Configurar una aplicación SAML mediante un ID de entidad con ámbito en Citrix Cloud
En este artículo se describe cómo aprovisionar varias aplicaciones SAML en el mismo proveedor de SAML.
Algunos proveedores de SAML, como Azure Active Directory (AD), Active Directory Federation Services (ADFS), PingFederate y PingSSO, prohíben volver a utilizar el ID de entidad del mismo proveedor de servicios (SP) en varias aplicaciones de SAML. Como resultado, los administradores que crean dos o más aplicaciones SAML diferentes dentro del mismo proveedor de SAML no pueden vincularlas a los mismos arrendatarios de Citrix Cloud o a otros diferentes. Al intentar crear una segunda aplicación SAML con el ID de entidad del mismo SP, como https:\\saml.cloud.com
, cuando una aplicación SAML existente ya lo está utilizando, se desencadena un error en el proveedor de SAML que indica que el ID de entidad ya se está usando.
Estas imágenes ilustran el error:
-
En Azure Active Directory:
-
En PingFederate:
La función de ID de entidad con ámbito de Citrix Cloud aborda esta limitación para que pueda crear más de una aplicación SAML dentro del proveedor de SAML (por ejemplo, un arrendatario de Azure AD) y vincularla a un único arrendatario de Citrix Cloud.
¿Qué es un ID de entidad?
Un ID de entidad SAML es un identificador único que se usa para identificar una entidad específica en el protocolo de autorización y autenticación SAML. Normalmente, el ID de entidad es una URL o URI que se asigna a la entidad y se utiliza en metadatos y mensajes SAML. Cada aplicación SAML que cree en su proveedor de SAML se considera una entidad única.
En una conexión SAML entre Citrix Cloud y Azure AD, por ejemplo, Citrix Cloud es el proveedor de servicios (SP) y Azure AD es el proveedor de SAML. Ambos tienen un ID de entidad que debe configurarse en el lado opuesto de la conexión SAML. Esto significa que el ID de entidad de Citrix Cloud debe configurarse dentro de Azure AD, y el ID de entidad de Azure AD debe configurarse en Citrix Cloud.
Estos ID de entidad son ejemplos de un ID de entidad genérico y un ID de entidad con ámbito en Citrix Cloud:
- Genérico:
https://saml.cloud.com
- Con ámbito:
https://saml.cloud.com/67338f11-4996-4980-8339-535f76d0c8fb
ID de entidad de SP genéricos y con ámbito por región
Las conexiones SAML existentes en Citrix Cloud (creadas antes de noviembre de 2023) utilizan el mismo ID de entidad genérico para cada conexión SAML y cada arrendatario de Citrix Cloud. Solo las conexiones SAML nuevas de Citrix Cloud ofrecen la opción de usar un ID de entidad con ámbito.
Si opta por utilizar ID de entidad con ámbito para las nuevas conexiones, cualquier conexión SAML existente seguirá funcionando con sus ID de entidad genéricos originales.
En esta tabla se enumeran los ID de entidad de SP genéricos y con ámbito para cada región de Citrix Cloud:
Región de Citrix Cloud | ID de entidad de SP genérico | ID de entidad con ámbito |
---|---|---|
Estados Unidos, Unión Europea, Asia Pacífico-Sur | https://saml.cloud.com |
https://saml.cloud.com/67338f11-4996-4980-8339-535f76d0c8fb |
Japón | https://saml.citrixcloud.jp |
https://saml.citrixcloud.jp/db642d4c-ad2c-4304-adcf-f96b6aa16c29 |
Gobierno | https://saml.cloud.us |
https://saml.cloud.us/20f1cf66-cfe9-4dd3-865c-9c59a6710820 |
Generación de ID de entidad de SP únicos para conexiones SAML nuevas y existentes
Al crear una conexión SAML, Citrix Cloud genera un ID único (GUID). Para generar un ID de entidad con ámbito, habilite la opción Configurar ID de entidad de SAML con ámbito al crear la conexión.
Si quiere actualizar una conexión SAML existente para usar ID de entidad con ámbito, debe desconectar y conectar de nuevo su proveedor de SAML desde la página Administración de acceso e identidad > Autenticación de Citrix Cloud. Citrix Cloud no permite modificar directamente las conexiones SAML existentes. Sin embargo, puede clonar la configuración y modificar el clon.
Importante:
Al cerrar el proceso de conexión SAML antes de completarlo, se descarta el ID de entidad que Citrix Cloud genera automáticamente. Al reiniciar el proceso de conexión SAML, Citrix Cloud genera un nuevo GUID de ID de entidad con ámbito. Use este nuevo ID de entidad con ámbito al configurar el proveedor de SAML. Si piensa actualizar una conexión SAML existente para usar ID de entidad con ámbito, debe actualizar la aplicación SAML para esa conexión mediante el ID de entidad con ámbito que genera Citrix Cloud.
