Configurar la autenticación SAML
El lenguaje de marcado de aserciones de seguridad (SAML) es un estándar basado en XML para intercambiar autenticación y autorización entre proveedores de identidad (IdP) y proveedores de servicios. NetScaler Gateway admite la autenticación SAML.
Al configurar la autenticación SAML, crea la siguiente configuración:
- Nombre del certificado del IdP. Esta es la clave pública que corresponde a la clave privada del IdP.
- URL de redireccionamiento. Esta es la dirección URL del IdP de autenticación. Los usuarios que no están autenticados se redirigen a esta URL.
- Campo de usuario. Puede utilizar este campo para extraer el nombre de usuario si el IdP envía el nombre de usuario en un formato diferente al de la etiqueta NameIdentifier de la etiqueta Subject. Este es un parámetro opcional.
- Nombre del certificado de firma. Es la clave privada del servidor NetScaler Gateway que se utiliza para firmar la solicitud de autenticación al IdP. Si no configura un nombre de certificado, la aserción se envía sin firmar o se rechaza la solicitud de autenticación.
- Nombre del emisor SAML. Este valor se utiliza cuando se envía la solicitud de autenticación. Debe haber un nombre único en el campo emisor para indicar la autoridad desde la que se envía la afirmación. Este campo es opcional.
- Grupo de autenticación predeterminado. Es el grupo del servidor de autenticación desde el que se autentican los usuarios.
- Dos factores. Esta configuración habilita o inhabilita la autenticación de dos factores.
- Rechazar afirmaciones sin firmar. Si se habilita, NetScaler Gateway rechaza la autenticación de usuarios si el nombre del certificado de firma no está configurado.
NetScaler Gateway admite el enlace posterior a HTTP. En este enlace, el remitente responde al usuario con 200 OK que contiene una publicación automática de formulario con la información requerida. En concreto, el formulario predeterminado debe contener dos campos ocultos llamados SAMLRequest
y SAMLResponse
, en función de si el formulario es una solicitud o una respuesta. El formulario también incluye RelayState, que es un estado o información utilizada por la parte que envía para enviar información arbitraria que no es procesada por la parte que confía. La parte que confía devuelve la información para que, cuando la parte remitente reciba la afirmación junto con RelayState, la parte remitente sepa qué hacer a continuación. Se recomienda cifrar u ofuscar el RelayState.
Nota
Cuando NetScaler Gateway se usa como IdP para Citrix Cloud, no es necesario configurar la regla RelayState en NetScaler Gateway.
En caso de encadenamiento de IdP, basta con configurar la regla RelayState solo en la primera directiva de SAML. En este contexto, el encadenamiento de IdP es un casos en el que una acción de SAML configurada hace referencia a un IdP de servidor virtual de autenticación que contiene otra acción de SAML.
Configuración de Servicios de federación de Active Directory 2.0
Puede configurar los Servicios de federación de Active Directory (AD FS) 2.0 en cualquier equipo con Windows Server 2008 o Windows Server 2012 que utilice en un rol de servidor federado. Al configurar el servidor ADFS para que sea compatible con NetScaler Gateway, debe configurar los siguientes parámetros mediante el Asistente para confianza de parte que confía en Windows Server 2008 o Windows Server 2012.
Parámetros de Windows Server 2008:
- Confianza del partido. Proporciona la ubicación del archivo de metadatos de NetScaler Gateway
https://vserver.fqdn.com/ns.metadata.xml
, por ejemplo, donde vserver.fqdn.com es el nombre de dominio completo (FQDN) del servidor virtual de NetScaler Gateway. Puede encontrar el FQDN en el certificado de servidor vinculado al servidor virtual. - Reglas de autorización. Puede permitir o denegar a los usuarios el acceso a la parte que confía.
Parámetros de Windows Server 2012:
-
Confianza del partido. Proporciona la ubicación del archivo de metadatos de NetScaler Gateway
https://vserver.fqdn.com/ns.metadata.xml
, por ejemplo, donde vserver.fqdn.com es el nombre de dominio completo (FQDN) del servidor virtual de NetScaler Gateway. Puede encontrar el FQDN en el certificado de servidor vinculado al servidor virtual. -
Perfil AD FS. Seleccione el perfil de AD FS.
-
Certificado. NetScaler Gateway no admite el cifrado. No es necesario seleccionar un certificado.
