Servicio NetScaler Console

Conecte SAML como proveedor de identidades a NetScaler Console

NetScaler Console admite el uso de SAML (Security Assertion Markup Language) como proveedor de identidad para autenticar a los administradores y suscriptores que inician sesión en su consola NetScaler. Con su instancia de Active Directory (AD) local, puede usar el proveedor SAML 2.0 que prefiera.

Para la mayoría de los proveedores de SAML, use la información de este artículo para configurar la autenticación SAML. Si prefiere usar autenticación SAML con Azure AD, tiene la opción de usar la aplicación Citrix Cloud SAML SSO de la galería de aplicaciones de Azure AD.

Requisitos previos

La autenticación SAML con NetScaler Console tiene los siguientes requisitos:

  • Proveedor SAML compatible con SAML 2.0

  • Dominio de AD local

  • Dos Cloud Connectors implementados en una ubicación de recursos y unidos al dominio de AD local. Los Cloud Connectors se utilizan para garantizar que Citrix Cloud pueda comunicarse con su ubicación de recursos.

  • Integración de AD con su proveedor SAML.

Cloud Connectors

Debe tener al menos dos (2) servidores en los que instalar el software Citrix Cloud Connector. Se recomienda tener al menos dos servidores para la alta disponibilidad de Cloud Connector. Estos servidores deben cumplir los siguientes requisitos:

  • Cumplir los requisitos del sistema descritos en los Detalles técnicos de Cloud Connector.

  • No tener ningún otro componente de Citrix instalado, no ser un controlador de dominio de AD ni ser cualquier otra máquina de importancia crítica para la infraestructura de la ubicación de recursos.

  • Estar unidos al dominio donde residen los recursos. Si los usuarios acceden a los recursos de varios dominios, debe instalar al menos dos Cloud Connectors en cada dominio.

  • Estar conectados a una red que puede establecer contacto con los recursos a los que acceden los usuarios a través de Citrix Workspace.

  • Conectado a internet.

Active Directory

Antes de configurar la autenticación SAML, realice las siguientes tareas:

  • Los campos Nombre, Apellidos y Correo electrónico son obligatorios para que los usuarios de Active Directory importen usuarios a la instancia de Okta.

  • Compruebe que los suscriptores de Workspace tengan cuentas de usuario en Active Directory (AD). Los suscriptores sin cuentas de AD no pueden iniciar sesión correctamente en sus espacios de trabajo cuando la autenticación SAML está configurada.

  • Asegúrate de que las propiedades de usuario de las cuentas de AD de tus suscriptores estén rellenadas. Citrix Cloud requiere estas propiedades para establecer el contexto de usuario cuando los suscriptores inician sesión en Citrix Workspace. Si estas propiedades no están rellenadas, los suscriptores no pueden iniciar sesión. Estas propiedades incluyen lo siguiente:

    • Dirección de correo electrónico

    • Nombre simplificado (opcional)

    • Nombre común

    • Nombre de cuenta SAM

    • Nombre principal del usuario

    • GUID de objeto

    • SID

  • Implemente Cloud Connectors en su instancia de Active Directory (AD) local para conectar esta a su cuenta de Citrix Cloud.

  • Sincronice los usuarios de AD con el proveedor SAML. Citrix Cloud necesita los atributos de usuario de AD para los suscriptores de espacios de trabajo para que puedan iniciar sesión correctamente.

Configuración de SSO de SAML

En una instancia de Okta, vaya a Integraciones de directorios > Agregar Active Directory.

Instancia de Okta

Para una integración correcta, el proveedor de identidades SAML debe pasar a Citrix Cloud ciertos atributos de Active Directory del usuario en la aserción SAML. Concretamente,

  • Identificador de seguridad (SID)
  • objectGUID (OID)
  • Nombre principal del usuario (UPN)
  • Correo (correo electrónico)
  1. Inicie sesión en Okta con las credenciales de administrador.

  2. Seleccione Directorio > Editor de perfiles y seleccione el perfil de usuario de Okta (predeterminado) . Okta muestra la página del perfil User.

    Okta

  3. En Atributos, seleccione Agregar atributos y agregue los campos personalizados.

    • cip_sid
    • cip_upn
    • cip_oid
    • cip_email

      Attributes

    Haga clic en Guardar y agregar otro y repita el proceso para crear 4 atributos personalizados.

    Puede ver los siguientes detalles después de crear 4 atributos personalizados:

    Atributos personalizados

  4. Asigne los atributos de Active Directory a los atributos personalizados. Seleccione el Active Directory que está utilizando en Usuarios > Directorios.

  5. Edite las asignaciones de atributos:

    1. Desde la consola de Okta, vaya a Directorio > Editor de perfiles.

    2. Busca el active_directory perfil de tu AD. Este perfil puede etiquetarse con el formato MyDomain User, donde MyDomain es el nombre de tu dominio AD integrado.

    3. Seleccione Mappings. Aparece la página de mapeos de perfil de usuario de tu dominio de AD y se selecciona la pestaña para asignar tu AD a un usuario de Okta.

      Mapeo de perfiles

    4. En la columna Perfil de usuario de Okta , asigne los atributos de Active Directory a los atributos personalizados que ha creado:

      1. Para cip_email, selecciona el correo electrónico en la columna Perfil de usuario de tu dominio. Al seleccionarse, la asignación aparece como appuser.email.

      2. Para ello cip_sid, seleccione ObjectSID en la columna Perfil de usuario de su dominio. Al seleccionarse, la asignación aparece como appuser.objectSid.

