Arquitectura de referencia: Integración de Citrix Workspace con nFactor y varios IDP para CSP

Introducción

El propósito de este documento es guiar a los proveedores de servicios (CSP) de Citrix que implementan Citrix Virtual Apps and Desktops Service (CVADS) con Citrix Workspace y varios proveedores de identidad (IDP). La compatibilidad con varios IDP con Citrix Workspace se logra mediante el uso de Citrix ADC nFactor Authentication.

CSP-image-001

Este documento no pretende proporcionar una guía paso a paso sobre cómo implementar el Citrix Virtual Apps and Desktops Service para CSP. Supone la comprensión de la arquitectura de referencia de Virtual Apps and Desktops para CSP, que proporciona consideraciones detalladas de diseño e implementación para un entorno CVADS para CSP.

Por otro lado, supone la comprensión de Citrix ADC, el inicio de sesión único (SSO) y el Servicio de autenticación federada de Citrix. Para obtener más información sobre estas tecnologías, visite docs.citrix.com.

Este documento comienza por revisar los elementos más comunes que debe comprender para implementar cómodamente la autenticación nFactor de Citrix ADC. A continuación, revisa el flujo de autenticación de los componentes que componen esta solución.

Por último, cubre los pasos necesarios para implementar la autenticación nFactor de Citrix ADC con varios IDP y cómo integrarla con Citrix Workspace.

Información general

Citrix Virtual Apps and Desktops Service

El servicio Citrix Virtual Apps and Desktops Service proporciona acceso seguro a escritorios y aplicaciones administrados centralmente desde cualquier dispositivo o red. Con la integración entre el Servicio de autenticación federada (FAS) y Citrix Cloud, los CSP pueden ofrecer SSO a las cargas de trabajo de escritorios y aplicaciones virtuales, a la vez que admiten IDP de SAML externos.

CVADS admite cargas de trabajo alojadas en múltiples ubicaciones de recursos, incluidos hipervisores tradicionales y plataformas de nube pública como Microsoft Azure, GCP y AWS. Las cargas de trabajo alojadas en estas ubicaciones de recursos pueden estar basadas en Windows o Linux, y admiten implementaciones multiusuario y de un solo usuario.

Los usuarios pueden acceder a sus recursos virtuales a través de clientes basados en Windows, Mac y Linux, teléfonos iOS y Android, etc. Por lo general, Citrix Gateway Service se encarga de gestionar las conexiones externas. Proporciona alta disponibilidad con múltiples puntos de presencia en todo el mundo. Las conexiones internas pueden usar la nueva funcionalidad Conexión directa de carga de trabajo.

Los CSP pueden seguir la arquitectura de referencia de Virtual Apps and Desktops para CSP para obtener orientación sobre cómo diseñar una solución de DaaS alojada impulsada por CVADS.

Autenticación de nFactor Citrix ADC

Citrix ADC nFactor proporciona las acciones y políticas para ofrecer una experiencia de autenticación escalable y flexible a los clientes finales. Este caso de uso es relevante para los CSP que entregan escritorios y aplicaciones a varios clientes, ya que les permite traer su propio IDP de SAML.

La autenticación nFactor utiliza un motor de políticas sólido y permite a los CSP diseñar flujos de trabajo de autenticación complejos. nFactor utiliza expresiones de política como mecanismo para determinar el flujo de autenticación para los usuarios. Esta funcionalidad se basa en diferentes detalles, como el usuario o los atributos de conexión.

Para esta arquitectura, las directivas de IDP de OAUTH se configuran para permitir que Citrix ADC gestione la autenticación de Citrix Workspace. Además, las directivas SAML (y posiblemente LDAP) están configuradas para conectarse a varios IDP.

Experiencia de Citrix Workspace

Workspace Experience es la evolución basada en la nube de StoreFront. A través de Workspace Experience, los CSP pueden ofrecer aplicaciones y escritorios virtuales, SSO a aplicaciones web SaaS y en las instalaciones, integraciones y acciones de microaplicaciones, colaboración de contenido, capacidades de administración de puntos finales y análisis. Esta funcionalidad avanzada permite a los CSP ofrecer una experiencia integrada, desde un único panel, centrada en la experiencia de los empleados y en el aumento de la productividad.

Actualmente, Citrix Workspace no admite la integración con varios IDP. Sin embargo, muchos CSP necesitan ofrecer compatibilidad con varios IDP y, al mismo tiempo, mantener las funciones avanzadas que proporciona Citrix Workspace.

Autenticación OAUTH

Citrix ADC se puede configurar como un proveedor de identidad (IDP) de OAUTH mediante el protocolo Open ID Connect (OIDC). Por lo general, OAUTH no se conoce como protocolo de autenticación, sino como marco de autorización. OIDC agrega una parte de autenticación de usuario al flujo típico de OAUTH 2.0. En esta arquitectura, Citrix Workspace actúa como el proveedor de servicios (SP) de OAUTH que confía en Citrix ADC (IDP de OAUTH).

