Documentación de productos
Citrix Cloud™
Ver PDF

Conectar un Citrix Gateway local como proveedor de identidades a Citrix Cloud™

April 2, 2026
Contribución de: 
C C

Citrix Cloud permite usar un Citrix Gateway local como proveedor de identidades para autenticar a los suscriptores que inician sesión en sus espacios de trabajo.

  • Al usar la autenticación de Citrix Gateway, puedes:

  • Continuar autenticando a los usuarios a través de tu Citrix Gateway existente para que puedan acceder a los recursos de tu implementación local de Virtual Apps and Desktops a través de Citrix Workspace.
  • Usar las funciones de autenticación, autorización y auditoría (AAA) de Citrix Gateway con Citrix Workspace.
  • Usar funciones como la autenticación de paso, las tarjetas inteligentes, los tokens seguros, las directivas de acceso condicional, la federación y muchas otras, a la vez que proporcionas a tus usuarios acceso a los recursos que necesitan a través de Citrix Workspace.

Consejo:

  • Obtén más información sobre los proveedores de identidades compatibles con el curso educativo Introducción a la identidad y autenticación de Citrix. El módulo “Planificación de la administración de identidades y accesos de Citrix” incluye videos cortos que te guían para conectar este proveedor de identidades a Citrix Cloud y habilitar la autenticación para Citrix Workspace.

Versiones compatibles

  • La autenticación de Citrix Gateway es compatible con las siguientes versiones de productos locales:

  • Citrix Gateway 12.1 54.13 Advanced Edition o posterior

  • Citrix Gateway 13.0 41.20 Advanced Edition o posterior

  • Requisitos previos

Cloud Connectors

  • Necesitas al menos dos (2) servidores en los que instalar el software Citrix Cloud Connector™. Estos servidores deben cumplir los siguientes requisitos:

  • Cumplir los requisitos del sistema descritos en Detalles técnicos de Cloud Connector.
  • No tener instalados otros componentes de Citrix, no ser un controlador de dominio de Active Directory y no ser una máquina crítica para la infraestructura de tu ubicación de recursos.
    • Estar unido al dominio donde reside tu sitio. Si los usuarios acceden a las aplicaciones de tu sitio en varios dominios, debes instalar al menos dos Cloud Connectors en cada dominio.
    • Estar conectado a una red que pueda contactar con tu sitio.
    • Estar conectado a Internet. Para obtener más información, consulta Requisitos del sistema y de conectividad.

    • Se requieren al menos dos Cloud Connectors para garantizar una conexión de alta disponibilidad con Citrix Cloud. Después de la instalación, los Cloud Connectors permiten a Citrix Cloud localizar y comunicarse con tu sitio.

    • Para obtener más información sobre la instalación de Cloud Connector, consulta Instalación de Cloud Connector.

Active Directory

Antes de habilitar la autenticación de Citrix Gateway, realiza las siguientes tareas:

-  Verifica que los suscriptores de tu espacio de trabajo tengan cuentas de usuario en Active Directory (AD). Los suscriptores sin cuentas de AD no pueden iniciar sesión en sus espacios de trabajo correctamente.
-  Asegúrate de que las propiedades de usuario de las cuentas de AD de tus suscriptores estén rellenadas. Citrix Cloud requiere estas propiedades para establecer el contexto de usuario cuando los suscriptores inician sesión. Si estas propiedades no están rellenadas, los suscriptores no pueden iniciar sesión en su espacio de trabajo. Estas propiedades incluyen:
-  Dirección de correo electrónico
-  Nombre para mostrar
-  Nombre común
-  Nombre de cuenta SAM
    -  Nombre principal de usuario
    -  OID
-  SID
  • Conecta tu Active Directory (AD) a tu cuenta de Citrix Cloud. En esta tarea, instalas el software Cloud Connector en los servidores que preparaste, como se describe en la sección Cloud Connectors. Los Cloud Connectors permiten a Citrix Cloud comunicarse con tu entorno local. Para obtener instrucciones, consulta Conectar Active Directory a Citrix Cloud.
  • Si estás realizando la federación con la autenticación de Citrix Gateway, sincroniza tus usuarios de AD con el proveedor de federación. Citrix Cloud requiere los atributos de usuario de AD para tus suscriptores de espacio de trabajo para que puedan iniciar sesión correctamente.

Requisitos

Directivas avanzadas de Citrix Gateway

La autenticación de Citrix Gateway requiere el uso de directivas avanzadas en el Gateway local debido a la obsolescencia de las directivas clásicas. Las directivas avanzadas admiten la autenticación multifactor (MFA) para Citrix Cloud, incluidas opciones como el encadenamiento de proveedores de identidades. Si actualmente utilizas directivas clásicas, debes crear nuevas directivas avanzadas para usar la autenticación de Citrix Gateway en Citrix Cloud. Puedes reutilizar la parte de Acción de la directiva clásica al crear la directiva avanzada.

