Actualizar el certificado de firma SAML del proveedor de servicios
Las conexiones SAML que usan solicitudes y respuestas firmadas dependen de dos certificados de firma SAML diferentes. Uno para cada lado de la conexión SAML.
Certificado de firma del proveedor de servicios
Citrix proporciona este certificado de forma periódica y lo carga en su aplicación SAML o lo obtiene mediante los metadatos de SAML de Citrix Cloud.
Los certificados de firma de SAML deben rotarse antes de que caduquen para que los administradores de Citrix Cloud tengan tiempo de prepararse para la implementación. Tanto los proveedores de servicios como los proveedores de identidades exigen la rotación de certificados para garantizar la alineación y evitar cualquier tiempo de inactividad.
Si un proveedor de SAML seleccionado no admite la rotación automática del certificado de firma de SAML del proveedor de servicios, se debe realizar una rotación manual para reemplazar el certificado que vence.
Importante:
Todas las guías existentes en esta sección de documentos electrónicos de SAML incluyen detalles sobre cómo configurar la firma en ambos lados de la conexión SAML. Citrix solo recomienda configuraciones de SAML firmadas, ya que son más seguras y algunos proveedores de SAML las requieren para cerrar sesión (SLO) correctamente.
Preguntas frecuentes
¿Qué es la firma SAML?
Los certificados de firma SAML son certificados X.509 que sirven para verificar los datos enviados entre el proveedor de servicios (SP) y el proveedor de SAML (IdP). Su proveedor de SAML (IdP) usa el certificado de firma SAML de Citrix Cloud para verificar la firma enviada por Citrix Cloud en su solicitud de autenticación SAML. Citrix Cloud usa el certificado de firma del proveedor de SAML para verificar que la respuesta SAML proviene de un IdP conectado y de confianza.
¿Qué es la aplicación de solicitudes firmadas con SAML?
El hecho de que Citrix Cloud esté configurado para enviar solicitudes firmadas no garantiza que el proveedor de SAML imponga el uso de firmas ni rechace las solicitudes de SAML entrantes sin firmar. La mayoría de los proveedores de SAML tienen una opción para exigir solicitudes firmadas, lo que significa que, si se recibe una solicitud sin firmar para iniciar sesión en el proveedor de SAML, el inicio de sesión fallará. Es responsabilidad del administrador del proveedor de SAML comprobar el estado de la configuración del IdP. La asistencia técnica de Citrix no controla ni tiene ninguna visibilidad sobre si las solicitudes firmadas se exigen en la aplicación SAML.
¿Con qué frecuencia rota Citrix el certificado de firma SAML del proveedor de servicios?
Para permitir una superposición suficiente entre el certificado de firma del proveedor de servicios activo y el recién emitido, Citrix rota el certificado de firma del proveedor de servicios aproximadamente cada 11 meses. Esto sirve para garantizar que haya un certificado válido disponible para los clientes de Citrix Cloud 30 días antes de que caduque el certificado existente.
¿Qué es la fase de anuncio del certificado de firma SAML del proveedor de servicios?
Durante la fase de anuncio, los certificados de firma SAML actual y de reemplazo estarán presentes en los metadatos de Citrix Cloud. Hasta la fecha y hora de rotación, solo se puede usar el certificado activo para la verificación de solicitudes SAML.
¿Por qué he recibido una notificación por correo electrónico y en la consola de administración de Citrix Cloud que indica que el certificado de firma SAML actual de Citrix Cloud está a punto de caducar y debe sustituirse?
Los proveedores de SAML (IdP) requieren un certificado válido y actualizado para verificar la firma de las solicitudes SAML entrantes de los proveedores de servicios, como Workspace y la consola de administrador de Citrix Cloud. Nos pondremos en contacto con los clientes de Citrix Cloud que usen SAML para iniciar sesión en Workspace o en la consola de administración de Citrix Cloud para informarles de una rotación inminente de los certificados de firma SAML.
¿Cómo puedo saber si mi cliente de Citrix Cloud se ve afectado por la rotación de certificados de firma SAML de Citrix Cloud o no?
Esto afectará a los clientes de Citrix Cloud con la siguiente configuración de SAML.
- Su conexión SAML en Citrix Cloud está configurada con Firmar solicitud de autenticación = Sí
- Ha configurado su proveedor de SAML, como Azure Active Directory, ADFS u Okta, para rechazar las solicitudes SAML sin firmar (aplicación de solicitudes firmadas).
