Documentación de productos
ADC
14.1 - Current Release 13.1 13.0 12.1
Ver PDF
Gracias por los comentarios

Este artículo ha sido traducido automáticamente. (Aviso legal)

  Leer en inglés

Protocolo de federación de servicios web

July 15, 2024
Contribución de: 
C

La federación de servicios web (WS-Federation) es un protocolo de identidad que permite que un servicio de token de seguridad (STS) de un dominio de confianza proporcione información de autenticación a un STS de otro dominio de confianza cuando hay una relación de confianza entre los dos dominios.

Ventajas de WS-Federation

WS-Federation admite clientes activos y pasivos, mientras que el IdP SAML solo admite clientes pasivos.

  • Los clientes activos son clientes nativos de Microsoft, como los clientes de Outlook y Office (Word, PowerPoint, Excel y OneNote).
  • Los clientes pasivos son clientes basados en explorador, como Google Chrome, Mozilla Firefox e Internet Explorer.

Requisitos previos para usar NetScaler como WS-Federation

Antes de configurar el dispositivo NetScaler como proxy ADFS, revise lo siguiente:

  • Active Directory
  • Certificado SSL de dominio.
  • El certificado SSL de NetScaler y el certificado de firma del token ADFS en el servidor ADFS deben ser los mismos.

Importante

IdP de SAML ahora es capaz de gestionar el protocolo WS-Federation. Por lo tanto, para configurar el IdP de WS-Federation, debe configurar realmente el IdP de SAML. No ve ninguna interfaz de usuario que mencione explícitamente WS-Federation.

Funciones compatibles con NetScaler cuando se configura como proxy ADFS e IdP de WS-Federation

En la siguiente tabla se enumeran las funciones que admite el dispositivo NetScaler cuando se configura como proxy de ADFS e IdP de WS-Federation.

Funciones Configurar el dispositivo NetScaler como proxy ADFS NetScaler como IdP de WS-Federation NetScaler como ADFSPIP
Equilibrio de carga
Terminación de SSL
Limitación de velocidad
Consolidación (reduce el espacio del servidor DMZ y ahorra IP pública)
Firewall de aplicaciones web (WAF)
Descarga de autenticación al dispositivo NetScaler Sí (clientes activos y pasivos)
Single Sign-On (SSO) Sí (clientes activos y pasivos)
Autenticación de varios factores (nFactor) No Sí (clientes activos y pasivos)
Autenticación multifactor Azure No Sí (clientes activos y pasivos)
Se puede evitar la comunidad de servidores ADFS No

Configurar el dispositivo NetScaler como WS-Federation IdP

Configure NetScaler como WS-Federation IdP (SAML IdP) en una zona DMZ. El servidor ADFS se configura junto con el controlador de dominio de AD en el back-end.

Proveedor de identidad de WS-Federation

  1. La solicitud del cliente a Microsoft Office365 se redirige al dispositivo NetScaler.
  2. El usuario introduce las credenciales para la autenticación multifactor.
  3. NetScaler valida las credenciales con AD y genera un token de forma nativa en el dispositivo NetScaler. Las credenciales se pasan a Office365 para obtener acceso.

Nota:

La compatibilidad con WS-Federation IdP se realiza de forma nativa a través del dispositivo NetScaler en comparación con el balanceador de cargas de F5 Networks.

Configure el dispositivo NetScaler como WS-Federation IdP (SAML IdP) mediante la CLI

Las siguientes secciones se clasifican según el requisito de completar los pasos de configuración.

Para configurar la autenticación LDAP y agregar una directiva

Importante

Para que los usuarios del dominio puedan iniciar sesión en el dispositivo NetScaler mediante sus direcciones de correo electrónico corporativas, debe configurar lo siguiente:

  • Configure el servidor y la directiva de autenticación LDAP en el dispositivo NetScaler.
  • Enlácela a la dirección IP virtual de autenticación, autorización y auditoría (también se admite el uso de una configuración LDAP existente).
add authentication ldapAction <Domain_LDAP_Action> -serverIP <Active Directory IP> -serverPort 636 -ldapBase "cn=Users,dc=domain,dc=com" -ldapBindDn "cn=administrator,cn=Users,dc=domain,dc=com" -ldapBindDnPassword <administrator password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute UserPrincipalName -followReferrals ON -Attribute1 mail -Attribute2 objectGUID

add authentication Policy <Domain_LDAP_Policy> -rule true -action <Domain_LDAP_Action>

