Usar un dispositivo NetScaler Gateway local como el proveedor de identidades para Citrix Cloud
Citrix Cloud admite el uso de dispositivos NetScaler Gateway locales como proveedores de identidades para autenticar a los suscriptores que inician sesión en sus espacios de trabajo.
Al utilizar la autenticación de NetScaler Gateway, puede:
- Siga autenticando a los usuarios a través de su dispositivo NetScaler Gateway existente para que puedan acceder a los recursos de la implementación local de Virtual Apps and Desktops a través de Citrix Workspace.
- Utilice las funciones de autenticación, autorización y auditoría de NetScaler Gateway con Citrix Workspace.
- Proporcione a sus usuarios acceso a los recursos que necesitan a través de Citrix Workspace mediante funciones como la autenticación de paso, tarjetas inteligentes, tokens seguros, directivas de acceso condicional y federación.
La autenticación de NetScaler Gateway se puede utilizar con las siguientes versiones de producto:
- NetScaler Gateway 13.0 41.20 Advanced Edition o posterior
- NetScaler Gateway 12.1 54.13 Advanced Edition o posterior
Requisitos previos
-
Cloud Connectors: necesita al menos dos servidores en los que instalar el software Citrix Cloud Connector.
-
Active Directory: Realice las comprobaciones necesarias.
-
Requisitos de NetScaler Gateway
-
Utilice directivas avanzadas en la puerta de enlace local debido a la obsolescencia de las directivas clásicas.
-
Al configurar la puerta de enlace para autenticar suscriptores en Citrix Workspace, la puerta de enlace actúa como un proveedor de OpenID Connect. Los mensajes entre Citrix Cloud y Gateway se ajustan al protocolo OIDC, que implica la firma digital de tokens. Por lo tanto, debe configurar un certificado para firmar estos tokens.
-
Sincronización de reloj: la puerta de enlace debe estar sincronizada con la hora NTP.
-
Para obtener más información, consulte Prerequisites.
Crear una directiva de IDP de OAuth en NetScaler Gateway local
Importante:
Debe haber generado el ID de cliente, el secreto y la URL de redireccionamiento en la ficha Citrix Cloud > Administración de acceso e identidad > Autenticación. Para obtener más información, consulte Conectar un NetScaler Gateway local a Citrix Cloud.
La creación de una directiva de autenticación de IDP de OAuth implica las siguientes tareas:
-
Crea un perfil de IDP de OAuth.
-
Agrega una directiva de IDP de OAuth.
-
Enlazar la directiva de IDP de OAuth a un servidor virtual de autenticación.
-
Enlazar el certificado globalmente.
Creación de un perfil de IDP de OAuth mediante la CLI
En el símbolo del sistema, escriba;
add authentication OAuthIDPProfile <name> [-clientID <string>][-clientSecret ][-redirectURL <URL>][-issuer <string>][-audience <string>][-skewTime <mins>] [-defaultAuthenticationGroup <string>]
add authentication OAuthIdPPolicy <name> -rule <expression> [-action <string> [-undefAction <string>] [-comment <string>][-logAction <string>]
add authentication ldapAction <name> -serverIP <IP> -ldapBase "dc=aaa,dc=local"
ldapBindDn <administrator@aaa.local> -ldapBindDnPassword <password> -ldapLoginName sAMAccountName
add authentication policy <name> -rule <expression> -action <string>
bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <integer> -gotoPriorityExpression NEXT
bind authentication vserver auth_vs -policy <OAuthIDPPolicyName> -priority <integer> -gotoPriorityExpression END
bind vpn global -certkeyName <>
<!--NeedCopy-->
Creación de un perfil de IDP de OAuth mediante la interfaz gráfica de usuario
-
Vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > IDP de OAuth.
-
En la página IDP de OAuth, seleccione la ficha Perfiles y haga clic en Agregar.
-
Configure el perfil de IDP de OAuth.
Nota:
-
Copie y pegue los valores de ID de cliente, secreto y URL de redireccionamiento desde la ficha Citrix Cloud > Administración de acceso e identidad > Autenticación para establecer la conexión con Citrix Cloud.
-
Introduzca la URL de la puerta de enlace correctamente en el Ejemplo de nombre del emisor: https://GatewayFQDN.com
-
También copie y pegue el ID de cliente en el campo Audiencia.
-
Enviar contraseña: habilite esta opción para admitir el inicio de sesión único. De forma predeterminada, esta opción está inhabilitada.
-
-
En la pantalla Crear perfil de proveedor de identidad de OAuth de autenticación, defina los valores para los siguientes parámetros y haga clic en Crear.
