Citrix Cloud

Conectar SAML como proveedor de identidades a Citrix Cloud (Technical Preview)

Citrix Cloud admite el uso de SAML (Lenguaje de marcado de aserción de seguridad) como proveedor de identidades para autenticar a los suscriptores que inician sesión en sus espacios de trabajo. Con su Active Directory (AD) local, puede utilizar el proveedor SAML que prefiera, siempre que sea compatible con SAML 2.0.

Nota:

Esta función se encuentra actualmente en Technical Preview. Citrix recomienda utilizar funciones de Technical Preview solamente en entornos de prueba.

Requisitos previos

El uso de la autenticación SAML con Citrix Cloud presenta los siguientes requisitos:

  • Proveedor SAML compatible con SAML 2.0
  • Dominio de Active Directory local
  • Dos Cloud Connectors implementados en una ubicación de recursos y unidos al dominio de AD local. Los Cloud Connectors se utilizan para garantizar que Citrix Cloud pueda comunicarse con su ubicación de recursos.
  • Integración de AD con su proveedor SAML.

Cloud Connectors

Necesita al menos dos (2) servidores donde instalar el software Citrix Cloud Connector. Citrix recomienda dos servidores para la alta disponibilidad de Cloud Connector. Estos servidores deben cumplir los siguientes requisitos:

  • Cumplir con los requisitos del sistema descritos en Detalles técnicos de Citrix Cloud Connector.
  • No tener ningún otro componente de Citrix instalado, no ser un controlador de dominio de Active Directory ni ser cualquier otra máquina de importancia crítica para la infraestructura de la ubicación de recursos.
  • Estar unidos al dominio donde residen los recursos. Si los usuarios acceden a los recursos en varios dominios, debe instalar al menos dos Cloud Connectors en cada dominio.
  • Estar conectados a una red que puede establecer contacto con los recursos a los que acceden los usuarios a través de Citrix Workspace.
  • Debe estar conectada a Internet. Para obtener más información, consulte Requisitos del sistema y de conectividad.

Para obtener más información acerca de la instalación de Cloud Connector, consulte Instalación de Cloud Connector.

Active Directory

Antes de configurar la autenticación SAML, realice las siguientes tareas:

  • Compruebe que los suscriptores de Workspace tengan cuentas de usuario en Active Directory (AD). Los suscriptores sin cuentas de AD no pueden iniciar sesión en sus espacios de trabajo correctamente cuando se configura la autenticación SAML.
  • Compruebe que las propiedades de usuario de las cuentas de AD de los suscriptores estén rellenadas. Citrix Cloud requiere estas propiedades para establecer el contexto de usuario cuando los suscriptores inician sesión en Citrix Workspace. Si estas propiedades no están rellenadas, los suscriptores no pueden iniciar sesión. Estas propiedades incluyen lo siguiente:
    • Dirección de correo electrónico
    • Nombre simplificado (opcional)
    • Nombre común
    • Nombre de cuenta SAM
    • Nombre principal del usuario
    • GUID de objeto
    • SID
  • Implemente Cloud Connectors en su instancia de Active Directory (AD) local para conectar esta a su cuenta de Citrix Cloud.
  • Sincronice los usuarios de AD con el proveedor SAML. Citrix Cloud necesita los atributos de usuario de AD para los suscriptores de Workspace para que puedan iniciar sesión correctamente.

Integración de SAML con Active Directory

Antes de habilitar la autenticación SAML, debe integrar su AD local con su proveedor SAML. Esta integración permite al proveedor SAML pasar los siguientes atributos de usuario de AD requeridos a Citrix Cloud en la aserción SAML:

  • SecurityIDentifier (SID)
  • objectGUID (OID)
  • userPrincipalName (UPN)
  • Mail (email)

Aunque los pasos de integración precisos varían entre los distintos proveedores SAML, el proceso de integración suele incluir las siguientes tareas:

  1. Instalar un agente de sincronización en su dominio de AD para establecer una conexión entre su dominio y su proveedor SAML.
  2. Si aún no tiene atributos personalizados que se asignen a los atributos de usuario de AD descritos anteriormente, crear los atributos personalizados y asignarlos a AD. Como referencia, los pasos generales para esta tarea se describen en Crear y asignar atributos SAML personalizados en este artículo.
  3. Sincronizar los usuarios de AD con su proveedor SAML.

Nota:

Si ya ha creado atributos personalizados que se asignan a los atributos de usuario de AD requeridos enumerados anteriormente en esta sección, no es necesario crear ni asignar otros atributos personalizados. En su lugar, utilice los atributos personalizados existentes al configurar los metadatos de su proveedor SAML en Citrix Cloud.

Para obtener más información sobre cómo integrar su AD con su proveedor SAML, consulte la documentación del producto de su proveedor SAML.

