Gestión de sesiones y tráfico
Parámetros de la sesión
Después de configurar los perfiles de autenticación, autorización y auditoría, debe configurar la configuración de la sesión para personalizar las sesiones de usuario. La configuración de la sesión es:
-
Tiempo de espera de la sesión.
Controla el período después del cual el usuario se desconecta automáticamente y debe autenticarse de nuevo para acceder a la intranet.
-
La configuración de autorización predeterminada.
Determina si el dispositivo Citrix ADC permitirá o denegará de forma predeterminada el acceso al contenido para el que no existe una directiva de autorización específica.
-
La configuración de inicio de sesión único.
Determina si el dispositivo Citrix ADC iniciará sesión automáticamente a los usuarios en todas las aplicaciones web después de autenticarse o pasará los usuarios a la página de inicio de sesión de la aplicación web para autenticarse para cada aplicación.
-
La configuración del índice de credenciales.
Determina si el dispositivo Citrix ADC utiliza las credenciales de autenticación principales o secundarias para el inicio de sesión único.
Para configurar la configuración de la sesión, puede tomar uno de dos enfoques. Si quiere una configuración diferente para diferentes cuentas de usuario o grupos, cree un perfil para cada cuenta de usuario o grupo para el que quiera configurar la configuración de sesiones personalizadas. También se crean directivas para seleccionar las conexiones a las que se aplican perfiles concretos y se vinculan las directivas a usuarios o grupos. También puede enlazar una directiva al servidor virtual de autenticación que gestiona el tráfico al que quiere aplicar el perfil.
Si quiere la misma configuración para todas las sesiones, o si quiere personalizar la configuración predeterminada para las sesiones que no tienen perfiles y directivas específicos configurados, simplemente puede configurar la configuración global de la sesión.
Perfiles de sesión
Para personalizar las sesiones de usuario, primero debe crear un perfil de sesión. El perfil de sesión permite anular la configuración global de cualquiera de los parámetros de sesión.
Nota
Los términos “perfil de sesión” y “acción de sesión” significan lo mismo.
Para crear un perfil de sesión mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba los siguientes comandos para crear un perfil de sesión y verificar la configuración:
add tm sessionAction <name> [-sessTimeout <mins>] [-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )] [-ssoDomain <string>][-httpOnlyCookie ( YES | NO )] [-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]
show tm sessionAction <name>
<!--NeedCopy-->
Ejemplo
> add tm sessionAction session-profile -sessTimeout 30 -defaultAuthorization ALLOW
Done
> show tm sessionAction session-profile
1) Name: session-profile
Authorization action : ALLOW
Session timeout: 30 minutes
Done
<!--NeedCopy-->
Para modificar un perfil de sesión mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba los siguientes comandos para modificar un perfil de sesión y verificar la configuración:
set tm sessionAction <name> [-sessTimeout <mins>] [-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )] [-ssoDomain <string>][-httpOnlyCookie ( YES | NO )] [-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]
show tm sessionAction
<!--NeedCopy-->
Ejemplo
> set tm sessionAction session-profile -sessTimeout 30 -defaultAuthorization ALLOW
Done
> show tm sessionAction session-profile
1) Name: session-profile
Authorization action : ALLOW
Session timeout: 30 minutes
Done
<!--NeedCopy-->
Para eliminar un perfil de sesión mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba el comando siguiente para quitar un perfil de sesión:
rm tm sessionAction <name>
<!--NeedCopy-->
Para configurar perfiles de sesión mediante la utilidad de configuración
- Vaya a Seguridad > AAA - Tráfico de aplicaciones > Sesión.
- Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Sesión.
- En el panel de detalles, haga clic en la ficha Perfiles.
- En la ficha Perfiles, realice una de las acciones siguientes:
- Para crear un nuevo perfil de sesión, haga clic en Agregar.
- Para modificar un perfil de sesión existente, selecciónelo y, a continuación, haga clic en Modificar.
- En el cuadro de diálogo Crear perfil de sesión de TM o Configurar perfil de sesión de TM, escriba o seleccione valores para los parámetros.
- Nombre*: ActionName (No se puede cambiar para una acción de sesión configurada previamente).
