ADC

NetScaler como SP SAML

May 9, 2023

Contribución de:

El proveedor de servicios SAML (SP) es una entidad de SAML implementada por el proveedor de servicios. Cuando un usuario intenta acceder a una aplicación protegida, el SP evalúa la solicitud del cliente. Si el cliente no está autenticado (no tiene una cookie NSC_TMAA o NSC_TMAS válida), el SP redirige la solicitud al proveedor de identidades (IDP) de SAML.

El SP también valida las aserciones SAML que se reciben del IDP.

Cuando el dispositivo NetScaler se configura como SP, todas las solicitudes de los usuarios las recibe un servidor virtual de administración del tráfico (equilibrio de carga o conmutación de contenido). Las solicitudes están asociadas a la acción de SAML correspondiente.

El dispositivo NetScaler también admite enlaces POST y Redirect durante el cierre de sesión.

Nota

Se puede utilizar un dispositivo NetScaler como SP de SAML en una implementación en la que el IDP de SAML esté configurado en el dispositivo o en cualquier IDP de SAML externo.

Cuando se usa como SP SAML, un dispositivo NetScaler:

Puede extraer la información del usuario (atributos) del token SAML. A continuación, esta información se puede utilizar en las directivas configuradas en el dispositivo NetScaler. Por ejemplo, si desea extraer los atributos GroupMember y emailaddress, en SamlAction, especifique el parámetroAttribute2 como GroupMember y el parámetro Attribute3como emailaddress.

Nota

Los atributos predeterminados, como el nombre de usuario, la contraseña y la URL de cierre de sesión, no se deben extraer de los atributos 1 a 16, ya que se analizan y almacenan implícitamente en la sesión.
Puede extraer nombres de atributos de hasta 127 bytes de una aserción SAML entrante. El límite anterior era de 63 bytes. Soporte introducido en NetScaler 11.0 Build 64.x.
Admite enlaces de publicaciones, redirecciones y artefactos. La compatibilidad con enlaces de redirecciones y artefactos se introdujo en NetScaler 11.0 Build 55.x.

Nota

El enlace de redireccionamiento no debe usarse para una gran cantidad de datos, cuando la afirmación después de inflar o decodificar sea superior a 10 K.
Puede descifrar afirmaciones. Soporte introducido en NetScaler 11.0 Build 55.x.
Puede extraer atributos con varios valores de una aserción de SAML. Estos atributos se envían en etiquetas XML anidadas, como:

<AttributeValue> <AttributeValue>Value1</AttributeValue> <AttributeValue>Value2</AttributeValue> \</AttributeValue\>

Cuando se le presenta el XML anterior, el dispositivo NetScaler puede extraer tanto el Value1 como el Value2 como valores de un atributo determinado, a diferencia del firmware anterior, que extraía solo el Value1.

Nota

Soporte introducido en NetScaler 11.0 Build 64.x.
Puede especificar la validez de una aserción SAML.

Si la hora del sistema en el IDP SAML de NetScaler y el SP SAML del mismo par no están sincronizados, es posible que cualquiera de las partes invalide los mensajes. Para evitar estos casos, ahora puede configurar la duración de tiempo para la cual las afirmaciones son válidas.

Esta duración, denominada “tiempo de desviación”, especifica el número de minutos durante los que se debe aceptar el mensaje. El tiempo de inclinación se puede configurar en el SP de SAML y en el IDP de SAML.

Nota

Soporte introducido en NetScaler 11.0 Build 64.x.
Puede enviar un atributo adicional llamado ‘forceAuth’ en la solicitud de autenticación a un IdP externo (proveedor de identidad). De forma predeterminada, ForceAuthn se establece en “False”. Se puede configurar en “Verdadero” para sugerir al IDP que fuerce la autenticación a pesar del contexto de autenticación existente. Además, NetScaler SP realiza una solicitud de autenticación en el parámetro de consulta cuando se configura con enlace de artefactos.

Para configurar el dispositivo NetScaler como SP SAML mediante la interfaz de línea de comandos

Configure una acción de SAML SP.

Ejemplo

El siguiente comando agrega una acción SAML que redirige las solicitudes de usuario no autenticadas.

add authentication samlAction SamlSPAct1 -samlIdPCertName nssp –samlRedirectUrl https://auth1.example.com
Configure la directiva SAML.