Para esta configuración, Citrix Workspace requiere que las cuentas ocultas de Active Directory aprueben un conjunto de “notificaciones” para que el proceso de autenticación se realice correctamente. Citrix Cloud requiere estas propiedades para establecer el contexto de usuario cuando los suscriptores inicien sesión. Si estas propiedades no están completas, los suscriptores no pueden iniciar sesión en su espacio de trabajo. La lista de reclamaciones se revisa en una sección posterior de este documento.

Autenticación SAML

En el contexto de esta arquitectura, Citrix ADC se convierte en el proveedor de servicios (SP) y la solución de autenticación de cada cliente actúa como proveedor de identidad (IDP). El SP o el IDP pueden iniciar el proceso de autenticación SAML. Esta arquitectura utiliza SSO SAML iniciado por SP.

El flujo de comunicación SAML no implica comunicación directa entre el SP y el IDP. El navegador web gestiona toda la comunicación y no es necesario abrir ningún puerto de firewall entre el SP y el IDP. Solo el navegador web debe poder comunicarse con el SP y el IDP.

Conceptos y terminología

Citrix ADC nFactor utiliza un conjunto de entidades que permiten la configuración de los diferentes factores que requiere una implementación específica. Los siguientes conceptos sientan las bases para comprender los flujos de políticas que utiliza Citrix nFactor.

  • Servidor de autenticación (acción): el servidor de autenticación (acción) define la configuración específica para un IDP determinado, ya sea un Active Directory local, Azure AD, Okta, ADFS, etc. Incluye los detalles necesarios para que el dispositivo Citrix ADC se comunique con el IDP y autentique a los usuarios.
  • Directiva de autenticación: las directivas de autenticación permiten que los usuarios se autentiquen en el dispositivo. Las políticas utilizan expresiones en las que se aplican. Las expresiones se utilizan para permitir que el ADC redirija a los usuarios al IDP apropiado en función de su UPN. Una política de autenticación debe estar vinculada a un servidor de autenticación (acción).
    • La expresión más utilizada en estos escenarios es AAA.USER.NAME.SET_TEXT_MODE (IGNORECASE) .AFTER_STR (“@”) .EQ (“dominio.com”). Esta expresión evalúa el sufijo UPN del usuario después del signo “@” y, si coincide con una directiva, aplica el servidor SAML configurado (acción) para la autenticación.
  • Esquema de inicio de sesión: El esquema de inicio de sesión es una representación lógica del formulario de inicio de sesión escrito en XML, es decir, representa la interfaz de usuario. Es una entidad que define lo que ve el usuario y especifica cómo extraer los datos del usuario. Se pueden usar diferentes esquemas (o ningún esquema) para los diferentes factores de autenticación. Citrix ADC proporciona varias plantillas de esquema listas para usar para casos de uso comunes, que se pueden personalizar para otros casos de uso.
  • Etiqueta de directiva: las etiquetas de directiva especifican las políticas de autenticación para un factor en particular. Cada etiqueta de directiva corresponde a un único factor de autenticación. Básicamente son un conjunto de políticas que se pueden vincular como una sola entidad. El resultado de las políticas en una etiqueta de política sigue condiciones lógicas “O”. Si la autenticación especificada por la primera directiva se realiza correctamente, se omiten las demás directivas posteriores. Las etiquetas de política definen su visión mediante un esquema de inicio de sesión.
  • Política de “No-Auth”: esta es una política especial que siempre devuelve “success” como resultado de la autenticación. Su objetivo principal es permitir flexibilidad a la hora de tomar decisiones lógicas a través del flujo de autenticación del usuario.
  • El siguiente factor: determina qué se hace después de un paso dado si el flujo de autenticación se realiza correctamente. Puede ser una política adicional o definir que el flujo de autenticación debe detenerse.
  • AAA vServer: el servidor virtual de autenticación procesa las políticas de autenticación asociadas y proporciona acceso al entorno. Para esta arquitectura, AAA vServer reemplaza al Gateway vServer más común y es un vServer totalmente direccionable. El servidor virtual de puerta de enlace solo es necesario si se usa Citrix ADC para el tráfico HDX, en cuyo caso el servidor virtual AAA se configura como no direccionable. La integración de Gateway vServer va más allá del alcance de este documento.
  • Perfil de autenticación (opcional): el perfil de autenticación permite que el servidor virtual de AAA y, por lo tanto, todas sus directivas, se vinculen a un servidor virtual de puerta de enlace. Este perfil solo es necesario si se gestiona el tráfico HDX a través del dispositivo Citrix ADC.