- Tiempo de espera de la sesión: SessTimeout
- Inicio de sesión único en aplicaciones web: SSO
- Acción de autorización predeterminada: DefaultAuthorizationAction
- Índice de credenciales: SSOCredential
- Single Sign-on Domain—ssoDomain
- HTTPOnly Cookie—httpOnlyCookie
- Enable Persistent Cookie—persistentCookie
- Validación de cookies persistentes: PersistentCookieValue
- Haga clic en Crear o Aceptar. El perfil de sesión que creó aparece en el panel Perfiles y directivas de sesión.
Directivas de sesión
Después de crear uno o más perfiles de sesión, se crean directivas de sesión y, a continuación, se vinculan las directivas globalmente o a un servidor virtual de autenticación para aplicarlas.
Para crear una directiva de sesión mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba los siguientes comandos para crear una directiva de sesión y verificar la configuración:
- add tm sessionPolicy <name> <rule> <action>
- show tm sessionPolicy <name>
<!--NeedCopy-->
Ejemplo
> add tm sessionPolicy session-pol "URL == /\*.gif" session-profile
Done
> show tm sessionPolicy session-pol
1) Name: session-pol Rule: URL == '/\*.gif'
Action: session-profile
Done
<!--NeedCopy-->
Para modificar una directiva de sesión mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba los siguientes comandos para modificar una directiva de sesión y verificar la configuración:
- set tm sessionPolicy <name> [-rule <expression>] [-action <action>]
- show tm sessionPolicy <name>
<!--NeedCopy-->
Ejemplo
> set tm sessionPolicy session-pol "URL == /\*.gif" session-profile
Done
> show tm sessionPolicy session-pol
1) Name: session-pol Rule: URL == '/\*.gif'
Action: session-profile
Done
<!--NeedCopy-->
Para enlazar globalmente una directiva de sesión mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba los siguientes comandos para enlazar globalmente una directiva de sesión y verificar la configuración:
bind tm global -policyName <policyname> [-priority <priority>]
<!--NeedCopy-->
Ejemplo
> bind tm global -policyName session-pol
Done
> show tm sessionPolicy session-pol
1) Name: session-pol Rule: URL == '/*.gif'
Action: session-profile
Policy is bound to following entities
1) TM GLOBAL PRIORITY : 0
Done
<!--NeedCopy-->
Para enlazar una directiva de sesión a un servidor virtual de autenticación mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba el siguiente comando para enlazar una directiva de sesión a un virtual de autenticación y verificar la configuración:
bind authentication vserver <name> -policy <policyname> [-priority <priority>]
<!--NeedCopy-->
Ejemplo
bind authentication vserver auth-vserver-1 -policyName Session-Pol-1 -priority 1000
Done
<!--NeedCopy-->
Para desvincular una directiva de sesión de un servidor virtual de autenticación mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba los siguientes comandos para desvincular una directiva de sesión de un servidor virtual de autenticación y verificar la configuración:
unbind authentication vserver <name> -policy <policyname>
<!--NeedCopy-->
Ejemplo
unbind authentication vserver auth-vserver-1 -policyName Session-Pol-1
Done
<!--NeedCopy-->
Para desenlazar una directiva de sesión enlazada globalmente mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba los siguientes comandos para desenlazar una directiva de sesión enlazada globalmente:
unbind tm global -policyName <policyname>
<!--NeedCopy-->
Ejemplo
unbind tm global -policyName Session-Pol-1
Done
<!--NeedCopy-->
Para quitar una directiva de sesión mediante la interfaz de línea de comandos
Primero desvincule la directiva de sesión de global y, a continuación, en el símbolo del sistema, escriba los comandos siguientes para quitar una directiva de sesión y verificar la configuración:
rm tm sessionPolicy <name>
<!--NeedCopy-->
Ejemplo
rm tm sessionPolicy Session-Pol-1
Done
<!--NeedCopy-->
Para configurar y enlazar directivas de sesión mediante la utilidad de configuración
- Vaya a Seguridad > AAA: Tráfico de aplicaciones > Sesión.
- Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Sesión.
- En el panel de detalles, en la ficha Directivas, realice una de las acciones siguientes:
- Para crear una nueva directiva de sesión, haga clic en Agregar.
- Para modificar una directiva de sesión existente, selecciónela y, a continuación, haga clic en Modificar.
- En el cuadro de diálogo Crear directiva de sesióno Configurar directiva de sesión, escriba o seleccione los valores de los parámetros.
