Citrix Cloud

Configurar ADFS como proveedor SAML para la autenticación de espacios de trabajo

En este artículo se describe cómo configurar la confianza de usuario de confianza que Citrix Cloud requiere para iniciar sesión en Citrix Workspace o Citrix Cloud mediante SAML.

Tras completar los pasos que se indican en este artículo, puede configurar la conexión SAML entre el servidor ADFS y Citrix Cloud, tal y como se describe en Conectar SAML como proveedor de identidades con Citrix Cloud. Para obtener instrucciones para introducir los valores de ADFS correctos para la conexión SAML, consulte la sección Configuración de SAML en Citrix Cloud de este artículo.

Requisitos previos

En las instrucciones de este artículo se supone que tiene una implementación de servidor ADFS operativa con Citrix FAS en su entorno. Citrix FAS debe proporcionar Single Sign-On a los VDA durante el inicio de las sesiones.

Para obtener más información, consulte los siguientes artículos:

Configurar confianza de un usuario de confianza para Citrix Cloud

  1. Desde la consola de administración de AD FS, expanda el nodo de AD FS en el panel izquierdo.
  2. Haga clic con el botón secundario en Relying Party Trust y seleccione Add Relying Party Trust.

    Opción de menú Add Relying Party Trust

    Aparecerá el asistente Add Relying Party Trust.

  3. Seleccione Claims aware y, a continuación, seleccione Next.

     Asistente ADFS Trust con la opción Claims aware seleccionada

  4. En Federation metadata address, introduzca https://saml.cloud.com/saml/metadata.xml. Seleccione Siguiente.

    Asistente ADFS Trust con dirección de metadatos de federación introducida

  5. Para el nombre simplificado, introduzca CitrixCloudProd. Seleccione Siguiente.

    Asistente ADFS Trust con nombre simplificado introducido

  6. Para la directiva de control de acceso, seleccione Permit everyone. Seleccione Siguiente.

    Asistente ADFS Trust con directiva de control de acceso resaltada

  7. En la pantalla Ready to Add Trust, seleccione Next.
  8. En la pantalla Finish, seleccione Configure claims issuance policy for this application. Seleccione Siguiente.

    Consola de ADFS con la opción de menú Edit Claim Issuance Policy seleccionada

  9. Haga clic con el botón secundario en la confianza de usuario de confianza recién creada y seleccione Edit Claim Issuance Policy.
  10. Haga clic en Add Rule y, a continuación, seleccione Send LDAP Attributes as Claims. Seleccione Siguiente.
  11. En Claim rule name, introduzca CitrixCloud.
  12. En el Attribute store, seleccione Active Directory.
  13. En Mapping of LDAP attributes to outgoing claim types, agregue los siguientes atributos LDAP, tal y como se muestra:

    Atributo LDAP Tipo de notificación de salida
    userprincipalname Name ID
    userprincipalname cip_upn
    E-Mail-Addresses cip_email
    objectSID cip_sid
    objectGUID cip_oid
    Display-Name displayName
    Given-Name firstName
    Surname lastName

    Regla de notificación configurada

  14. Seleccione Finish.

Modificar la confianza de un usuario de confianza de Citrix Cloud mediante PowerShell

Si ha configurado el servidor ADFS con la configuración predeterminada “listo para usar”, los pasos de esta sección le permiten actualizarlo para que cumpla con la configuración recomendada por Citrix. Esta tarea es necesaria para resolver un problema en el que se produce un error en el cierre de sesión único de SAML desde Citrix Cloud o Citrix Workspace si el atributo nameidentifier no está incluido en el conjunto de reglas de notificación o no es el primer atributo de SAML del conjunto de reglas de notificación.

Nota:

No es necesario que realice esta tarea si creó su conjunto de reglas de notificación siguiendo los pasos de la sección Configurar confianza de un usuario de confianza para Citrix Cloud de este artículo.

Para completar esta tarea, sustituya el conjunto de reglas existente por un nuevo conjunto de reglas de notificación mediante PowerShell. La consola de administración de ADFS no admite este tipo de operación.

