Usar un dispositivo NetScaler Gateway local como el proveedor de identidades para Citrix Cloud
Citrix Cloud admite el uso de dispositivos NetScaler Gateway locales como proveedores de identidades para autenticar a los suscriptores que inician sesión en sus espacios de trabajo.
Al utilizar la autenticación de NetScaler Gateway, puede:
- Siga autenticando a los usuarios a través de su dispositivo NetScaler Gateway existente para que puedan acceder a los recursos de la implementación local de Virtual Apps and Desktops a través de Citrix Workspace.
- Utilice las funciones de autenticación, autorización y auditoría de NetScaler Gateway con Citrix Workspace.
- Proporcione a sus usuarios acceso a los recursos que necesitan a través de Citrix Workspace mediante funciones como la autenticación de paso, tarjetas inteligentes, tokens seguros, directivas de acceso condicional y federación.
La autenticación de NetScaler Gateway se puede utilizar con las siguientes versiones de producto:
- NetScaler Gateway 13.0 41.20 Advanced Edition o posterior
- NetScaler Gateway 12.1 54.13 Advanced Edition o posterior
Requisitos previos
-
Cloud Connectors: necesita al menos dos servidores en los que instalar el software Citrix Cloud Connector.
-
Active Directory: Realice las comprobaciones necesarias.
-
Requisitos de NetScaler Gateway
-
Utilice directivas avanzadas en la puerta de enlace local debido a la obsolescencia de las directivas clásicas.
-
Al configurar la puerta de enlace para autenticar suscriptores en Citrix Workspace, la puerta de enlace actúa como un proveedor de OpenID Connect. Los mensajes entre Citrix Cloud y Gateway se ajustan al protocolo OIDC, que implica la firma digital de tokens. Por lo tanto, debe configurar un certificado para firmar estos tokens.
-
Sincronización de reloj: la puerta de enlace debe estar sincronizada con la hora NTP.
-
Para obtener más información, consulte Prerequisites.
Crear una directiva de IDP de OAuth en NetScaler Gateway local
Importante:
Debe haber generado el ID de cliente, el secreto y la URL de redireccionamiento en la ficha Citrix Cloud > Administración de acceso e identidad > Autenticación. Para obtener más información, consulte Conectar un NetScaler Gateway local a Citrix Cloud.
La creación de una directiva de autenticación de IDP de OAuth implica las siguientes tareas:
-
Crea un perfil de IdP de OAuth.
-
Agrega una directiva de IDP de OAuth.
-
Enlazar la directiva de IDP de OAuth a un servidor virtual de autenticación.
-
Enlazar el certificado globalmente.
Creación de un perfil de IDP de OAuth mediante la CLI
En la línea de comandos, escriba;
add authentication OAuthIDPProfile <name> [-clientID <string>][-clientSecret ][-redirectURL <URL>][-issuer <string>][-audience <string>][-skewTime <mins>] [-defaultAuthenticationGroup <string>]
add authentication OAuthIdPPolicy <name> -rule <expression> [-action <string>] [-undefAction <string>] [-comment <string>][-logAction <string>]
add authentication ldapAction <name> -serverIP <IP> -ldapBase "dc=aaa,dc=local"
ldapBindDn <administrator@aaa.local> -ldapBindDnPassword <password> -ldapLoginName sAMAccountName
add authentication policy <name> -rule <expression> -action <string>
bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <integer> -gotoPriorityExpression NEXT
bind authentication vserver auth_vs -policy <OAuthIDPPolicyName> -priority <integer> -gotoPriorityExpression END
bind vpn global -certkeyName <>
<!--NeedCopy-->
Creación de un perfil de IDP de OAuth mediante la interfaz gráfica de usuario
-
Vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > IDP de OAuth.
-
En la página IDP de OAuth, seleccione la ficha Perfiles y haga clic en Agregar.
-
Configure el perfil de IDP de OAuth.
Nota:
-
Copie y pegue los valores de ID de cliente, secreto y URL de redireccionamiento desde la ficha Citrix Cloud > Administración de acceso e identidad > Autenticación para establecer la conexión con Citrix Cloud.
-
Introduzca la URL de la puerta de enlace correctamente en el Ejemplo de nombre del emisor: https://GatewayFQDN.com
-
También copie y pegue el ID de cliente en el campo Audiencia.
-
Enviar contraseña: habilite esta opción para admitir el inicio de sesión único. De forma predeterminada, esta opción está inhabilitada.
-
-
En la pantalla Crear perfil de proveedor de identidad de OAuth de autenticación, defina los valores para los siguientes parámetros y haga clic en Crear.
-
Nombre: Nombre del perfil de autenticación. Debe empezar por una letra, un número o un guion bajo (_). El nombre debe contener solo letras, números y los caracteres de guion (-), punto (.), almohadilla (#), espacio ( ), arroba (@), igual (=), dos puntos (:) y guiones bajos. No se puede cambiar una vez creado el perfil.
- Client ID: Cadena única que identifica al proveedor de servicios. El servidor de autorización infiere la configuración del cliente mediante este ID. Longitud máxima: 127.