- nombre*: NombreDeDirectiva (no se puede cambiar para una directiva de sesión configurada previamente).
- Perfil de solicitar*—ActionName
- expresión*: Regla (Para especificar expresiones, elija primero el tipo de expresión en la lista desplegable situada más a la izquierda debajo del área de texto Expresión y, a continuación, escriba la expresión directamente en el área de texto de expresión, o haga clic en Agregar para abrir el cuadro de diálogo Agregar expresión y utilice el botón desplegable para construir su expresión).
- Haga clic en Crear o Aceptar. La directiva que ha creado aparece en el panel de detalles de la página Directivas de sesión y Perfiles.
- Para enlazar globalmente una directiva de sesión, en el panel de detalles, seleccione Enlaces globales en la lista desplegable Acción y rellene el cuadro de diálogo.
- Seleccione el nombre de la directiva de sesión que quiere enlazar globalmente.
- Haga clic en Aceptar.
- Para enlazar una directiva de sesión a un servidor virtual de autenticación, en el panel de navegación, haga clic en Servidores virtuales y agregue esa directiva a la lista de directivas.
- En el panel de detalles, seleccione el servidor virtual y, a continuación, haga clic en Modificar.
- En Selecciones avanzadas a la derecha del área de detalle, haga clic en Directivas.
- Seleccione una directiva o haga clic en el icono más para agregar una directiva.
- En la columna Prioridad de la izquierda, modifique la prioridad predeterminada para asegurarse de que la directiva se evalúa en el orden correcto.
- Haga clic en Aceptar. Aparece un mensaje en la barra de estado que indica que la directiva se ha configurado correctamente.
Configuración global de la sesión
Además de crear perfiles y directivas de sesión o en lugar de hacerlo, puede configurar la configuración global de la sesión. Estos parámetros controlan la configuración de la sesión cuando no hay ninguna directiva explícita que los sobrescriba.
Para configurar la configuración de la sesión mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba los siguientes comandos para configurar la configuración global de la sesión y verificar la configuración:
set tm sessionParameter [-sessTimeout <mins>][-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )][-ssoDomain <string>][-httpOnlyCookie ( YES | NO )][-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]
<!--NeedCopy-->
Ejemplo
> set tm sessionParameter -sessTimeout 30
Done
> set tm sessionParameter -defaultAuthorizationAction DENY
Done
> set tm sessionParameter -SSO ON
Done
> set tm sessionParameter -ssoCredential PRIMARY
Done
<!--NeedCopy-->
Para configurar los parámetros de sesión mediante la utilidad de configuración
- Vaya a Seguridad > AAA: Tráfico de aplicaciones
- En el panel de detalles, en Configuración, haga clic en Cambiar configuración global.
- En el cuadro de diálogo Configuración global de sesión, escriba o seleccione valores para los parámetros.
- Tiempo de espera de la sesión: SessTimeout
- Acción de autorización predeterminada: DefaultAuthorizationAction
- Inicio de sesión único en aplicaciones web: SSO
- Índice de credenciales: SSOCredential
- Single Sign-on Domain—ssoDomain
- HTTPOnly Cookie—httpOnlyCookie
- Enable Persistent Cookie—persistentCookie
- Validez de cookies persistentes (minutos) —PersistentCookieValue
- Página de inicio: página de inicio
- Haga clic en Aceptar.
Configuración del tráfico
Si utiliza el inicio de sesión único (SSO) basado en formularios o SAML para las aplicaciones protegidas, configure esa función en la configuración de tráfico. El inicio de sesión único permite a los usuarios iniciar sesión una vez para acceder a todas las aplicaciones protegidas, en lugar de requerir que inicien sesión por separado para acceder a cada una.
El inicio de sesión único basado en formularios le permite utilizar un formulario web de su propio diseño como método de inicio de sesión en lugar de una ventana emergente genérica. Por lo tanto, puede poner el logotipo de su empresa y otra información que quiera que vean los usuarios en el formulario de inicio de sesión. SAML SSO permite configurar un dispositivo Citrix ADC o una instancia de dispositivo virtual para autenticarse en otro dispositivo Citrix ADC en nombre de los usuarios que se han autenticado con el primer dispositivo.