-
Nombre: Nombre del perfil de autenticación. Debe empezar por una letra, un número o un guion bajo (_). El nombre debe contener solo letras, números y los caracteres de guion (-), punto (.), almohadilla (#), espacio ( ), arroba (@), igual (=), dos puntos (:) y guiones bajos. No se puede cambiar una vez creado el perfil.
- Client ID: Cadena única que identifica al proveedor de servicios. El servidor de autorización defiere la configuración del cliente mediante este ID. Longitud máxima: 127.
- Secreto de cliente: Cadena secreta establecida por el usuario y el servidor de autorización. Longitud máxima: 239.
- URL de redirección: Punto final del SP en el que se debe publicar el código/token.
- Nombre del emisor: Identidad del servidor cuyos tokens se van a aceptar. Longitud máxima: 127. Ejemplo:https://GatewayFQDN.com
- Destinatario: Se dirige al destinatario del token enviado por el IDP. El destinatario comprueba este token.
- Tiempo sesgado: Esta opción especifica el sesgo de reloj permitido (en minutos) que NetScaler permite en un token entrante. Por ejemplo, si skewTime es 10, el token sería válido desde (tiempo actual - 10) min a (tiempo actual+ 10) min, es decir, 20 min en total. Valor por defecto: 5.
- Grupo de autenticación predeterminado: Un grupo que se agrega a la lista de grupos internos de la sesión cuando el IDP elige este perfil y que se puede usar en el flujo nFactor. Se puede usar en la expresión (AAA.USER.IS_MEMBER_OF (“xxx”)) para que las directivas de autenticación identifiquen el flujo de nFactor relacionado con la parte de confianza. Longitud máxima: 63
Se agrega un grupo a la sesión de este perfil para simplificar la evaluación de las directivas y ayudar a personalizarlas. Este grupo es el grupo predeterminado que se elige cuando la autenticación se realiza correctamente, además de los grupos extraídos. Longitud máxima: 63.
-
-
Haga clic en Directivas y en Agregar.
-
En la pantalla Crear directiva de IDP de OAuth de autenticación, defina los valores para los siguientes parámetros y haga clic en Crear.
- Nombre: Nombre de la directiva de autenticación.
- Acción: Nombre del perfil creado anteriormente.
- Log Acción: Nombre de la acción del registro de mensajes que se utilizará cuando una solicitud coincida con esta directiva. No es un archivo obligatorio.
- Acción deresultado indefinido: acción a realizar si el resultado de la evaluación de directivas no está definido (UNDEF). No es un campo obligatorio.
- Expression: Expresión sintáctica predeterminada que la directiva utiliza para responder a una solicitud específica. Por ejemplo, true.
- Comments: Cualquier comentario sobre la directiva.
Nota:
Cuando sendPassword se establece en ON (OFF de forma predeterminada), las credenciales de usuario se cifran y pasan a través de un canal seguro a Citrix Cloud. Pasar las credenciales de usuario a través de un canal seguro le permite habilitar el SSO en Citrix Virtual Apps and Desktops al iniciarse.
Enlace de la directiva OAuthIDP y la directiva LDAP al servidor virtual de autenticación
-
Vaya a Configuración > Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Acciones > LDAP.
-
En la pantalla Acciones de LDAP, haga clic en Agregar.
-
En la pantalla Crear servidor LDAP de autenticación, defina los valores de los siguientes parámetros y haga clic en Crear.
- Nombre: nombre de la acción LDAP
- ServerName/ServerIP: proporciona FQDN o IP del servidor LDAP
- Elija los valores adecuados para Tipo de seguridad, Puerto, Tipo de servidor, Tiempo de espera
- Asegúrese de que la autenticación esté marcada
-
DN base: Base desde la que se inicia la búsqueda LDAP. Por ejemplo:
dc=aaa,dc=local. - DN de enlace de administrador: nombre de usuario del enlace al servidor LDAP. Por ejemplo, admin@aaa.local.
- Contraseña de administrador/Confirmar contraseña: Contraseña para enlazar LDAP
- Haga clic en Probar conexión para probar su configuración.
- Atributo de nombre de inicio de sesión del servidor: elija “sAMAccountName”
- Otros campos no son obligatorios y, por lo tanto, se pueden configurar según sea necesario.
-
Vaya a Configuración > Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Directiva.
-
En la pantalla Directivas de autenticación, haga clic en Agregar.
-
En la página Crear directiva de autenticación, defina los valores de los siguientes parámetros y haga clic en Crear.
- Nombre: nombre de la directiva de autenticación LDAP.
- Tipo de acción: seleccione LDAP.
- Acción: seleccione la acción LDAP.
- Expresión: Expresión de sintaxis predeterminada que la directiva utiliza para responder a una solicitud específica. Por ejemplo, true**.