Documentación de productos
Citrix Cloud
Ver PDF

Configurar un servidor de PingFederate local como proveedor de SAML para Workspaces y Citrix Cloud

April 26, 2024
Author:  Mark Dear

Este artículo ha sido redactado en colaboración entre los ingenieros de Citrix y Ping y ha sido revisado por ambas partes para garantizar la precisión técnica en el momento de la redacción. Consulte la documentación de Ping para obtener instrucciones sobre cómo aprovisionar, configurar y obtener licencia para un servidor de PingFederate local para usarlo como proveedor de SAML, ya que esos detalles van más allá del alcance de este artículo.

Este documento se redactó usando las versiones 11.3 y 12 de PingFederate.

Requisitos previos

Este artículo aborda específicamente la configuración de SAML y garantiza que se cumplan estas condiciones.

  • Ya ha aprovisionado un servidor de PingFederate local en su organización y ha obtenido la licencia necesaria. Para obtener más información, consulte Instalación de PingFederate.
  • Debe haber instalado una versión compatible de Java en el servidor de PingFederate. Consulte la documentación de Ping Identity para conocer las versiones de Java compatibles. Para obtener más información, consulte Requisito de Java PingFederate.
  • Ha configurado las reglas de red y firewall necesarias para permitir que Citrix Cloud y Workspace se redirijan al servidor de PingFederate local durante el proceso de inicio de sesión SAML de la consola de administración de Workspace o Citrix Cloud. Para obtener más información, consulte Requisitos de red de PingFederate.
  • Ha importado un certificado x509 firmado públicamente a su servidor de PingFederate que puede actuar como certificado de servidor para el servidor de PingFederate.
  • Ha importado un certificado x509 firmado públicamente a su servidor de PingFederate que puede actuar como certificado de firma SAML para el IdP. Este certificado debe cargarse en Citrix Cloud durante el proceso de conexión SAML.
  • Ha conectado su Active Directory local a PingFederate. Para obtener más información, consulte Almacén de datos LDAP de PingFederate

Nota:

Mientras configura PingFederate para su uso con Citrix Cloud y Workspace, consulte la documentación de PingFederate para comprender el efecto de cada uno de los parámetros de SAML y para ayudar a completar las instrucciones que se ofrecen aquí.

Configurar una conexión de Active Directory para su dominio de AD mediante un almacén de datos dentro de PingFederate

  1. Configure una conexión de Active Directory dentro de los almacenes de datos.

    Configurar la conexión de Active Directory

  2. Seleccione Tipo como Directorio (LDAP).

    Seleccione el directorio

  3. Configure sus controladores de dominio para las conexiones LDAPS y agregue su lista de FQDN de los controladores de dominio en el campo de nombres de host. A continuación, haga clic en Probar conexión.

    Configurar controladores de dominio

  4. Una vez configurada, la conexión de Active Directory debe parecerse a este ejemplo:

    Conexión a Active Directory

Cargar el certificado de firma SAML de Citrix Cloud

  1. Haga clic en la ficha Seguridad

  2. Cargue el certificado de firma SAML que quiere que utilice PingFederate en las claves y certificados de firma y descifrado.

    Claves y certificados de firma y descifrado

    Nota:

    En este ejemplo, el certificado usado es un certificado de Digicert pingfederateserver.domain.com firmado públicamente.

  3. Cargue todos los certificados de CA utilizados para firmar su certificado de firma SAML del servidor de PingFederate.

    Certificado de firma SAML

Nota:

El certificado del servidor de PingFederate y el certificado de firma SAML pueden ser el mismo certificado SSL o puede usar certificados SSL diferentes. Al configurar la conexión SAML, debe proporcionar una copia del certificado de firma SAML a Citrix Cloud.

Certificados de servidor SSL

Cargar los metadatos de Citrix Cloud

  1. Proporcione un nombre para los metadatos de Citrix Cloud e introduzca la URL de metadatos correspondiente a la región de Citrix Cloud en la que se encuentra su arrendatario de Citrix Cloud.