Para configurar cualquiera de los tipos de inicio de sesión único, primero debe crear un perfil de SSO de formularios o SAML. A continuación, crea un perfil de tráfico y lo vincula al perfil de SSO que ha creado. A continuación, crea una directiva y la vincula al perfil de tráfico. Por último, vincula la directiva globalmente o a un servidor virtual de autenticación para poner en práctica la configuración.
Perfiles de tráfico
Después de crear al menos un formulario o perfil sso SAML, debe crear un perfil de tráfico a continuación.
Nota:
En esta función, los términos “perfil” y “acción” significan lo mismo.
Para crear un perfil de tráfico mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
add tm trafficAction <name> [-appTimeout <mins>][-SSO ( ON | OFF ) [-formSSOAction <string>]][-persistentCookie ( ENABLED | DISABLED )][-InitiateLogout ( ON | OFF )]
<!--NeedCopy-->
Ejemplo
add tm trafficAction Traffic-Prof-1 –appTimeout 10 -SSO ON -formSSOAction SSO-Prof-1
<!--NeedCopy-->
Para modificar un perfil de sesión mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
set tm trafficAction <name> [-appTimeout <mins>] [-SSO ( ON | OFF ) [-formSSOAction <string>]] [-persistentCookie ( ENABLED | DISABLED )] [-InitiateLogout ( ON | OFF )]
<!--NeedCopy-->
Ejemplo
set tm trafficAction Traffic-Prof-1 –appTimeout 10 -SSO ON -formSSOAction SSO-Prof-1
<!--NeedCopy-->
Para eliminar un perfil de sesión mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
rm tm trafficAction <name>
<!--NeedCopy-->
Ejemplo
rm tm trafficAction Traffic-Prof-1
<!--NeedCopy-->
Para configurar perfiles de tráfico mediante la utilidad de configuración
- Vaya a Seguridad > AAA: Tráfico de aplicaciones > Tráfico.
- Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Tráfico.
- En el panel de detalles, haga clic en la ficha Perfiles.
- En la ficha Perfiles, realice una de las acciones siguientes:
- Para crear un nuevo perfil de tráfico, haga clic en Agregar.
- Para modificar un perfil de tráfico existente, selecciónelo y, a continuación, haga clic en Modificar.
- En el cuadro de diálogo Crear perfil de tráfico o Configurar perfil de tráfico, especifique valores para los parámetros.
- Nombre*: Nombre (no se puede cambiar para una acción de sesión configurada previamente.)
- AppTimeout—appTimeout
- Inicio de sesión único: SSO
- Acción de inicio de SSO de formulario: FormsSOAction
- Acción de SSO SAML: SAMLSSOAction
- Enable Persistent Cookie—persistentCookie
- Iniciar cierre de sesión: IniciateLogout
- Haga clic en Crear o Aceptar. El perfil de tráfico que ha creado aparece en el panel Directivas de tráfico, perfiles y perfiles de SSO de formulario o perfiles de SSO de SAML, según corresponda.
Soporte para expresiones AAA.USER y AAA.LOGIN
La expresión AAA.USER ahora se implementa para reemplazar las expresiones HTTP.REQ.USER existentes. La expresión AAA.USER es aplicable para controlar el tráfico no HTTP, como Secure Web Gateway (SWG) y el mecanismo de acceso basado en roles (RBA). Las expresiones AAA.USER son equivalentes a las expresiones HTTP.REQ.USER.
Puede utilizar la expresión en varias acciones o configuraciones de perfiles.
En el símbolo del sistema, escriba:
add tm trafficAction <name> [SSO (ON|OFF)] [-userExpression <string>]
add tm trafficAction <name> [SSO (ON|OFF)] [-passwdExpression <string>]
<!--NeedCopy-->
Ejemplo
add tm trafficAction tm_act -SSO ON -userExpression "AAA.USER.NAME"
add tm trafficAction tm_act -SSO ON -userExpression "AAA.USER.PASSWD"
add tm trafficPolicy tm_pol true tm_act
bind lb vserver lb1 -policyName tm_pol -priority 2
<!--NeedCopy-->
Nota:
Si utiliza la expresión HTTP.REQ.USER, un mensaje de advertencia “HTTP.REQ.USER ha quedado obsoleto. Use AAA.USER en su lugar” aparece en el símbolo del sistema.
