Arquitectura de referencia: Integración de Citrix Workspace con nFactor y varios IDP para CSP

Introducción

El propósito de este documento es guiar a los proveedores de servicios (CSP) de Citrix que implementan Citrix Virtual Apps and Desktops Service (CVADS) con Citrix Workspace y varios proveedores de identidad (IDP). La compatibilidad con varios IDP con Citrix Workspace se logra mediante el uso de Citrix ADC nFactor Authentication.

Este documento no pretende proporcionar una guía paso a paso sobre cómo implementar el Citrix Virtual Apps and Desktops Service para CSP. Supone la comprensión de laarquitectura de referencia de Virtual Apps and Desktops para CSP, que proporciona consideraciones detalladas de diseño e implementación para un entorno CVADS para CSP.

Por otro lado, supone la comprensión de Citrix ADC, el inicio de sesión único (SSO) y el Servicio de autenticación federada de Citrix. Para obtener más información sobre estas tecnologías, visite docs.citrix.com.

Este documento comienza por revisar los elementos más comunes que debe comprender para implementar cómodamente la autenticación nFactor de Citrix ADC. A continuación, revisa el flujo de autenticación de los componentes que componen esta solución.

Por último, cubre los pasos necesarios para implementar la autenticación nFactor de Citrix ADC con varios IDP y cómo integrarla con Citrix Workspace.

Información general

Citrix Virtual Apps and Desktops Service

El servicio Citrix Virtual Apps and Desktops Service proporciona acceso seguro a escritorios y aplicaciones administrados centralmente desde cualquier dispositivo o red. Con la integración entre el Servicio de autenticación federada (FAS) y Citrix Cloud, los CSP pueden ofrecer SSO a las cargas de trabajo de escritorios y aplicaciones virtuales, a la vez que admiten IDP de SAML externos.

CVADS admite cargas de trabajo alojadas en múltiples ubicaciones de recursos, incluidos hipervisores tradicionales y plataformas de nube pública como Microsoft Azure, GCP y AWS. Las cargas de trabajo alojadas en estas ubicaciones de recursos pueden estar basadas en Windows o Linux, y admiten implementaciones multiusuario y de un solo usuario.

Los usuarios pueden acceder a sus recursos virtuales a través de clientes basados en Windows, Mac y Linux, teléfonos iOS y Android, etc. Por lo general, Citrix Gateway Service se encarga de gestionar las conexiones externas. Proporciona alta disponibilidad con múltiples puntos de presencia en todo el mundo. Las conexiones internas pueden usar la nueva funcionalidadConexión directa de cargade trabajo.

Los CSP pueden seguir laarquitectura de referencia de Virtual Apps and Desktops para CSPpara obtener orientación sobre cómo diseñar una solución de DaaS alojada impulsada por CVADS.

Autenticación de nFactor Citrix ADC

Citrix ADC nFactor proporciona las acciones y políticas para ofrecer una experiencia de autenticación escalable y flexible a los clientes finales. Este caso de uso es relevante para los CSP que entregan escritorios y aplicaciones a varios clientes, ya que les permite traer su propio IDP de SAML.

La autenticación nFactor utiliza un motor de políticas sólido y permite a los CSP diseñar flujos de trabajo de autenticación complejos. nFactor utiliza expresiones de política como mecanismo para determinar el flujo de autenticación para los usuarios. Esta funcionalidad se basa en diferentes detalles, como el usuario o los atributos de conexión.

Para esta arquitectura, las directivas de IDP de OAUTH se configuran para permitir que Citrix ADC gestione la autenticación de Citrix Workspace. Además, las directivas SAML (y posiblemente LDAP) están configuradas para conectarse a varios IDP.

Experiencia de Citrix Workspace

工作经验es la evolucion basada en lanube de StoreFront. A través de Workspace Experience, los CSP pueden ofrecer aplicaciones y escritorios virtuales, SSO a aplicaciones web SaaS y en las instalaciones, integraciones y acciones de microaplicaciones, colaboración de contenido, capacidades de administración de puntos finales y análisis. Esta funcionalidad avanzada permite a los CSP ofrecer una experiencia integrada, desde un único panel, centrada en la experiencia de los empleados y en el aumento de la productividad.

Actualmente, Citrix Workspace no admite la integración con varios IDP. Sin embargo, muchos CSP necesitan ofrecer compatibilidad con varios IDP y, al mismo tiempo, mantener las funciones avanzadas que proporciona Citrix Workspace.

Autenticación OAUTH

Citrix ADC机构configurar科莫联合国proveedor de identidad (IDP) de OAUTH mediante el protocolo Open ID Connect (OIDC). Por lo general, OAUTH no se conoce como protocolo de autenticación, sino como marco de autorización. OIDC agrega una parte de autenticación de usuario al flujo típico de OAUTH 2.0. En esta arquitectura, Citrix Workspace actúa como el proveedor de servicios (SP) de OAUTH que confía en Citrix ADC (IDP de OAUTH).

