Configuración de la autenticación SAML

El lenguaje de marcado de aserción de seguridad (SAML) es un estándar basado en XML para intercambiar autenticación y autorización entre proveedores de identidad (IdP) y proveedores de servicios. Citrix Gateway admite la autenticación SAML.

Al configurar la autenticación SAML, se crean los siguientes valores:

  • Nombre del certificado del IdP. Esta es la clave pública que corresponde a la clave privada en el IdP.
  • Dirección URL de redirección. Esta es la URL del IdP de autenticación. Los usuarios que no están autenticados se redirigen a esta URL.
  • Campo de usuario. Puede utilizar este campo para extraer el nombre de usuario si el IdP envía el nombre de usuario en un formato diferente al de la etiqueta NameIdentifier de la etiqueta Subject. Este es un ajuste opcional.
  • Nombre del certificado de firma. Esta es la clave privada del servidor Citrix Gateway que se utiliza para firmar la solicitud de autenticación en el IdP. Si no configura un nombre de certificado, la aserción se envía sin firmar o se rechaza la solicitud de autenticación.
  • Nombre del emisor SAML. Este valor se utiliza cuando se envía la solicitud de autenticación. Debe haber un nombre único en el campo emisor para indicar la autoridad desde la que se envía la aserción. Este es un campo opcional.
  • Grupo de autenticación predeterminado. Este es el grupo del servidor de autenticación desde el que se autentican los usuarios.
  • Dos factores. Esta configuración habilita o inhabilita la autenticación de dos factores.
  • Rechazar aserción sin firmar. Si está habilitada, Citrix Gateway rechaza la autenticación de usuario si el nombre del certificado de firma no está configurado.

Citrix Gateway admite el enlace posterior de HTTP. En este enlace, el remitente responde al usuario con un 200 OK que contiene una publicación automática de formulario con la información requerida. Específicamente, ese formulario predeterminado debe contener dos campos ocultos denominados SAMLRequest y SAMLResponse, dependiendo de si el formulario es una solicitud o respuesta. El formulario también incluye RelayState, que es un estado o información utilizada por el remitente para enviar información arbitraria que no es procesada por parte de confianza. La parte que confía simplemente envía la información de vuelta para que cuando la parte que envía reciba la afirmación junto con RelayState, la parte que envía sepa qué hacer a continuación. Citrix recomienda cifrar u ofuscar RelayState.

Configuración de Servicios de federación de Active Directory 2.0

Puede configurar los Servicios de federación de Active Directory (AD FS) 2.0 en cualquier equipo con Windows Server 2008 o Windows Server 2012 que utilice en un rol de servidor federado. Al configurar el servidor de AD FS para que funcione con Citrix Gateway, debe configurar los siguientes parámetros mediante el Asistente para confianza de usuarios de confianza en Windows Server 2008 o Windows Server 2012.

Parámetros de Windows Server 2008:

  • Confianza de la parte que confía. Proporcione la ubicación del archivo de metadatos de Citrix Gatewayhttps://vserver.fqdn.com/ns.metadata.xml, como, por ejemplo, donde vserver.fqdn.com es el nombre de dominio completo (FQDN) del servidor virtual de Citrix Gateway. Puede encontrar el FQDN en el certificado de servidor enlazado al servidor virtual.
  • Reglas de autorización. Puede permitir o denegar a los usuarios el acceso a la parte que confía.

Parámetros de Windows Server 2012:

  • Confianza de la parte que confía. Proporcione la ubicación del archivo de metadatos de Citrix Gatewayhttps://vserver.fqdn.com/ns.metadata.xml, como, por ejemplo, donde vserver.fqdn.com es el nombre de dominio completo (FQDN) del servidor virtual de Citrix Gateway. Puede encontrar el FQDN en el certificado de servidor enlazado al servidor virtual.

  • Perfil de AD FS. Seleccione el perfil de AD FS.

  • Certificado. Citrix Gateway no admite el cifrado. No es necesario seleccionar un certificado.

  • Habilite la compatibilidad con el protocolo SAML 2.0 WebSSO. Esto habilita la compatibilidad con SAML 2.0 SSO. Proporcione la dirección URL del servidor virtual de Citrix Gateway, comohttps:netScaler.virtualServerName.com/cgi/samlauath.