-
AAA.LOGIN Expression. La expresión LOGIN representa el inicio de sesión previo, también conocido como solicitud de inicio de sesión. La solicitud de inicio de sesión puede ser de Citrix Gateway, SAML IdP o de autenticación OAuth. Citrix ADC abstraerá los atributos necesarios de la configuración de directivas. La expresión AAA.LOGIN contiene los atributos, que se pueden obtener en función de lo siguiente:
- AAA.LOGIN.USERNAME. El nombre de usuario (si se encuentra) se obtiene de la solicitud de inicio de sesión actual. La misma expresión aplicada a una solicitud sin inicio de sesión (determinada por una autenticación, autorización y auditoría) da como resultado una cadena vacía.
- AAA.LOGIN.PASSWORD. La contraseña de usuario (si se encuentra) se obtiene de la solicitud de inicio de sesión actual. La expresión da como resultado una cadena vacía si no se encuentra la contraseña.
- AAA.LOGIN.PASSWORD2. La segunda contraseña (si se encuentra) se obtiene de la solicitud de inicio de sesión.
- AAA.LOGIN.DOMAIN. La información del dominio se obtiene de la solicitud de inicio de sesión.
-
AAA.USER.ATTRIBUTE (“#”). La expresión se utiliza para almacenar el atributo de usuario. Aquí # puede ser un valor entero (entre 1 y 16) o un valor de cadena. Puede utilizar estos valores de índice mediante la expresión AAA.USER.ATTRIBUTE (“#”). El módulo de autenticación, autorización y auditoría busca el atributo de sesiones de usuario y
AAA.USER.ATTRIBUTE("#")
consulta la tabla hash para ese atributo en particular. Por ejemplo, siAttributes("samaccountname")
se establece,AAA.USER.ATTRIBUTE("samaccountname")
consultaría el mapa hash y buscaría el valor correspondiente asamaccountname
.
Directivas de tráfico
Después de crear uno o más perfiles de tráfico y SSO de formulario, se crean directivas de tráfico y, a continuación, se vinculan las directivas, ya sea globalmente o a un servidor virtual de administración de tráfico, para ponerlas en práctica.
Para crear una directiva de tráfico mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
add tm trafficPolicy <name> <rule> <action>
<!--NeedCopy-->
Ejemplo
add tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")" Traffic-Prof-1
<!--NeedCopy-->
Para modificar una directiva de tráfico mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
set tm trafficPolicy <name> <rule> <action>
<!--NeedCopy-->
Ejemplo
set tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")" Traffic-Prof-1
<!--NeedCopy-->
Para enlazar globalmente una directiva de tráfico mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
bind tm global -policyName <string> [-priority <priority>]
<!--NeedCopy-->
Ejemplo
bind tm global -policyName Traffic-Pol-1
<!--NeedCopy-->
Para enlazar una directiva de tráfico a un servidor virtual de equilibrio de carga o cambio de contenido mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba uno de los siguientes comandos:
bind lb vserver <name> -policy <policyName> [-priority <priority>]
bind cs vserver <name> -policy <policyName> [-priority <priority>]
<!--NeedCopy-->
Ejemplo
bind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1 -priority 1000
<!--NeedCopy-->
Para desenlazar una directiva de tráfico enlazada globalmente mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
unbind tm global -policyName <policyname>
<!--NeedCopy-->
Ejemplo
unbind tm global -policyName Traffic-Pol-1
<!--NeedCopy-->
Para desvincular una directiva de tráfico de un servidor virtual de equilibrio de carga o cambio de contenido mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba uno de los siguientes comandos:
unbind lb vserver <name> -policy <policyname>
unbind cs vserver <name> -policy <policyname>
<!--NeedCopy-->
Ejemplo
unbind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1
<!--NeedCopy-->
Para quitar una directiva de tráfico mediante la interfaz de línea de comandos
Primero desvincule la directiva de sesión de global y, a continuación, en el símbolo del sistema, escriba:
rm tm trafficPolicy <name>
<!--NeedCopy-->
Ejemplo
rm tm trafficPolicy Traffic-Pol-1
<!--NeedCopy-->
Para configurar y enlazar directivas de tráfico mediante la utilidad de configuración
- Vaya a Seguridad > AAA: Tráfico de aplicaciones > Tráfico.
- Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Tráfico.
- En el panel de detalles, realice una de las acciones siguientes:
- Para crear una nueva directiva de sesión, haga clic en Agregar.