Para esta configuración, Citrix Workspace requiere que las cuentas ocultas de Active Directory aprueben un conjunto de “notificaciones” para que el proceso de autenticación se realice correctamente. Citrix Cloud requiere estas propiedades para establecer el contexto de usuario cuando los suscriptores inicien sesión. Si estas propiedades no están completas, los suscriptores no pueden iniciar sesión en su espacio de trabajo. La lista de reclamaciones se revisa en una sección posterior de este documento.

Autenticación SAML

En el contexto de esta arquitectura, Citrix ADC se convierte en el proveedor de servicios (SP) y la solución de autenticación de cada cliente actúa como proveedor de identidad (IDP). El SP o el IDP pueden iniciar el proceso de autenticación SAML. Esta arquitectura utiliza SSO SAML iniciado por SP.

El flujo de comunicación SAML no implica comunicación directa entre el SP y el IDP. El navegador web gestiona toda la comunicación y no es necesario abrir ningún puerto de firewall entre el SP y el IDP. Solo el navegador web debe poder comunicarse con el SP y el IDP.

Conceptos y terminología

Citrix ADC nFactor utiliza un conjunto de entidades que permiten la configuración de los diferentes factores que requiere una implementación específica. Los siguientes conceptos sientan las bases para comprender los flujos de políticas que utiliza Citrix nFactor.

• Servidor de autenticación (acción):el servidor de autenticación (acción) define la configuración específica para un IDP determinado, ya sea un Active Directory local, Azure AD, Okta, ADFS, etc. Incluye los detalles necesarios para que el dispositivo Citrix ADC se comunique con el IDP y autentique a los usuarios.
• Directiva de autenticación:拉斯维加斯directivas de autenticacion permiten,洛杉矶suarios se autentiquen en el dispositivo. Las políticas utilizan expresiones en las que se aplican. Las expresiones se utilizan para permitir que el ADC redirija a los usuarios al IDP apropiado en función de su UPN. Una política de autenticación debe estar vinculada a un servidor de autenticación (acción).
  • La expresión más utilizada en estos escenarios esAAA.USER.NAME.SET_TEXT_MODE (IGNORECASE) .AFTER_STR (“@”) .EQ (“dominio.com”). Esta expresión evalúa el sufijo UPN del usuario después del signo “@” y, si coincide con una directiva, aplica el servidor SAML configurado (acción) para la autenticación.
• Esquema de inicio de sesión:El esquema de inicio de sesión es una representación lógica del formulario de inicio de sesión escrito en XML, es decir, representa la interfaz de usuario. Es una entidad que define lo que ve el usuario y especifica cómo extraer los datos del usuario. Se pueden usar diferentes esquemas (o ningún esquema) para los diferentes factores de autenticación. Citrix ADC proporciona varias plantillas de esquema listas para usar para casos de uso comunes, que se pueden personalizar para otros casos de uso.
• Etiqueta de directiva:las etiquetas de directiva especifican las políticas de autenticación para un factor en particular. Cada etiqueta de directiva corresponde a un único factor de autenticación. Básicamente son un conjunto de políticas que se pueden vincular como una sola entidad. El resultado de las políticas en una etiqueta de política sigue condiciones lógicas “O”. Si la autenticación especificada por la primera directiva se realiza correctamente, se omiten las demás directivas posteriores. Las etiquetas de política definen su visión mediante un esquema de inicio de sesión.
• Política de “No-Auth”:esta es una política especial que siempre devuelve “success” como resultado de la autenticación. Su objetivo principal es permitir flexibilidad a la hora de tomar decisiones lógicas a través del flujo de autenticación del usuario.
• El siguiente factor:determina qué se hace después de un paso dado si el flujo de autenticación se realiza correctamente. Puede ser una política adicional o definir que el flujo de autenticación debe detenerse.
• AAA vServer:el servidor virtual de autenticación procesa las políticas de autenticación asociadas y proporciona acceso al entorno. Para esta arquitectura, AAA vServer reemplaza al Gateway vServer más común y es un vServer totalmente direccionable. El servidor virtual de puerta de enlace solo es necesario si se usa Citrix ADC para el tráfico HDX, en cuyo caso el servidor virtual AAA se configura como no direccionable. La integración de Gateway vServer va más allá del alcance de este documento.
• Perfil de autenticación (opcional):el perfil de autenticación permite que el servidor virtual de AAA y, por lo tanto, todas sus directivas, se vinculen a un servidor virtual de puerta de enlace. Este perfil solo es necesario si se gestiona el tráfico HDX a través del dispositivo Citrix ADC.

Arquitectura

Los CSP crecen constantemente y agregan nuevos clientes a sus ofertas de DaaS basadas en CVADS. Este crecimiento introduce el requisito de permitir a los clientes finales traer sus propias soluciones de identidad e integrarlas con Citrix Workspace para usar cargas de trabajo basadas en CVADS.

