Guía de configuración de inicio de sesión único de Citrix Content Collaboration para Citrix Gateway

Puede configurar Citrix Gateway ADC mediante la característica AAA de Citrix ADC para funcionar como proveedor de identidades SAML.

En esta configuración, un usuario que inicia sesión en Citrix Content Collaboration mediante un explorador web u otros clientes de Citrix Files se redirige a un servidor virtual de Citrix Gateway con una directiva IP SAML habilitada para la autenticación de usuario. Después de la autenticación correcta con Citrix Gateway, el usuario recibe un token SAML válido para iniciar sesión en su cuenta de Citrix Content Collaboration.

La configuración es necesaria para crear el certificado SP para poder importarlo en Citrix Gateway y enlazarlo al servidor virtual Citrix ADC AAA. A efectos de este documento, se supone que ya ha creado las entradas DNS externas e internas adecuadas para enrutar las solicitudes de autenticación que Citrix Gateway escucha y que ya se ha creado e instalado un certificado SSL en Citrix Gateway para la comunicación SSL/HTTPS.

Configurar Citrix Content Collaboration

1. Inicie sesión en su cuenta en https://subdomain.sharefile.com con una cuenta de usuario que tenga derechos de administrador.
2. Selecciona Configuración > Configuración de administrador.
3. Seleccione Seguridad > Directiva de inicio de sesión y seguridad, desplácese hacia abajo y seleccione la opción Configuración de inicio de sesión único.
4. En Configuración básica, marque Habilitar SAML.
5. En el campo ID de entidad o emisor de ShareFile, introduzca: https://subdomain.sharefile.com/saml/acs
6. En el campo URL de inicio de sesión, introduzca la URL a la que se redirige a los usuarios cuando se utiliza SAML. Ejemplo:https://aaavip.mycompany.com/saml/login
7. En el campo Dirección URL de cierre de sesión, introduzca la URL de cierre de sesión que caduca la sesión de los usuarios al seleccionar la opción de cierre de sesión en la interfaz de usuario web. Ejemplo:https://aaavip.mycompany.com/cgi/tmlogout
8. Para el certificado X.509, debe exportar el certificado SSL desde el dispositivo Citrix Gateway que va a responder por el tráfico de Citrix ADC AAA. En el ejemplo anterior, se hace referencia a esto como que se le asigna el siguiente FQDN: aaavip.mycompany.com.

Siga los pasos que se indican a continuación para exportar este certificado.

1. Inicie sesión en el dispositivo Citrix Gateway mediante la Utilidad de configuración.
2. Seleccione Administración de tráfico > SSL.

3. A la derecha, debajo de Herramientas, seleccione Administrar certificados/claves/CSR.

   

4. En la ventana Administrar certificados, busque el certificado que está utilizando para el servidor virtual Citrix ADC AAA. Seleccione el certificado y elija el botón Descargar. Guarde el certificado en la ubicación que prefiera.
5. Desde la ubicación descargada, haga clic derecho en el certificado y ábralo con un editor de texto como el Bloc de notas.
6. Copie todo el contenido del certificado en el portapapeles.
7. Vuelva a su cuenta de Citrix Content Collaboration mediante el explorador web.

8. Para el certificado X.509, seleccione Cambiar. Pegue el contenido del certificado que copió en el portapapeles en la ventana.

   

9. Seleccione Guardar.

10. En Configuración opcional, cambie Requerir inicio de sesión único a sí si desea que todos los usuarios empleados tengan que usar sus credenciales de AD para iniciar sesión.
11. Seleccione la lista situada junto a Certificado SSO iniciado por SP. En la lista, seleccione HTTP Post (certificado de 2048 bits).
12. Active Sí para forzar la regeneración del certificado SSO iniciado por SP.
13. Marque Sí para habilitar la autenticación web.

14. En Contexto de autenticación iniciado por SP, elija Sin especificar.

    

15. Seleccione el botón Guardar en la parte inferior de la pantalla.

Configurar Citrix Gateway

Se requiere la siguiente configuración para admitir como proveedor de identidades SAML:

• Directiva de autenticación LDAP y servidor para autenticación de dominio
• Certificado SSL con DNS externo o interno configurado de acuerdo con el FQDN que presenta el certificado (se admiten certificados comodín)
• Certificado SP de ShareFile
• Directiva y perfil de IdP de SAML
• Servidor virtual Citrix ADC AAA

A los efectos de este material, cubrimos la configuración de LDAP, la importación de certificados SP de ShareFile en Citrix Gateway, la configuración de SAML IDP y la configuración de Citrix ADC AAA Virtual Server. Las configuraciones de certificado SSL y DNS deben estar en su lugar antes de la instalación.