Certificados para la firma

Al configurar el Gateway para autenticar a los suscriptores de Citrix Workspace, el Gateway actúa como un proveedor de OpenID Connect. Los mensajes entre Citrix Cloud y Gateway cumplen con el protocolo OIDC, que implica la firma digital de tokens. Por lo tanto, debes configurar un certificado para firmar estos tokens. Este certificado debe ser emitido por una Autoridad de Certificación (CA) pública. No se admite el uso de un certificado emitido por una CA privada, ya que no hay forma de proporcionar a Citrix Cloud el certificado raíz de la CA privada. Por lo tanto, no se puede establecer la cadena de confianza del certificado. Si configuras varios certificados para la firma, estas claves se rotan para cada mensaje.

Las claves deben estar vinculadas a vpn global. Sin estas claves, los suscriptores no podrán acceder a su espacio de trabajo correctamente después de iniciar sesión.

    -  ### Sincronización del reloj

Dado que los mensajes firmados digitalmente en OIDC llevan una marca de tiempo, el Gateway debe estar sincronizado con la hora NTP. Si el reloj no está sincronizado, Citrix Cloud asume que los tokens no son válidos al comprobar su validez.

Descripción general de la tarea

Para configurar la autenticación de Citrix Gateway, realiza las siguientes tareas:

  1. En Administración de identidades y accesos, comienza a configurar la conexión a tu Gateway. En este paso, generas el ID de cliente, el secreto y la URL de redirección para el Gateway.

  2. En el Gateway, crea una directiva avanzada de OAuth IdP utilizando la información generada desde Citrix Cloud. Esto permite que Citrix Cloud se conecte con tu Gateway local. Para obtener instrucciones, consulta los siguientes artículos:

  3. En Configuración de Workspace, habilita la autenticación de Citrix Gateway para los suscriptores.

Para habilitar la autenticación de Citrix Gateway para los suscriptores de Workspace

  1. En el menú de Citrix Cloud, selecciona Administración de identidades y accesos.
  2. En la ficha Autenticación, en Citrix Gateway, haz clic en el menú de puntos suspensivos y selecciona Conectar. Opción de autenticación de Gateway con el menú Conectar resaltado
  3. Introduce el FQDN de tu Gateway local y haz clic en Detectar. Cuadro de diálogo FQDN de Gateway con el comando Detectar resaltado Después de que Citrix Cloud lo detecte correctamente, haz clic en Continuar.
  4. Crea una conexión con tu Gateway local:
    1. Copia el ID de cliente, el secreto y la URL de redirección que muestra Citrix Cloud. Cuadro de diálogo de conexión con la información generada Además, descarga una copia de esta información y guárdala de forma segura sin conexión para tu referencia. Esta información no estará disponible en Citrix Cloud después de generarse.
    2. En el Gateway, crea una directiva avanzada de OAuth IdP utilizando el ID de cliente, el secreto y la URL de redirección de Citrix Cloud. Para obtener instrucciones, consulta los siguientes artículos:
    3. Haz clic en Probar y finalizar. Citrix Cloud verifica que tu Gateway sea accesible y esté configurado correctamente.

  5. Habilita la autenticación de Citrix Gateway para los espacios de trabajo: - 1. En el menú de Citrix Cloud, selecciona Configuración de Workspace. - 1. En la ficha Autenticación, selecciona Citrix Gateway. - 1. Selecciona Entiendo el impacto en la experiencia del suscriptor y luego haz clic en Guardar.

    -  ## Solución de problemas

Como primer paso, revisa las secciones Requisitos previos y Requisitos de este artículo. Verifica que tienes todos los componentes necesarios en tu entorno local y que has realizado todas las configuraciones requeridas. Si alguno de estos elementos falta o está mal configurado, la autenticación de Workspace con Citrix Gateway no funcionará.

    -  Si experimentas un problema al establecer una conexión entre Citrix Cloud y tu Gateway local, verifica los siguientes elementos:

    -  El FQDN de Gateway es accesible desde Internet.
    -  Has introducido el FQDN de Gateway correctamente en Citrix Cloud.
    -  Has introducido la URL de Gateway correctamente en el parámetro `-issuer` de la directiva OAuth IdP. Ejemplo: `-issuer https://GatewayFQDN.com`. El parámetro `issuer` distingue entre mayúsculas y minúsculas.
    -  Los valores de ID de cliente, secreto y URL de redirección de Citrix Cloud se han introducido correctamente en los campos ID de cliente, Secreto de cliente, URL de redirección y Audiencia de la directiva OAuth IdP. Verifica que el ID de cliente correcto se haya introducido en el campo Audiencia de la directiva.

Servidores de catálogo global

Además de recuperar los detalles de la cuenta de usuario, Gateway recupera el nombre de dominio de los usuarios, el nombre NETBIOS de AD y el nombre de dominio raíz de AD. Para recuperar el nombre NETBIOS de AD, Gateway busca en el AD donde residen las cuentas de usuario. Los nombres NETBIOS no se replican en los servidores de catálogo global.