Citrix Workspace también proporciona funciones avanzadas que permiten a los CSP integrar más servicios, como SSO, en aplicaciones web locales y SaaS, integraciones y acciones de microaplicaciones y colaboración de contenido. También proporciona integración con varios IDP, como Azure AD, Okta y SAML 2.0. Sin embargo, actualmente no se admiten varios IDP de un solo Citrix Workspace.

Citrix Gateway Service administra la funcionalidad de proxy HDX al iniciar recursos de escritorios y aplicaciones virtuales desde Citrix Workspace. Esta funcionalidad puede parecer innecesaria, ya que se necesita Citrix ADC para proporcionar compatibilidad con varios IDP. Sin embargo, la descarga del proxy HDX simplifica considerablemente los requisitos de disponibilidad y ancho de banda de la red en el lado del CSP.

Esta arquitectura de referencia se centra en las decisiones y consideraciones de diseño para integrar varios IDP, en particular los basados en SAML, con Citrix Workspace y CVADS. Esta integración se logra mediante la configuración de Citrix Workspace para delegar la autenticación de usuarios en Citrix ADC, que a su vez reenvía a los usuarios a sus respectivos IDP.

Consideraciones y requisitos

En el momento de escribir este artículo, se deben considerar los siguientes detalles antes de decidir integrar varios IDP en una implementación de CVADS administrada por el CSP.

1. Se requiere una licencia de Citrix ADC Advanced o Premium para la funcionalidad AAA nFactor.
2. Se requiere Citrix ADC 12.1 versión 54.13 o posterior, o 13.0 versión 41.20 o posterior.
3. La función de múltiples inquilinos de CVADS no es compatible con esta implementación debido a las limitaciones de FAS y la federación inversa.
4. Los diferentes IDP de SAML tienen diferentes pasos de configuración. Estos pasos no se tratan en este documento.
5. Active Directory debe configurarse con los sufijos UPN alternativos y las cuentas ocultas para cada cliente específico.
6. Las siguientes propiedades de AD deben configurarse en las cuentas ocultas de AD para usarlas como notificaciones:
   • Dirección de correo electrónico
   • Nombre simplificado
   • Nombre común
   • Nombre de cuenta SAM
   • UPN
   • OID
   • SID
7. Los Servicios de certificados de Active Directory deben estar configurados y disponibles antes de configurar FAS.
8. Si bien Citrix FAS está integrado con Citrix Workspace, no es un servicio en la nube. FAS se implementa en la ubicación de recursos.
9. Los pasos iniciales de configuración de ADC, incluidas las IP, los certificados y los detalles de la red, no se tratan en este documento.
10. No se pueden usar nombres de usuario duplicados en diferentes sufijos UPN. Aunque el sufijo UPN sea diferente, el nombre de inicio de sesión anterior a Windows 2000 es el mismo para todos los sufijos.

Experiencia de usuario

El siguiente diagrama muestra el flujo de autenticación desde la perspectiva de la experiencia del usuario. Para el usuario final, la experiencia es bastante similar a la de una implementación tradicional sin varios IDP. Sin embargo, es importante educar a los usuarios finales sobre la necesidad de usar su UPN al iniciar sesión, en lugar del nombre de cuenta SAM más común.

1. Los usuarios finales de diferentes clientes navegan a Citrix Workspace desde cualquier dispositivo o red.
2. Citrix Workspace redirige automáticamente a los usuarios al servidor virtual AAA de Citrix ADC.
3. Citrix ADC AAA vServer presenta al usuario una solicitud de nombre de usuario. Los usuarios deben introducir su UPN.
4. La solicitud de autenticación del usuario se reenvía al IDP de SAML adecuado según el sufijo UPN del usuario.
5. Una vez que los usuarios se autentican a través de su IDP, se les redirige de nuevo a Citrix Workspace.
6. Cuando un usuario intenta iniciar una aplicación virtual o un escritorio virtual, el servicio CVAD se encarga del proceso de intermediación.
7. Citrix Gateway Service establece el proxy HDX para los recursos virtuales.
8. Las cuentas ocultas de Active Directory se utilizan para solicitar un certificado de tarjeta inteligente para proporcionar SSO al usuario.
9. Se aplica la regla FAS y la solicitud de inicio de sesión del usuario se satisface mediante SSO.

Flujo de autenticación

El siguiente diagrama muestra el flujo de autenticación para los diferentes protocolos de esta arquitectura. Citrix Workspace actúa como un SP de OAUTH, Citrix ADC actúa como un IDP de OAUTH y un SP de SAML, y el IDP del cliente es el IDP de SAML.