      3. Para cip_upn, selecciona userNametu dominio en la columna Perfil de usuario . Al seleccionarse, la asignación aparece como appuser.userName.

      4. Para cip_oid, selecciona externalIdtu dominio en la columna Perfil de usuario . Al seleccionarse, la asignación aparece como appuser.externalId.

        Mapeo de perfiles

  6. Inicie sesión en Citrix Cloud desde https://citrix.cloud.com.

  7. Desde la consola de administración de Citrix Cloud, haga clic en el botón de menú y seleccione Administración de acceso e identidad.

  8. Busca SAML 2.0 y haz clic en Conectar .

    Aparece la página Configurar SAML .

    Configurar SAML

    Descargue el xml archivo y ábralo con cualquier editor de archivos. Debe volver a esta página después de completar la configuración adicional en Okta.

  9. En Okta, dirígete a Aplicación > Crear integración de aplicaciones.

  10. En la página Agregar aplicación , haga clic en Crear nueva aplicación .

  11. En la página Crear una nueva integración de aplicaciones , seleccione SAML 2.0 y haga clic en Crear .

  12. Proporcione detalles como el nombre y el logotipo de la aplicación (opcional), configure la visibilidad de la aplicación y, a continuación, haga clic en Siguiente.

  13. En la pestaña SAML de configuración , debes usar los detalles del archivo descargadoxml:

    1. Proporcione los detalles de la URL para la URL de inicio de sesión único como https://saml-internal.cloud.com/saml/acsy la URI de audiencia (ID de entidad de SP) comohttps://saml-internal.cloud.com.

      Nota:

      Si es Citrix Cloud externo, la URL debe ser https://saml.cloud.com/saml/acsy https://saml.cloud.comen lugar de https://saml-internal.cloud.comdominio.

    2. Seleccione Sin especificar para Formato de identificador de nombre .

    3. Seleccione Nombre de usuario de Okta para Nombre de usuario de la aplicación .

    4. Haga clic en Mostrar configuración avanzada y asegúrese de que la respuesta y la afirmación estén seleccionadas con Firmado .

      URL de Okta

    5. Agregue declaraciones de atributos como se muestra en la siguiente imagen.

      Attributes

    6. Puede dejar todas las demás opciones por defecto y hacer clic en Siguiente.

    7. Selecciona Soy un cliente de Okta y añado una aplicación interna y, a continuación, haz clic en Finalizar.

  14. La aplicación Okta ya está creada y haga clic en Ver instrucciones de configuración.

    Instrucción de configuración

    Aparece la página Cómo configurar SAML 2.0 para la aplicación de prueba con detalles de que debe volver a agregarlo a Citrix Cloud.

    Descargue el certificado para cargarlo en Citrix Cloud.

  15. Ahora debe volver a la página Configurar SAML en Citrix Cloud y completar el resto de la configuración tal y como se indica a continuación:

    Pasos restantes

    Utilice el certificado descargado y cambie el nombre de la extensión del .certnombre .crtde archivo de a para cargarlo en Citrix Cloud.

  16. Después de cargar el certificado, utilice todas las demás opciones predeterminadas:

    Vista previa de SAML

  17. A continuación, debe asegurarse de que appuser.userName esté definido en Directory-Integrations > Active Directory -> Provisiong> To okta.

    Nombre de usuario SAML

    Nota:

    A veces, debes usar user.cip_upn, en appuser.cip_upnsu lugar . Asegúrese de verificar la definición de su aplicación en la integración de OKTA, como se muestra en esta imagen.

  18. Ahora debes intentar añadir usuarios de Okta a esta aplicación SAML. Puede asignar usuarios de varias formas.

    Método 1:

    1. Inicie sesión en Okta con las credenciales de administrador

    2. Navegue hasta Aplicaciones > Aplicaciones

    3. Selecciona la aplicación SAML que creaste

    4. Haga clic en Asignar > Asignar a personas

      Agregar usuario

    5. Haz clic en Asignar y, a continuación , selecciona Guardar y volver .

    6. Haga clic en Listo.

    Método 2:

    1. Navegue hasta Aplicaciones > Aplicaciones.

    2. Haga clic en Asignar usuarios a la aplicación.

      Asignar usuarios a la aplicación

    3. Seleccione la aplicación y los usuarios y, a continuación, haga clic en Siguiente.

      Asignar usuarios

    4. Haz clic en Confirmar asignaciones.

    Método 3:

    1. Navega hasta Directorio > Personas.

    2. Selecciona cualquier usuario.

    3. Haga clic en Asignar aplicaciones y asigne la aplicación SAML al usuario.

  19. Después de asignar usuarios, inicie sesión en Citrix Cloud.

  20. Desde la consola de administración de Citrix Cloud, haga clic en el botón de menú y seleccione Administración de acceso e identidad.

  21. En la pestaña Administradores , haga clic en Agregar administrador/grupo .

  22. Seleccione Active Directory ([nombre de su aplicación SAML]) de la lista, seleccione el dominio y, a continuación, haga clic en Siguiente .

    ANUNCIO SAML

  23. Especifique los permisos de acceso.

  24. Revisa si todo está correcto y haz clic en Enviar invitación.

  25. En la pestaña Autenticación , puede ver la URL de inicio de sesión de SAML 2.0. A continuación, se muestra un ejemplo:

    Ejemplo de SAML

Conecte SAML como proveedor de identidades a NetScaler Console