    Esta dirección URL es la URL del servicio de consumidor de aserción en el dispositivo Citrix Gateway. Este es un parámetro constante y Citrix Gateway espera una respuesta SAML en esta URL.

  • Identificador de confianza de parte que confía. Escriba el nombre de Citrix Gateway. Esta es una URL que identifica a las partes que confían, comohttps://netscalerGateway.virtualServerName.com/adfs/services/trust

  • Reglas de autorización. Puede permitir o denegar a los usuarios el acceso a la parte que confía.

  • Configurar reglas de notificación. Puede configurar los valores para los atributos LDAP mediante las reglas de transformación de emisión y utilizar la plantilla Enviar atributos LDAP como notificaciones. A continuación, configure las opciones de LDAP que incluyen:

    • Direcciones de correo electrónico
    • SamAccountName
    • Nombre principal de usuario (UPN)
    • Miembro de
  • Firma del certificado. Puede especificar los certificados de verificación de firma seleccionando las Propiedades de una Parte de retransmisión y, a continuación, agregando el certificado.

    Si el certificado de firma es inferior a 2048 bits, aparece un mensaje de advertencia. Puede ignorar la advertencia para continuar. Si está configurando una implementación de prueba, inhabilite la Lista de revocación de certificados (CRL) en la Parte de transmisión. Si no inhabilita la comprobación, AD FS intenta la CRL para validar el certificado.

    Puede inhabilitar la CRL ejecutando el siguiente comando: Set-ADFWrelayingPartyTrust - SigningCertFicateRevocatonCheck None-TargetName NetScaler

Después de configurar los valores, compruebe los datos de la parte de confianza antes de completar el Asistente para la confianza de la parte de transmisión. Compruebe el certificado del servidor virtual de Citrix Gateway con la dirección URL del endpoint, comohttps://vserver.fqdn.com/cgi/samlauth.

Cuando termine de configurar los parámetros en el Asistente de retransmisión de confianza de parte, seleccione la confianza configurada y, a continuación, edite las propiedades. Debe hacer lo siguiente:

  • Establezca el algoritmo hash seguro en SHA-1.

    Nota: Citrix solo admite SHA-1.

  • Elimine el certificado de cifrado. Las aserciones cifradas no son compatibles.

  • Edite las reglas de notificación, incluidas las siguientes:

    • Seleccionar regla de transformación
    • Agregar regla de notificación
    • Seleccionar plantilla de regla de notificación: Enviar atributos LDAP como notificaciones
    • Dar un nombre
    • Seleccionar almacén de atributos: Active Directory
    • <Active Directory parameters>Seleccione el atributo LDAP:
    • Seleccione Regla de reclamo en marcha fuera como “ID de nombre”

    Nota: Las etiquetas XML de nombre de atributo no son compatibles.

  • Configure la URL de cierre de sesión para el cierre de sesión único. La regla de notificación es Enviar URL de cierre de sesión. La regla personalizada debe ser la siguiente:

    pre codeblock => issue(Type = "logoutURL", Value = "https://<adfs.fqdn.com>/adfs/ls/", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified");

Después de configurar la configuración de AD FS, descargue el certificado de firma de AD FS y, a continuación, cree una clave de certificado en Citrix Gateway. A continuación, puede configurar la autenticación SAML en Citrix Gateway mediante el certificado y la clave.

Configuración de la autenticación de dos factores SAML

Puede configurar la autenticación de dos factores SAML. Cuando configure la autenticación SAML con autenticación LDAP, utilice las siguientes directrices:

  • Si SAML es el tipo de autenticación principal, inhabilite la autenticación en la directiva LDAP y configure la extracción de grupo. A continuación, vincule la directiva LDAP como el tipo de autenticación secundario.
  • La autenticación SAML no utiliza una contraseña y solo utiliza el nombre de usuario. Además, la autenticación SAML solo informa a los usuarios cuando la autenticación se realiza correctamente. Si la autenticación SAML falla, no se notifica a los usuarios. Dado que no se envía una respuesta de error, SAML tiene que ser la última directiva de la cascada o la única directiva.
  • Citrix recomienda configurar nombres de usuario reales en lugar de cadenas opacas.
  • SAML no puede vincularse como el tipo de autenticación secundario.