1. El usuario final accede a Citrix Workspace (SP) mediante un navegador web o la aplicación Citrix Workspace.
2. Al llegar a Citrix Workspace (OAUTH SP), se redirige al usuario a Citrix ADC AAA vServer (OAUTH IDP).
3. El usuario introduce el UPN en el indicador de inicio de sesión de AAA vServer (SAML SP) y se le redirige al servicio de autenticación (IDP de SAML).
4. El IDP de SAML autentica al usuario y genera una aserción de SAML (formulario XHTML).
5. La aserción SAML se envía de vuelta a la aplicación Citrix Workspace.
6. La aplicación Citrix Workspace redirige la aserción SAML al servidor virtual AAA de Citrix ADC.
7. Citrix ADC AAA vServer envía el contexto de seguridad de vuelta al agente de usuario.
8. La aplicación Citrix Workspace solicita los recursos del servidor virtual AAA de Citrix ADC.
9. Citrix ADC AAA vServer autentica al usuario y las notificaciones se envían a Citrix Workspace.
10. La aplicación Citrix Workspace puede acceder a los recursos.

NOTA:
En el flujo SAML, el navegador web o la aplicación Workspace se denomina “Agente de usuario”, que forma parte del encabezado de solicitud HTTP.

Flujo de políticas

El siguiente diagrama representa el flujo de políticas nFactor para esta arquitectura. Comprender el flujo de políticas de nFactor es vital para el éxito de la arquitectura de autenticación diseñada. En este diagrama, se utiliza una directiva LDAP. Si bien el uso de una política LDAP es opcional, es una práctica común proporcionar acceso a los administradores.

1. El usuario accede a Citrix Workspace mediante un navegador web o la aplicación Citrix Workspace. La solicitud de autenticación se reenvía al servidor virtual AAA de Citrix. Hay una directiva de IDP de OAUTH configurada en Citrix ADC con la expresión “TRUE”, lo que significa que esta directiva se aplica a TODAS las solicitudes.
2. La solicitud de autenticación coincide con una política “NO_AUTHN” y se presenta con el esquema de inicio de sesión “Solo nombre de usuario”. La política NO_AUTHN actúa como marcador de posición. Las políticas NO_AUTHN siempre devuelven “success” como resultado de la autenticación.
3. Cuando el usuario introduce su nombre de usuario en formato UPN, el sufijo UPN determina qué política de autenticación se evalúa. En esta arquitectura, domain1.com se reenvía a un servidor LDAP, domain2.com se redirige a un inquilino de Azure AD y domain3.com se redirige a otro inquilino de Azure AD. Toda esta funcionalidad se basa en las expresiones utilizadas por cada política. Tenga en cuenta también que estas directivas de autenticación están vinculadas a un esquema de inicio de sesión “Sin esquema”. Este detalle significa que no se presenta nada en el navegador web del usuario.
4. Si el usuario introduce un nombre de usuario en domain1.com, se le redirige a una directiva LDAP (una política LDAP tradicional). Esta política se evalúa como “TRUE”, lo que significa que afecta a todos los usuarios que evalúa. El esquema de inicio de sesión en este caso es “Solo contraseña”, lo que significa que los usuarios solo escriben su contraseña de AD en este paso. Su nombre de usuario se captura en el factor anterior.
5. Por otro lado, si el usuario introduce un nombre de usuario en domain2.com o domain3.com, se le redirige a su arrendatario de Azure AD respectivo para iniciar sesión. En este caso, Azure maneja toda la autenticación, que está fuera del ámbito del motor nFactor de Citrix ADC. Cuando el usuario se autentica, se le redirige de nuevo al servidor virtual AAA de Citrix ADC.
6. Una vez que la solicitud de autenticación se redirige de nuevo a Citrix Gateway, pasa por otro factor de autenticación, que está vinculado a una directiva LDAP. Sin embargo, esta directiva no realiza la autenticación. El propósito de esta directiva es extraer las notificaciones necesarias para volver a autenticar al usuario en Citrix Workspace. Todas las directivas SAML se redirigen a esta única directiva LDAP. A los usuarios no se les presenta un esquema de inicio de sesión y no necesitan introducir ninguna información en este momento, este proceso se realiza automáticamente.
7. Las reclamaciones de los usuarios se almacenan en Citrix ADC y se devuelven a Citrix Workspace. Estas afirmaciones son necesarias para que Citrix Workspace acepte la autenticación de Citrix ADC.
8. Se redirige al usuario de nuevo a Citrix Workspace y ahora puede acceder a sus recursos.

NOTA:
La directiva de “no autenticación” de LDAP solo se utiliza después de que otro factor autentica a un usuario. Siempre se evalúa como “Éxito” como resultado de la autenticación.

Consideraciones para escalar

La capacidad de escalar esta solución de manera ágil a medida que se incorporan nuevos clientes es importante para los CSP. Esta arquitectura permite seguir pasos no disruptivos al incorporar nuevos clientes. Los pasos principales para incorporar a un nuevo cliente a esta solución son los siguientes.