    URL de metadatos de socio

  2. Una vez configurada, la configuración de metadatos de Citrix Cloud debe parecerse a este ejemplo.

    URL de metadatos de socio configurada

Configurar un validador de credenciales de contraseñas dentro de PingFederate

Para obtener más información, consulte Validador de credenciales de contraseña de PingFederate

  1. Configure el tipo de validador de credenciales de contraseña como nombre de usuario y contraseña de LDAP.

    Validadores de credenciales de contraseñas

  2. Configure la configuración de instancias. Seleccione la conexión de dominio de AD y el almacén de datos que configuró anteriormente en Configurar una conexión de Active Directory para su dominio de AD mediante un almacén de datos dentro de PingFederate. Introduzca un filtro LDAP adecuado como se muestra en el ejemplo. (((sAMAccountName=${username})(userPrincipalName=${username}))

    Configurar la configuración de instancias

    Nota: El filtro de ejemplo incluye los formatos de nombre de usuario de AD sAMAccountName y userPrincipalName, lo que permite a los usuarios finales iniciar sesión en Workspace o Citrix Cloud con cualquiera de estos formatos. El filtro de ejemplo admite los formatos de nombre de usuario de AD sAMAccountName y userPrincipalName, lo que permite a los usuarios finales iniciar sesión en Workspace o Citrix Cloud con cualquiera de estos formatos.

  3. Configure el contrato extendido.

    Contrato extendido

  4. El resumen del validador de credenciales de contraseña debe parecerse a este ejemplo.

    Validador de credenciales de contraseña

Configurar el adaptador IDP dentro de PingFederate

Para obtener más información, consulte Adaptador de formulario HTML de PingFederate

  1. Cree un nuevo adaptador IDP de tipo adaptador IdP de formulario HTML.

    Crear instancia de adaptador

  2. Seleccione el validador de credenciales de contraseña existente que configuró anteriormente y configure el adaptador IDP. Para obtener más información, consulte Configurar un validador de credenciales de contraseñas dentro de PingFederate.

    Validador de credenciales de contraseña

  3. Configure el contrato extendido con los atributos de SAML que se transfieren a Citrix Cloud o Workspaces durante el inicio de sesión de SAML.

    Configurar contrato extendido

  4. Configure los atributos del adaptador.

    Configurar los atributos del adaptador

  5. Configure la asignación de contratos de adaptadores por la cual los atributos de SAML se asignan a los atributos de usuario de LDAP desde las identidades de AD. Haga clic en Configurar el contrato del adaptador.

  6. Configure las fuentes de atributos y búsqueda de usuarios.

    Fuentes de atributos y búsqueda de usuarios

  7. Configure el cumplimiento del contrato del adaptador. Seleccione LDAP y el nombre de su almacén de datos de Active Directory como fuente de los datos de atributos de usuario. El valor es el atributo de Active Directory para el usuario, como objectGUID o objectSid.

    Configurar el cumplimiento del contrato del adaptador

Configuración de la conexión del proveedor de servicios (aplicación SAML) para Citrix Cloud o Workspaces

La configuración de ejemplo de PingFederate que se proporciona a continuación asume los siguientes requisitos de autenticación de SAML dentro de su organización.

  • Las solicitudes de autenticación SAML enviadas desde la consola de administración de Workspace o Citrix Cloud DEBEN estar firmadas.
  • Los enlaces HTTP POST de SAML se utilizarán para las solicitudes de SSO y SLO.
  • El cierre de sesión único (SLO) es un requisito en su organización. Cuando un usuario final cierra sesión en Workspace o en la consola de administración de Citrix Cloud, Citrix Cloud envía una solicitud de SLO de SAML al proveedor de SAML (IdP) para cerrar la sesión del usuario.

  • PingFederate requiere solicitudes HTTP POST firmadas para iniciar el cierre de sesión. El proveedor de SAML requiere solicitudes de SLO firmadas.

    Mecanismo vinculante SLO

Para obtener más información, consulte PingFederate SP Management

Procedimiento

  1. Configure la plantilla de conexión.

    Configurar la plantilla de conexión

  2. Configure el tipo de conexión y seleccione los perfiles de SSO del explorador web y SAML 2.0.

    Configurar el tipo de conexión

  3. Configure las opciones de conexión.

    Configurar las opciones de conexión

  4. Importe los metadatos de Citrix Cloud. Seleccione la URL y la URL de CitrixCloudProdMetadata que creó anteriormente y haga clic en Cargar metadatos

    Importar metadatos de Citrix Cloud

  5. Configure la información general. Establezca el ID de la entidad de conexión del proveedor de servicios, la URL base y el nombre de conexión en el punto final SAML de Citrix Cloud de su región de clientes de Citrix Cloud.

