Configurar Duo como proveedor SAML para la autenticación del espacio de trabajo
Este artículo describe los pasos necesarios para configurar una aplicación SAML Duo y una conexión SAML entre Citrix Cloud y su proveedor SAML. Algunos de estos pasos describen acciones que realiza en la consola de administración del proveedor SAML de Duo.
Requisitos previos
Antes de completar las tareas de este artículo, asegúrese de cumplir estos requisitos previos:
- Un arrendatario de la nube Duo.
- Un proxy de autenticación Duo dentro de su bosque AD.
- Una conexión LDAPS de Active Directory que sincroniza sus usuarios de AD con Duo.
Configurar la sincronización de Active Directory con su arrendatario Duo
Siga la documentación de Duo en connecting your on-premises AD to Duo and importing users for SAML (conexión de su AD local con Duo e importación de usuarios para SAML).
Crear una conexión LDAPS de Active Directory
-
Seleccione Aplicaciones > Configuración de SSO > Agregar origen > Active Directory > Agregar Active Directory.
-
Ingrese un nombre para mostrar para la conexión LDAPS a su bosque AD.
-
Introduzca el FQDN de su controlador de dominio.
-
Configure el DN base de su dominio AD.
-
Seleccione Integrado como el tipo de autenticación.
-
Seleccione LDAPS como tipo de transporte.
-
Marque la casilla Verificar nombre de host SSL.
-
Ingrese el certificado del controlador de dominio y después el certificado de la entidad de certificación CA de la empresa privada que se utilizó para firmar su certificado de dominio.
-
Introduzca los certificados con formato PEM según el siguiente ejemplo
-----BEGIN CERTIFICATE----- `<base64 Domain Controller Certificate>` -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- `<base64 Certificate Authority Certificate used to sign the Domain Controller Certificate above>` -----END CERTIFICATE----- <!--NeedCopy--> -
Pruebe su conexión LDAPS.
Configure el archivo de configuración del proxy de autenticación de Duo para SAML
-
Verifique que la configuración de su Duo Auth Proxy esté en estado normal y se muestre como Conectado a Duo.
-
Inicie sesión en su proxy de autenticación de Duo y agregue una sección SAML [sso] a su archivo de configuración usando la Identidad remota (rikey) proporcionada desde la consola de administración de Duo. El proxy de autenticación Duo utiliza un secreto compartido para comunicarse con el servicio en la nube Duo. Este secreto se genera durante la instalación o configuración inicial del proxy de autenticación.
Configurar una aplicación SAML Duo para usarla con Workspaces
-
Seleccionar Aplicaciones > Proteger una aplicación. Haga clic en Agregar aplicación.
-
Busque la entrada para la plantilla de aplicación Generic SAML Service Provider Duo. Citrix recomienda la plantilla Generic SAML Service Provider Duo, ya que es la más flexible y le permitirá configurar diferentes combinaciones de atributos SAML y diferentes flujos SAML según sus necesidades.
Importante:
No se recomienda el uso de la plantilla SAML Duo Citrix Workspace ya que no es flexible y solo admite SAML mediante identidades de AD. La plantilla SAML Duo Citrix Workspace tampoco permitirá la adición de atributos opcionales como cip_domain y cip_forest, que son necesarios para algunas configuraciones SAML de fusiones y adquisiciones avanzadas. Tampoco permite la configuración del dispositivo de punto final de cierre de sesión de Citrix Cloud.
-
Especifique un Nombre para mostrar para su aplicación SAML, como Citrix Cloud Prod.
-
Especifique el acceso de usuario como Habilitar para todos los usuarios.
-
Seleccione Ninguno (entrada manual) dentro de Descubrimiento de metadatos e ingrese los siguientes dispositivos de punto final SAML de Citrix Cloud.
-
Ingrese el EntityID según la región de Citrix Cloud en la que se encuentra su arrendatario de CC.
URL Región https://saml.cloud.comComercial UE, EE. UU. y APS https://saml.citrixcloud.jpJapón https://saml.cloud.usGOBIERNO -
Configure la URL de inicio de sesión único (URL de ACS) según la región de Citrix Cloud en la que se encuentra su arrendatario de CC.
URL Región https://saml.cloud.com/saml/acsComercial UE, EE. UU. y APS https://saml.citrixcloud.jp/saml/acsJapón https://saml.cloud.us/saml/acsGOBIERNO -
Configure la URL de cierre de sesión único según la región de Citrix Cloud en la que se encuentra su arrendatario de CC.
URL Región https://saml.cloud.com/saml/logout/callbackComercial UE, EE. UU. y APS https://saml.citrixcloud.jp/samllogout/callbackJapón https://saml.cloud.us/saml/samllogout/callbackGOBIERNO -
La URL de inicio de sesión del proveedor de servicios no es obligatoria y puede dejarse vacía.
-
Estado del relé predeterminado no es obligatorio y puede dejarse vacío.