Preguntas frecuentes sobre los ID de entidad con ámbito
¿Puedo crear más de una aplicación SAML de Azure AD dentro del mismo arrendatario de Azure AD y vincularla a uno o más arrendatarios de Citrix Cloud?
La función de ID de entidad con ámbito de Citrix Cloud aborda la limitación de evitar la duplicación de ID de entidad que imponen algunos proveedores de SAML. Con esta función, puede aprovisionar más de una aplicación SAML en su arrendatario de Azure AD y configurar cada una con un ID de entidad con ámbito de un único arrendatario de Citrix Cloud.
¿Puedo seguir vinculando la misma aplicación SAML de Azure AD a varios arrendatarios de Citrix Cloud?
Este caso es habitual entre clientes de Citrix Cloud, y Citrix sigue ofreciendo asistencia al respecto. Para implementar este caso, debe cumplir estos requisitos:
- Use un ID de entidad genérico, como
https://saml.cloud.com
. - No habilite ID de entidad con ámbito para su conexión SAML.
¿Cómo decido si usar o no un ID de entidad con ámbito en mi proveedor de SAML?
Los ID de entidad con ámbito de Citrix Cloud ofrecen la flexibilidad de utilizar un ID de entidad genérico o con ámbito, según sus requisitos. Tenga en cuenta la cantidad de aplicaciones SAML que necesita y la cantidad de arrendatarios de Citrix Cloud que tiene. Además, tenga en cuenta si cada arrendatario podría compartir una aplicación SAML existente o necesitar su propia aplicación SAML con ámbito.
Importante:
Si su proveedor de SAML ya le permite crear varias aplicaciones SAML con el mismo ID de entidad (como
https://saml.cloud.com
), no necesita habilitar ID de entidad con ámbito ni realizar ningún cambio en su configuración de SAML actual. No necesita actualizar parámetros ni en Citrix Cloud ni en su aplicación SAML.
Proveedores de SAML afectados
En esta tabla se enumeran los proveedores de SAML que permiten o limitan el uso de ID de entidad duplicados.
Proveedor de SAML | Admite ID de entidad duplicados |
---|---|
Azure AD (nube) | No |
ADFS (local) | No |
PingFederate (local) | No |
PingOneSSO (nube) | No |
Okta (nube) | Sí |
Duo (nube) | Sí |
OneLogin (nube) | Sí |
Casos de uso afectados
En esta tabla se indica si se admite un ID de entidad genérico o con ámbito en función de las aplicaciones SAML que requiera su caso de uso, y si su proveedor de SAML admite ID de entidad duplicados.
Requisito de los casos de uso | ¿El proveedor de SAML admite ID de entidad duplicados? | Configuración compatible |
---|---|---|
Solo una aplicación SAML | Sí | ID de entidad genérico o con ámbito |
Solo una aplicación SAML | No | ID de entidad genérico o con ámbito |
Dos o más aplicaciones SAML | Sí | ID de entidad genérico o con ámbito |
Dos o más aplicaciones SAML | No | ID de entidad con ámbito |
Pares de aplicación SAML y URL personalizada de Workspace | Sí | ID de entidad genérico o con ámbito |
Pares de aplicación SAML y URL personalizada de Workspace | No | ID de entidad con ámbito |
Vincular la misma aplicación SAML a varios arrendatarios de Citrix Cloud | Sí | ID de entidad genérico |
Vincular la misma aplicación SAML a varios arrendatarios de Citrix Cloud | No | ID de entidad genérico |
Configurar la conexión SAML principal con un ID de entidad con ámbito
En esta tarea, creará una conexión SAML en Citrix Cloud mediante un ID de entidad con ámbito para la aplicación SAML principal (aplicación SAML 1).
- Desde la consola de administración de Citrix Cloud, haga clic en el botón de menú y seleccione Administración de acceso e identidad.
- En la ficha Autenticación, busque SAML 2.0 y seleccione Conectar en el menú de tres puntos.
- Cuando se le solicite crear su URL de inicio de sesión única, introduzca un identificador breve y fácil de usar para la URL de su empresa (por ejemplo,
https://citrix.cloud.com/go/mycompany
) y seleccione Guardar y continuar. Este identificador debe ser único en Citrix Cloud. - En Configurar proveedor de identidades SAML, seleccione Configurar ID de entidad SAML con ámbito. Citrix Cloud genera automáticamente ID de entidad con ámbito y rellena los campos de ID de entidad, Assertion Consumer Service y URL de cierre de sesión.
- En Configurar una conexión SAML a Citrix Cloud, introduzca los detalles de conexión de su proveedor de SAML.