1. Configurar el IDP del cliente final:esto puede o no ser responsabilidad del CSP. La mayoría de los IdP de SAML proporcionan una amplia documentación para configurar estos tipos de soluciones.
2. Agregar el sufijo UPN del cliente:Esto se realiza a través de la consola MMC de dominios y confianzas de Active Directory. Los sufijos UPN deben ser únicos. Además, aunque los UPN son diferentes para cada cliente en el entorno de AD compartido, todas las cuentas ocultas tienen el mismo nombre de sufijo NetBIOS.
3. Agregar cuentas ocultas:la creación manual de cuentas ocultas podría convertirse en una tarea extensa y se recomienda crear scripts para automatizar este proceso. Los usuarios finales no necesitan saber la contraseña de estas cuentas.
4. Configurar la acción y la política de SAML:se debe configurar una nueva política y acción de SAML para cada cliente nuevo que se incorpore a esta solución. La acción contiene todos los detalles del IDP de SAML y la política contiene la expresión que se utiliza para evaluar la política.
5. Enlazar la directiva SAML:la nueva directiva de autenticación SAML debe agregarse a la etiqueta de directiva SAML que agrupa todas las directivas de autenticación para los diferentes clientes. Dado que todas estas políticas se excluyen mutuamente, agregar nuevas políticas a la etiqueta de la póliza no causa ninguna interrupción con sus clientes actuales.

NOTA:
No se pueden usar nombres de usuario duplicados en diferentes sufijos UPN. Aunque el sufijo UPN sea diferente, el nombre de inicio de sesión anterior a Windows 2000 sería el mismo para los usuarios duplicados.

Implementación

Este documento cubre los pasos necesarios para integrar Citrix Workspace con un servidor virtual AAA de Citrix ADC y varios IDP de SAML. La configuración de Cloud Connector, la creación de catálogos de máquinas o grupos de entrega y la implementación de FAS van más allá del alcance de este documento.

La configuración correcta de los componentes mencionados anteriormente se puede lograr siguiendo las prácticas de instalación estándar. No se requieren pasos de configuración personalizados para integrarlos con esta arquitectura. Visite la secciónRecursos de configuración adicionalesde este documento para conocer los pasos de configuración.

Directivas de autenticación

Acción de autenticación LDAP (opcional)

1- Inicie sesión en el dispositivo Citrix ADC y vaya aSeguridad > AAA - Trafico de aplicaciones >直接ivas > Autenticación > Directivas avanzadas > Acciones > LDAPy haga clic enAgregar.

2- En la páginaCrear servidor LDAP de autenticación, introduzca la siguiente información.

• Nombre: nombre de la entidad del servidor de autenticación LDAP
• Nombre del servidor/ IP del servidor: se recomienda el nombre del servidor
• Tipo de seguridad: PLAINTEXT o SSL según los requisitos de seguridad. (Se recomienda SSL)
• Puerto: 389 o 636 según el tipo de seguridad.
• Tipo de servidor: AD
• Autentificación: marcada
• DN base: DN basado en AD para búsquedas de usuarios
• DN de enlace de administrador: UPN de cuenta de servicio de AD
• Contraseña de administrador: contraseña de cuenta de servicio
• Confirmar contraseña de administrador: contraseña de la cuenta de servicio
• Atributo de nombre de inicio de sesión del servidor: userPrincipal
• Atributo de grupo: memberOf
• Nombre de subatributo: cn
• Atributo de nombre SSO: cn
• Correo electrónico: mail

3- Haga clic enAceptar.

NOTA:
Este paso es opcional, pero muy recomendable para fines de soporte. Cree esta acción para permitir que los administradores del entorno inicien sesión en el entorno con credenciales de AD.

Acción de atributos de usuario de LDAP

1- En la páginaAcciones de LDAP, haga clic enAgregarpara crear una segunda acción de LDAP. Usa la misma información que la anterior, pero esta vez,DESMARCAla casillaAutenticación.

2- Haga clic enAceptar.

NOTA:
Este paso NO es opcional. Esta acción se utiliza para extraer los reclamos del usuario de sus cuentas ocultas en AD después de que se hayan autenticado a través de su IDP de SAML. Estas afirmaciones son necesarias para que el redireccionamiento a Citrix Workspace se realice correctamente.

Acciones de SAML

1- Vaya aSeguridad > AAA - Trafico de aplicaciones >直接ivas > Autenticación > Directivas avanzadas > Acciones > SAMLy haga clic enAgregar.

2- En la páginaCrear servidor SAML de autenticación, introduzca la siguiente información.