Descripción general de tareas

Para configurar la autenticación SAML para los suscriptores del espacio de trabajo, realice las siguientes tareas:

  1. En Administración de acceso e identidad, conecte su AD local a Citrix Cloud como se describe en Conectar Active Directory con Citrix Cloud.
  2. Integre su proveedor SAML con su AD local como se describe en Integración de SAML con Active Directory en este artículo.
  3. En Administración de acceso e identidad, configure la autenticación SAML en Citrix Cloud. Esta tarea implica configurar los metadatos de SAML de Citrix Cloud en su proveedor SAML y, a continuación, configurar los metadatos de su proveedor SAML en Citrix Cloud para crear la conexión SAML.
  4. En Configuración del espacio de trabajo, seleccione el método de autenticación SAML.

Crear y asignar atributos SAML personalizados

Si ya tiene configurados atributos personalizados para SID, UPN, OID y correo electrónico en su proveedor SAML, no tiene que realizar esta tarea. Continúe con Crear una aplicación de conector SAML y utilice los atributos SAML personalizados existentes en el paso 8.

Nota:

En los pasos de esta sección, se describen las acciones que debe realizar en la consola de administración del proveedor SAML. Los comandos específicos que utilice para realizar estas acciones pueden ser distintos de los descritos en esta sección, dependiendo del proveedor SAML elegido. Los comandos de proveedor SAML de esta sección se ofrecen únicamente a efectos de ejemplo. Consulte la documentación de su proveedor SAML para obtener más información sobre los comandos correspondientes.

  1. Inicie sesión en la consola de administración de su proveedor SAML y seleccione la opción para crear atributos de usuario personalizados. Por ejemplo, dependiendo de la consola del proveedor SAML, podría seleccionar Users > Custom User Fields > New User Field.
  2. Agregue los atributos siguientes:
    • cip_sid
    • cip_upn
    • cip_oid
    • cip_email
  3. Seleccione el AD que conectó con Citrix Cloud. Por ejemplo, dependiendo de la consola del proveedor SAML, podría seleccionar Users > Directories.
  4. Seleccione la opción para agregar atributos de directorio. Por ejemplo, dependiendo de la consola del proveedor SAML, podría seleccionar Directory Attributes.
  5. Seleccione la opción para agregar atributos y asigne los siguientes atributos de AD a los atributos de usuario personalizados que creó en el paso 2:
    • Seleccione objectSid y asigne el atributo cip_sid.
    • Seleccione userPrincipalName y asigne el atributo cip_upn.
    • Seleccione ObjectGUID y asigne el atributo cip_oid.
    • Seleccione mail y asigne el atributo cip_email.

Configurar los metadatos del proveedor SAML

En esta tarea, se crea una aplicación de conector con metadatos de SAML de Citrix Cloud. Después de configurar la aplicación SAML, utilice los metadatos de SAML de la aplicación de conector para configurar la conexión SAML con Citrix Cloud.

Nota:

En algunos pasos de esta sección, se describen las acciones que debe realizar en la consola de administración del proveedor SAML. Los comandos específicos que utilice para realizar estas acciones pueden ser distintos de los descritos en esta sección, dependiendo del proveedor SAML elegido. Los comandos de proveedor SAML de esta sección se ofrecen únicamente a efectos de ejemplo. Consulte la documentación de su proveedor SAML para obtener más información sobre los comandos correspondientes.

Crear una aplicación de conector SAML

  1. Inicie sesión en Citrix Cloud desde https://citrix.cloud.com.
  2. Desde la consola de administración de Citrix Cloud, haga clic en el botón de menú y seleccione Administración de acceso e identidad.
  3. Busque SAML 2.0 y seleccione Conectar en el menú de puntos suspensivos. Aparecerá la pantalla Configurar SAML.
  4. Desde la consola de administración del proveedor SAML, agregue una aplicación para un proveedor de identidades con atributos y respuesta de firma. Por ejemplo, dependiendo de la consola del proveedor, podría seleccionar Applications > Applications > Add App y, a continuación, SAML Test Connector (IdP w/ attr w/ sign response).
  5. Si procede, introduzca un nombre simplificado y guarde la aplicación.
  6. En la pantalla Configurar SAML de Citrix Cloud, en Metadatos SAML, seleccione Descargar. El archivo XML de metadatos aparece en otra ficha del explorador.
  7. Introduzca los siguientes detalles para la aplicación de conector:
    • En el campo Audiencia, escriba https://saml.cloud.com.
    • En el campo Destinatario, escriba https://saml.cloud.com/saml/acs.
    • En el campo del validador de URL de ACS, escriba https://saml.cloud.com/saml/acs.
    • En el campo de URL de ACS, escriba https://saml.cloud.com/saml/acs.
    • En el campo de URL de cierre de sesión único, escriba https://saml.cloud.com/saml/logout/callback.
  8. Agregue sus atributos SAML personalizados como valores de parámetro en la aplicación:

    Cree este campo Asigne este atributo personalizado
    cip_sid cip_sid o su atributo SID existente
    cip_upn cip_upn o su atributo UPN existente
    cip_oid cip_oid o su atributo OID existente
    cip_email cip_email o su atributo de correo electrónico existente
  9. Agregue los suscriptores de su espacio de trabajo como usuarios para permitirles acceder a la aplicación.

