Citrix Gateway

Configurar la autenticación SAML

El lenguaje de marcado de aserciones de seguridad (SAML) es un estándar basado en XML para intercambiar autenticación y autorización entre proveedores de identidad (IdP) y proveedores de servicios. Citrix Gateway admite la autenticación SAML.

Al configurar la autenticación SAML, crea la siguiente configuración:

  • Nombre del certificado del IdP. Esta es la clave pública que corresponde a la clave privada del IdP.
  • URL de redireccionamiento. Esta es la dirección URL del IdP de autenticación. Los usuarios que no están autenticados se redirigen a esta URL.
  • Campo de usuario. Puede utilizar este campo para extraer el nombre de usuario si el IdP envía el nombre de usuario en un formato diferente al de la etiqueta NameIdentifier de la etiqueta Subject. Este es un parámetro opcional.
  • Nombre del certificado de firma. Es la clave privada del servidor Citrix Gateway que se utiliza para firmar la solicitud de autenticación al IdP. Si no configura un nombre de certificado, la aserción se envía sin firmar o se rechaza la solicitud de autenticación.
  • Nombre del emisor SAML. Este valor se utiliza cuando se envía la solicitud de autenticación. Debe haber un nombre único en el campo emisor para indicar la autoridad desde la que se envía la afirmación. Este campo es opcional.
  • Grupo de autenticación predeterminado. Es el grupo del servidor de autenticación desde el que se autentican los usuarios.
  • Dos factores. Esta configuración habilita o inhabilita la autenticación de dos factores.
  • Rechazar afirmaciones sin firmar. Si se habilita, Citrix Gateway rechaza la autenticación de usuarios si el nombre del certificado de firma no está configurado.

Citrix Gateway admite el enlace posterior a HTTP. En este enlace, el remitente responde al usuario con 200 OK que contiene una publicación automática de formulario con la información requerida. Específicamente, que un formulario predeterminado debe contener dos campos ocultos llamados SAMLRequest y SAMLResponse, en función de si el formulario es una solicitud o una respuesta. El formulario también incluye RelayState, que es un estado o información utilizada por la parte que envía para enviar información arbitraria que no es procesada por la parte que confía. La parte que confía simplemente envía la información de vuelta para que cuando la parte que envía reciba la afirmación junto con RelayState, la parte que envía sepa qué hacer a continuación. Citrix recomienda cifrar u ofuscar el RelayState.

Configuración de Servicios de federación de Active Directory 2.0

Puede configurar los Servicios de federación de Active Directory (AD FS) 2.0 en cualquier equipo con Windows Server 2008 o Windows Server 2012 que utilice en un rol de servidor federado. Al configurar el servidor ADFS para que sea compatible con Citrix Gateway, debe configurar los siguientes parámetros mediante el Asistente para confianza de parte que confía en Windows Server 2008 o Windows Server 2012.

Parámetros de Windows Server 2008:

  • Confianza del partido. Proporciona la ubicación del archivo de metadatos de Citrix Gateway https://vserver.fqdn.com/ns.metadata.xml, por ejemplo, donde vserver.fqdn.com es el nombre de dominio completo (FQDN) del servidor virtual de Citrix Gateway. Puede encontrar el FQDN en el certificado de servidor vinculado al servidor virtual.
  • Reglas de autorización. Puede permitir o denegar a los usuarios el acceso a la parte que confía.

Parámetros de Windows Server 2012:

  • Confianza del partido. Proporciona la ubicación del archivo de metadatos de Citrix Gateway https://vserver.fqdn.com/ns.metadata.xml, por ejemplo, donde vserver.fqdn.com es el nombre de dominio completo (FQDN) del servidor virtual de Citrix Gateway. Puede encontrar el FQDN en el certificado de servidor vinculado al servidor virtual.

  • Perfil AD FS. Seleccione el perfil de AD FS.

  • Certificado. Citrix Gateway no admite el cifrado. No es necesario seleccionar un certificado.

  • Habilite la compatibilidad con el protocolo WebSSO SAML 2.0. Esto permite admitir el inicio de sesión único de SAML 2.0. Proporciona la URL del servidor virtual de Citrix Gateway, como https:netScaler.virtualServerName.com/cgi/samlauth.