• Nombre: nombre de la entidad del servidor de autenticación SAML
• URL de redirección: URL de redireccionamiento proporcionada por el IDP
• URL de cierre de sesión única: URL de cierre de sesión proporcionada por el IDP
• Enlace de SAML: POST/REDIRECT/ARTIFACT
• Enlace de cierre de sesión: POST/REDIRECT
• Nombre del certificado de IDP: haga clic en Agregar e importe el certificado descargado de su IDP de SAML
• Nombre del certificado de firma: certificado SSL de Citrix ADC AAA vServer
• Nombre del problema: Igual que la URL de AAA vServer
• Rechazar aserción sin firmar: ACTIVADO
• Algoritmo firma: RSA-SHA256
• Método de resumen: SHA256

3- Haga clic enAceptar.

NOTA:
Repita estos pasos para crear una acción de SAML independiente para cada IDP de SAML que se va a utilizar.
Los campos necesarios que se deben completar en esta página varían según el IDP de SAML. Consulte la documentación específica del IDP de SAML para obtener información adicional.

Esquemas de Login

Perfiles de esquema de acceso

1- Vaya aSeguridad > AAA — Tráfico de aplicaciones > Esquema de inicio de sesión > Perfilesy haga clic enAgregar.

2- En la páginaCrear esquema de inicio de sesión de autenticación, introduzca la siguiente información.

• Nombre: nombre de entidad de perfil de esquema de inicio
• Esquema de autenticación: noschema

3- Haga clic enCrear.

NOTA:
Repita来说出来的对位crear洛杉矶2 perfiles de esquema restantes con los archivosOnlyUsername.xmlyOnlyPassword.xml.

Políticas de esquema de acceso

1- Vaya aSeguridad > AAA — Tráfico de aplicaciones > Esquema de inicio de sesión > Directivasy haga clic enAgregar.

2- En la páginaCrear directiva de esquema de inicio de sesión de autenticación, introduzca la siguiente información.

• Nombre: nombre de entidad de directiva de esquema de inicio
• Perfil: perfil NoSchema creado anteriormente
• Regla: TRUE

3- Haga clic enCrear.

NOTA:
Repita estos pasos para crear las 2 políticas de esquema restantes vinculándolas con los perfiles de esquema“Solo nombre de usuario”y“Solo contraseña”.

Directivas de autenticación

Política de “No Auth” de referencia

1- Vaya aSeguridad > AAA - Trafico de aplicaciones >直接ivas > Autenticación > Directivas avanzadas > Políticay haga clic enAgregar.

2- En la páginaCrear directiva de autenticación, introduzca la siguiente información.

• Nombre: nombre de entidad de directiva de autenticación
• Tipo de autenticación: NO_AUTHN
• Expresión: HTTP.REQ.URL.CONTAINS (“/nf/auth/doAuthentication.do”)

3- Haga clic enAceptar.

Política de “no autenticación” de LDAP (opcional)

1- En la páginaPolíticas de autenticación, haga clic enAgregarpara crear otra política.

2- En la páginaCrear directiva de autenticación, introduzca la siguiente información.

• Nombre: nombre de entidad de directiva de autenticación
• Tipo de autenticación: NO_AUTHN
• Expresión: AAA.USER.LOGIN_NAME.SET_TEXT_MODE (IGNORECASE) .AFTER_STR (“@”) .EQ (“domain1.com”)

3- Haga clic enAceptar.

NOTA:
Este paso es opcional, pero muy recomendable para fines de soporte. Cree esta política para permitir que los administradores del entorno inicien sesión en el entorno con credenciales de AD.
Sustituya “domain1.com” en la expresión por el nombre del sufijo UPN del dominio interno de AD.
El tipo de autenticaciónNO_AUTHNse utiliza como marcador de posición para redirigir a los usuarios al siguiente factor de autenticación, que es su contraseña de AD, que se gestiona a través de otra directiva LDAP.

Directiva de autenticación LDAP (opcional)

1- En la páginaPolíticas de autenticación, haga clic enAgregarpara crear otra política.

2- En la páginaCrear directiva de autenticación, introduzca la siguiente información.

• Nombre: nombre de entidad de directiva de autenticación
• Tipo de autenticación: LDAP
• Acción: Acción de autenticación LDAP creada anteriormente
• Expresión: TRUE

3- Haga clic enAceptar.

NOTA:
Este paso es opcional, pero muy recomendable para fines de soporte. Cree esta política para permitir que los administradores del entorno inicien sesión en el entorno con credenciales de AD.
La expresiónTRUEen esta política significa que esta política se evalúa con respecto a cada usuario que se redirige a este factor de autenticación.
Esta directiva se adjunta al esquema de inicio de sesiónSolo contraseñacreado anteriormente.

Política de atributos de usuario de LDAP

1- En la páginaPolíticas de autenticación, haga clic enAgregarpara crear otra política.

2- En la páginaCrear directiva de autenticación, introduzca la siguiente información.

