ADC

Usar un dispositivo Citrix Gateway local como el proveedor de identidades para Citrix Cloud

Citrix Cloud admite el uso de dispositivos Citrix Gateway locales como proveedores de identidades para autenticar a los suscriptores que inician sesión en sus espacios de trabajo.

Con la autenticación de Citrix Gateway, puede:

  • Siga autenticando a los usuarios a través de su dispositivo Citrix Gateway existente para que puedan acceder a los recursos de la implementación local de Virtual Apps and Desktops a través de Citrix Workspace.
  • Utilice las funciones de autenticación, autorización y auditoría de Citrix Gateway con Citrix Workspace.
  • Utilice funciones como la autenticación PassThrough, las tarjetas inteligentes, los tokens seguros, las directivas de acceso condicional, la federación y muchas otras para proporcionar a los usuarios acceso a los recursos que necesitan a través de Citrix Workspace.

La autenticación de Citrix Gateway se puede utilizar con las siguientes versiones de producto:

  • Citrix Gateway 13.0 41.20 Advanced Edition o posterior
  • Citrix Gateway 12.1 54.13 Advanced Edition o posterior

Requisitos previos

  • Cloud Connectors: necesita al menos dos servidores en los que instalar el software Citrix Cloud Connector.

  • Active Directory: Realice las comprobaciones necesarias.

  • Requisitos de Citrix Gateway

    • Utilice directivas avanzadas en la puerta de enlace local debido a la obsolescencia de las directivas clásicas.

    • Al configurar la puerta de enlace para autenticar suscriptores en Citrix Workspace, la puerta de enlace actúa como un proveedor de OpenID Connect. Los mensajes entre Citrix Cloud y Gateway se ajustan al protocolo OIDC, que implica la firma digital de tokens. Por lo tanto, debe configurar un certificado para firmar estos tokens.

    • Sincronización de reloj: la puerta de enlace debe estar sincronizada con la hora NTP.

Para obtener más información, consulte Prerequisites.

Crear una directiva de IDP de OAuth en Citrix Gateway local

Importante:

Debe haber generado el ID de cliente, el secreto y la URL de redireccionamiento en la ficha Citrix Cloud > Administración de acceso e identidad > Autenticación. Para obtener más información, consulte Conectar un Citrix Gateway local a Citrix Cloud.

La creación de una directiva de autenticación de IDP de OAuth implica las siguientes tareas:

  1. Crea un perfil de IdP de OAuth.

  2. Agrega una directiva de IDP de OAuth.

  3. Enlazar la directiva de IDP de OAuth a un servidor virtual de autenticación.

  4. Enlazar el certificado globalmente.

Creación de un perfil de IDP de OAuth mediante la CLI

En la línea de comandos, escriba;

add authentication OAuthIDPProfile <name> [-clientID <string>][-clientSecret ][-redirectURL <URL>][-issuer <string>][-audience <string>][-skewTime <mins>] [-defaultAuthenticationGroup <string>]

add authentication OAuthIdPPolicy <name> -rule <expression> [-action <string> [-undefAction <string>] [-comment <string>][-logAction <string>]

add authentication ldapAction <name> -serverIP <IP> -ldapBase "dc=aaa,dc=local"

ldapBindDn <administrator@aaa.local> -ldapBindDnPassword <password> -ldapLoginName sAMAccountName

add authentication policy <name> -rule <expression> -action <string>

bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <integer> -gotoPriorityExpression NEXT

bind authentication vserver auth_vs -policy <OAuthIDPPolicyName> -priority <integer> -gotoPriorityExpression END

bind vpn global -certkeyName <>
<!--NeedCopy-->

Creación de un perfil de IDP de OAuth mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > IDP de OAuth.

  2. En la página IDP de OAuth, seleccione la ficha Perfiles y haga clic en Agregar.

  3. Configure el perfil de IDP de OAuth.

    Nota:

    • Copie y pegue los valores de ID de cliente, secreto y URL de redireccionamiento desde la ficha Citrix Cloud > Administración de acceso e identidad > Autenticación para establecer la conexión con Citrix Cloud.

    • Introduzca la URL de la puerta de enlace correctamente en el Ejemplo de nombre del emisor: https://GatewayFQDN.com

    • También copie y pegue el ID de cliente en el campo Audiencia.

    • Enviar contraseña: habilite esta opción para admitir el inicio de sesión único. De forma predeterminada, esta opción está inhabilitada.

  4. En la pantalla Crear perfil de proveedor de identidad de OAuth de autenticación, defina los valores para los siguientes parámetros y haga clic en Crear.

    • Nombre: Nombre del perfil de autenticación. Debe comenzar con una letra, un número o un carácter de guión bajo (_) y debe contener solo letras, números y guión (-), punto (.), almohadilla (#), espacio ( ), en (@), igual a (=), dos puntos (:) y guión bajo. No se puede cambiar una vez creado el perfil.