- Client Secret: Cadena secreta establecida por el usuario y el servidor de autorización. Longitud máxima: 239.
- URL de redirección: Punto final del SP en el que se debe publicar el código/token.
- Nombre del emisor: Identidad del servidor cuyos tokens se van a aceptar. Longitud máxima: 127. Ejemplo:https://GatewayFQDN.com
- Destinatario: Se dirige al destinatario del token enviado por el IDP. El destinatario comprueba este token.
- Tiempo sesgado: Esta opción especifica el sesgo de reloj permitido (en minutos) que NetScaler permite en un token entrante. Por ejemplo, si skewTime es 10, el token sería válido desde (tiempo actual - 10) min a (tiempo actual+ 10) min, es decir, 20 min en total. Valor por defecto: 5.
- Grupo de autenticación predeterminado: Un grupo que se agrega a la lista de grupos internos de la sesión cuando el IDP elige este perfil y que se puede usar en el flujo nFactor. Se puede usar en la expresión (AAA.USER.IS_MEMBER_OF(“xxx”)) para que las directivas de autenticación identifiquen el flujo de nFactor relacionado con la parte de confianza. Longitud máxima: 63
Se agrega un grupo a la sesión de este perfil para simplificar la evaluación de las directivas y ayudar a personalizarlas. Este es el grupo predeterminado que se elige cuando la autenticación tiene éxito además de los grupos extraídos.
- URL de metadatos de la parte de confianza: punto final en el que el IdP de NetScaler puede obtener detalles sobre la parte de confianza que se está configurando. La respuesta de metadatos debe incluir puntos finales para el jwks_uri de las claves públicas de RP. La longitud máxima es 255.
- Intervalo de actualización: el intervalo en el que se actualizan los metadatos de la parte que confía. El intervalo predeterminado es 50.
- Cifrar token: al seleccionar esta opción, se cifra el token enviado por NetScaler.
- Servicio de firma: nombre del servicio en la nube que se utiliza para firmar los datos. Esto solo se aplica si la firma se descarga en la nube.
- Atributos: pares nombre-valor de los atributos que se insertarán en el token de ID. La longitud máxima es de 1047 caracteres.
- Enviar contraseña: seleccione esta opción para enviar la contraseña cifrada en el token de ID.
-
-
Haga clic en Directivas y en Agregar.
-
En la pantalla Crear directiva de IDP de OAuth de autenticación, defina los valores para los siguientes parámetros y haga clic en Crear.
- Name: El nombre de la directiva de autenticación.
- Action: Nombre del perfil creado anteriormente.
- Log Action: Nombre de la acción del registro de mensajes que se utilizará cuando una solicitud coincida con esta directiva. No es un archivo obligatorio.
- Acción deresultado indefinido: acción a realizar si el resultado de la evaluación de directivas no está definido (UNDEF). No es un campo obligatorio.
- Expression: Expresión sintáctica predeterminada que la directiva utiliza para responder a una solicitud específica. Por ejemplo, true.
- Comments: Cualquier comentario sobre la directiva.
Nota:
Cuando sendPassword se establece en ON (OFF de forma predeterminada), las credenciales de usuario se cifran y pasan a través de un canal seguro a Citrix Cloud. Pasar las credenciales de usuario a través de un canal seguro le permite habilitar el SSO en Citrix Virtual Apps and Desktops al iniciarse.
Enlace de la directiva OAuthIDP y la directiva LDAP al servidor virtual de autenticación
-
Vaya a Configuración > Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Acciones > LDAP.
-
En la pantalla Acciones de LDAP, haga clic en Agregar.
-
En la pantalla Crear servidor LDAP de autenticación, defina los valores de los siguientes parámetros y haga clic en Crear.
- Nombre: nombre de la acción LDAP
- ServerName/ServerIP: proporciona FQDN o IP del servidor LDAP
- Elija los valores adecuados para Tipo de seguridad, Puerto, Tipo de servidor, Tiempo de espera
- Asegúrese de que la autenticación esté marcada
-
DN base: Base desde la que se inicia la búsqueda LDAP. Por ejemplo:
dc=aaa,dc=local
. -
DN de enlace de administrador: nombre de usuario del enlace al servidor LDAP. Por ejemplo:
admin@aaa.local
. - Contraseña de administrador/Confirmar contraseña: Contraseña para enlazar LDAP
- Haga clic en Probar conexión para probar su configuración.
- Atributo de nombre de inicio de sesión del servidor: elija “sAMAccountName”
- Otros campos no son obligatorios y, por lo tanto, se pueden configurar según sea necesario.
-
Vaya a Configuración > Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Directiva.
-
En la pantalla Directivas de autenticación, haga clic en Agregar.
-
En la página Crear directiva de autenticación, defina los valores de los siguientes parámetros y haga clic en Crear.
- Nombre: nombre de la directiva de autenticación LDAP.
- Tipo de acción: seleccione LDAP.
- Acción: seleccione la acción LDAP.
- Expresión: Expresión de sintaxis predeterminada que la directiva utiliza para responder a una solicitud específica. Por ejemplo, true**.