Para configurar la autenticación de dominio

Para que los usuarios de dominio puedan iniciar sesión con su dirección de correo electrónico corporativa, debe configurar una directiva y un servidor de autenticación LDAP en Citrix Gateway y vincularlo a su Citrix ADC AAA VIP. También se admite el uso de una configuración LDAP existente.

1. En la utilidad de configuración, seleccione Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas básicas > Directiva > LDAP en el panel de navegación izquierdo.
2. Para crear una directiva LDAP, en la ficha Directivas, haga clic en Agregar… y, a continuación, escriba ShareFile_LDAP_SSO_Policy como nombre. En el tipo de acción, seleccione LDAP.
3. En el campo Acción, haga clic en + para agregar un servidor. Aparecerá la ventana Crear servidor LDAP de autenticación.
   • En el campo Nombre, escriba ShareFile_LDAP_SSO_Server.
   • Seleccione la viñeta para IP del servidor. Introduzca la dirección IP de uno de sus controladores de dominio de AD. También puede apuntar a una IP de servidor virtual para obtener redundancia si está equilibrando la carga DC.
   • Especifique el puerto que utiliza el NSIP para comunicarse con el controlador de dominio. Utilice 389 para LDAP o 636 para LDAP seguro.
   • En Configuración de conexión, introduzca el DN base donde residen las cuentas de usuario en AD que desea permitir la autenticación. Por ejemplo: ou=ShareFile, DC = dominio, DC = com.
   • En el campo DN de enlace del administrador, agregue una cuenta de dominio (mediante una dirección de correo electrónico para facilitar la configuración) que tenga derechos para examinar el árbol de AD. Una cuenta de servicio es aconsejable para que no haya problemas con los inicios de sesión si la cuenta configurada tiene una expiración de contraseña.
   • Marque la casilla Enlazar contraseña de DN y proporcione la contraseña dos veces.
   • En Otros ajustes, escriba SAMAccountName como Atributo de nombrede inicio de sesión del servidor.
   • En el campo Atributo de grupo, escriba memberof.
   • En el campo Subatributo, escriba CN.
   • Haga clic en Más.
   • Desplácese hacia abajo y en los campos de atributo, Atributo 1, escriba mail.

   

   • Haga clic en el botón Crear para completar la configuración del servidor LDAP.
   • Para Configuración de directivas LDAP, seleccione el servidor LDAP recién creado en el menú servidor y, en el campo Expresión, escriba true.

   

Haga clic en Crear para completar la directiva LDAP y la configuración del servidor.

Para importar el certificado SP a Citrix Gateway

1. Inicie sesión en su cuenta en https://subdomain.sharefile.com con una cuenta de usuario que tenga derechos de administrador.
2. Selecciona el enlace Ajustes > Configuración de administración cerca de la izquierda/centro de la página. Seleccione Seguridad > Política de inicio de sesión y seguridad y, a continuación, desplácese hacia abajo hasta Configuración de inicio de sesión único.
3. En Configuración opcional, junto a Certificado SSO iniciado por SP, HTTP Post (certificadode 2048 bits)haga clic enVer.
4. Copie todo el hash de certificado en el portapapeles y péguelo en un lector de texto como el Bloc de notas.
5. Observe el formato y elimine los espacios adicionales o retornos de carro al final del archivo y, a continuación, guarde el archivo de texto como ShareFile_saml.cer.
6. Vaya a la utilidad de configuración de Citrix Gateway.
7. Seleccione Administración de tráfico > SSL > Certificados > Certificados de CA.
8. Haga clic en Instalar.
9. En la ventana Instalar certificado, proporcione un nombre de par de claves de certificado.
10. En la sección Nombre de archivo de certificado, seleccione el menú junto a Examinar y seleccione Local. Busque la ubicación en la que guardó el archivo ShareFile_SAML.cer.
11. Una vez elegido el archivo, seleccione Instalar.

Para configurar la directiva y el perfil del IdP SAML

Para que los usuarios reciban el token SAML para iniciar sesión en Citrix Content Collaboration, debe configurar una directiva y un perfil de IdP de SAML, enlazado al servidor virtual Citrix ADC AAA al que los usuarios están proporcionando sus credenciales.