Si utilizas servidores de catálogo global en tu entorno de AD, las acciones LDAP configuradas en estos servidores no funcionan con Citrix Cloud. En su lugar, debes configurar los AD individuales en la acción LDAP. Si tienes varios dominios o bosques, puedes configurar varias directivas LDAP.

Búsqueda de AD para inicio de sesión único con Kerberos o encadenamiento de IdP

Si utilizas Kerberos o un proveedor de identidades externo que usa protocolos SAML u OIDC para el inicio de sesión de suscriptores, verifica que la búsqueda de AD esté configurada. Gateway requiere búsquedas de AD para recuperar las propiedades de usuario de AD y las propiedades de configuración de AD de los suscriptores.

Asegúrate de tener directivas LDAP configuradas, incluso si la autenticación la gestionan servidores de terceros. Para configurar estas directivas, agrega un segundo factor de autenticación a tu perfil de esquema de inicio de sesión existente realizando las siguientes tareas:

  1. Crea un servidor de autenticación LDAP que realice solo la extracción de atributos y grupos de Active Directory.
  2. Crea una directiva de autenticación avanzada LDAP.
  3. Crea una etiqueta de directiva de autenticación.
  4. Define la etiqueta de directiva de autenticación como el siguiente factor, después del proveedor de identidades principal.

Para agregar LDAP como segundo factor de autenticación

  1. Crea el servidor de autenticación LDAP:
    1. Selecciona Sistema > Autenticación > Directivas básicas > LDAP > Servidores > Agregar.
    2. En la página Crear servidor LDAP de autenticación, introduce la siguiente información:
      • En Elegir tipo de servidor, selecciona LDAP.
      • En Nombre, introduce un nombre descriptivo para el servidor.
      • Selecciona IP del servidor y, a continuación, introduce la dirección IP del servidor LDAP.
      • En Tipo de seguridad, selecciona el tipo de seguridad LDAP requerido.
      • En Tipo de servidor, selecciona AD.
      • En Autenticación, no marques la casilla. Esta casilla debe desmarcarse porque este servidor de autenticación es solo para extraer atributos y grupos de usuario de Active Directory, no para autenticación.
    3. En Otras configuraciones, introduce la siguiente información:
      • En Atributo de nombre de inicio de sesión del servidor, introduce UserPrincipalName.
      • En Atributo de grupo, selecciona memberOf.
      • En Nombre de subatributo, selecciona cn.
  2. Crea la directiva de autenticación avanzada LDAP:
    1. Selecciona Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Directiva > Agregar.
    2. En la página Crear directiva de autenticación, introduce la siguiente información:
      • En Nombre, introduce un nombre descriptivo para la directiva.
      • En Tipo de acción, selecciona LDAP.
      • En Acción, selecciona el servidor de autenticación LDAP que creaste anteriormente.
      • En Expresión, introduce TRUE.
    3. Haz clic en Crear para guardar la configuración.
  3. Crea la etiqueta de directiva de autenticación:
    1. Selecciona Seguridad > AAA – Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Etiqueta de directiva > Agregar.
    2. En Nombre, introduce un nombre descriptivo para la etiqueta de directiva de autenticación.
    3. En Esquema de inicio de sesión, selecciona LSCHEMA_INT.
    4. En Vinculación de directivas, en Seleccionar directiva, selecciona la directiva de autenticación avanzada LDAP que creaste anteriormente.
    5. En Expresión Ir a, selecciona END.
    6. Haz clic en Vincular para finalizar la configuración.
  4. Define la etiqueta de directiva de autenticación LDAP como el siguiente factor, después del proveedor de identidades principal:
    1. Selecciona Sistema > Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales.
    2. Selecciona el servidor virtual que contiene la vinculación para tu proveedor de identidades principal y selecciona Modificar.
    3. En Directivas de autenticación avanzadas, selecciona las vinculaciones de Directiva de autenticación existentes.
    4. Selecciona la vinculación para tu proveedor de identidades principal y, a continuación, selecciona Modificar vinculación.
    5. En la página Vinculación de directivas, en Seleccionar siguiente factor, selecciona la etiqueta de directiva de autenticación LDAP que creaste anteriormente.
    6. Haz clic en Vincular para guardar la configuración.

Contraseña predeterminada para la autenticación multifactor

Si utilizas la autenticación multifactor (MFA) para los suscriptores del espacio de trabajo, Gateway utiliza la contraseña del último factor como contraseña predeterminada para el inicio de sesión único. Esta contraseña se envía a Citrix Cloud cuando los suscriptores inician sesión en su espacio de trabajo. Si la autenticación LDAP va seguida de otro factor en tu entorno, debes configurar la contraseña LDAP como la contraseña predeterminada que se envía a Citrix Cloud. Habilita SSOCredentials en el esquema de inicio de sesión correspondiente al factor LDAP.

Más información

Citrix Tech Zone: Tech Insight: Autenticación - Gateway

Conectar un Citrix Gateway local como proveedor de identidades a Citrix Cloud™
April 2, 2026
Contribución de: 
C C
April 2, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.