Arquitectura

Los CSP crecen constantemente y agregan nuevos clientes a sus ofertas de DaaS basadas en CVADS. Este crecimiento introduce el requisito de permitir a los clientes finales traer sus propias soluciones de identidad e integrarlas con Citrix Workspace para usar cargas de trabajo basadas en CVADS.

Citrix Workspace también proporciona funciones avanzadas que permiten a los CSP integrar más servicios, como SSO, en aplicaciones web locales y SaaS, integraciones y acciones de microaplicaciones y colaboración de contenido. También proporciona integración con varios IDP, como Azure AD, Okta y SAML 2.0. Sin embargo, actualmente no se admiten varios IDP de un solo Citrix Workspace.

Citrix Gateway Service administra la funcionalidad de proxy HDX al iniciar recursos de escritorios y aplicaciones virtuales desde Citrix Workspace. Esta funcionalidad puede parecer innecesaria, ya que se necesita Citrix ADC para proporcionar compatibilidad con varios IDP. Sin embargo, la descarga del proxy HDX simplifica considerablemente los requisitos de disponibilidad y ancho de banda de la red en el lado del CSP.

Esta arquitectura de referencia se centra en las decisiones y consideraciones de diseño para integrar varios IDP, en particular los basados en SAML, con Citrix Workspace y CVADS. Esta integración se logra mediante la configuración de Citrix Workspace para delegar la autenticación de usuarios en Citrix ADC, que a su vez reenvía a los usuarios a sus respectivos IDP.

Consideraciones y requisitos

En el momento de escribir este artículo, se deben considerar los siguientes detalles antes de decidir integrar varios IDP en una implementación de CVADS administrada por el CSP.

  1. Se requiere una licencia de Citrix ADC Advanced o Premium para la funcionalidad AAA nFactor.
  2. Se requiere Citrix ADC 12.1 versión 54.13 o posterior, o 13.0 versión 41.20 o posterior.
  3. La función de múltiples inquilinos de CVADS no es compatible con esta implementación debido a las limitaciones de FAS y la federación inversa.
  4. Los diferentes IDP de SAML tienen diferentes pasos de configuración. Estos pasos no se tratan en este documento.
  5. Active Directory debe configurarse con los sufijos UPN alternativos y las cuentas ocultas para cada cliente específico.
  6. Las siguientes propiedades de AD deben configurarse en las cuentas ocultas de AD para usarlas como notificaciones:
    • Dirección de correo electrónico
    • Nombre simplificado
    • Nombre común
    • Nombre de cuenta SAM
    • UPN
    • OID
    • SID
  7. Los Servicios de certificados de Active Directory deben estar configurados y disponibles antes de configurar FAS.
  8. Si bien Citrix FAS está integrado con Citrix Workspace, no es un servicio en la nube. FAS se implementa en la ubicación de recursos.
  9. Los pasos iniciales de configuración de ADC, incluidas las IP, los certificados y los detalles de la red, no se tratan en este documento.
  10. No se pueden usar nombres de usuario duplicados en diferentes sufijos UPN. Aunque el sufijo UPN sea diferente, el nombre de inicio de sesión anterior a Windows 2000 es el mismo para todos los sufijos.

Experiencia de usuario

El siguiente diagrama muestra el flujo de autenticación desde la perspectiva de la experiencia del usuario. Para el usuario final, la experiencia es bastante similar a la de una implementación tradicional sin varios IDP. Sin embargo, es importante educar a los usuarios finales sobre la necesidad de usar su UPN al iniciar sesión, en lugar del nombre de cuenta SAM más común.

CSP-image-002

  1. Los usuarios finales de diferentes clientes navegan a Citrix Workspace desde cualquier dispositivo o red.
  2. Citrix Workspace redirige automáticamente a los usuarios al servidor virtual AAA de Citrix ADC.
  3. Citrix ADC AAA vServer presenta al usuario una solicitud de nombre de usuario. Los usuarios deben introducir su UPN.
  4. La solicitud de autenticación del usuario se reenvía al IDP de SAML adecuado según el sufijo UPN del usuario.
  5. Una vez que los usuarios se autentican a través de su IDP, se les redirige de nuevo a Citrix Workspace.
  6. Cuando un usuario intenta iniciar una aplicación virtual o un escritorio virtual, el servicio CVAD se encarga del proceso de intermediación.
  7. Citrix Gateway Service establece el proxy HDX para los recursos virtuales.
  8. Las cuentas ocultas de Active Directory se utilizan para solicitar un certificado de tarjeta inteligente para proporcionar SSO al usuario.
  9. Se aplica la regla FAS y la solicitud de inicio de sesión del usuario se satisface mediante SSO.

Flujo de autenticación

El siguiente diagrama muestra el flujo de autenticación para los diferentes protocolos de esta arquitectura. Citrix Workspace actúa como un SP de OAUTH, Citrix ADC actúa como un IDP de OAUTH y un SP de SAML, y el IDP del cliente es el IDP de SAML.