- Para modificar una directiva de sesión existente, selecciónela y, a continuación, haga clic en Modificar.
- En el cuadro de diálogo Crear directiva de tráfico o Configurar directiva de tráfico, especifique valores para los parámetros.
- nombre*: NombreDeDirectiva (no se puede cambiar para una directiva de sesión configurada previamente).
- Perfil*: ActionName
- Expresión: Regla (para especificar expresiones, elija primero el tipo de expresión en la lista desplegable situada más a la izquierda debajo del área de texto Expresión y, a continuación, escriba la expresión directamente en el área de texto de expresión, o haga clic en Agregar para abrir el cuadro de diálogo Agregar expresión y utilice las listas desplegables que contiene para construye su expresión).
- Haga clic en Crear o Aceptar. La directiva que ha creado aparece en el panel de detalles de la página Directivas de sesión y Perfiles.
Formar perfiles de SSO
Para habilitar y configurar SSO basado en formularios, primero debe crear un perfil de SSO.
Nota
- El inicio de sesión único basado en formularios no funciona si el formulario está personalizado para incluir Javascript.
- En esta función, los términos “perfil” y “acción” significan lo mismo.
Para crear un perfil de SSO de formulario mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
add tm formSSOAction <name> -actionURL <URL> -userField <string> -passwdField <string> -ssoSuccessRule <expression> [-nameValuePair <string>] [-responsesize <positive_integer>][-nvtype ( STATIC | DYNAMIC )][-submitMethod ( GET | POST )]
show tm formSSOAction [<name>]
<!--NeedCopy-->
Ejemplo
add tm formSSOAction SSO-Prof-1 -actionURL "/logon.php"
-userField "loginID" -passwdField "passwd"
-nameValuePair "loginID passwd" -responsesize "9096"
-ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"
-nvtype STATIC -submitMethod GET
–sessTimeout 10 -defaultAuthorizationAction ALLOW
<!--NeedCopy-->
Para modificar un SSO de formulario mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
set tm formSSOAction <name> -actionURL <URL> -userField <string> -passwdField <string> -ssoSuccessRule <expression> [-nameValuePair <string>] [-responsesize <positive_integer>][-nvtype ( STATIC | DYNAMIC )][-submitMethod ( GET | POST )]
<!--NeedCopy-->
Ejemplo
set tm formSSOAction SSO-Prof-1 -actionURL "/logon.php"
-userField "loginID" -passwdField "passwd"
-ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"
-nameValuePair "loginID passwd" -responsesize "9096"
-nvtype STATIC -submitMethod GET
–sessTimeout 10 -defaultAuthorizationAction ALLOW
<!--NeedCopy-->
Para quitar un perfil de SSO de formulario mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
rm tm formSSOAction <name>
<!--NeedCopy-->
Ejemplo
rm tm sessionAction SSO-Prof-1
<!--NeedCopy-->
Para configurar perfiles de SSO de formulario mediante la utilidad de configuración
- Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Tráfico.
- En el panel de detalles, haga clic en la ficha Form SSO Perfiles.
- En la ficha Form SSO Perfiles, realice una de las siguientes acciones:
- Para crear un nuevo perfil de SSO de formulario, haga clic en Agregar.
- Para modificar un perfil de SSO de formulario existente, seleccione el perfil y, a continuación, haga clic en Modificar.
- En el cuadro de diálogo Crear perfil SSO deformulario o Configurar perfil de SSO del formulario, especifique los valores de los parámetros:
- Nombre*: Nombre (no se puede cambiar para una acción de sesión configurada previamente.)
- URL de acción*—ActionURL
- Campo de nombre de usuario*—Campo de usuario
- Campo de contraseña*: Campo de paso
- expresión*—ssoSuccesRule
- pares de valores de nombre: NameValuePair
- Tamaño de respuesta: Tamaño de respuesta
- Extracción: NVType
- Método Submit: SubmitMethod</span>
- Haga clic en Crear o Aceptary, a continuación, en Cerrar. El perfil de SSO de formulario que creó aparece en el panel Directivas de tráfico, perfiles y perfiles de SSO de formulario.
Perfiles de SSO SAML
Para habilitar y configurar SSO basado en SAML, primero debe crear un perfil de SSO SAML.