• Nombre: nombre de entidad de directiva de autenticación
• Tipo de autenticación: LDAP
• Acción: acción Atributos de usuario LDAP creada anteriormente
• Expresión: TRUE

3- Haga clic enAceptar.

NOTA:
Este paso NO es opcional. Esta política se utiliza para extraer los reclamos del usuario de sus cuentas ocultas en AD después de que se hayan autenticado a través de su IDP de SAML. Estas afirmaciones son necesarias para que el redireccionamiento a Citrix Workspace se realice correctamente.
La expresiónTRUEen esta política significa que esta política se evalúa con respecto a cada usuario que se redirige a este factor de autenticación.
Esta política se adjunta a unesquema de inicio de对话NO_SCHEMA.

Políticas de autenticación SAML

1- En la páginaPolíticas de autenticación, haga clic enAgregarpara crear otra política.

2- En la páginaCrear directiva de autenticación, introduzca la siguiente información.

• Nombre: nombre de entidad de directiva de autenticación
• Tipo de autenticación: SAML
• Acción: Acción de autenticación SAML creada anteriormente
• Expresión: AAA.USER.LOGIN_NAME.SET_TEXT_MODE (IGNORECASE) .AFTER_STR (“@”) .EQ (“domain2.com”)

3- Haga clic enAceptar.

NOTA:
Reemplace “domain2.com” en la expresión por el nombre de dominio del cliente.
Cree una directiva de autenticación SAML para cada acción de autenticación SAML creada anteriormente y combínelas 1:1 con el nombre de dominio apropiado en la expresión.

Etiquetas de directiva de autenticación

Etiqueta de directiva de autenticación LDAP

1- Vaya aSeguridad > AAA - Trafico de aplicaciones >直接ivas > Autenticación > Directivas avanzadas > Etiqueta de directivay haga clic enAgregar.

2- En la páginaCrear directiva de autenticación, introduzca la siguiente información.

• Nombre: nombre de entidad de etiqueta de directiva de autenticación
• Esquema de inicio de sesión: perfil de esquema de inicio de sesión “solo
• Tipo de función: AAATM_REQ
• Presione Continuar

3- Enlazar las directivas de autenticación con los siguientes detalles.

• Política 1
  • Seleccionar directiva: directiva de autenticación LDAP
  • Prioridad: 100
  • Expresión de Goto: END
  • Seleccione el siguiente factor: N/A

4- Haga clic enListo.

Etiqueta de directiva de atributos de usuario LDAP

1- En la páginaEtiquetas de directivas de autenticación, haga clic enAgregarpara crear otra política.

2- En la páginaCrear directiva de autenticación, introduzca la siguiente información.

• Nombre: nombre de entidad de etiqueta de directiva de autenticación
• Esquema de acceso: perfil de esquema de inicio de sesión “NO_SCHEMA”
• Tipo de función: AAATM_REQ
• Presione Continuar

3- Enlazar las directivas de autenticación con los siguientes detalles.

• Política 1
  • Seleccionar directiva: directiva de atributos de usuario de LDAP
  • Prioridad: 100
  • Expresión de Goto: END
  • Seleccione el siguiente factor: N/A

4- Haga clic enListo.

Etiqueta de política principal

1- En la páginaEtiquetas de directivas de autenticación, haga clic enAgregarpara crear otra política.

2- En la páginaCrear directiva de autenticación, introduzca la siguiente información.

• Nombre: nombre de entidad de etiqueta de directiva de autenticación
• Esquema de acceso: perfil de esquema de inicio de sesión “NO_SCHEMA”
• Tipo de función: AAATM_REQ
• Presione Continuar

3- Enlazar las directivas de autenticación con los siguientes detalles.

• Política 1
  • Seleccionar política: Política de “No autenticación” de LDAP
  • Prioridad: 100
  • Expresión Goto: SIGUIENTE
  • Seleccione el siguiente factor: etiqueta de directiva de autenticación LDAP
• Política 2
  • Seleccionar directiva: Política de autenticación SAML
  • Prioridad: 110
  • Expresión Goto: SIGUIENTE
  • Seleccionar el siguiente factor: etiqueta de directiva de atributos de usuario LDAP

4- Haga clic enListo.

NOTA:
Al incorporar nuevos clientes/IDP, debe agregar sus respectivas políticas de autenticación SAML a esta etiqueta de política.

Servidor virtual AAA

1- Vaya aSeguridad > AAA — Tráfico de aplicaciones > Servidores virtualesy haga clic enAgregar.

2- En la páginaAuthentication Virtual Server, introduzca la siguiente información.

• Nombre: nombre de la entidad del servidor virtual de autenticación
• Tipo de dirección IP: Dirección IP
• Dirección IP: dirección IP asignada por vServer
• Port: 443.
• Haga clic en Aceptar.

3- En el panelCertificado, haga clic enSin certificado de servidory enlace un certificado SSL al servidor virtual. A continuación, haga clic enContinuar.