    Configurar información general

  6. Configure los parámetros del protocolo.

    Configurar los parámetros del protocolo

  7. Use los parámetros predeterminados de Vida útil de las aserciones.

    Parámetros de Vida útil de las aserciones

  8. Configure la creación de aserciones SAML.

    1. Haga clic en Configurar creación de aserciones

      Configurar la creación de aserciones

    2. Seleccione Standard.

      Seleccione Standard

  9. Configure el contrato de atributos.

    Configurar el contrato de atributos

  10. Configure la instancia del adaptador.

    Configurar la instancia del adaptador

  11. Configure el método de mapeo.

    Configurar el método de mapeo

  12. Configure el cumplimiento del contrato de atributos.

    Configurar el cumplimiento de contratos de atributos

  13. Configure los criterios de emisión de certificados como valores predeterminados sin condiciones.

    Configurar los criterios de emisión de certificados

  14. La asignación del adaptador IDP completa se muestra de esta manera:

    mapeo de adaptadores IDP completado

  15. Configure los parámetros del protocolo. Las rutas SAML requeridas por Citrix Cloud se anexarán a la URL base de su servidor de PingFederate. Es posible anular la URL base introduciendo una ruta completa en el campo URL del punto final, pero esto suele ser innecesario e indeseable. URL base: https://youpingfederateserver.domain.com

    1. Configure la URL de ACS (Assertion Consumer Service) que anexa la ruta SAML a la URL base del servidor de PingFederate. URL del punto final - /saml/acs

      Configurar la URL de ACS

    2. Configure la URL del servicio SLO. URL del punto final - /saml/logout/callback

      Configurar la URL del servicio SLO

    Importante:

    La conexión SAML de Citrix Cloud requiere que se configure una URL de cierre de sesión de PingFederate correspondiente si quiere ejecutar el servicio SLO al cerrar sesión en Workspace o Citrix Cloud. Si no configura la URL de cierre de sesión en su conexión SAML, los usuarios finales simplemente cerrarán sesión en Workspace, pero no en PingFederate.

    1. Configure los enlaces SAML permitidos.

      Configurar los enlaces SAML permitidos

    2. Configure la directiva de firmas.

      Configurar la Directiva de firmas

    Importante:

    Los parámetros de firma SAML deben configurarse de forma coherente en ambos lados de la conexión SAML. Workspace o Citrix Cloud (SP) deben configurarse para enviar solicitudes de SSO y SLO firmadas.

    1. PingFederate (IDP) debe configurarse para ejecutar la aplicación de solicitudes firmadas mediante el certificado de verificación de firmas SAML de Citrix Cloud.

      Aplicación de solicitudes firmadas

    2. Configure la directiva de cifrado.

      Configurar la directiva de cifrado

      Nota:

      Se recomienda establecer Cifrado en NINGUNO durante la configuración y las pruebas iniciales para poder depurar los problemas relacionados con atributos SAML faltantes o incorrectos en la aserción. Si necesita aserciones cifradas, se recomienda habilitar el cifrado después de comprobar que el inicio de sesión en Workspace o Citrix Cloud se ha realizado correctamente y que todos los recursos se han enumerado correctamente y se pueden iniciar. No será posible depurar los problemas relacionados con SAML mientras el cifrado esté habilitado si no puede ver como texto normal el contenido de la aserción SAML.

    3. Revise la ficha Resumen.

      Ficha Resumen

    4. Revise la Conexión del proveedor de servicios (SP) de Citrix Cloud. Una vez configurada la conexión del SP de Citrix Cloud, debería tener este aspecto:

      Resumen Resumen Resumen Resumen

      Consejo práctico:

      Use la página Resumen y Activación de la conexión del SP para revisar s aplicación SAML y con fines de depuración, ya que permite realizar cambios de configuración rápidos y sencillos. La página Resumen y Activación de la conexión del SP le permite acceder a cualquiera de las subsecciones de configuración de SAML haciendo clic en el título de esa sección. Haga clic en cualquiera de los títulos resaltados en rojo para actualizar estos parámetros.

    Parámetros del protocolo

  16. La conexión del SP de Citrix Cloud completada debería mostrarse en la lista de esta manera.

    Conexión del SP de Citrix Cloud

  17. Es posible exportar la conexión del SP en forma de archivo XML. Citrix recomienda realizar una copia de seguridad de la conexión del SP una vez que la haya probado con Citrix Cloud y Workspace.

    Exportar la conexión del SP

Configurar un servidor de PingFederate local como proveedor de SAML para Workspaces y Citrix Cloud
April 26, 2024
Author:  Mark Dear
April 26, 2024
Author:  Mark Dear

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.