-
Habilite la compatibilidad con el protocolo WebSSO SAML 2.0. Esto permite admitir el inicio de sesión único de SAML 2.0. Proporciona la URL del servidor virtual de NetScaler Gateway, como
https:netScaler.virtualServerName.com/cgi/samlauth
.Esta URL es la URL de Assertion Consumer Service del dispositivo NetScaler Gateway. Se trata de un parámetro constante y NetScaler Gateway espera una respuesta SAML en esta URL.
-
Identificador de confianza de parte que confía Escriba el nombre NetScaler Gateway. Esta es una URL que identifica a las partes que confían, por ejemplo
https://netscalerGateway.virtualServerName.com/adfs/services/trust
. -
Reglas de autorización. Puede permitir o denegar a los usuarios el acceso a la parte que confía.
-
Configurar reglas de notificación. Puede configurar los valores de los atributos LDAP mediante Reglas de transformación de emisión y utilizar la plantilla Enviar atributos LDAP como notificaciones. A continuación, configure los ajustes de LDAP que incluyen:
- Direcciones de correo
- sAMAccountName
- Nombre principal de usuario (UPN)
- Miembro de
-
Firma de certificado. Puede especificar los certificados de verificación de firma seleccionando las propiedades de una parte retransmitiendo y, a continuación, agregando el certificado.
Si el certificado de firma tiene menos de 2048 bits, aparece un mensaje de advertencia. Puede ignorar la advertencia para continuar. Si va a configurar una implementación de prueba, inhabilite la lista de revocación de certificados (CRL) en la parte que transmite. Si no inhabilita la comprobación, AD FS intenta la CRL para validar el certificado.
Puede inhabilitar la CRL ejecutando el siguiente comando: Set-ADFWrelayingPartyTrust - SigningCertFicateRevocatonCheck None-TargetName NetScaler
Después de configurar la configuración, compruebe los datos de la parte que confía antes de completar el Asistente para confianza de la parte de retransmisión. Comprueba el certificado del servidor virtual de NetScaler Gateway con la URL del endpoint, como https://vserver.fqdn.com/cgi/samlauth
.
Una vez que haya terminado de configurar los ajustes en el Asistente para confianza de la parte de retransmisión, seleccione la confianza configurada y, a continuación, modifique las propiedades. Lleve a cabo lo siguiente:
-
Establezca el algoritmo hash seguro en SHA-1.
Nota: Citrix solo admite SHA-1.
-
Elimine el certificado de cifrado. Las afirmaciones cifradas no son compatibles.
-
Modifique las reglas de notificación, incluidas las siguientes:
- Seleccionar regla de transformación
- Agregar regla de notificación
- Seleccionar plantilla de reglas de notificación: enviar atributos LDAP como notificaciones
- Dar un nombre
- Seleccionar almacén de atributos: Active Directory
- Seleccione el atributo LDAP: <Active Directory parameters>
- Seleccione Regla de reclamo en marcha fuera como “ID de nombre”
Nota: Las etiquetas XML de nombre de atributo no son compatibles.
-
Configure la URL de cierre de sesión para el cierre de sesión único. La regla de notificación es Enviar URL de cierre de sesión. La regla personalizada debe ser la siguiente:
pre codeblock => issue(Type = "logoutURL", Value = "https://<adfs.fqdn.com>/adfs/ls/", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"); <!--NeedCopy-->
Después de configurar la configuración de AD FS, descargue el certificado de firma de AD FS y, a continuación, cree una clave de certificado en NetScaler Gateway. A continuación, puede configurar la autenticación SAML en NetScaler Gateway mediante el certificado y la clave.
Configuración de la autenticación de dos factores SAML
Puede configurar la autenticación de dos factores SAML. Al configurar la autenticación SAML con autenticación LDAP, siga las siguientes pautas:
- Si SAML es el tipo de autenticación principal, inhabilite la autenticación en la directiva LDAP y configure la extracción de grupo. A continuación, vincule la directiva LDAP como tipo de autenticación secundaria.
- La autenticación SAML no utiliza una contraseña y solo utiliza el nombre de usuario. Además, la autenticación SAML solo informa a los usuarios cuando la autenticación se realiza correctamente. Si se produce un error en la autenticación SAML, no se notifica a los usuarios. Dado que no se envía una respuesta de error, SAML tiene que ser la última directiva de la cascada o la única directiva.
- Se recomienda configurar nombres de usuario reales en lugar de cadenas opacas.
- SAML no se puede enlazar como tipo de autenticación secundaria.