Administración de acceso e identidad > Autenticación. Para obtener más información, consulte Conectar un NetScaler Gateway local a Citrix Cloud.

La creación de una directiva de autenticación de IDP de OAuth implica las siguientes tareas:

  1. Crea un perfil de IdP de OAuth.

  2. Agrega una directiva de IDP de OAuth.

  3. Enlazar la directiva de IDP de OAuth a un servidor virtual de autenticación.

  4. Enlazar el certificado globalmente.

Creación de un perfil de IDP de OAuth mediante la CLI

En la línea de comandos, escriba;

add authentication OAuthIDPProfile <name> [-clientID <string>][-clientSecret ][-redirectURL <URL>][-issuer <string>][-audience <string>][-skewTime <mins>] [-defaultAuthenticationGroup <string>]

add authentication OAuthIdPPolicy <name> -rule <expression> [-action <string>] [-undefAction <string>] [-comment <string>][-logAction <string>]

add authentication ldapAction <name> -serverIP <IP> -ldapBase "dc=aaa,dc=local"

ldapBindDn <administrator@aaa.local> -ldapBindDnPassword <password> -ldapLoginName sAMAccountName

add authentication policy <name> -rule <expression> -action <string>

bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <integer> -gotoPriorityExpression NEXT

bind authentication vserver auth_vs -policy <OAuthIDPPolicyName> -priority <integer> -gotoPriorityExpression END

bind vpn global -certkeyName <>
<!--NeedCopy-->

Creación de un perfil de IDP de OAuth mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > IDP de OAuth.

  2. En la página IDP de OAuth, seleccione la ficha Perfiles y haga clic en Agregar.

  3. Configure el perfil de IDP de OAuth.

    Nota:

    • Copie y pegue los valores de ID de cliente, secreto y URL de redireccionamiento desde la ficha Citrix Cloud > Administración de acceso e identidad > Autenticación para establecer la conexión con Citrix Cloud.

    • Introduzca la URL de la puerta de enlace correctamente en el Ejemplo de nombre del emisor: https://GatewayFQDN.com

    • También copie y pegue el ID de cliente en el campo Audiencia.

    • Enviar contraseña: habilite esta opción para admitir el inicio de sesión único. De forma predeterminada, esta opción está inhabilitada.

  4. En la pantalla Crear perfil de proveedor de identidad de OAuth de autenticación, defina los valores para los siguientes parámetros y haga clic en Crear.

    • Nombre: nombre del perfil de autenticación. Debe empezar por una letra, un número o un guion bajo (_). El nombre debe contener solo letras, números y los caracteres de guion (-), punto (.), almohadilla (#), espacio ( ), arroba (@), igual (=), dos puntos (:) y guiones bajos. No se puede cambiar una vez creado el perfil.
    • ID de cliente: cadena única que identifica al SP. El servidor de autorización infiere la configuración del cliente mediante este ID. Longitud máxima: 127.
    • Secreto de cliente: cadena secreta establecida por el usuario y el servidor de autorización. Longitud máxima: 239.
    • URL de redireccionamiento: punto final del SP en el que se debe publicar el código/token.
    • Nombre del emisor: identidad del servidor cuyos tokens se van a aceptar. Longitud máxima: 127. Ejemplo:https://GatewayFQDN.com
    • Público: destinatario objetivo del token enviado por el IdP. El destinatario comprueba este token.
    • Tiempo de sesgo: esta opción especifica el sesgo de reloj permitido (en minutos) que NetScaler permite en un token entrante. Por ejemplo, si skewTime es 10, el token sería válido desde (tiempo actual - 10) min a (tiempo actual+ 10) min, es decir, 20 min en total. Valor predeterminado: 5
    • Grupo deautenticación predeterminado: grupoque se agrega a la lista de grupos internos de la sesión cuando el IdP elige este perfil y que se puede usar en nFactor flow. Se puede usar en la expresión (AAA.USER.IS_MEMBER_OF(“xxx”)) para que las directivas de autenticación identifiquen el flujo de nFactor relacionado con la parte de confianza. Longitud máxima: 63

    Se agrega un grupo a la sesión de este perfil para simplificar la evaluación de las directivas y ayudar a personalizarlas. Este es el grupo predeterminado que se elige cuando la autenticación tiene éxito además de los grupos extraídos.

    • URL de metadatos de la parte de confianza: punto final en el que el IdP de NetScaler puede obtener detalles sobre la parte de confianza que se está configurando. La respuesta de metadatos debe incluir puntos finales para el jwks_uri de las claves públicas de RP. La longitud máxima es 255.
    • Intervalo de actualización: el intervalo en el que se actualizan los metadatos de la parte que confía. El intervalo predeterminado es 50.
    • Cifrar token: al seleccionar esta opción, se cifra el token enviado por NetScaler.
    • Servicio de firma: nombre del servicio en la nube que se utiliza para firmar los datos. Esto solo se aplica si la firma se descarga en la nube.
    • Atributos: pares nombre-valor de los atributos que se insertarán en el token de ID. La longitud máxima es de 1047 caracteres.
    • Enviar contraseña: seleccione esta opción para enviar la contraseña cifrada en el token de ID.
  5. Haga clic en Directivas y en Agregar.

  6. En la pantalla Crear directiva de IDP de OAuth de autenticación, defina los valores para los siguientes parámetros y haga clic en Crear.

