Implementar el Servicio de autenticación federada para ADFS
Introducción
Este documento describe cómo integrar un entorno de Citrix con Microsoft ADFS.
Muchas organizaciones usan ADFS para administrar el acceso seguro de los usuarios a los sitios web que requieren un único punto de autenticación. Por ejemplo, una empresa puede tener descargas y contenido adicionales disponibles para los empleados; estas ubicaciones deben estar protegidas con credenciales de inicio de sesión estándar de Windows.
El servicio de autenticación federada (FAS) también permite integrar Citrix NetScaler y Citrix StoreFront en el sistema de inicio de sesión de ADFS, lo que disminuye el riesgo de confusión para el personal de la empresa.
Esta implementación integra NetScaler como una entidad de confianza en Microsoft ADFS.
Descripción general de SAML
Security Assertion Markup Language (SAML) es un sistema sencillo de inicio de sesión con explorador web para “redirigir a la página de inicio de sesión”. La configuración incluye los siguientes elementos:
Dirección URL de redireccionamiento [URL del servicio Single Sign-On]
Cuando NetScaler detecta que un usuario tiene que autenticarse, indica al explorador web del usuario que haga un envío HTTP POST a la página web de inicio de sesión de SAML en el servidor ADFS. Esta suele ser una dirección https:// en el formato: https://adfs.mycompany.com/adfs/ls.
Este POST a la página web incluye información adicional, incluida la dirección de devolución adonde ADFS llevará al usuario cuando se complete el inicio de sesión.
Identificador [Nombre del emisor/ID de entidad]
El ID de entidad (EntityID) es un identificador único que NetScaler incluye en los datos de POST enviados a ADFS. Eso informa al servicio ADFS acerca del servicio en el que intenta iniciar sesión el usuario, para aplicar distintas directivas de autenticación según corresponda. Si se emite, el XML de autenticación de SAML solo servirá para iniciar sesión en el servicio identificado por EntityID.
Normalmente, el EntityID es la dirección URL de la página de inicio de sesión del servidor NetScaler, pero puede ser cualquier cosa, siempre que NetScaler y ADFS lo acuerden: https://ns.mycompany.com/application/logonpage.
Dirección de devolución [dirección URL de respuesta]
Si la autenticación se realiza correctamente, ADFS indica al explorador web del usuario que envíe con POST un XML de autenticación de SAML de vuelta a una de las URL de respuesta que están configuradas para el EntityID. Esta suele ser una dirección https:// en el servidor NetScaler original con el formato: https://ns.mycompany.com/cgi/samlauth.
Si hay más de una dirección URL de respuesta configurada, NetScaler puede elegir uno en su POST original para ADFS.
Certificado de firma [Certificado IDP]
ADFS firma criptográficamente los objetos blob (Binary Large Object) de XML de autenticación de SAML mediante su clave privada. Para validar la firma, NetScaler debe estar configurado para comprobar las firmas usando una clave pública que se incluye en un archivo de certificado. El archivo de certificado suele ser un archivo de texto obtenido del servidor de ADFS.
URL de Single Sign-Out [URL de cierre de sesión único]
ADFS y NetScaler respaldan un sistema de “cierre de sesión central”. Se trata de una dirección URL que NetScaler sondea ocasionalmente para comprobar que el blob XML de autenticación SAML aún representa una sesión conectada.
Esta es una función opcional; no es necesario que esté configurada. Esta suele ser una dirección https:// en el formato: https://adfs.mycompany.com/adfs/logout. (Tenga en cuenta que puede ser la misma que la dirección URL de inicio de sesión único.)
Configuración
La sección Implementación de NetScaler Gateway en el artículo Vista general de las arquitecturas de Servicios de autenticación federada describe cómo configurar NetScaler Gateway para gestionar opciones de autenticación LDAP estándar, usando el asistente de instalación de NetScaler de XenApp y XenDesktop. Una vez completado correctamente, se puede crear una nueva directiva de autenticación en NetScaler que permita la autenticación SAML. Después, esto puede reemplazar la directiva LDAP predeterminada utilizada en el asistente de instalación de NetScaler.
Rellenar la directiva de SAML
Configure el nuevo servidor de proveedor de identidades SAML mediante la información tomada anteriormente de la consola de administración de ADFS. Cuando se aplica esta directiva, NetScaler redirige al usuario a ADFS para el inicio de sesión y a su vez acepta el token de autenticación de SAML firmado por ADFS.
Información relacionada
- El artículo Servicio de autenticación federada (FAS - Federated Authentication Service) es la referencia principal para la instalación y la configuración de este servicio.
- Las implementaciones más comunes del servicio FAS se resumen en el artículo Información general de las arquitecturas del Servicio de autenticación federada.
- En el artículo Administrar y configurar el Servicio de autenticación federada, se indican otros artículos de procedimientos.