ADC

Configurar el inicio de sesión único de SAML

Para proporcionar capacidades de inicio de sesión único en todas las aplicaciones alojadas en el proveedor de servicios, puede configurar el inicio de sesión único de SAML en el SP SAML.

Configuración del inicio de sesión único de SAML mediante la interfaz de línea de comandos

  1. Configure el perfil de inicio de sesión único de SAML.

    Ejemplo

    En el siguiente comando, Ejemplo es el servidor virtual de equilibrio de carga que tiene un enlace web del portal de SharePoint. NSSP.example.com es el servidor virtual de administración de tráfico que equilibra la carga del servidor de SharePoint.

     add tm samlSSOProfile tm-saml-sso -samlSigningCertName nssp -assertionConsumerServiceURL "https://nssp2.example.com/cgi/samlauth" -relaystateRule "\\"https://nssp2.example.com/samlsso.html\\"" -sendPassword ON -samlIssuerName nssp.example.com
     <!--NeedCopy-->
    
  2. Asocie el perfil de inicio de sesión único de SAML con la acción de tráfico.

    Ejemplo

    El siguiente comando habilita el inicio de sesión único (SSO) y vincula el perfil de SSO SAML creado anteriormente a una acción de tráfico.

    add tm trafficAction html_act -SSO ON -samlSSOProfile tm-saml-sso
    <!--NeedCopy-->
    
  3. Configure la directiva de tráfico que especifica cuándo debe ejecutarse la acción.

    Ejemplo

    El siguiente comando asocia la acción de tráfico a una directiva de tráfico.

    add tm trafficPolicy html_pol "HTTP.REQ.URL.CONTAINS(\\"abc.html\\")" html_act
    <!--NeedCopy-->
    
  4. Vincule la directiva de tráfico creada anteriormente a un servidor virtual de administración de tráfico (equilibrio de carga o conmutación de contenido). Alternativamente, la directiva de tráfico puede asociarse globalmente.

    Nota

    Este servidor virtual de administración del tráfico debe estar asociado al servidor virtual de autenticación correspondiente asociado a la acción SAML.

    bind lb vserver lb1_ssl -policyName html_pol -priority 100 -gotoPriorityExpression END -type REQUEST
    <!--NeedCopy-->
    

Configuración del inicio de sesión único SAML mediante la GUI

Para configurar el inicio de sesión único de SAML, debe definir el perfil de SSO de SAML, el perfil de tráfico y la directiva de tráfico y vincular la directiva de tráfico a un servidor virtual de administración de tráfico o globalmente al dispositivo Citrix ADC.

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA-> Directivas > Tráfico > Perfiles de SSO SAML y haga clic en Agregar.

  2. En la página Crear perfiles de SSO SAML, introduzca valores para los siguientes campos y haga clic en Crear.

    • Nombre: nombre del perfil de inicio único de SAML
    • Url del servicio de consumidor de aserción: URL a la que se va a enviar la afirmación
    • Nombre del certificado de firma: nombre del certificado SSL que se utiliza para firmar aserción
    • Nombre del certificado SP: nombre del certificado SSL de un par/parte receptora mediante el cual se cifra la aserción
    • Nombre del emisor: nombre que se utilizará en las solicitudes enviadas desde Citrix ADC al proveedor de identidad para identificar de forma exclusiva Citrix ADC
    • Algoritmo de firma: algoritmo que se utilizará para firmar/verificar transacciones SAML
    • Método de resumen: algoritmo que se utilizará para computar/verificar el resumen de las transacciones SAML
    • Audiencia: audiencia a la que se aplica una afirmación enviada por IDP. Normalmente se trata de un nombre de entidad o url que representa un ServiceProvider.
    • Tiempo de sesgo (minutos): el número de minutos en cada lado de la hora actual en que la afirmación sería válida
    • Firmar aserción: opción para firmar partes de afirmación cuando Citrix ADC IDP envía una. Según la selección del usuario, se puede firmar Afirmación o Respuesta o Ambos o ninguno.
    • Formato de ID de nombre: formato del identificador de nombre enviado en aserción
    • Expresión de ID de nombre: expresión que se evaluará para obtener NameIdentifier que se enviará en aserción

    Crear perfil SAML

  3. Vaya a Seguridad > Tráfico de aplicaciones AAA-> Directivas> Tráfico > Perfiles de tráfico y haga clic en Agregar.

  4. En la página Crear perfil de tráfico, introduzca valores para los siguientes campos y haga clic en Crear.

    • Nombre: nombre de la acción de tráfico.
    • appTimeout (minutos) - Intervalo de tiempo, en minutos, de inactividad del usuario tras el cual se cierra la conexión.
    • Inicio de sesión único - Seleccione ACTIVADO
    • Perfil de SSO SAML - Seleccione el perfil SSSO SAML creado
    • Cuenta KCD: nombre de cuenta de delegación restringida de Kerberos
    • Expresión de usuario de SSO: expresión que se evaluará para obtener el nombre de usuario de SingleSignon
    • Expresión de contraseña de SSO: expresión que se evaluará para obtener la contraseña de SingleSignon

    Crear perfil de tráfico

  5. Vaya a Seguridad > Tráfico de aplicaciones AAA-> Directivas > Tráfico > Directivas de tráfico y haga clic en Agregar.

  6. En la página Crear directiva de tráfico, introduzca valores para lo siguiente y haga clic en Crear.

    • Nombre — Nombre de la directiva de tráfico que se va a crear
    • Perfil — Seleccione el perfil de tráfico creado
    • Expresión: Expresión de sintaxis predeterminada que la directiva utiliza para responder a una solicitud específica. Por ejemplo, true.

    Haga clic aquí para crear la directiva de tráfico

  7. Para vincular la directiva de tráfico a un servidor virtual de administración del tráfico, vaya a Configuración > Administración del tráfico > Equilibrio de carga > Servidores virtuales y seleccione un servidor virtual.

  8. Haga clic en Directivas.

  9. Seleccione Tráfico en el campo Elegir directiva y seleccione Solicitud en el campo Elegir tipo y haga clic en Continuar.

  10. En Seleccionar directiva, haga clic para seleccionar el tráfico creado.

  11. Haga clic en Seleccionar.

  12. Haga clic en Vincular para vincular la directiva de tráfico al servidor virtual.

Configurar el inicio de sesión único de SAML