CSP-image-003

  1. El usuario final accede a Citrix Workspace (SP) mediante un navegador web o la aplicación Citrix Workspace.
  2. Al llegar a Citrix Workspace (OAUTH SP), se redirige al usuario a Citrix ADC AAA vServer (OAUTH IDP).
  3. El usuario introduce el UPN en el indicador de inicio de sesión de AAA vServer (SAML SP) y se le redirige al servicio de autenticación (IDP de SAML).
  4. El IDP de SAML autentica al usuario y genera una aserción de SAML (formulario XHTML).
  5. La aserción SAML se envía de vuelta a la aplicación Citrix Workspace.
  6. La aplicación Citrix Workspace redirige la aserción SAML al servidor virtual AAA de Citrix ADC.
  7. Citrix ADC AAA vServer envía el contexto de seguridad de vuelta al agente de usuario.
  8. La aplicación Citrix Workspace solicita los recursos del servidor virtual AAA de Citrix ADC.
  9. Citrix ADC AAA vServer autentica al usuario y las notificaciones se envían a Citrix Workspace.
  10. La aplicación Citrix Workspace puede acceder a los recursos.
NOTA:
En el flujo SAML, el navegador web o la aplicación Workspace se denomina “Agente de usuario”, que forma parte del encabezado de solicitud HTTP.

Flujo de políticas

El siguiente diagrama representa el flujo de políticas nFactor para esta arquitectura. Comprender el flujo de políticas de nFactor es vital para el éxito de la arquitectura de autenticación diseñada. En este diagrama, se utiliza una directiva LDAP. Si bien el uso de una política LDAP es opcional, es una práctica común proporcionar acceso a los administradores.

CSP-image-004

  1. El usuario accede a Citrix Workspace mediante un navegador web o la aplicación Citrix Workspace. La solicitud de autenticación se reenvía al servidor virtual AAA de Citrix. Hay una directiva de IDP de OAUTH configurada en Citrix ADC con la expresión “TRUE”, lo que significa que esta directiva se aplica a TODAS las solicitudes.
  2. La solicitud de autenticación coincide con una política “NO_AUTHN” y se presenta con el esquema de inicio de sesión “Solo nombre de usuario”. La política NO_AUTHN actúa como marcador de posición. Las políticas NO_AUTHN siempre devuelven “success” como resultado de la autenticación.
  3. Cuando el usuario introduce su nombre de usuario en formato UPN, el sufijo UPN determina qué política de autenticación se evalúa. En esta arquitectura, domain1.com se reenvía a un servidor LDAP, domain2.com se redirige a un inquilino de Azure AD y domain3.com se redirige a otro inquilino de Azure AD. Toda esta funcionalidad se basa en las expresiones utilizadas por cada política. Tenga en cuenta también que estas directivas de autenticación están vinculadas a un esquema de inicio de sesión “Sin esquema”. Este detalle significa que no se presenta nada en el navegador web del usuario.
  4. Si el usuario introduce un nombre de usuario en domain1.com, se le redirige a una directiva LDAP (una política LDAP tradicional). Esta política se evalúa como “TRUE”, lo que significa que afecta a todos los usuarios que evalúa. El esquema de inicio de sesión en este caso es “Solo contraseña”, lo que significa que los usuarios solo escriben su contraseña de AD en este paso. Su nombre de usuario se captura en el factor anterior.
  5. Por otro lado, si el usuario introduce un nombre de usuario en domain2.com o domain3.com, se le redirige a su arrendatario de Azure AD respectivo para iniciar sesión. En este caso, Azure maneja toda la autenticación, que está fuera del ámbito del motor nFactor de Citrix ADC. Cuando el usuario se autentica, se le redirige de nuevo al servidor virtual AAA de Citrix ADC.
  6. Una vez que la solicitud de autenticación se redirige de nuevo a Citrix Gateway, pasa por otro factor de autenticación, que está vinculado a una directiva LDAP. Sin embargo, esta directiva no realiza la autenticación. El propósito de esta directiva es extraer las notificaciones necesarias para volver a autenticar al usuario en Citrix Workspace. Todas las directivas SAML se redirigen a esta única directiva LDAP. A los usuarios no se les presenta un esquema de inicio de sesión y no necesitan introducir ninguna información en este momento, este proceso se realiza automáticamente.
  7. Las reclamaciones de los usuarios se almacenan en Citrix ADC y se devuelven a Citrix Workspace. Estas afirmaciones son necesarias para que Citrix Workspace acepte la autenticación de Citrix ADC.
  8. Se redirige al usuario de nuevo a Citrix Workspace y ahora puede acceder a sus recursos.
NOTA:
La directiva de “no autenticación” de LDAP solo se utiliza después de que otro factor autentica a un usuario. Siempre se evalúa como “Éxito” como resultado de la autenticación.