- Tiene el cierre de sesión único (SLO) configurado en su conexión SAML de Citrix Cloud y en su proveedor de SAML. Es posible que su proveedor de SAML requiera la firma de las solicitudes de SLO, como las de Okta y PingFederate.
¿Cómo compruebo la configuración de firma de mi conexión SAML de Citrix Cloud?
Vaya a Administración de acceso e identidad > SAML 2.0 > Ver para comprobar si tiene habilitado Firmar solicitud de autenticación en su conexión SAML de Citrix Cloud. Todas las conexiones SAML nuevas en Citrix Cloud tendrán el valor predeterminado Solicitud de cierre de sesión/autenticación de firma del proveedor de identidades = Sí, tanto para el inicio de sesión (SSO) como para el cierre de sesión (SLO).
¿Cómo compruebo si el uso obligado de firma está configurado en mi aplicación SAML?
Esto varía en función del proveedor de SAML que use. Es posible que algunos ni siquiera ofrezcan esta opción. AzureAD, ADFS, Okta y PingFederate admiten el uso obligado de firmas. Es fundamental que el administrador de SAML conozca las capacidades de su proveedor de SAML y su configuración actual. La asistencia técnica de Citrix no tiene control ni visibilidad sobre esto.
¿Dónde puedo obtener una copia del certificado de firma del proveedor de servicios (SP) más reciente?
Citrix proporciona este certificado a través de los metadatos de SAML de Citrix Cloud y se actualiza periódicamente durante la fase de anuncio de la rotación de certificados de firma del SP. Esto ocurre al menos una vez por año natural.
EE. UU., UE y APS: https://saml.cloud.com/saml/metadata
JP: https://saml.citrixcloud.jp/saml/
GOV: https://saml.cloud.us/saml/metadata
¿Cuándo es seguro quitar el antiguo certificado de firma SAML de Citrix Cloud si mi aplicación SAML admite varios certificados de verificación?
No quite el antiguo certificado de firma de Citrix Cloud hasta la fecha y hora de rotación del certificado indicadas en el correo electrónico y en la notificación de la consola de administración de Citrix Cloud.
Usar el intercambio de metadatos para actualizar automáticamente el proveedor de SAML con el certificado de firma SAML más reciente del proveedor de servicios (SP) de Citrix Cloud
Mediante el intercambio de metadatos de SAML, el proveedor de SAML consume los metadatos de SAML de Citrix Cloud automáticamente al supervisar la URL de los metadatos, como https://saml.cloud.com/saml/metadata. Si su proveedor de SAML admite el intercambio de metadatos de SAML, es posible que el certificado de firma del SP ya se haya actualizado automáticamente. Verifique que su proveedor de SAML admite el intercambio de metadatos. Después, puede verificar si la actualización ha tenido lugar antes de que caduque el certificado de firma SAML actual.
Importante
Hay una gran variación en términos de las funciones de SAML que admite cada proveedor de SAML externo. Es responsabilidad del administrador de Citrix Cloud conocer y comprender las capacidades y los requisitos del proveedor de SAML usado. Esto es necesario para garantizar que la configuración del proveedor de SAML (proveedor de identidades) y la configuración de conexión SAML (proveedor de servicios) de Citrix Cloud coincidan. Consulte la documentación de su proveedor de SAML para determinar si admite la verificación de firmas y si las solicitudes y respuestas de SAML deben firmarse.
Actualizar manualmente el proveedor de SAML con el certificado de firma SAML más reciente del proveedor de servicios de Citrix Cloud
Importante
La rotación del certificado del proveedor de servicios se debe realizar cada vez que se publique un nuevo certificado desde Citrix Cloud; de lo contrario, el inicio de sesión de SAML se verá afectado y se producirá un tiempo de inactividad.
-
Para adquirir los metadatos de SAML más recientes de Citrix Cloud, consulte su conexión SAML actual en Administración de acceso e identidad, haga clic en Autenticación, seleccione Conexión SAML y haga clic en Ver. La siguiente imagen es un ejemplo del aspecto que podría tener este archivo en regiones de Citrix Cloud como EE. UU., UE y APS:
https://saml.cloud.com/saml/metadata
En este ejemplo de archivo XML de metadatos, hay dos certificados de firma SAML x509 de Citrix Cloud.
- Es posible extraer el certificado x509 de los metadatos cargando el archivo XML en una herramienta de terceros o proporcionando la URL de los metadatos.
