Para configurar la autenticación SAML
-
En la utilidad de configuración, en la pestaña Configuración, expanda Citrix Gateway > Directivas > Autenticación .
-
En el panel de navegación, haga clic en SAML.
-
En el panel de detalles, haga clic en Agregar.
-
En el cuadro de diálogo Crear directiva de autenticación, en Nombre, escriba un nombre para la directiva.
-
Junto a Servidor, haga clic en Nuevo.
-
En Nombre, escriba un nombre para el perfil del servidor.
-
En Nombre del certificado del IdP, seleccione un certificado o haga clic en Instalar. Este es el certificado instalado en el servidor SAML o IdP.
Si hace clic en Instalar, agregue el certificado y la clave privada. Para obtener más información, consulte Instalar y administrar certificados.
-
En URL de redirección, introduzca la URL del proveedor de identidad (IdP) de autenticación.
Esta es la dirección URL del inicio de sesión del usuario en el servidor SAML. Este es el servidor al que NetScaler Gateway redirige la solicitud inicial.
-
En URL de cierre de sesión único, especifique la URL para que el dispositivo pueda reconocer cuándo debe devolver el cliente al IdP para completar el proceso de cierre de sesión.
-
En SAML Binding, seleccione el método que se va a utilizar para mover el cliente del SP al IdP. Esto debe ser el mismo en el IDP para que entienda cómo se conecta el cliente a él. Cuando el dispositivo actúa como SP, admite los enlaces POST, REDIRECT y ARTIFACT.
-
En Enlace de cierre de sesión, selecciona REDIRECT.
-
En Nombre del certificado de IDP, seleccione el certificado IdPCert (Base64) presente en el Certificado de firma SAML.
Nota:
También puede hacer clic en Importar metadatos y seleccionar la URL en la que se almacena la configuración de metadatos.
-
En Campo de usuario, introduzca el nombre de usuario que desea extraer.
-
En Nombre del certificado de firma, seleccione el certificado SP SAML (con clave privada) que el dispositivo utiliza para firmar solicitudes de autenticación al IdP. El mismo certificado (sin clave privada) debe importarse al proveedor de identidades para que el proveedor de identidades pueda verificar la firma de la solicitud de autenticación. La mayoría de los desplazados internos no necesitan este campo
Este es el certificado vinculado a la dirección IP virtual de NetScaler Gateway. El nombre del emisor SAML es el nombre de dominio completo (FQDN) en el que los usuarios inician sesión, como lb.example.com o ng.example.com.
-
En Nombre del emisor, introduzca el FQDN del equilibrio de carga o la dirección IP virtual de NetScaler Gateway a la que el dispositivo envía la solicitud de autenticación inicial (GET).
-
En Rechazar aserción sin firmar, especifique si necesita que se firmen las aserciones del IdP. Puede asegurarse de que solo la aserción debe estar firmada (activada) o que tanto la aserción como la respuesta del IdP deben estar firmadas (STRICT).
-
En Audience, introduzca la audiencia a la que se aplica la aserción enviada por el IdP. Normalmente se trata de un nombre de entidad o URL que representa al proveedor de servicios.
-
En Algoritmo de firma, seleccione RSA-SHA256
-
En Método de resumen, seleccione SHA256
-
En Grupo de autenticación predeterminado, introduzca el grupo predeterminado que se elige cuando la autenticación se realiza correctamente, además de los grupos extraídos.
-
En Nombre de grupo, introduzca el nombre de la etiqueta en la aserción que contiene los grupos de usuarios.
-
En Tiempo de sesgo (minutos), especifique la inclinación de reloj permitida en minutos que el proveedor de servicios permite en una afirmación entrante.
-
Haga clic en Crear y, a continuación, en Cerrar.
-
En el cuadro de diálogo Crear directiva de autenticación, junto a Expresiones con nombre, seleccione General, seleccione Valor verdadero, haga clic en Agregar expresión, en Crear y, a continuación, en Cerrar.