Consideraciones para escalar

La capacidad de escalar esta solución de manera ágil a medida que se incorporan nuevos clientes es importante para los CSP. Esta arquitectura permite seguir pasos no disruptivos al incorporar nuevos clientes. Los pasos principales para incorporar a un nuevo cliente a esta solución son los siguientes.

  1. Configurar el IDP del cliente final: esto puede o no ser responsabilidad del CSP. La mayoría de los IdP de SAML proporcionan una amplia documentación para configurar estos tipos de soluciones.
  2. Agregar el sufijo UPN del cliente: Esto se realiza a través de la consola MMC de dominios y confianzas de Active Directory. Los sufijos UPN deben ser únicos. Además, aunque los UPN son diferentes para cada cliente en el entorno de AD compartido, todas las cuentas ocultas tienen el mismo nombre de sufijo NetBIOS.
  3. Agregar cuentas ocultas: la creación manual de cuentas ocultas podría convertirse en una tarea extensa y se recomienda crear scripts para automatizar este proceso. Los usuarios finales no necesitan saber la contraseña de estas cuentas.
  4. Configurar la acción y la política de SAML: se debe configurar una nueva política y acción de SAML para cada cliente nuevo que se incorpore a esta solución. La acción contiene todos los detalles del IDP de SAML y la política contiene la expresión que se utiliza para evaluar la política.
  5. Enlazar la directiva SAML: la nueva directiva de autenticación SAML debe agregarse a la etiqueta de directiva SAML que agrupa todas las directivas de autenticación para los diferentes clientes. Dado que todas estas políticas se excluyen mutuamente, agregar nuevas políticas a la etiqueta de la póliza no causa ninguna interrupción con sus clientes actuales.
NOTA:
No se pueden usar nombres de usuario duplicados en diferentes sufijos UPN. Aunque el sufijo UPN sea diferente, el nombre de inicio de sesión anterior a Windows 2000 sería el mismo para los usuarios duplicados.

Implementación

Este documento cubre los pasos necesarios para integrar Citrix Workspace con un servidor virtual AAA de Citrix ADC y varios IDP de SAML. La configuración de Cloud Connector, la creación de catálogos de máquinas o grupos de entrega y la implementación de FAS van más allá del alcance de este documento.

La configuración correcta de los componentes mencionados anteriormente se puede lograr siguiendo las prácticas de instalación estándar. No se requieren pasos de configuración personalizados para integrarlos con esta arquitectura. Visite la sección Recursos de configuración adicionales de este documento para conocer los pasos de configuración.

Directivas de autenticación

Acción de autenticación LDAP (opcional)

1- Inicie sesión en el dispositivo Citrix ADC y vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Acciones > LDAP y haga clic en Agregar.

2- En la página Crear servidor LDAP de autenticación, introduzca la siguiente información.

  • Nombre: nombre de la entidad del servidor de autenticación LDAP
  • Nombre del servidor/ IP del servidor: se recomienda el nombre del servidor
  • Tipo de seguridad: PLAINTEXT o SSL según los requisitos de seguridad. (Se recomienda SSL)
  • Puerto: 389 o 636 según el tipo de seguridad.
  • Tipo de servidor: AD
  • Autentificación: marcada
  • DN base: DN basado en AD para búsquedas de usuarios
  • DN de enlace de administrador: UPN de cuenta de servicio de AD
  • Contraseña de administrador: contraseña de cuenta de servicio
  • Confirmar contraseña de administrador: contraseña de la cuenta de servicio
  • Atributo de nombre de inicio de sesión del servidor: userPrincipal
  • Atributo de grupo: memberOf
  • Nombre de subatributo: cn
  • Atributo de nombre SSO: cn
  • Correo electrónico: mail

CSP-image-005

3- Haga clic en Aceptar.

NOTA:
Este paso es opcional, pero muy recomendable para fines de soporte. Cree esta acción para permitir que los administradores del entorno inicien sesión en el entorno con credenciales de AD.

Acción de atributos de usuario de LDAP

1- En la página Acciones de LDAP, haga clic en Agregar para crear una segunda acción de LDAP. Usa la misma información que la anterior, pero esta vez, DESMARCA la casilla Autenticación .

CSP-image-006

2- Haga clic en Aceptar.

NOTA:
Este paso NO es opcional. Esta acción se utiliza para extraer los reclamos del usuario de sus cuentas ocultas en AD después de que se hayan autenticado a través de su IDP de SAML. Estas afirmaciones son necesarias para que el redireccionamiento a Citrix Workspace se realice correctamente.

Acciones de SAML

1- Vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Acciones > SAML y haga clic en Agregar.

2- En la página Crear servidor SAML de autenticación, introduzca la siguiente información.

