Integración de ADFS con Secure Private Access

Las reglas de reclamos son necesarias para controlar el flujo de reclamos a través del proceso de reclamos. Las reglas de reclamación también se pueden utilizar para personalizar el flujo de reclamaciones durante el proceso de ejecución de la regla de reclamación. Para obtener más información sobre las reclamaciones, consulte la documentación de Microsoft.

Para configurar ADFS para que acepte reclamos de Citrix Secure Private Access, debe realizar los siguientes pasos:

1. Agregue la confianza del proveedor de reclamos en ADFS.
2. Complete la configuración de la aplicación en Citrix Secure Private Access.

Agregue la confianza del proveedor de reclamos en ADFS

1. Abra la consola de administración de ADFS. Vaya a ADFS > Relación de confianza > Confianza del proveedor de reclamos.

   1. Haga clic con el botón derecho y seleccione Agregar confianza del proveedor

   2. Agregue una aplicación en Secure Private Access que se utilice para federarse a ADFS. Para obtener más información, consulte Configuración de aplicaciones en Citrix Secure Private Access.

   Nota:

   Primero agregue la aplicación y, desde la sección de configuración de SSO de la aplicación, puede descargar el archivo de metadatos SAML y, a continuación, importar el archivo de metadatos en ADFS.

   

   1. Complete los pasos para terminar de agregar la confianza del proveedor de reclamos. Después de agregar la confianza del proveedor de reclamos, aparecerá una ventana para modificar la regla de reclamación.
   2. Agrega una regla de reclamo con Transformar un reclamo entrante.
   3. Complete los parámetros tal y como se muestra en la siguiente ilustración. Si su ADFS acepta otros reclamos, utilícelos y configure el SSO en Secure Private Access también en consecuencia.

Ahora ha configurado la confianza del proveedor de notificaciones que confirma que ADFS ahora confía en Citrix Secure Private Access para SAML.

ID de confianza del proveedor de reclamaciones

Anote el identificador de confianza del proveedor de reclamos que agregó. Necesita este ID para configurar la aplicación en Citrix Secure Private Access.

Identificador de parte transmisora

Si su aplicación SaaS ya está autenticada mediante ADFS, entonces ya debe haber agregado la confianza de la parte de retransmisión para esa aplicación. Necesita este ID para configurar la aplicación en Citrix Secure Private Access.

Habilitar el estado de retransmisión en el flujo iniciado por

RelayState es un parámetro del protocolo SAML que se utiliza para identificar el recurso específico al que acceden los usuarios después de iniciar sesión y dirigirse al servidor de federación de la parte de confianza. Si RelayState no está habilitado en ADFS, los usuarios ven un error después de autenticarse en los proveedores de recursos que lo requieren.

Para ADFS 2.0, debe instalar la actualización KB2681584 (paquete acumulativo de actualizaciones 2) o KB2790338 (paquete acumulativo de actualizaciones 3) para proporcionar compatibilidad con RelayState. ADFS 3.0 tiene compatibilidad con RelayState incorporada. En ambos casos, RelayState aún debe estar habilitado.

Para habilitar el parámetro RelayState en los servidores ADFS

1. Abre el archivo.
   • Para ADFS 2.0, introduzca el siguiente archivo en el Bloc de notas: %systemroot%\inetpub\adfs\ls\web.config
   • Para ADFS 3.0, introduzca el siguiente archivo en el Bloc de notas: %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config
2. En la sección Microsoft.identityServer.web, agregue una línea para useRelyStateForIdpInitiatedSignOn de la siguiente manera y guarde el cambio: <microsoft.identityServer.web> ... <useRelayStateForIdpInitiatedSignOn enabled="true" /> ...</microsoft.identityServer.web>
   • Para ADFS 2.0, ejecute IISReset para reiniciar IIS.
3. Para ambas plataformas, reinicie los Servicios de federación de Active Directory (adfssrv) service. Nota: Si tiene Windows 2016 o Windows 10, utilice el siguiente comando de PowerShell para habilitarlo. Set-AdfsProperties -EnableRelayStateForIdpInitiatedSignOn $true

Enlace a los comandos - https://docs.microsoft.com/en-us/powershell/module/adfs/set-adfsproperties?view=win10-ps

Configuración de aplicaciones en Citrix Secure Private Access

Puede configurar el flujo iniciado por el IdP o el flujo iniciado por el SP. Los pasos para configurar el flujo iniciado por el proveedor de identidad o el SP en Citrix Secure Private Access son los mismos, excepto que para el flujo iniciado por el SP, debe seleccionar la casilla de verificación Iniciar la aplicación con la URL especificada (iniciado por el SP) en la interfaz de usuario.

Flujo iniciado por IdP

1. Al configurar el flujo iniciado por el IdP, configure lo siguiente.
   • URL de la aplicación: Utilice el siguiente formato para la URL de la aplicación. https://<adfs fqdn>/adfs/ls/idpinitiatedsignon.aspx?LoginToRP=<rp id>&RedirectToIdentityProvider=<idp id>
   • FQDN de ADFS: FQDN de la configuración de ADFS.
   • ID de RP: ID de RP es el ID que puede obtener de la confianza de la parte de retransmisión. Es lo mismo que el identificador de parte de retransmisión. Si se trata de una URL, se produce la codificación de URL.

   • ID deIDP: el ID de IdP es el mismo que el ID de confianza del proveedor de reclamos. Si se trata de una URL, se produce la codificación de URL.

     Ejemplo: https://adfs1.workspacesecurity.com/adfs/ls/idpinitiatedsignon.aspx?LoginToRP=https%3A%2F%2Fdev98714.service-now.com&RedirectToIdentityProvider=https%3A%2F%2Fcitrix.com%2F9a9sx0ijvihq

2. Configuración de SSO SAML.

   A continuación se muestran los valores predeterminados del servidor ADFS. Si se cambia alguno de los valores, obtenga los valores correctos de los metadatos del servidor ADFS. Los metadatos de federación del servidor ADFS se pueden descargar desde su extremo de metadatos de federación, cuyo extremo se puede conocer en ADFS > Servicio > Dispositivos de punto final.

   • URL de afirmación — https://<adfs fqdn>/adfs/ls/

   • Estado de retransmisión: El estado de retransmisión es importante para el flujo iniciado por IdP. Siga este enlace para construirlo correctamente - https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/jj127245(v=ws.10)

     Ejemplo: RPID=https%3A%2F%2Fdev98714.service-now.com&RelayState=https%3A%2F%2Fdev98714.service-now.com%2F

   • Público — http://<adfsfqdn>/adfs/services/trust
   • Para ver los demás valores de configuración de SSO SAML, consulte la siguiente imagen. Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-secure-private-access/service/support-saas-apps.html

   

3. Guarda y suscribe la aplicación al usuario.

Flujo iniciado por SP

Para el flujo iniciado por el SP, configure los valores tal como se capturaron en la sección Flujo iniciado por IDP. Además, active la casilla de verificación Iniciar la aplicación con la URL especificada (iniciada por el SP).