Los siguientes pasos describen este proceso:

1. Abra la utilidad de configuración de Citrix Gateway y vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > IDP SAML.
2. En la ficha Directivas, seleccione el botón Agregar.
3. En la ventana Crear directiva de IDP SAML de autenticación, proporcione un nombre para la directiva, como ShareFile_SSO_Policy.
4. A la derecha del campo Acción, selecciona el signo + para Agregar una nueva acción/perfil.
5. Proporcione un nombre como ShareFile_sso_profile y quite la casilla de verificación Importar metadatos. Si está ejecutando una versión anterior de NetScaler, es posible que esta casilla de verificación no exista.
6. En el campo URL del servicio de consumidor de aserción, introduzca la dirección URL de la cuenta de Citrix Content Collaboration seguida de /saml/acs: Ex. https://subdomain.sharefile.com/saml/acs
7. En el campo Nombre de certificado de IDP, busque el certificado instalado en Citrix Gateway que se utiliza para proteger el servidor virtual de autenticación Citrix ADC AAA.
8. En el campo Nombre de certificado SP, seleccione el menú y busque el certificado SP importado anteriormente y agregado como certificado de CA.
9. Para la aserción de signos, deje ASERTION.
10. Borra Enviar contraseña.
11. En el campo Nombre del emisor, introduzca la URL del tráfico de Citrix ADC AAA. Ejemplo: https://aaavip.mycompany.com.
12. Deje el ID del proveedor de servicios en blanco.
13. Desactive Rechazar solicitudes sin firmar.
14. Algoritmo de firma, RSA-SHA256
15. Método de resumen, SHA256.
16. Para Encuadernación SAML, seleccione POST.
17. Haga clic en Más.
18. En el campo Audiencia, proporcione la URL de su cuenta de Citrix Content Collaboration.
19. En Tiempo de sesgo, escriba 5. Esto permite una diferencia de tiempo de 5 minutos entre el cliente, Citrix Gateway y Citrix Content Collaboration.
20. En Formato de ID de nombre, seleccione Transient.

21. En el campo Expresión de ID de nombre, escriba lo siguiente: aaa.user.attribute(1). Si utiliza NetScaler 11.x, escriba http.req.user.attribute(1).

    

22. Haga clic en Crear para completar la configuración del perfil de IdP de SAML y volver a la ventana de creación de directivas de IdP de SAML.
23. En el campo Expresión, agregue la siguiente expresión: HTTP.REQ.URL.CONTAINS(“saml”)

24. Haga clic en Crear para completar la configuración del IdP SAML.

    

Para configurar el servidor virtual Citrix ADC AAA

Cuando un empleado intenta iniciar sesión, para que pueda utilizar sus credenciales corporativas, se le redirige a un servidor virtual Citrix Gateway ADC AAA de Citrix Gateway. Este servidor virtual escucha en el puerto 443, que requiere un certificado SSL, además de la resolución DNS externa e interna de la dirección IP alojada en Citrix Gateway. Los siguientes pasos requieren que existan previamente, supongamos que la resolución de nombres DNS ya está instalada y que el certificado SSL ya está instalado en el dispositivo Citrix Gateway.

1. En la Utilidad de configuración, vaya a Seguridad > AAA: Tráfico de aplicaciones > Servidores virtuales y seleccione el botón Agregar.
2. En la ventana Servidor virtual de autenticación, proporcione un nombre y una dirección IP.

3. Desplácese hacia abajo y asegúrese de que las casillas de verificación Autenticación y Estado están marcadas

   

4. Haga clic en Continue.
5. En la sección Certificados, haga clic en Sin certificado de servidor.
6. En la ventana Clave de certificado del servidor, haga clic en Enlazar.
7. En Certificados SSL, elija el certificado SSL AAA de Citrix ADC y seleccione Insertar. Nota: Este NO es el certificado SP de ShareFile
8. Haga clic en Vincular y, a continuación, en Continuar.
9. En la opción Directivas de autenticación avanzadas, haga clic en Sin directiva de autenticación.
10. En la página Enlace de directivas, seleccione Directiva, seleccione Sharefile_LDAP_SSO_Policy creada anteriormente.
11. Haga clic en Seleccionar y, a continuación, Enlazar (dejando los valores predeterminados) para volver a la pantalla Servidor virtual de autenticación.
12. En Directivas de autenticación avanzadas, haga clic en Sin directiva de IDP SAML.
13. En Directivas, seleccione SHAREFILE_SSO_POLICY. Haga clic en Select.
14. En la página Enlace de directivas (deje los valores predeterminados), haga clic en Enlazary, a continuación, Cerrar.
15. Haga clic en Continuar y Listo.

Validar la configuración

1. Vaya a https://subdomain.sharefile.com/saml/login. Ahora se le redirige al formulario de inicio de sesión de Citrix Gateway.
2. Inicie sesión con sus credenciales de usuario que sean válidas para el entorno configurado. Ahora aparecerán las carpetas en subdomain.sharefile.com.