4- En el panelDirectivas de autenticación avanzada, haga clic enNo Authentication Policye introduzca la siguiente información.

• Seleccionar política: Política de “No autenticación” de referencia
• Prioridad: 100
• Expresión Goto: SIGUIENTE
• Seleccione el siguiente factor: Etiqueta de política principal

5- Haga clic enContinuar.

6- En el panelConfiguración avanzada, haga clic enEsquemas de iniciode sesión.

7- En el panelEsquemas de inicio de sesión, haga clic enSin esquema de inicio de sesióne introduzca la siguiente información.

• Política de selección: política de esquema “Solo nombre de usuario”
• Prioridad: 100
• Expresión de Goto: END

8- Haga clic enBind.

9- De vuelta en la páginaAAA vServer, haga clic enListo.

NOTA:
En este punto, se puede acceder públicamente a la URL del servidor virtual AAA y funciona la autenticación LDAP y SAML.

Vinculación de certificados global

1- Conéctese al Citrix ADC a través deSSHy autentique con las credenciales de administrador.

2- Ejecute el siguiente comando:bind vpn global -certKeyName certname.

3- Guarde la configuración en ejecución.

NOTA:
ADC它埃斯特第一对位firmar el令牌,se envía a Citrix Workspace como parte del proceso de autenticación.
La marca -certKeyName hace referencia al mismo certificado SSL que se utiliza en el servidor virtual de AAA.

Integración con Citrix Workspace

IDP de Citrix Gateway

1- En un navegador web, vaya aCitrix Cloude inicie sesión con sus credenciales de Citrix.

2- Una vez autenticado, vaya aAdministración de acceso e identidad > Autenticación > Citrix Gatewayy haga clic enConectar.

3- En la pantalla emergente de configuración, introduzca el FQDN de AAA vServer de acceso público y haga clic enDetectar. Una vez detectado, haga clic enContinuar.

4- En la pantallaCrear una conexión, copie elID de cliente, el secreto y la URL de redireccionamiento.

NOTA:
NO cierre esta página, debe volver para finalizar la configuración.

Perfil de IDP de OAUTH

1- De vuelta en Citrix ADC, vaya aSeguridad > AAA - Trafico de aplicaciones >直接ivas > Autenticación > Directivas avanzadas > OAUTH IDP > Perfilesy haga clic enAgregar.

2- En la páginaCrear perfil de IDP de OAUTH de autenticación, introduzca la siguiente información.

• Nombre: nombre de entidad del perfil de autenticación de IDP de OAUTH
• ID de cliente: pegar valor de Citrix Cloud
• Secreto del cliente: pegar valor de Citrix Cloud
• URL de redirección: pegue el valor de Citrix Cloud
• Nombre del emisor: URL base de ADC AAA vServer
• Público: Igual que el ID de cliente
• Enviar contraseña: marcada

3- Haga clic enCrear.

Política de IDP de OAUTH

1- Vaya aSeguridad > AAA - Trafico de aplicaciones >直接ivas > Autenticación > Directivas avanzadas > OAUTH IDP > Directivasy haga clic enAgregar.

2- En la páginaCreate Authentication OAUTH IDP Policy, introduzca la siguiente información.

• Nombre: nombre de entidad de directiva de autenticación de IDP de OAUTH
• Acción: perfil de autenticación de IDP de OAUTH
• Expresión: TRUE

3- Haga clic enCrear.

Vinculación de políticas de IDP de OAUTH

1- Vaya aSeguridad > AAA — Tráfico de aplicaciones > Servidores virtualesy haga clic en elservidor virtual AAAcreado anteriormente.

2- En el panelDirectivas de autenticación avanzada, haga clic enNo OAuth IDP Policyy enlace la directiva OAUTH IDP.

3- De vuelta en la página AAA vServer, haga clic enListo.

Autenticación

1- De vuelta en Citrix Cloud, en la página de configuración, haga clic enProbar y finalizar.

2- Vaya aConfiguración de Workspace > Autenticacióny haga clic enCitrix Gateway

3- En la pantalla emergente de configuración, marca la casilla junto a“Comprendo el impacto en la experiencia del suscriptor”y haga clic enGuardar.

NOTA:
En este punto, navegar a la URL de Citrix Workspace (customer.cloud.com) redirige a los usuarios al servidor virtual ADC AAA. Una vez que los usuarios inician sesión con su IDP correspondiente, se les redirige de nuevo a Citrix Workspace.
El inicio de sesión único en los recursos de escritorios y aplicaciones virtuales se puede lograr mediante la integración de Citrix Workspace con Citrix FAS.

Otros recursos de configuración

• Configuración de Citrix ADC
• Instalar el Cloud Connector
• Conexiones de alojamiento (MCS)
• Instalación de VDA
• Creación de catálogo de máquinas
• Creación de grupos de entrega
• Integración de FAS con Citrix Workspace