Agregar metadatos de proveedor SAML a Citrix Cloud

  1. Adquiera los metadatos SAML de su proveedor SAML. La siguiente imagen es un ejemplo del posible aspecto de este archivo: Archivo de metadatos SAML
  2. En la pantalla Configurar SAML de Citrix Cloud, introduzca los siguientes valores del archivo de metadatos del proveedor SAML:
    • En ID de entidad, introduzca el valor entityID del elemento EntityDescriptor en los metadatos. ID de entidad del archivo de metadatos SAML

    • En Firmar solicitud de autenticación, seleccione para permitir que Citrix Cloud firme solicitudes de autenticación, certificando que provienen de Citrix Cloud y no de un actor malintencionado. Seleccione No si prefiere agregar la URL de ACS de Citrix a una lista de permitidos que su proveedor SAML utilice para publicar respuestas SAML de forma segura.
    • En URL del servicio SSO, introduzca la URL del mecanismo de vínculo que desea utilizar. Puede usar un vínculo HTTP-POST o HTTP-Redirect. En el archivo de metadatos, busque los elementos SingleSignOnService con valores de vínculo HTTP-POST o HTTP-Redirect. URL del servicio SSO del archivo de metadatos SAML

    • En Mecanismo vinculante, seleccione el mecanismo que coincida con el vínculo de la URL del servicio SSO que eligió en el archivo de metadatos.
    • En Respuesta SAML, seleccione el método de firma que el proveedor SAML utiliza para la respuesta SAML y la aserción SAML. De forma predeterminada, Citrix Cloud rechaza cualquier respuesta que no esté firmada como se especifica en este campo.
  3. En la consola de administración del proveedor SAML, realice las siguientes acciones:
    • Seleccione SHA-256 como algoritmo de firma SAML.
    • Descargue el certificado X.509 como archivo PEM.
  4. En la pantalla Configurar SAML de Citrix Cloud, seleccione Cargar archivo y seleccione el archivo PEM que descargó en el paso anterior.
  5. Seleccione Continuar para completar la carga.
  6. En Contexto de autenticación, seleccione el contexto que desea utilizar y el nivel de rigurosidad con que quiere que Citrix Cloud aplique este contexto. Seleccione Mínimo para exigir autenticación en el contexto seleccionado, así como en contextos más estrictos. Seleccione Exacto para exigir autenticación únicamente en el contexto seleccionado. Por ejemplo, si selecciona el contexto Transport Layer Security (TLS) y el nivel Mínimo, Citrix Cloud acepta respuestas SAML con el contexto TLS, Certificado X.509, autenticación de Windows integrada y Kerberos. Las respuestas que utilizan los contextos Nombre de usuario y contraseña y Transporte protegido con contraseña se rechazan. Si su proveedor SAML no admite contextos de autenticación o usted prefiere no usarlos, seleccione No especificado y Mínimo.
  7. En URL de cierre de sesión, busque el elemento SingleSignOnService con el vínculo HTTP-Redirect en el archivo de metadatos del proveedor SAML e introduzca la URL.
  8. Compruebe que los siguientes valores de atributo de nombre predeterminados en Citrix Cloud coincidan con los valores de atributo correspondientes en la consola de administración del proveedor SAML. Si su proveedor SAML tiene valores diferentes, puede cambiar estos valores en Citrix Cloud para asegurarse de que coincidan.
    • Nombre de atributo para el nombre simplificado del usuario:displayName
    • Nombre de atributo para el nombre del usuario: givenName
    • Nombre de atributo para el apellido del usuario: familyName
  9. En Citrix Cloud, introduzca los atributos SAML personalizados del proveedor SAML:
    • En Nombre de atributo del identificador de seguridad (SID), introduzca el nombre de atributo SID personalizado. El valor predeterminado es cip_sid.
    • En Attribute name for User Principal Name (UPN), introduzca el nombre de atributo UPN personalizado. El valor predeterminado es cip_upn.
    • En Nombre de atributo del correo electrónico, introduzca el nombre de atributo de correo electrónico personalizado. El valor predeterminado es cip_email.
    • En Nombre de atributo del identificador de objeto de AD (OID), introduzca el nombre de atributo OID personalizado. El valor predeterminado es cip_oid.
  10. Seleccione Probar y finalizar para comprobar que ha configurado correctamente la conexión.

Habilitar la autenticación con SAML para espacios de trabajo

  1. En el menú de Citrix Cloud, seleccione Configuración de Workspace.
  2. Seleccione la ficha Autenticación
  3. Seleccione SAML 2.0.
Conectar SAML como proveedor de identidades a Citrix Cloud (Technical Preview)