- Vaya a https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract
-
Introduzca la URL de metadatos de SAML correspondiente a la región de su cliente de Citrix Cloud:
- EE. UU., UE y APS: https://saml.cloud.com/saml/metadata
- JP: https://saml.citrixcloud.jp/saml/metadata
- GOV: https://saml.cloud.us/saml/metadata
Descargue el certificado de firma SAML desde https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract.
-
Cargue el certificado SAML del proveedor de servicios de Citrix Cloud recién extraído en su proveedor de SAML. Este proceso será diferente para cada proveedor de SAML. Verifique que el procedimiento de rotación de certificados de firma del proveedor de servicios es correcto. Para ello, consulte la documentación específica de su proveedor de SAML.
En función del proveedor de SAML, es posible que sea necesario reemplazar el certificado de firma de SAML existente por uno nuevo. En algunos casos, el proveedor de SAML puede admitir varios certificados de firma de SP al mismo tiempo, por lo que solo bastará con cargar el nuevo. Se recomienda quitar el certificado antiguo una vez que haya caducado.
Cargar un certificado de firma SAML de Citrix Cloud de reemplazo en su aplicación SAML de Azure Active Directory
Antes de configurar la aplicación SAML de Azure Active Directory, consulte SAML Request Signature Verification para obtener más información.
- Vaya a Azure Active Directory, seleccione Enterprise Applications y haga clic en su aplicación SAML.
-
Busque la sección de certificados SAML dentro de la aplicación SAML.
-
Seleccione Upload Certificate y cargue el certificado de firma SAML de Citrix Cloud de reemplazo obtenido de los metadatos de SAML.
Nota:
Las aplicaciones SAML de Azure Active Directory pueden tener configurados varios certificados de verificación de firma para que sea posible cargar un certificado de reemplazo mucho antes de que caduque el certificado actual. La siguiente captura de pantalla muestra dos certificados válidos. Uno de los certificados caducará en un futuro próximo. Siempre que al menos uno de los certificados cargados sea válido y no haya caducado, el inicio de sesión con SAML en Citrix Workspace y Citrix Cloud seguirá funcionando correctamente y no se producirá ninguna interrupción.
Importante:
No quite el certificado de verificación existente hasta que hayan pasado la fecha y la hora de rotación de SAML indicadas en el correo electrónico y en la notificación de la consola de administración de Citrix Cloud. El nuevo certificado de Citrix Cloud se activa solo en la fecha y la hora indicadas en esas dos notificaciones.
Cargar un certificado de firma SAML de Citrix Cloud de reemplazo en su aplicación SAML de Okta
Okta no admite varios certificados de firma SAML de proveedor de servicios (SP) al mismo tiempo. No tiene más opción que sobrescribir el certificado de firma de SP de Citrix Cloud que utiliza actualmente con el nuevo. Se recomienda hacerlo en un período de mantenimiento programado.
-
Vaya a Applications, seleccione Applications y busque su aplicación SAML de Okta
-
En General, vaya a SAML Settings, haga clic en Edit, seleccione Configure SAML, seleccione Show Advanced Settings y haga clic en Signature Certificate para cargar el certificado de reemplazo. Okta no muestra el certificado de firma SAML de Citrix Cloud actual en la interfaz de usuario de carga. Solo mostrará el certificado de reemplazo una vez que se haya cargado.
-
Seleccione Signature Certificate, haga clic en Browse Files y cargue el certificado de firma SAML de Citrix Cloud de reemplazo obtenido de los metadatos de SAML de Citrix Cloud.
Importante
No sobrescriba el certificado de verificación existente hasta la fecha y la hora de rotación de SAML indicadas en el correo electrónico y en la notificación de la consola de administración de Citrix Cloud. El nuevo certificado de Citrix Cloud solo se activa en la fecha y la hora indicadas en esas dos notificaciones.
En este artículo
- Certificado de firma del proveedor de servicios
- Preguntas frecuentes
- Usar el intercambio de metadatos para actualizar automáticamente el proveedor de SAML con el certificado de firma SAML más reciente del proveedor de servicios (SP) de Citrix Cloud
- Actualizar manualmente el proveedor de SAML con el certificado de firma SAML más reciente del proveedor de servicios de Citrix Cloud
- Cargar un certificado de firma SAML de Citrix Cloud de reemplazo en su aplicación SAML de Azure Active Directory