    Esta URL es la URL de Assertion Consumer Service del dispositivo Citrix Gateway. Se trata de un parámetro constante y Citrix Gateway espera una respuesta SAML en esta URL.

  • Identificador de confianza de parte que confía Escriba el nombre Citrix Gateway. Esta es una URL que identifica a las partes que confían, por ejemplo https://netscalerGateway.virtualServerName.com/adfs/services/trust.

  • Reglas de autorización. Puede permitir o denegar a los usuarios el acceso a la parte que confía.

  • Configurar reglas de notificación. Puede configurar los valores de los atributos LDAP mediante Reglas de transformación de emisión y utilizar la plantilla Enviar atributos LDAP como notificaciones. A continuación, configure los ajustes de LDAP que incluyen:

    • Direcciones de correo
    • sAMAccountName
    • Nombre principal de usuario (UPN)
    • Miembro de
  • Firma de certificado. Puede especificar los certificados de verificación de firma seleccionando las propiedades de una parte retransmitiendo y, a continuación, agregando el certificado.

    Si el certificado de firma tiene menos de 2048 bits, aparece un mensaje de advertencia. Puede ignorar la advertencia para continuar. Si va a configurar una implementación de prueba, inhabilite la lista de revocación de certificados (CRL) en la parte que transmite. Si no inhabilita la comprobación, AD FS intenta la CRL para validar el certificado.

    Puede inhabilitar la CRL ejecutando el siguiente comando: Set-ADFWrelayingPartyTrust - SigningCertFicateRevocatonCheck None-TargetName NetScaler

Después de configurar la configuración, compruebe los datos de la parte que confía antes de completar el Asistente para confianza de la parte de retransmisión. Comprueba el certificado del servidor virtual de Citrix Gateway con la URL del endpoint, como https://vserver.fqdn.com/cgi/samlauth.

Una vez que haya terminado de configurar los ajustes en el Asistente para confianza de la parte de retransmisión, seleccione la confianza configurada y, a continuación, modifique las propiedades. Lleve a cabo lo siguiente:

  • Establezca el algoritmo hash seguro en SHA-1.

    Nota: Citrix solo admite SHA-1.

  • Elimine el certificado de cifrado. Las afirmaciones cifradas no son compatibles.

  • Modifique las reglas de notificación, incluidas las siguientes:

    • Seleccionar regla de transformación
    • Agregar regla de notificación
    • Seleccionar plantilla de reglas de notificación: enviar atributos LDAP como notificaciones
    • Dar un nombre
    • Seleccionar almacén de atributos: Active Directory
    • Seleccione el atributo LDAP: <Active Directory parameters>
    • Seleccione Regla de reclamo en marcha fuera como “ID de nombre”

    Nota: Las etiquetas XML de nombre de atributo no son compatibles.

  • Configure la URL de cierre de sesión para el cierre de sesión único. La regla de notificación es Enviar URL de cierre de sesión. La regla personalizada debe ser la siguiente:

    pre codeblock => issue(Type = "logoutURL", Value = "https://<adfs.fqdn.com>/adfs/ls/", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"); <!--NeedCopy-->

Después de configurar la configuración de AD FS, descargue el certificado de firma de AD FS y, a continuación, cree una clave de certificado en Citrix Gateway. A continuación, puede configurar la autenticación SAML en Citrix Gateway mediante el certificado y la clave.

Configuración de la autenticación de dos factores SAML

Puede configurar la autenticación de dos factores SAML. Al configurar la autenticación SAML con autenticación LDAP, siga las siguientes pautas:

  • Si SAML es el tipo de autenticación principal, inhabilite la autenticación en la directiva LDAP y configure la extracción de grupo. A continuación, vincule la directiva LDAP como tipo de autenticación secundaria.
  • La autenticación SAML no utiliza una contraseña y solo utiliza el nombre de usuario. Además, la autenticación SAML solo informa a los usuarios cuando la autenticación se realiza correctamente. Si se produce un error en la autenticación SAML, no se notifica a los usuarios. Dado que no se envía una respuesta de error, SAML tiene que ser la última directiva de la cascada o la única directiva.
  • Citrix recomienda configurar nombres de usuario reales en lugar de cadenas opacas.
  • SAML no se puede enlazar como tipo de autenticación secundaria.
Configurar la autenticación SAML