Implementación de ADFS del Servicio de autenticación federada
Introducción
Este documento describe cómo integrar un entorno Citrix® con Microsoft ADFS.
Muchas organizaciones utilizan ADFS para administrar el acceso seguro de los usuarios a sitios web que requieren un único punto de autenticación. Por ejemplo, una empresa puede tener contenido adicional y descargas disponibles para los empleados; esas ubicaciones deben protegerse con credenciales de inicio de sesión estándar de Windows.
El Servicio de autenticación federada (FAS) también permite integrar Citrix NetScaler y Citrix StoreFront™ con el sistema de inicio de sesión de ADFS, lo que reduce la posible confusión para el personal de la empresa.
Esta implementación integra NetScaler® como parte de confianza en Microsoft ADFS.
Información general de SAML
Security Assertion Markup Language (SAML) es un sistema de inicio de sesión de navegador web simple que “redirige a una página de inicio de sesión”. La configuración incluye los siguientes elementos:
URL de redirección [URL del servicio de inicio de sesión único]
Cuando NetScaler detecta que un usuario necesita autenticarse, indica al navegador web del usuario que realice una solicitud HTTP POST a una página web de inicio de sesión SAML en el servidor ADFS. Normalmente, se trata de una dirección https:// con el formato: https://adfs.mycompany.com/adfs/ls.
Esta solicitud POST de la página web incluye otra información, incluida la “dirección de retorno” a la que ADFS devolverá al usuario cuando se complete el inicio de sesión.
Identificador [Nombre del emisor/EntityID]
El EntityId es un identificador único que NetScaler incluye en sus datos POST a ADFS. Esto informa a ADFS a qué servicio intenta iniciar sesión el usuario y para aplicar diferentes directivas de autenticación según corresponda. Si se emite, el XML de autenticación SAML solo será adecuado para iniciar sesión en el servicio identificado por el EntityId.
Normalmente, el EntityID es la URL de la página de inicio de sesión del servidor NetScaler, pero generalmente puede ser cualquier cosa, siempre que NetScaler y ADFS estén de acuerdo: https://ns.mycompany.com/application/logonpage.
Dirección de retorno [URL de respuesta]
Si la autenticación es correcta, ADFS indica al explorador web del usuario que envíe un XML de autenticación SAML a una de las URL de respuesta configuradas para el EntityId. Normalmente, se trata de una dirección https:// en el servidor NetScaler original con el formato: https://ns.mycompany.com/cgi/samlauth.
Si hay más de una dirección URL de respuesta configurada, NetScaler puede elegir una en su POST original a ADFS.
Certificado de firma [Certificado IDP]
ADFS firma criptográficamente los blobs XML de autenticación SAML mediante su clave privada. Para validar esta firma, NetScaler debe configurarse para comprobar estas firmas mediante la clave pública incluida en un archivo de certificado. El archivo de certificado suele ser un archivo de texto obtenido del servidor ADFS.
URL de cierre de sesión único [URL de cierre de sesión único]
ADFS y NetScaler admiten un sistema de “cierre de sesión centralizado”. Se trata de una URL que NetScaler sondea ocasionalmente para comprobar que el blob XML de autenticación SAML sigue representando una sesión iniciada actualmente.
Esta es una función opcional que no necesita configurarse. Normalmente, es una dirección https:// con el formato https://adfs.mycompany.com/adfs/logout. (Tenga en cuenta que puede ser la misma que la URL de inicio de sesión único).
Configuración
La sección Implementación de NetScaler Gateway del artículo Arquitecturas de Federated Authentication Services describe cómo configurar NetScaler Gateway para gestionar las opciones de autenticación LDAP estándar, mediante el asistente de configuración de NetScaler de XenApp y XenDesktop. Una vez completado correctamente, puede crear una nueva directiva de autenticación en NetScaler que permita la autenticación SAML. Esto puede reemplazar la directiva LDAP predeterminada utilizada por el asistente de configuración de NetScaler.
Rellenar la directiva SAML
Configure el nuevo servidor IdP de SAML utilizando la información obtenida anteriormente de la consola de administración de ADFS. Cuando se aplica esta directiva, NetScaler redirige al usuario a ADFS para iniciar sesión y, a cambio, acepta un token de autenticación SAML firmado por ADFS.
Información relacionada
- El artículo Servicio de autenticación federada es la referencia principal para la instalación y configuración de FAS.
- Las implementaciones comunes de FAS se resumen en el artículo Descripción general de las arquitecturas del Servicio de autenticación federada.
- Los artículos de tipo “Cómo hacer” se presentan en el artículo Configuración y administración del Servicio de autenticación federada.