    • Name: El nombre de la directiva de autenticación.
    • Action: Nombre del perfil creado anteriormente.
    • Log Action: Nombre de la acción del registro de mensajes que se utilizará cuando una solicitud coincida con esta directiva. No es un archivo obligatorio.
    • Acción deresultado indefinido: acción a realizar si el resultado de la evaluación de directivas no está definido (UNDEF). No es un campo obligatorio.
    • Expression: Expresión sintáctica predeterminada que la directiva utiliza para responder a una solicitud específica. Por ejemplo, true.
    • Comments: Cualquier comentario sobre la directiva.

Nota:

Cuando sendPassword se establece en ON (OFF de forma predeterminada), las credenciales de usuario se cifran y pasan a través de un canal seguro a Citrix Cloud. Pasar las credenciales de usuario a través de un canal seguro le permite habilitar el SSO en Citrix Virtual Apps and Desktops al iniciarse.

Enlace de la directiva OAuthIDP y la directiva LDAP al servidor virtual de autenticación

  1. Vaya a Configuración > Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Acciones > LDAP.

  2. En la pantalla Acciones de LDAP, haga clic en Agregar.

  3. En la pantalla Crear servidor LDAP de autenticación, defina los valores de los siguientes parámetros y haga clic en Crear.

    • Nombre: nombre de la acción LDAP
    • ServerName/ServerIP: proporciona FQDN o IP del servidor LDAP
    • Elija los valores adecuados para Tipo de seguridad, Puerto, Tipo de servidor, Tiempo de espera
    • Asegúrese de que la autenticación esté marcada
    • DN base: Base desde la que se inicia la búsqueda LDAP. Por ejemplo: dc=aaa,dc=local.
    • DN de enlace de administrador: nombre de usuario del enlace al servidor LDAP. Por ejemplo: admin@aaa.local.
    • Contraseña de administrador/Confirmar contraseña: Contraseña para enlazar LDAP
    • Haga clic en Probar conexión para probar su configuración.
    • Atributo de nombre de inicio de sesión del servidor: elija “sAMAccountName”
    • Otros campos no son obligatorios y, por lo tanto, se pueden configurar según sea necesario.
  4. Vaya a Configuración > Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Directiva.

  5. En la pantalla Directivas de autenticación, haga clic en Agregar.

  6. En la página Crear directiva de autenticación, defina los valores de los siguientes parámetros y haga clic en Crear.

    • Nombre: nombre de la directiva de autenticación LDAP.
    • Tipo de acción: seleccione LDAP.
    • Acción: seleccione la acción LDAP.
    • Expresión: Expresión de sintaxis predeterminada que la directiva utiliza para responder a una solicitud específica. Por ejemplo, true**.

Almacenar valores de referencia de clase de contexto de autenticación

NetScaler configurado como un IdP local puede almacenar los valores de referencia de clase de contexto de autenticación (ACR) proporcionados por Citrix Workspace para admitir la función de inicio de sesión multidominio de Citrix Workspace Platform (WSP).

Cuando Citrix Workspace envía los valores de ACR al extremo de autorización de OAuth del IdP de NetScaler, NetScaler almacena los valores de ACR. Puede usar estos valores de ACR para determinar el siguiente factor en el flujo de nFactor.

El inicio de sesión /oauth/idp/ del punto final de autorización del IdP de OAuth recibe una consulta con el parámetro de valor ACR en el formato siguiente. NetScaler almacena el valor ACR en el atributo de sesiones de usuario.

GET /oauth/idp/login?response_type=code&scope=openid%20profile%20ctxs_cc&acr_values=device_id:69eec3333333333+wsp:wspmultiurlmain.cloud.com&client_id=test&redirect_uri=https%3A%2F%2Fav6.aaa.local%2Foauth%2Flogin&state=Y3R4PXlFYkpFdEJOeDFLN0hUY2VCc1pBOGc2RjU3d21PcjJ2aXprZkhFSkdBTzVVTzM4eEZBUW1qTEFwR25DSE&code_challenge_method=S256&code_challenge=IJgD-qaJZdhuGt3m262BjjMXrFTOwioV6uSBA-uIY18

En el ejemplo anterior, el parámetro del valor ACR es acr_values=device_id:69eec3333333333+wsp:wspmultiurlmain.cloud.com.

Los siguientes son ejemplos de expresiones de cómo puede usar los valores de ACR en un flujo de nFactor.

  • Para recuperar la URL de WSP, utilice la expresión aaa.user.wsp.eq("URL") en la configuración de su directiva.

    Por ejemplo,

    add authentication policy wsp_check -rule aaa.user.wsp.eq("wspmultiurlmain.cloud.com ") -action ldap-act

  • Para recuperar el ID del dispositivo del parámetro de valor ACR, utilice la expresión aaa.user.acr_values.value("device_id").eq(value) en la configuración de su directiva.

    Por ejemplo,

    add authentication policy acr_value_check -rule aaa.user.acr_values.value("device_id").eq("69eec3333333333") -action ldap-act

  • Para recuperar el valor WSP del parámetro de valor ACR, utilice la expresión aaa.user.acr_values.value("wsp").eq("URL") en la configuración de su directiva.

    Por ejemplo,

    add authentication policy acr_value_check -rule aaa.user.acr_values.value("wsp").eq("wspmultiurlmain.cloud.com") -action ldap-act

Usar un dispositivo NetScaler Gateway local como el proveedor de identidades para Citrix Cloud