Implementación ADFS

Introducción

Este documento describe cómo integrar un entorno de Citrix con Microsoft ADFS.

Muchas organizaciones usan ADFS para administrar el acceso seguro de los usuarios a los sitios web que requieren un único punto de autenticación. Por ejemplo, una empresa puede tener descargas y contenido adicionales disponibles para los empleados; estas ubicaciones deben estar protegidas con credenciales de inicio de sesión estándar de Windows.

El Servicio de autenticación federada (FAS) también permite integrar Citrix Gateway y Citrix StoreFront en el sistema de inicio de sesión de ADFS, lo que disminuye el riesgo de confusión para el personal de la empresa.

Esta implementación integra Citrix Gateway como una entidad de confianza en Microsoft ADFS.

Imagen traducida

Nota:

No hay ninguna diferencia si el recurso del back-end es Windows VDA o Linux VDA.

Descripción general de SAML

Security Assertion Markup Language (SAML) es un sistema sencillo de inicio de sesión con explorador web para “redirigir a la página de inicio de sesión”. La configuración incluye los siguientes elementos:

Dirección URL de redireccionamiento [URL del servicio Single Sign-On]

Cuando Citrix Gateway detecta que un usuario tiene que autenticarse, indica al explorador web del usuario que haga un envío HTTP POST a la página web de inicio de sesión de SAML en el servidor de ADFS. Esta suele ser una dirección https:// en el formato: https://adfs.mycompany.com/adfs/ls.

Este POST a la página web incluye información adicional, incluida la dirección de devolución adonde ADFS llevará al usuario cuando se complete el inicio de sesión.

Identificador [Nombre del emisor/ID de entidad]

El ID de entidad (EntityId) es un identificador único que Citrix Gateway incluye en los datos de POST enviados a ADFS. Eso informa al servicio ADFS acerca del servicio en el que intenta iniciar sesión el usuario, para aplicar distintas directivas de autenticación según corresponda. Si se emite, el XML de autenticación de SAML solo servirá para iniciar sesión en el servicio identificado por EntityId.

EntityID suele ser la dirección URL de la página de inicio de sesión del servidor Citrix Gateway, pero puede ser cualquier otra cosa, siempre y cuando Citrix Gateway y ADFS lo acuerden: https://ns.mycompany.com/application/logonpage.

Dirección de devolución [dirección URL de respuesta]

Si la autenticación se realiza correctamente, ADFS indica al explorador web del usuario que envíe con POST un XML de autenticación de SAML de vuelta a una de las URL de respuesta que están configuradas para EntityId. Esta suele ser una dirección https:// en el servidor Citrix Gateway original con el formato: https://ns.mycompany.com/cgi/samlauth.

Si hay más de una URL de respuesta configurada, Citrix Gateway puede elegir una en su POST original para ADFS.

Certificado de firma [Certificado IDP]

ADFS firma criptográficamente los objetos blob (Binary Large Object) de XML de autenticación de SAML mediante su clave privada. Para validar la firma, Citrix Gateway debe estar configurado para comprobar las firmas mediante una clave pública que se incluye en un archivo de certificado. El archivo de certificado suele ser un archivo de texto obtenido del servidor de ADFS.

URL de Single Sign-Out [URL de cierre de sesión único]

ADFS y Citrix Gateway ofrecen un sistema de “cierre de sesión central”. Se trata de una dirección URL que Citrix Gateway sondea ocasionalmente para comprobar que el blob XML de autenticación SAML aún representa una sesión conectada.

Esta es una función opcional; no es necesario que esté configurada. Esta suele ser una dirección https:// en el formato: https://adfs.mycompany.com/adfs/logout. (Tenga en cuenta que puede ser la misma que la dirección URL de inicio de sesión único.)

Configuración

En la sección Implementación de Citrix Gateway se describe cómo configurar Citrix Gateway para gestionar las opciones de autenticación LDAP estándar. Una vez completado correctamente, se puede crear una nueva directiva de autenticación en Citrix Gateway que permita la autenticación SAML. Después, esto puede reemplazar la directiva LDAP predeterminada utilizada en el asistente de instalación de Citrix Gateway.

Imagen traducida

Rellenar la directiva de SAML

Configure el nuevo servidor de proveedor de identidades SAML mediante la información tomada anteriormente de la consola de administración de ADFS. Cuando se aplica esta directiva, Citrix Gateway redirige al usuario a ADFS para el inicio de sesión y a su vez acepta el token de autenticación de SAML firmado por ADFS.

Imagen traducida

Información relacionada

Implementación ADFS