Para crear un perfil de SSO SAML mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
add tm samlSSOProfile <name> -samlSigningCertName <string> -assertionConsumerServiceURL <URL> -relaystateRule <expression> -sendPassword (ON | OFF) [-samlIssuerName <string>]
<!--NeedCopy-->
Ejemplo
add tm samlSSOProfile saml-SSO-Prof-1 -samlSigningCertName "Example, Inc." -assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true" -sendPassword "ON" -samlIssuerName "Example, Inc."
<!--NeedCopy-->
Para modificar un SSO SAML mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
set tm samlSSOProfile <name> -samlSigningCertName <string> -assertionConsumerServiceURL <URL> -relaystateRule <expression> -sendPassword (ON | OFF) [-samlIssuerName <string>]
<!--NeedCopy-->
Ejemplo
set tm samlSSOProfile saml-SSO-Prof-1 -samlSigningCertName "Example, Inc." -assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true" -sendPassword "ON" -samlIssuerName "Example, Inc."
<!--NeedCopy-->
Para quitar un perfil de SSO SAML mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
rm tm samlSSOProfile <name>
<!--NeedCopy-->
Ejemplo
rm tm sessionAction saml-SSO-Prof-1
<!--NeedCopy-->
Para configurar un perfil de SSO SAML mediante la utilidad de configuración
- Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Tráfico.
- En el panel de detalles, haga clic en la ficha Perfiles de SSO SAML.
- En la ficha Perfiles de SSO SAML, realice una de las siguientes acciones:
- Para crear un nuevo perfil de SSO de SAML, haga clic en Agregar.
- Para modificar un perfil de SSO SAML existente, seleccione el perfil y, a continuación, haga clic en OpenEdit.
- En el cuadro de diálogo Crear perfiles de SSOSAML o Configurar perfiles de SSO SAML, defina los siguientes parámetros:
- Nombre*
- Nombre del certificado de firmar*
- URL ACS*
- Regla de estado de retransmisión*
- Enviar contraseña
- Nombre del emisor
- Haga clic en Crear o Aceptary, a continuación, en Cerrar. El perfil de SSO SAML que ha creado aparece en el panel Directivas de tráfico, perfiles y perfiles de SSO SAML.
Tiempo de espera de la sesión para OWA 2010
Ahora puede forzar el tiempo de espera de las conexiones de OWA 2010 después de un período de inactividad especificado. OWA envía solicitudes repetidas de keepalive al servidor para evitar tiempos de espera. Mantener las conexiones abiertas puede interferir con el inicio de sesión único.
Para forzar OWA 2010 a agotar el tiempo de espera después de un período especificado mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba los siguientes comandos:
add tm trafficAction <actname> [-forcedTimeout <forcedTimeout> -forcedTimeoutVal <mins>]
<!--NeedCopy-->
Para <actname>, sustituya un nombre para la directiva de tráfico. Para <mins>, sustituya el número de minutos después de los cuales iniciar un tiempo de espera forzado. Para <forcedTimeout>, sustituya uno de los valores siguientes:
-START — Inicia el temporizador para el tiempo de espera forzado si aún no se ha iniciado un temporizador. Si existe un temporizador en ejecución, no tiene ningún efecto. -STOP — Detiene un temporizador de funcionamiento. Si no se encuentra ningún temporizador en ejecución, no tiene efecto. -RESET — Reinicia un temporizador de ejecución. Si no se encuentra ningún temporizador en ejecución, inicia un temporizador como si se hubiera utilizado la opción START.
add tm trafficPolicy <polname> <rule> <actname>
<!--NeedCopy-->
Para <polname>, sustituya un nombre para la directiva de tráfico. Para <rule>, sustituya una regla en la sintaxis predeterminada de Citrix ADC.
bind lb vserver <vservername> –policyName <name> -priority <number>
<!--NeedCopy-->
Para <vservername>, sustituya el nombre del servidor virtual de administración de tráfico de autenticación, autorización y auditoría. Para <priority>, sustituya un entero que designe la prioridad de la directiva.
Ejemplo
add tm trafficAction act-owa2010timeout -forcedTimeout RESET -forcedTimeoutVal 10
add tm trafficPolicy pol-owa2010timeout true act-owa2010timeout
bind lb vserver vs-owa2010 -policyName pol-owa2010timeout -priority 10
<!--NeedCopy-->