  • Nombre: nombre de la entidad del servidor de autenticación SAML
  • URL de redirección: URL de redireccionamiento proporcionada por el IDP
  • URL de cierre de sesión única: URL de cierre de sesión proporcionada por el IDP
  • Enlace de SAML: POST/REDIRECT/ARTIFACT
  • Enlace de cierre de sesión: POST/REDIRECT
  • Nombre del certificado de IDP: haga clic en Agregar e importe el certificado descargado de su IDP de SAML
  • Nombre del certificado de firma: certificado SSL de Citrix ADC AAA vServer
  • Nombre del problema: Igual que la URL de AAA vServer
  • Rechazar aserción sin firmar: ACTIVADO
  • Algoritmo firma: RSA-SHA256
  • Método de resumen: SHA256

CSP-image-007

3- Haga clic en Aceptar.

NOTA:
Repita estos pasos para crear una acción de SAML independiente para cada IDP de SAML que se va a utilizar.
Los campos necesarios que se deben completar en esta página varían según el IDP de SAML. Consulte la documentación específica del IDP de SAML para obtener información adicional.

Esquemas de Login

Perfiles de esquema de acceso

1- Vaya a Seguridad > AAA — Tráfico de aplicaciones > Esquema de inicio de sesión > Perfiles y haga clic en Agregar.

2- En la página Crear esquema de inicio de sesión de autenticación, introduzca la siguiente información.

  • Nombre: nombre de entidad de perfil de esquema de inicio
  • Esquema de autenticación: noschema

CSP-image-008

3- Haga clic en Crear.

NOTA:
Repita estos pasos para crear los 2 perfiles de esquema restantes con los archivos OnlyUsername.xml y OnlyPassword.xml .

Políticas de esquema de acceso

1- Vaya a Seguridad > AAA — Tráfico de aplicaciones > Esquema de inicio de sesión > Directivas y haga clic en Agregar.

2- En la página Crear directiva de esquema de inicio de sesión de autenticación, introduzca la siguiente información.

  • Nombre: nombre de entidad de directiva de esquema de inicio
  • Perfil: perfil NoSchema creado anteriormente
  • Regla: TRUE

CSP-image-009

3- Haga clic en Crear.

NOTA:
Repita estos pasos para crear las 2 políticas de esquema restantes vinculándolas con los perfiles de esquema “Solo nombre de usuario” y “Solo contraseña” .

Directivas de autenticación

Política de “No Auth” de referencia

1- Vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Política y haga clic en Agregar.

2- En la página Crear directiva de autenticación, introduzca la siguiente información.

  • Nombre: nombre de entidad de directiva de autenticación
  • Tipo de autenticación: NO_AUTHN
  • Expresión: HTTP.REQ.URL.CONTAINS (“/nf/auth/doAuthentication.do”)

CSP-image-010

3- Haga clic en Aceptar.

Política de “no autenticación” de LDAP (opcional)

1- En la página Políticas de autenticación, haga clic en Agregar para crear otra política.

2- En la página Crear directiva de autenticación, introduzca la siguiente información.

  • Nombre: nombre de entidad de directiva de autenticación
  • Tipo de autenticación: NO_AUTHN
  • Expresión: AAA.USER.LOGIN_NAME.SET_TEXT_MODE (IGNORECASE) .AFTER_STR (“@”) .EQ (“domain1.com”)

CSP-image-011

3- Haga clic en Aceptar.

NOTA:
Este paso es opcional, pero muy recomendable para fines de soporte. Cree esta política para permitir que los administradores del entorno inicien sesión en el entorno con credenciales de AD.
Sustituya “domain1.com” en la expresión por el nombre del sufijo UPN del dominio interno de AD.
El tipo de autenticación NO_AUTHN se utiliza como marcador de posición para redirigir a los usuarios al siguiente factor de autenticación, que es su contraseña de AD, que se gestiona a través de otra directiva LDAP.

Directiva de autenticación LDAP (opcional)

1- En la página Políticas de autenticación, haga clic en Agregar para crear otra política.

2- En la página Crear directiva de autenticación, introduzca la siguiente información.

  • Nombre: nombre de entidad de directiva de autenticación
  • Tipo de autenticación: LDAP
  • Acción: Acción de autenticación LDAP creada anteriormente
  • Expresión: TRUE

CSP-image-012

3- Haga clic en Aceptar.

NOTA:
Este paso es opcional, pero muy recomendable para fines de soporte. Cree esta política para permitir que los administradores del entorno inicien sesión en el entorno con credenciales de AD.
La expresión TRUE en esta política significa que esta política se evalúa con respecto a cada usuario que se redirige a este factor de autenticación.
Esta directiva se adjunta al esquema de inicio de sesión Solo contraseña creado anteriormente.

Política de atributos de usuario de LDAP

1- En la página Políticas de autenticación, haga clic en Agregar para crear otra política.

2- En la página Crear directiva de autenticación, introduzca la siguiente información.