-
Configure el Formato de ID de nombre como No especificado.
-
Configure el Atributo de ID de nombre como userPrincipalName (distingue entre mayúsculas y minúsculas).
-
Configure el Algoritmo de firma como SHA256.
-
Configurar Opciones de firma como Respuesta de firma.
-
Configurar Cifrado de aserción como inhabilitado.
-
Configure Atributos de mapa con los atributos de puente Duo a la izquierda y los nombres de las declaraciones SAML de Citrix Cloud a la derecha.
Importante:
Los atributos del puente Duo (izquierda) y los nombres de declaraciones de atributos SAML (derecha) distinguen entre mayúsculas y minúsculas. Los nombres de declaraciones a la derecha son los que deben coincidir con lo que está configurado dentro de la conexión SAML de Citrix Cloud.
Configurar la conexión SAML de Citrix Cloud
-
Todos los flujos de inicio de sesión de Citrix deben ser iniciados por el proveedor de servicios mediante una URL de espacio de trabajo o una URL de Citrix Cloud GO.
-
Utilice los valores recomendados predeterminados para la conexión SAML dentro de Administración de identidad y acceso > Autenticación > Agregar un proveedor de identidad > SAML.
-
Para obtener los puntos finales SAML de la aplicación Duo SAML para ingresar a la conexión SAML de Citrix Cloud desde su portal Duo, consulte la documentación de sincronización de Active Directory de Duo.
En este campo de Citrix Cloud Introduzca este valor ID de entidad https://sso-<id>.sso.duosecurity.com/saml2/sp/<samlappID>/metadataFirmar solicitud de autenticación Sí URL del servicio SSO https://sso-<id>.sso.duosecurity.com/saml2/sp/<samlappID>/ssoMecanismo de vinculación de SSO HTTP Post Respuesta SAML Firmar respuesta o aserción Contexto de autenticación No especificado, exacto URL de cierre de sesión https://sso-<id>.sso.duosecurity.com/saml2/sp/<samlappID>/sloSolicitud de cierre de sesión Sí Mecanismo de vínculo SLO HTTP Post
Comportamiento de cierre de sesión SAML de Duo
En el momento en que se escribió este artículo, Duo SAML no era compatible con SAML SLO, pero era posible configurar Duo para finalizar la sesión de IDP cuando un usuario cerraba sesión explícitamente en Workspace o Citrix Cloud. Se recomienda leer la sección Consideraciones sobre el cierre de sesión de SAML Consideraciones sobre el cierre de sesión de SAML en el artículo principal de SAML antes de elegir configurar los ajustes de cierre de sesión de su aplicación Duo SAML.
Importante:
Tomado de la documentación de Duo Comportamiento de cierre de sesión SSO de Duo y detalles de administración de sesiones.
A los usuarios que decidan cerrar sesión y acceder a la URL de SLO para Duo SSO se les cerrará la sesión de Duo SSO y se eliminará la sesión de sus dispositivos recordados por MFA antes de redirigirlos a la página de cierre de sesión.
Para configurar el cierre de sesión explícito de la sesión de IDP de Duo cuando el usuario final cierra sesión en Workspace o Citrix Cloud, siga los pasos recomendados a continuación.
-
Configure el dispositivo de punto final de cierre de sesión SAML de Citrix Cloud dentro de su aplicación Duo SAML.
-
Configure el dispositivo de punto final Duo SLO dentro de la conexión SAML de Citrix Cloud.
Importante:
Si no ha utilizado la plantilla de aplicación Duo Proveedor SAML genérico, no podrá completar este paso, ya que la opción para ingresar al dispositivo de punto final de cierre de sesión de Citrix Cloud no estará disponible.
-
Al cerrar sesión en Workspace con ambos lados de la conexión SAML configurados para cerrar sesión según los pasos 1 y 2, Duo mostrará la siguiente interfaz de usuario indicando que la sesión de IDP ha finalizado.
-
Opcional: Para mejorar la experiencia de cierre de sesión del usuario final de Workspace, es posible configurar la conexión Duo LDAPS con una única URL de redirección de cierre de sesión que redirigirá a los usuarios finales a la página de inicio de sesión de Citrix Workspace. Esto se hace dentro de la conexión LDAPS de su bosque de AD.
Importante:
El campo URL de redirección de cierre de sesión que se muestra arriba solo permitirá la configuración de una única URL del espacio de trabajo. El uso de varias URL de espacios de trabajo diferentes dentro del arrendatario de Citrix Cloud no se puede configurar dentro de una única conexión de bosque de Active Directory en Duo.
En este artículo
- Requisitos previos
- Configurar la sincronización de Active Directory con su arrendatario Duo
- Configure el archivo de configuración del proxy de autenticación de Duo para SAML
- Configurar una aplicación SAML Duo para usarla con Workspaces
- Configurar la conexión SAML de Citrix Cloud
- Comportamiento de cierre de sesión SAML de Duo