Ejemplo

El siguiente comando define una directiva de SAML que aplica la acción SAML definida anteriormente a todo el tráfico.

add authentication samlPolicy SamlSPPol1 ns_true SamlSPAct1
Vincule la directiva SAML al servidor virtual de autenticación.

Ejemplo

El siguiente comando enlaza la directiva SAML a un servidor virtual de autenticación denominado “av_saml”.

bind authentication vserver av_saml -policy SamlSPPol1
Vincule el servidor virtual de autenticación al servidor virtual de administración del tráfico correspondiente.

Ejemplo

El siguiente comando agrega un servidor virtual de equilibrio de carga denominado “lb1_ssl” y asocia el servidor virtual de autenticación denominado “av_saml” al servidor virtual de equilibrio de carga.

add lb vserver lb1_ssl SSL 10.217.28.224 443 -persistenceType NONE -cltTimeout 180 -AuthenticationHost auth1.example.com -Authentication ON -authnVsName av_saml

Para configurar un dispositivo NetScaler como un SP SAML mediante la interfaz gráfica de usuario

Configure la acción y la directiva de SAML.

Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Directiva. Cree una directiva con SAML como tipo de acción y asocie la acción de SAML requerida a la directiva.
Asocie la directiva SAML a un servidor virtual de autenticación.

Vaya a Seguridad > AAA: Tráfico de aplicaciones > Servidores virtuales y asocie la directiva SAML con el servidor virtual de autenticación.
Asocie el servidor de autenticación al servidor virtual de administración del tráfico correspondiente.

Vaya a Administración del tráfico > Equilibrio de carga (o Content Switching) > Servidores virtuales, seleccione el servidor virtual y asocie el servidor virtual de autenticación con él.

Aumento del tamaño de SessionIndex en el SP SAML

El tamaño de SessionIndex del proveedor de servicios (SP) SAML aumenta a 96 bytes. Anteriormente, el tamaño máximo predeterminado de SessionIndex era de 63 bytes.

Soporte de referencia de clase de autenticación personalizada para SAML SP

Puede configurar el atributo de referencia de clase de autenticación personalizado en el comando de acción SAML. Con el atributo de referencia de clase de autenticación personalizada, puede personalizar los nombres de las clases en las etiquetas SAML apropiadas. El atributo de referencia de clase de autenticación personalizada junto con el espacio de nombres se envía al IDP de SAML como parte de la solicitud de autenticación de SP de SAML.

Anteriormente, con el comando de acción SAML, solo se podía configurar un conjunto de clases predefinidas definidas en el atributo authnctxClassRef.

Importante

Al configurar el atributo customAuthnCtxClassRef, asegúrese de lo siguiente:

Los nombres de las clases deben incluir caracteres alfanuméricos o una URL válida con etiquetas XML adecuadas.

Si tiene que configurar varias clases personalizadas, cada clase debe estar separada por comas.

Para configurar los atributos customAuthnCtxClassRef mediante la CLI

En la línea de comandos, escriba:

add authentication samlAction <name> [-customAuthnCtxClassRef <string>]
set authentication samlAction <name> [-customAuthnCtxClassRef <string>]

Ejemplo:

add authentication samlAction samlact1 –customAuthnCtxClassRef http://www.class1.com/LoA1,http://www.class2.com/LoA2
set authentication samlAction samlact2 –customAuthnCtxClassRef http://www.class3.com/LoA1,http://www.class4.com/LoA2

Para configurar los atributos customAuthnCtxClassRef mediante la interfaz gráfica de usuario

Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Acciones > SAML.
En la página SAML, seleccione la ficha Servidores y haga clic en Agregar.
En la página Crear servidor SAML de autenticación, introduzca el nombre de la acción SAML.
Desplácese hacia abajo para configurar los tipos de clase en la sección Tipos de clase de autenticación personalizada.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

NetScaler Secure Deployment Guide

NetScaler como SP SAML

May 9, 2023

Contribución de:

May 9, 2023

Contribución de:

En este artículo

Para configurar el dispositivo NetScaler como SP SAML mediante la interfaz de línea de comandos
Para configurar un dispositivo NetScaler como un SP SAML mediante la interfaz gráfica de usuario
Aumento del tamaño de SessionIndex en el SP SAML
Soporte de referencia de clase de autenticación personalizada para SAML SP

¿Le ha resultado útil?

NetScaler Secure Deployment Guide