  • Nombre: nombre de entidad de directiva de autenticación
  • Tipo de autenticación: LDAP
  • Acción: acción Atributos de usuario LDAP creada anteriormente
  • Expresión: TRUE

CSP-image-013

3- Haga clic en Aceptar.

NOTA:
Este paso NO es opcional. Esta política se utiliza para extraer los reclamos del usuario de sus cuentas ocultas en AD después de que se hayan autenticado a través de su IDP de SAML. Estas afirmaciones son necesarias para que el redireccionamiento a Citrix Workspace se realice correctamente.
La expresión TRUE en esta política significa que esta política se evalúa con respecto a cada usuario que se redirige a este factor de autenticación.
Esta política se adjunta a un esquema de inicio de sesión NO_SCHEMA .

Políticas de autenticación SAML

1- En la página Políticas de autenticación, haga clic en Agregar para crear otra política.

2- En la página Crear directiva de autenticación, introduzca la siguiente información.

  • Nombre: nombre de entidad de directiva de autenticación
  • Tipo de autenticación: SAML
  • Acción: Acción de autenticación SAML creada anteriormente
  • Expresión: AAA.USER.LOGIN_NAME.SET_TEXT_MODE (IGNORECASE) .AFTER_STR (“@”) .EQ (“domain2.com”)

CSP-image-014

3- Haga clic en Aceptar.

NOTA:
Reemplace “domain2.com” en la expresión por el nombre de dominio del cliente.
Cree una directiva de autenticación SAML para cada acción de autenticación SAML creada anteriormente y combínelas 1:1 con el nombre de dominio apropiado en la expresión.

Etiquetas de directiva de autenticación

Etiqueta de directiva de autenticación LDAP

1- Vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Etiqueta de directiva y haga clic en Agregar.

2- En la página Crear directiva de autenticación, introduzca la siguiente información.

  • Nombre: nombre de entidad de etiqueta de directiva de autenticación
  • Esquema de inicio de sesión: perfil de esquema de inicio de sesión “solo
  • Tipo de función: AAATM_REQ
  • Presione Continuar

CSP-image-015

3- Enlazar las directivas de autenticación con los siguientes detalles.

  • Política 1
    • Seleccionar directiva: directiva de autenticación LDAP
    • Prioridad: 100
    • Expresión de Goto: END
    • Seleccione el siguiente factor: N/A

CSP-image-016

4- Haga clic en Listo.

Etiqueta de directiva de atributos de usuario LDAP

1- En la página Etiquetas de directivas de autenticación, haga clic en Agregar para crear otra política.

2- En la página Crear directiva de autenticación, introduzca la siguiente información.

  • Nombre: nombre de entidad de etiqueta de directiva de autenticación
  • Esquema de acceso: perfil de esquema de inicio de sesión “NO_SCHEMA”
  • Tipo de función: AAATM_REQ
  • Presione Continuar

CSP-image-017

3- Enlazar las directivas de autenticación con los siguientes detalles.

  • Política 1
    • Seleccionar directiva: directiva de atributos de usuario de LDAP
    • Prioridad: 100
    • Expresión de Goto: END
    • Seleccione el siguiente factor: N/A

CSP-image-018

4- Haga clic en Listo.

Etiqueta de política principal

1- En la página Etiquetas de directivas de autenticación, haga clic en Agregar para crear otra política.

2- En la página Crear directiva de autenticación, introduzca la siguiente información.

  • Nombre: nombre de entidad de etiqueta de directiva de autenticación
  • Esquema de acceso: perfil de esquema de inicio de sesión “NO_SCHEMA”
  • Tipo de función: AAATM_REQ
  • Presione Continuar

CSP-image-019

3- Enlazar las directivas de autenticación con los siguientes detalles.

  • Política 1
    • Seleccionar política: Política de “No autenticación” de LDAP
    • Prioridad: 100
    • Expresión Goto: SIGUIENTE
    • Seleccione el siguiente factor: etiqueta de directiva de autenticación LDAP
  • Política 2
    • Seleccionar directiva: Política de autenticación SAML
    • Prioridad: 110
    • Expresión Goto: SIGUIENTE
    • Seleccionar el siguiente factor: etiqueta de directiva de atributos de usuario LDAP

CSP-image-020

4- Haga clic en Listo.

NOTA:
Al incorporar nuevos clientes/IDP, debe agregar sus respectivas políticas de autenticación SAML a esta etiqueta de política.

Servidor virtual AAA

1- Vaya a Seguridad > AAA — Tráfico de aplicaciones > Servidores virtuales y haga clic en Agregar.

2- En la página Authentication Virtual Server, introduzca la siguiente información.

  • Nombre: nombre de la entidad del servidor virtual de autenticación
  • Tipo de dirección IP: Dirección IP
  • Dirección IP: dirección IP asignada por vServer
  • Port: 443.
  • Haga clic en Aceptar.