    • Client ID: Cadena única que identifica al proveedor de servicios. El servidor de autorización infiere la configuración del cliente mediante este ID. Longitud máxima: 127.
    • Client Secret: Cadena secreta establecida por el usuario y el servidor de autorización. Longitud máxima: 239.
    • URL de redirección: Punto final del SP en el que se debe publicar el código/token.
    • Nombre del emisor: Identidad del servidor cuyos tokens se van a aceptar. Longitud máxima: 127. Ejemplo:https://GatewayFQDN.com
    • Público: Destinatario objetivo del token que envía el IDP. El destinatario podría comprobarlo.
    • Tiempo sesgado: Esta opción especifica el sesgo de reloj permitido en minutos que Citrix ADC permite en un token entrante. Por ejemplo, si skewTime es 10, el token sería válido desde (tiempo actual - 10) min a (tiempo actual+ 10) min, es decir, 20 min en total. Valor por defecto: 5.
    • Grupo de autenticación predeterminado: Un grupo que se agrega a la lista de grupos internos de la sesión cuando el IDP elige este perfil y que se puede usar en el flujo nFactor. Se puede usar en la expresión (AAA.USER.IS_MEMBER_OF(“xxx”)) para que las directivas de autenticación identifiquen el flujo de nFactor relacionado con la parte de confianza. Longitud máxima: 63

    Se agrega un grupo a la sesión de este perfil para simplificar la evaluación de las directivas y ayudar a personalizarlas. Este es el grupo predeterminado que se elige cuando la autenticación se realiza correctamente, además de los grupos extraídos.

    • URL de metadatos de la parte de confianza: punto final en el que el IdP de Citrix ADC puede obtener detalles sobre la parte de confianza que se está configurando. La respuesta de metadatos debe incluir puntos finales para el jwks_uri de las claves públicas de RP. La longitud máxima es 255.
    • Intervalo de actualización: el intervalo en el que se actualizan los metadatos de la parte que confía. El intervalo predeterminado es 50.
    • Cifrar token: al seleccionar esta opción, se cifra el token enviado por Citrix ADC.
    • Servicio de firma: nombre del servicio en la nube que se utiliza para firmar los datos. Esto solo se aplica si la firma se descarga en la nube.
    • Atributos: pares nombre-valor de los atributos que se insertarán en el token de ID. La longitud máxima es de 1047 caracteres.
    • Enviar contraseña: seleccione esta opción para enviar la contraseña cifrada en el token de ID.
  5. Haga clic en Directivas y en Agregar.

  6. En la pantalla Crear directiva de IDP de OAuth de autenticación, defina los valores para los siguientes parámetros y haga clic en Crear.

    • Name: El nombre de la directiva de autenticación.
    • Action: Nombre del perfil creado anteriormente.
    • Log Action: Nombre de la acción del registro de mensajes que se utilizará cuando una solicitud coincida con esta directiva. No es un archivo obligatorio.
    • Acción deresultado indefinido: acción a realizar si el resultado de la evaluación de directivas no está definido (UNDEF). No es un campo obligatorio.
    • Expression: Expresión sintáctica predeterminada que la directiva utiliza para responder a una solicitud específica. Por ejemplo, true.
    • Comments: Cualquier comentario sobre la directiva.

Nota:

Cuando sendPassword se establece en ON (OFF de forma predeterminada), las credenciales de usuario se cifran y pasan a través de un canal seguro a Citrix Cloud. Pasar las credenciales de usuario a través de un canal seguro le permite habilitar el SSO en Citrix Virtual Apps and Desktops al iniciarse.

Enlace de la directiva OAuthIDP y la directiva LDAP al servidor virtual de autenticación

  1. Vaya a Configuración > Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Acciones > LDAP.

  2. En la pantalla Acciones de LDAP, haga clic en Agregar.

  3. En la pantalla Crear servidor LDAP de autenticación, defina los valores de los siguientes parámetros y haga clic en Crear.

    • Nombre: nombre de la acción LDAP
    • ServerName/ServerIP: proporciona FQDN o IP del servidor LDAP
    • Elija los valores adecuados para Tipo de seguridad, Puerto, Tipo de servidor, Tiempo de espera
    • Asegúrese de que la autenticación esté marcada
    • DN base: Base desde la que se inicia la búsqueda LDAP. Por ejemplo: dc=aaa,dc=local.
    • DN de enlace de administrador: nombre de usuario del enlace al servidor LDAP. Por ejemplo: admin@aaa.local.
    • Contraseña de administrador/Confirmar contraseña: Contraseña para enlazar LDAP
    • Haga clic en Probar conexión para probar su configuración.
    • Atributo de nombre de inicio de sesión del servidor: elija “sAMAccountName”
    • Otros campos no son obligatorios y, por lo tanto, se pueden configurar según sea necesario.
  4. Vaya a Configuración > Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Directiva.

  5. En la pantalla Directivas de autenticación, haga clic en Agregar.

  6. En la página Crear directiva de autenticación, defina los valores de los siguientes parámetros y haga clic en Crear.

    • Nombre: nombre de la directiva de autenticación LDAP.
    • Tipo de acción: seleccione LDAP.
    • Acción: seleccione la acción LDAP.
    • Expresión: Expresión de sintaxis predeterminada que la directiva utiliza para responder a una solicitud específica. Por ejemplo, true**.

Compatibilidad con implementaciones de GSLB activo-activas en Citrix Gateway

Citrix Gateway configurado como proveedor de identidad (IDP) mediante el protocolo OIDC puede admitir implementaciones de GSLB activo-activas. La implementación activa y activa de GSLB en el IDP de Citrix Gateway proporciona la capacidad de equilibrar la carga de una solicitud de inicio de sesión de usuario entrante en varias ubicaciones geográficas.

Importante

Citrix recomienda vincular certificados de CA al servicio SSL y habilitar la validación de certificados en el servicio SSL para mejorar la seguridad.

Para obtener más información sobre la configuración de GSLB, consulte Ejemplo de una configuración y configuración de GSLB.

Usar un dispositivo Citrix Gateway local como el proveedor de identidades para Citrix Cloud