Integración de ADFS con Secure Workspace Access

Las normas de reclamación son necesarias para controlar el flujo de reclamaciones a través de la tramitación de reclamaciones. Las reglas de notificación también se pueden utilizar para personalizar el flujo de notificaciones durante el proceso de ejecución de la regla de notificación. Para obtener más información acerca de las notificaciones, consulte documentación de Microsoft.

Para configurar ADFS para que acepte notificaciones de Citrix Secure Workspace Access, debe realizar los siguientes pasos:

  1. Agregar confianza del proveedor de reclamaciones en ADFS.
  2. Complete la configuración de la aplicación en Citrix Secure Workspace Access.

Agregar confianza del proveedor de reclamaciones en ADFS

  1. Abra la consola de administración de ADFS. Vaya a ADFS > Relación de confianza > Confianza del proveedor de reclamaciones.
    1. Haga clic con el botón derecho y seleccione Agregar confianza del proveedor de reclamaciones Asistente para agregar confianza de proveedor de notificación

    2. Agregue una aplicación en Secure Workspace Access que se utiliza para federar a ADFS. Para obtener información detallada, consulte Configuración de aplicaciones en Citrix Secure Workspace Access.

    Nota:

    Primero agregue la aplicación y, desde la sección de configuración de SSO de la aplicación, puede descargar el archivo de metadatos SAML e importar el archivo de metadatos a ADFS.

    Descargar metadatos SAML

    1. Complete los pasos para terminar de agregar la confianza del proveedor de reclamaciones. Una vez completada la adición de la confianza del proveedor de la notificación, aparecerá una ventana para editar la regla de notificación.
    2. Agregue una regla de notificación con Transformar una notificación entrante. Agregar una regla de notificación
    3. Complete la configuración como se muestra en la siguiente figura. Si su ADFS acepta otras notificaciones, utilice dichas notificaciones y configure el inicio de sesión inicio de sesión en Secure Workspace Access también en consecuencia. Complete la configuración de regla de notificación

Ahora ha configurado la confianza del proveedor de notificación que confirma que ADFS confía ahora en Citrix Secure Workspace Access for SAML.

Identificador de confianza del proveedor de reclamación

Anote el identificador de confianza del proveedor de reclamaciones que agregó. Necesita este ID al configurar la aplicación en Citrix Secure Workspace Access. ID de confianza de proveedor de notificación de ejemplo

Identificador de Parte de retransmisión

Si su aplicación SaaS ya está autenticada con ADFS, entonces ya debe tener la confianza de retransmisión agregada para esa aplicación. Necesita este ID al configurar la aplicación en Citrix Secure Workspace Access.

ID de identificador de parte de retransmisión de muestra

Habilitar el estado de retransmisión en el flujo iniciado por IdP

RelayState es un parámetro del protocolo SAML que se utiliza para identificar el recurso específico al que acceden los usuarios después de iniciar sesión y dirigirse al servidor de federación de la parte que confía. Si RelayState no está habilitado en ADFS, los usuarios ven un error después de autenticarse en los proveedores de recursos que lo requieren.

Para ADFS 2.0, debe instalar la actualización KB2681584 (paquete acumulativo de actualizaciones 2) o KB2790338 (paquete acumulativo de actualizaciones 3) para proporcionar compatibilidad con RelayState. ADFS 3.0 cuenta con soporte RelayState integrado. En ambos casos, RelayState aún necesita estar habilitado.

Para habilitar el parámetro RelayState en los servidores ADFS

  1. Abra el archivo.
    • Para ADFS 2.0, escriba el siguiente archivo en el Bloc de notas: %systemroot%\ inetpub\ adfs\ ls\ web.config
    • Para ADFS 3.0, escriba el siguiente archivo en el Bloc de notas: %systemroot%\ ADFS\ Microsoft.IdentityServer.ServiceHost.exe.config
  2. En la sección Microsoft.IdentityServer.web, agregue una línea para UserelyStateForIdpInitiatedSignon de la siguiente manera y guarde el cambio: <microsoft.identityServer.web> ... <useRelayStateForIdpInitiatedSignOn enabled="true" /> ...</microsoft.identityServer.web>
    • Para ADFS 2.0, ejecute IISReset para reiniciar IIS.
  3. Para ambas plataformas, reinicie los Servicios de federación de Active Directory (adfssrv) service. Nota: Si tiene Windows 2016 o Windows 10, utilice el siguiente comando de PowerShell para habilitarlo. Set-AdfsProperties -EnableRelayStateForIdpInitiatedSignOn $true

Vincular a comandos - https://docs.microsoft.com/en-us/powershell/module/adfs/set-adfsproperties?view=win10-ps

Configuración de aplicaciones en Citrix Secure Workspace Access

Puede configurar el flujo iniciado por el IdP o el flujo iniciado por el SP. Los pasos para configurar el flujo iniciado por IdP o SP en Citrix Secure Workspace Access son los mismos, excepto que para el flujo iniciado por SP, debe activar la casilla de verificación Iniciar la aplicación utilizando la URL especificada (iniciado por SP) en la interfaz de usuario.

Flujo iniciado por IdP

  1. Al configurar el flujo iniciado por el IdP, configure lo siguiente.
  2. Configuración de SSO SAML.

    Los siguientes son los valores predeterminados del servidor ADFS. Si se cambia alguno de los valores, obtenga los valores correctos de los metadatos del servidor ADFS. Los metadatos de federación del servidor ADFS se pueden descargar desde su extremo de metadatos de federación, cuyo extremo se puede conocer desde ADFS > Servicio > Endpoints.

    • URL de aserciónhttps://<adfs fqdn>/adfs/ls/
    • Estado de retransmisión : el estado de retransmisión es importante para el flujo iniciado por el IdP. Siga este enlace para construirlo correctamente - https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/jj127245(v=ws.10)

      Ejemplo: rpID=http%3A%2F%2FDev98714.service-now.com&relayState=http%3A%2F%2FDev98714.service-now.com%2F

    • Audienciahttp://<adfsfqdn>/adfs/services/trust
    • Para ver las otras opciones de configuración de SSO SAML, consulte la siguiente imagen. Para obtener información más detallada, consulte https://docs.citrix.com/en-us/citrix-gateway-service/support-saas-apps.html.

    Configuración de metadatos SAML

  3. Guarde y suscriba la aplicación al usuario.

Flujo iniciado por SP

Para el flujo iniciado por SP, configure los parámetros como se capturan en la sección de flujo iniciado por el IDP. Además, active la casilla de verificación Iniciar la aplicación con la URL especificada (SP iniciado).

Integración de ADFS con Secure Workspace Access