  1. En el servidor ADFS, busque el ISE de PowerShell. Haga clic con el botón secundario y seleccione Run as administrator.
  2. Haga una copia de seguridad de sus reglas de notificación de ADFS existentes en un archivo de texto:

    Get-ADFSRelyingPartyTrust -name "CitrixCloudStaging" | Select-Object -ExpandProperty IssuanceTransformRules | Out-File "$env:USERPROFILE\desktop\claimrulesbackup.txt"
    <!--NeedCopy-->
    
  3. Descargue el archivo claimrules.txt que Citrix proporciona en https://github.com/citrix/sample-scripts/tree/master/citrix-cloud.
  4. Copie el archivo claimrules.txt en su escritorio.
  5. Importe las reglas de notificación necesarias del archivo claimrules.txt:

    Set-ADFSRelyingPartyTrust -Name "CitrixCloudProd" `
                          -MetadataUrl "https://saml.cloud.com/saml/metadata" `
                          -AutoUpdateEnabled $True `
                          -IssuanceTransformRulesFile "$env:USERPROFILE\desktop\claimrules.txt" `
                          -SignedSamlRequestsRequired $True `
                          -SamlResponseSignature "MessageAndAssertion" `
                          -Enabled $True
    <!--NeedCopy-->
    

Actualice la configuración de firma de SAML para la confianza de usuario de confianza mediante PowerShell

De forma predeterminada, las confianzas de usuario de confianza de ADFS tienen la configuración siguiente:

  • EncryptClaims: True
  • SignedSamlRequestsRequired: False
  • SamlResponseSignature: AssertionOnly

Para mayor seguridad, Citrix recomienda utilizar solicitudes SAML firmadas tanto para Single Sign-On (SSO) como para el cierre de sesión único. En esta sección se describe cómo actualizar la configuración de firma de una confianza de usuario de confianza existente mediante PowerShell para que cumpla con la configuración recomendada por Citrix.

  1. Obtenga la configuración actual de RelyingPartyTrust de su servidor ADFS.

    Get-ADFSRelyingPartyTrust -TargetName "CitrixCloudProd"
    <!--NeedCopy-->
    
  2. Actualice la configuración de confianza de usuario de confianza de CitrixCloudProd.

    Set-ADFSRelyingPartyTrust -Name "CitrixCloudProd" `
                          -SignedSamlRequestsRequired $True `
                          -SamlResponseSignature "MessageAndAssertion"
    <!--NeedCopy-->
    
  3. Póngase en contacto con Citrix Support y solicite activar la función de autenticación EnableSamlLogoutSigningAndPost en su cliente de Citrix Cloud. Esto hace que Citrix Cloud envíe las solicitudes de cierre de sesión único de SAML como solicitudes POST firmadas, en lugar de solicitudes de redireccionamiento sin firmar cuando los usuarios cierran sesión en Citrix Workspace o Citrix Cloud. El envío de solicitudes POST firmadas es obligatorio si el proveedor SAML requiere solicitudes firmadas para el cierre de sesión único y rechaza las redirecciones sin firmar.

Configuración de SAML en Citrix Cloud

Al configurar la conexión SAML en Citrix Cloud (como se describe en Agregar metadatos de proveedor SAML a Citrix Cloud), introduzca los valores de ADFS de la siguiente manera:

En este campo de Citrix Cloud Introduzca este valor
ID de entidad https://adfs.YourDomain.com/adfs/services/trust, donde YourDomain.com es el dominio del servidor ADFS.
Firmar solicitud de autenticación
URL del servicio SSO https://adfs.YourDomain.com/adfs/ls, donde YourDomain.com es el dominio del servidor ADFS.
Mecanismo vinculante HTTP Post
Respuesta SAML Firmar respuesta o aserción
Contexto de autenticación No especificado, exacto
URL de cierre de sesión https://adfs.YourDomain.com/adfs/ls, donde YourDomain.com es el dominio del servidor ADFS.

Exporte el certificado de firma de ADFS desde la consola de administración ADFS de MMC. Consulte la captura de pantalla que aparece a continuación para saber cuál de los 3 certificados es el correcto para cargar en Citrix Cloud dentro de la conexión SAML.

Exportar ADFS

Configurar ADFS como proveedor SAML para la autenticación de espacios de trabajo