CSP-image-021

3- En el panel Certificado, haga clic en Sin certificado de servidor y enlace un certificado SSL al servidor virtual. A continuación, haga clic en Continuar.

4- En el panel Directivas de autenticación avanzada, haga clic en No Authentication Policy e introduzca la siguiente información.

  • Seleccionar política: Política de “No autenticación” de referencia
  • Prioridad: 100
  • Expresión Goto: SIGUIENTE
  • Seleccione el siguiente factor: Etiqueta de política principal

CSP-image-022

5- Haga clic en Continuar.

6- En el panel Configuración avanzada, haga clic en Esquemas de iniciode sesión.

7- En el panel Esquemas de inicio de sesión, haga clic en Sin esquema de inicio de sesión e introduzca la siguiente información.

  • Política de selección: política de esquema “Solo nombre de usuario”
  • Prioridad: 100
  • Expresión de Goto: END

CSP-image-023

8- Haga clic en Bind.

9- De vuelta en la página AAA vServer, haga clic en Listo.

NOTA:
En este punto, se puede acceder públicamente a la URL del servidor virtual AAA y funciona la autenticación LDAP y SAML.

Vinculación de certificados global

1- Conéctese al Citrix ADC a través de SSH y autentique con las credenciales de administrador.

2- Ejecute el siguiente comando: bind vpn global -certKeyName certname.

3- Guarde la configuración en ejecución.

NOTA:
ADC utiliza este comando para firmar el token que se envía a Citrix Workspace como parte del proceso de autenticación.
La marca -certKeyName hace referencia al mismo certificado SSL que se utiliza en el servidor virtual de AAA.

Integración con Citrix Workspace

IDP de Citrix Gateway

1- En un navegador web, vaya a Citrix Cloud e inicie sesión con sus credenciales de Citrix.

2- Una vez autenticado, vaya a Administración de acceso e identidad > Autenticación > Citrix Gateway y haga clic en Conectar.

CSP-image-024

3- En la pantalla emergente de configuración, introduzca el FQDN de AAA vServer de acceso público y haga clic en Detectar. Una vez detectado, haga clic en Continuar.

CSP-image-025

4- En la pantalla Crear una conexión, copie el ID de cliente, el secreto y la URL de redireccionamiento.

CSP-image-026

NOTA:
NO cierre esta página, debe volver para finalizar la configuración.

Perfil de IDP de OAUTH

1- De vuelta en Citrix ADC, vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > OAUTH IDP > Perfiles y haga clic en Agregar.

2- En la página Crear perfil de IDP de OAUTH de autenticación, introduzca la siguiente información.

  • Nombre: nombre de entidad del perfil de autenticación de IDP de OAUTH
  • ID de cliente: pegar valor de Citrix Cloud
  • Secreto del cliente: pegar valor de Citrix Cloud
  • URL de redirección: pegue el valor de Citrix Cloud
  • Nombre del emisor: URL base de ADC AAA vServer
  • Público: Igual que el ID de cliente
  • Enviar contraseña: marcada

CSP-image-027

3- Haga clic en Crear.

Política de IDP de OAUTH

1- Vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > OAUTH IDP > Directivas y haga clic en Agregar.

2- En la página Create Authentication OAUTH IDP Policy, introduzca la siguiente información.

  • Nombre: nombre de entidad de directiva de autenticación de IDP de OAUTH
  • Acción: perfil de autenticación de IDP de OAUTH
  • Expresión: TRUE

CSP-image-028

3- Haga clic en Crear.

Vinculación de políticas de IDP de OAUTH

1- Vaya a Seguridad > AAA — Tráfico de aplicaciones > Servidores virtuales y haga clic en el servidor virtual AAAcreado anteriormente.

2- En el panel Directivas de autenticación avanzada, haga clic en No OAuth IDP Policy y enlace la directiva OAUTH IDP.

CSP-image-029

3- De vuelta en la página AAA vServer, haga clic en Listo.

Autenticación

1- De vuelta en Citrix Cloud, en la página de configuración, haga clic en Probar y finalizar.

2- Vaya a Configuración de Workspace > Autenticación y haga clic en Citrix Gateway

3- En la pantalla emergente de configuración, marca la casilla junto a “Comprendo el impacto en la experiencia del suscriptor” y haga clic en Guardar.

CSP-image-030

NOTA:
En este punto, navegar a la URL de Citrix Workspace (customer.cloud.com) redirige a los usuarios al servidor virtual ADC AAA. Una vez que los usuarios inician sesión con su IDP correspondiente, se les redirige de nuevo a Citrix Workspace.
El inicio de sesión único en los recursos de escritorios y aplicaciones virtuales se puede lograr mediante la integración de Citrix Workspace con Citrix FAS.

Otros recursos de configuración

Arquitectura de referencia: Integración de Citrix Workspace con nFactor y varios IDP para CSP