NetScaler como SP de OAuth

May 9, 2023

Contribución de:

La función de administración del tráfico de autenticación, autorización y auditoría admite la autenticación de OAuth para autenticar a los usuarios en aplicaciones alojadas en aplicaciones como Google, Facebook y Twitter.

Puntos que tener en cuenta

Se necesitan NetScaler Advanced Edition y versiones posteriores para que la solución funcione.
OAuth en el dispositivo NetScaler está calificado para todos los IDP de SAML que cumplen con “OpenID connect 2.0”.

Importante:

El dispositivo NetScaler puede responder con un error CSRF cuando un sitio web con mucho contenido envía varias solicitudes de autenticación al caducar la sesión. Como solución alternativa, se recomienda que cuando configure la directiva de OAuth, asegúrese de que la directiva esté configurada tanto para el nombre de host como para la ruta, que son los principales puntos de entrada.

Configurar OAuth mediante la interfaz gráfica de usuario

Configure la acción y la directiva de OAuth.
Vaya aSeguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Directiva, y cree una directiva con OAuth como tipo de acción y asocie la acción de OAuth requerida con la directiva.
Asocie la directiva de OAuth a un servidor virtual de autenticación.
Vaya aSeguridad > AAA - Tráfico de aplicaciones > Servidores virtualesy asocie la directiva de OAuth con el servidor virtual de autenticación.

Nota:

Los atributos (1 a 16) se pueden extraer en la respuesta de OAuth. Actualmente, estos atributos no se evalúan. Se agregan para referencia futura.

Configurar OAuth mediante la CLI

Defina una acción de OAuth.

                添加身份验证OAuthAction <名称> -authorizationEndpoint  -tokenEndpoint  [-idtokenDecryptEndpoint ] -clientID  -clientSecret  [-defaultAuthenticationGroup ][-tenantID ][-GraphEndpoint ][-refreshInterval ] [-CertEndpoint ][-audience ][-userNameField ][-skewTime ][-issuer ][-Attribute1 ][-Attribute2 ][-Attribute3 ] 
               

Asocie la acción a una directiva de autenticación avanzada.

add authentication Policy  -rule  -action

Ejemplo:

                添加身份验证oauthAction -authorizationEndpoint https://example.com/ -tokenEndpoint https://example.com/ -clientiD sadf -clientsecret df 
               

Para obtener más información sobre los parámetros de autenticación OAuthAction, consulteautenticación OAuthAction.

Nota:

Cuando se especifica联合国CertEndPoint el dispositivo NetScaler sondea ese punto final en la frecuencia configurada para aprender las claves.

Para configurar un NetScaler para que lea el archivo local y analice las claves de ese archivo, se introduce una nueva opción de configuración de la siguiente manera:

set authentication OAuthAction <> -CertFilePath

La función OAuth ahora admite las siguientes capacidades en la API de tokens desde el lado de Reliing Party (RP) y desde el lado de IdP de NetScaler Gateway y NetScaler.

Compatibilidad con PKCE (clave de prueba para intercambio de código)
Soporte para client_assertion

Compatibilidad con atributos nombre-valor para la autenticación de OAuth

Ahora测试configurar洛atributos autenticación de OAuth con un nombre único junto con los valores. Los nombres se configuran en el parámetro de acción OAuth como “Atributos” y los valores se obtienen consultando los nombres. Los atributos extraídos se almacenan en la sesión de autenticación, autorización y auditoría. Los administradores pueden consultar estos atributos mediantehttp.req.user.attribute("attribute name")ohttp.req.user.attribute(1), según el método elegido para especificar los nombres de los atributos.

Al especificar el nombre del atributo, los administradores pueden buscar fácilmente el valor del atributo asociado a ese nombre de atributo. Además, los administradores ya no tienen que recordar el atributo “atributo1 a atributo16” solo por su número.

Importante

En un comando de OAuth, puede configurar un máximo de 64 atributos separados por comas con un tamaño total inferior a 1024 bytes.

Nota

El error de sesión se puede evitar si el tamaño del valor total del “atributo 1 al atributo 16” y los valores de los atributos especificados en “Atributos” no superan los 10 KB.

Para configurar los atributos nombre-valor mediante la CLI

En la línea de comandos, escriba:

              add authentication OAuthAction  [-Attributes ] set authentication OAuthAction  [-Attributes ] 
             

Ejemplos:

              add authentication OAuthAction a1 –attributes "email,company" –attribute1 email set authentication OAuthAction oAuthAct1 -attributes "mail,sn,userprincipalName" 
             

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

NetScaler como SP de OAuth

May 9, 2023

Contribución de:

May 9, 2023

Contribución de:

En este artículo

¿Le ha resultado útil?