- Acepte las asignaciones de atributos SAML predeterminados.
- Seleccione Probar y finalizar.
Configurar la conexión SAML principal con un ID de entidad genérico
En esta tarea, creará una conexión SAML en Citrix Cloud con el ID de entidad genérico predeterminado para la aplicación SAML principal (aplicación SAML 1).
- Desde la consola de administración de Citrix Cloud, haga clic en el botón de menú y seleccione Administración de acceso e identidad.
- En la ficha Autenticación, busque SAML 2.0 y seleccione Conectar en el menú de tres puntos.
- Cuando se le solicite crear su URL de inicio de sesión única, introduzca un identificador breve y fácil de usar para la URL de su empresa (por ejemplo,
https://citrix.cloud.com/go/mycompany
) y seleccione Guardar y continuar. Este identificador debe ser único en Citrix Cloud. - En Configurar proveedor de identidades SAML, compruebe que la opción Configurar ID de entidad SAML con ámbito esté inhabilitada.
- En Configurar una conexión SAML a Citrix Cloud, introduzca los detalles de conexión de su proveedor de SAML.
- En Metadatos SAML del proveedor de servicios, haga clic en Descargar para obtener una copia de los metadatos SAML genéricos, si es necesario.
- Acepte las asignaciones de atributos SAML predeterminados.
- Seleccione Probar y finalizar.
Configurar una conexión SAML mediante dominios personalizados de Citrix Workspace
En esta sección se detalla cómo configurar una conexión SAML mediante una URL de Workspace personalizada con un ID de entidad genérico o con ámbito.
Las tareas de esta sección solo se aplican si tiene una URL de Workspace personalizada existente que use con SAML. Si no usa una URL de Workspace personalizada con autenticación SAML, puede omitir las tareas de esta sección.
Para obtener más información, consulte los siguientes artículos:
- Configurar un dominio personalizado
- Iniciar sesión en espacios de trabajo con SAML mediante dominios personalizados
Configurar una conexión SAML con una URL personalizada de Workspace y un ID de entidad genérico
En esta tarea, la opción Configurar ID de entidad con ámbito está inhabilitada.
- En el menú de Citrix Cloud, seleccione Autenticación de Workspace.
- En URL de Workspace personalizada, seleccione Modificar en el menú de tres puntos.
- Seleccione Usar la URL de [nombreDeCliente].cloud.com y la URL de dominio personalizado.
- Introduzca el ID de entidad genérico, la URL de SSO y la URL de SLO opcional para la aplicación SAML 2, y cargue el certificado de firma que descargó anteriormente de su proveedor de SAML.
- Si es necesario, en Metadatos SAML del proveedor de servicios del dominio personalizado, haga clic en Descargar para obtener una copia de los metadatos SAML genéricos para la aplicación SAML de la URL personalizada de Workspace.
- Haga clic en Guardar.
Configurar una conexión SAML con una URL personalizada de Workspace y un ID de entidad con ámbito
En esta tarea, la opción Configurar ID de entidad con ámbito está habilitada.
- En el menú de Citrix Cloud, seleccione Autenticación de Workspace.
- En URL de Workspace personalizada, seleccione Modificar en el menú de tres puntos.
- Seleccione Usar la URL de [nombreDeCliente].cloud.com y la URL de dominio personalizado.
- Introduzca el ID de entidad con ámbito, la URL de SSO y la URL de SLO opcional para la aplicación SAML 2, y cargue el certificado de firma SAML que descargó anteriormente de su proveedor de SAML.
- Haga clic en Guardar.
Tras guardar la configuración, Citrix Cloud genera los metadatos SAML con ámbito que contienen el GUID correcto. Si es necesario, puede obtener una copia de los metadatos con ámbito de la aplicación SAML de la URL personalizada de Workspace.
- En la página Administración de acceso e identidad, busque la conexión SAML y seleccione Ver en el menú de tres puntos.
- En Metadatos SAML del proveedor de servicios del dominio personalizado, haga clic en Descargar.
Ver la configuración SAML de aplicaciones SAML principales y de URL de Workspace personalizadas
Al ver los detalles de configuración de la conexión SAML con ámbito, Citrix Cloud muestra los parámetros de ID de entidad con ámbito tanto para la aplicación SAML principal como para la aplicación SAML de dominio personalizado de Workspace.
Por ejemplo, al habilitar los ID de entidad con ámbito, los campos ID de entidad del proveedor de servicios e ID de entidad del proveedor de servicios del dominio personalizado contienen los ID de entidad con ámbito que genera Citrix Cloud.
Cuando los ID de entidad con ámbito están inhabilitados, los campos ID de entidad del proveedor de servicios e ID de entidad del proveedor de servicios del dominio personalizado contienen los ID de entidad genéricos.