Ejemplo

add authentication ldapAction CTXTEST_LDAP_Action -serverIP 3.3.3.3 -serverPort 636 -ldapBase "cn=Users,dc=ctxtest,dc=com" -ldapBindDn "cn=administrator,cn=Users,dc=ctxtest,dc=com" -ldapBindDnPassword xxxxxxxxxxx -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute UserPrincipalName -followReferrals ON -Attribute1 mail -Attribute2 objectGUID

add authentication Policy CTXTEST_LDAP_Policy -rule true -action CTXTEST_LDAP_Action

Para configurar NetScaler como IdP de WS-Federation o IdP de SAML

Crear una acción y una directiva de IdP de WS-Federation (IdP SAML) para la generación de tokens. Más adelante, vincúlela al servidor virtual de autenticación, autorización y auditoría.

add authentication samlIdPProfile <Domain_SAMLIDP_Profile> -samlIdPCertName <SSL_CERT> -assertionConsumerServiceURL "https://login.microsoftonline.com/login.srf" -samlIssuerName <Issuer Name for Office 365 in ADFS Server> -rejectUnsignedRequests OFF -audience urn:federation:MicrosoftOnline -NameIDFormat persistent -NameIDExpr "HTTP.REQ.USER.ATTRIBUTE(2).B64ENCODE" -Attribute1 IDPEmail -Attribute1Expr "HTTP.REQ.USER.ATTRIBUTE(1)"

add authentication samlIdPPolicy <Domain_SAMLIDP_Policy> -rule "HTTP.REQ.HEADER("referer").CONTAINS("microsoft") || true" -action <Domain_SAMLIDP_Profile>

Ejemplo

add authentication samlIdPProfile CTXTEST_SAMLIDP_Profile -samlIdPCertName ctxtest_newcert_2019 -assertionConsumerServiceURL "https://login.microsoftonline.com/login.srf" -samlIssuerName "http://ctxtest.com/adfs/services/trust/" -rejectUnsignedRequests OFF -audience urn:federation:MicrosoftOnline -NameIDFormat persistent -NameIDExpr "HTTP.REQ.USER.ATTRIBUTE(2).B64ENCODE" -Attribute1 IDPEmail -Attribute1Expr "HTTP.REQ.USER.ATTRIBUTE(1)"

add authentication samlIdPPolicy CTXTEST_SAMLIDP_Policy -rule "HTTP.REQ.HEADER("referer").CONTAINS("microsoft") || true" -action CTXTEST_SAMLIDP_Profile

Para configurar un servidor virtual de autenticación, autorización y auditoría para autenticar a los empleados que inician sesión en Office365 con credenciales corporativas 

add authentication vserver <Domain_AAA_VS> SSL <IP_address>`

Ejemplo

add authentication vserver CTXTEST_AAA_VS SSL 192.168.1.0

bind authentication vserver CTXTEST_AAA_VS -portaltheme RfWebUI

Para vincular el servidor virtual de autenticación y la directiva 

bind authentication vserver <Domain_AAA_VS> -policy <Domain_SAMLIDP_Policy> -priority 100 -gotoPriorityExpression NEXT

bind authentication vserver <Domain_AAA_VS> -policy <Domain_LDAP_Policy> -priority 100 -gotoPriorityExpression NEXT

Ejemplo

bind authentication vserver CTXTEST_AAA_VS -policy CTXTEST_SAMLIDP_Policy -priority 100 -gotoPriorityExpression NEXT

bind authentication vserver CTXTEST_AAA_VS -policy CTXTEST_LDAP_Policy -priority 100 -gotoPriorityExpression NEXT

bind ssl vserver CTXTEST_AAA_VS -certkeyName ctxtest_newcert_2019

Para configurar el cambio de contenido 

add cs action <Domain_CS_Action> -targetVserver <Domain_AAA_VS>

add cs policy <Domain_CS_Policy> -rule "is_vpn_url || http.req.url.contains("/adfs/ls") || http.req.url.contains("/adfs/services/trust") || -action <Domain_CS_Action>

Ejemplo

add cs action CTXTEST_CS_Action -targetVserver CTXTEST_AAA_VS

add cs policy CTXTEST_CS_Policy -rule "is_vpn_url || http.req.url.contains("/adfs/ls") || http.req.url.contains("/adfs/services/trust") || -action CTXTEST_CS_Action

Para enlazar el servidor virtual de conmutación de contenido a la directiva 

bind cs vserver CTXTEST_CSVS -policyName CTXTEST_CS_Policy -priority 100
La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.
Protocolo de federación de servicios web
July 15, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.