Para actualizar aplicaciones SAML existentes en su proveedor de SAML, agregue el ID de entidad con ámbito al valor del ID de entidad existente.
Configuración del proveedor de SAML mediante ID de entidad con ámbito
Tras configurar la conexión SAML en Citrix Cloud con ID de entidad con ámbito, puede agregar el ID de entidad con ámbito a su proveedor de SAML.
En esta sección se incluyen ejemplos de configuración de Azure AD y PingFederate.
Configuración de SAML de Azure AD mediante ID de entidad con ámbito
En este ejemplo, el ID de entidad con ámbito de Citrix Cloud se introduce en el campo Identificador de Azure AD.
Configuración de SAML de PingFederate mediante ID de entidad con ámbito
En este ejemplo, el ID de entidad con ámbito y el ID de entidad genérico de Citrix Cloud se rellenan en los campos Partner’s Entity ID y Base URL, respectivamente.
Solución de problemas
Citrix recomienda utilizar la extensión para exploradores web SAML-tracer para solucionar posibles problemas con la configuración de SAML. Esta extensión decodifica solicitudes y respuestas codificadas en Base64 y las transforma en XML SAML de modo que la información sea legible para humanos. Puede usar la extensión SAML-tracer para examinar las solicitudes SAML de SSO y SLO que Citrix Cloud (el proveedor de servicios) genera y envía a su proveedor de SAML (el proveedor de identidades). La extensión puede mostrar si el ámbito del ID de entidad (GUID) está incluido en ambas solicitudes.
- Desde el panel Extensiones de su explorador web, instale y habilite la extensión SAML-tracer.
- Realice una operación de inicio y cierre de sesión de SAML, y capture todo el flujo con la extensión SAML-tracer.
-
Busque esta línea en la solicitud de SSO de SAML o en la solicitud de SLO.
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">https://saml.cloud.com/cfee4a86-97a8-49cf-9bb6-fd15ab075b92</saml:Issuer> <!--NeedCopy-->
- Compruebe que el ID de entidad coincida con el ID de entidad configurado en la aplicación de su proveedor de SAML.
- Compruebe que el ID de entidad con ámbito esté presente en el campo Emisor y asegúrese de que esté configurado correctamente en su proveedor de SAML.
- Exporte y guarde el resultado JSON de SAML-tracer. Si trabaja con Citrix Support para resolver un problema, cargue el resultado en su caso de asistencia de Citrix.
Solución de problemas de Azure AD
Problema: No se puede cerrar sesión en Azure AD cuando SLO está configurado. Azure AD muestra este error al usuario:
Si los ID de entidad con ámbito están habilitados para la conexión SAML en Citrix Cloud, el ID de entidad con ámbito se debe enviar en las solicitudes de SSO y SLO.
Causa: La entidad con ámbito está configurada, pero falta el ID de entidad en la solicitud de SLO. Compruebe que el ID de entidad con ámbito esté presente en la solicitud de SLO del resultado de SAML-tracer.
Solución de problemas de PingFederate en instancias locales
Problema: No se puede iniciar o cerrar sesión en PingFederate después de habilitar el parámetro ID de entidad con ámbito.
Causa: El administrador de PingFederate agregó el ID de entidad con ámbito a la URL base de la conexión del SP.
Para corregir este problema, agregue el ID de entidad con ámbito únicamente al campo Partner’s Entity ID. Al agregar el ID de entidad con ámbito a la URL base, se produce un dispositivo de punto final SAML con formato incorrecto. Si la URL base de Citrix Cloud no se actualiza correctamente, todas las demás URL relativas a dispositivos de punto final SAML que se deriven de la URL base producen errores de inicio de sesión.
Estos dispositivos de punto final son ejemplos de dispositivos de punto final SAML de Citrix Cloud con formato incorrecto que podrían aparecer en el resultado de SAML-tracer:
https://saml.cloud.com/<GUID>/saml/acs
https://saml.cloud.com/<GUID>/saml/logout/callback
Esta imagen muestra una aplicación SAML de PingFederate mal configurada. El campo correctamente configurado se muestra en verde. El campo configurado incorrectamente se muestra en rojo.
En este artículo
- ¿Qué es un ID de entidad?
- ID de entidad de SP genéricos y con ámbito por región
- Generación de ID de entidad de SP únicos para conexiones SAML nuevas y existentes
- Preguntas frecuentes sobre los ID de entidad con ámbito
- Proveedores de SAML afectados
- Casos de uso afectados
- Configurar la conexión SAML principal con un ID de entidad con ámbito
- Configurar la conexión SAML principal con un ID de entidad genérico
- Configurar una conexión SAML mediante dominios personalizados de Citrix Workspace
- Configuración del proveedor de SAML mediante ID de entidad con ámbito
- Solución de problemas