Documentación de productos
Citrix Cloud™
Ver PDF

Configura una aplicación SAML con un ID de entidad con ámbito en Citrix Cloud™

April 2, 2026
Author:  Mark Dear

Este artículo describe cómo aprovisionar varias aplicaciones SAML dentro del mismo proveedor SAML.

Algunos proveedores SAML, como Azure Active Directory (AD), Active Directory Federation Services (ADFS), PingFederate y PingSSO, prohíben reutilizar el mismo ID de entidad de proveedor de servicios (SP) en varias aplicaciones SAML. Como resultado, los administradores que crean dos o más aplicaciones SAML diferentes dentro del mismo proveedor SAML no pueden vincularlas a los mismos o diferentes tenants de Citrix Cloud. Intentar crear una segunda aplicación SAML usando el mismo ID de entidad de SP, como https:\\saml.cloud.com, cuando una aplicación SAML existente ya lo está usando, activa un error en el proveedor SAML, indicando que el ID de entidad ya está en uso.

Las siguientes imágenes ilustran este error:

  • En Azure Active Directory:

    ID de entidad en la consola de Azure AD con el texto de error resaltado

  • En PingFederate:

    ID de entidad en la consola de PingFederate con el texto de error resaltado

La función de ID de entidad con ámbito en Citrix Cloud aborda esta limitación para que puedas crear más de una aplicación SAML dentro del proveedor SAML (como un tenant de Azure AD) y vincularla a un único tenant de Citrix Cloud.

¿Qué es un ID de entidad?

Un ID de entidad SAML es un identificador único que se usa para identificar una entidad específica en el protocolo de autenticación y autorización SAML. Normalmente, el ID de entidad es una URL o URI que se asigna a la entidad y se usa en mensajes y metadatos SAML. Cada aplicación SAML que creas dentro de tu proveedor SAML se considera una entidad única.

Dentro de una conexión SAML entre Citrix Cloud y Azure AD, por ejemplo, Citrix Cloud es el proveedor de servicios (SP) y Azure AD es el proveedor SAML. Ambos tienen un ID de entidad que debe configurarse en el lado opuesto de la conexión SAML. Esto significa que el ID de entidad de Citrix Cloud debe configurarse en Azure AD, y el ID de entidad de Azure AD debe configurarse en Citrix Cloud.

Los siguientes ID de entidad son ejemplos de un ID de entidad genérico y un ID de entidad con ámbito en Citrix Cloud:

  • Genérico: https://saml.cloud.com
  • Con ámbito: https://saml.cloud.com/67338f11-4996-4980-8339-535f76d0c8fb

ID de entidad de SP genéricos y con ámbito por región

Las conexiones SAML existentes en Citrix Cloud (creadas antes de noviembre de 2023) usan el mismo ID de entidad genérico para cada conexión SAML y tenant de Citrix Cloud. Solo las nuevas conexiones SAML de Citrix Cloud ofrecen la opción de usar un ID de entidad con ámbito.

Si eliges usar ID de entidad con ámbito para nuevas conexiones, cualquier conexión SAML existente seguirá funcionando usando sus ID de entidad genéricos originales.

  • La siguiente tabla enumera los ID de entidad de SP genéricos y con ámbito para cada región de Citrix Cloud:
Región de Citrix Cloud ID de entidad de SP genérico ID de entidad con ámbito
Estados Unidos, Unión Europea, Asia Pacífico-Sur https://saml.cloud.com https://saml.cloud.com/67338f11-4996-4980-8339-535f76d0c8fb
Japón https://saml.citrixcloud.jp https://saml.citrixcloud.jp/db642d4c-ad2c-4304-adcf-f96b6aa16c29
Gobierno https://saml.cloud.us https://saml.cloud.us/20f1cf66-cfe9-4dd3-865c-9c59a6710820

Generación de ID de entidad de SP únicos para conexiones SAML nuevas y existentes

Cuando creas una nueva conexión SAML, Citrix Cloud genera un ID único (GUID). Para generar un ID de entidad con ámbito, activa la configuración Configurar ID de entidad SAML con ámbito cuando crees la nueva conexión.

Si quieres actualizar una conexión SAML existente para usar ID de entidad con ámbito, debes desconectar y luego volver a conectar tu proveedor SAML desde la página Administración de identidades y accesos > Autenticación en Citrix Cloud. Citrix Cloud no te permite modificar conexiones SAML existentes directamente. Sin embargo, puedes clonar la configuración y modificar el clon.

Importante:

Cerrar el proceso de conexión SAML antes de completarlo descarta el ID de entidad que Citrix Cloud genera automáticamente. Cuando reinicias el proceso de conexión SAML, Citrix Cloud genera un nuevo GUID de ID de entidad con ámbito. Usa este nuevo ID de entidad con ámbito cuando configures el proveedor SAML. Si estás actualizando una conexión SAML existente para usar ID de entidad con ámbito, debes actualizar la aplicación SAML para esa conexión con el ID de entidad con ámbito que Citrix Cloud genera.

Preguntas frecuentes sobre los ID de entidad con ámbito

¿Puedo crear más de una aplicación SAML de Azure AD dentro del mismo tenant de Azure AD y vincularla a uno o más tenants de Citrix Cloud?

La función de ID de entidad con ámbito de Citrix Cloud aborda la limitación de evitar ID de entidad duplicados que imponen algunos proveedores SAML. Con esta función, puedes aprovisionar más de una aplicación SAML dentro de tu tenant de Azure AD y configurar cada una con un ID de entidad con ámbito de un único tenant de Citrix Cloud.

¿Puedo seguir vinculando la misma aplicación SAML de Azure AD a varios tenants de Citrix Cloud?

Este escenario es común entre los clientes de Citrix Cloud y Citrix sigue dándole asistencia. Para implementar este escenario, debes cumplir los siguientes requisitos:

  • Usa un ID de entidad genérico, como https://saml.cloud.com.
  • No actives los ID de entidad con ámbito para tu conexión SAML.

¿Cómo decido si usar o no un ID de entidad con ámbito dentro de mi proveedor SAML?

Los ID de entidad con ámbito en Citrix Cloud ofrecen la flexibilidad de usar un ID de entidad genérico o con ámbito, según tus requisitos. Ten en cuenta el número de aplicaciones SAML que necesitas y el número de inquilinos de Citrix Cloud que tienes. Además, considera si cada inquilino podría compartir una aplicación SAML existente o si necesita su propia aplicación SAML con ámbito.

Importante:

Si tu proveedor SAML ya te permite crear varias aplicaciones SAML con el mismo ID de entidad (como https://saml.cloud.com), no necesitas habilitar los ID de entidad con ámbito ni realizar cambios en tu configuración SAML existente. Tampoco necesitas actualizar ninguna configuración en Citrix Cloud ni en tu aplicación SAML.

Proveedores SAML afectados

La siguiente tabla enumera los proveedores SAML que permiten o limitan el uso de ID de entidad duplicados.

Proveedor SAML ¿Admite ID de entidad duplicados?
Azure AD (nube) No
ADFS (local) No
PingFederate (local) No
PingOneSSO (nube) No
Okta (nube)
Duo (nube)
OneLogin (nube)

  • Casos de uso afectados

La siguiente tabla indica si se admite un ID de entidad genérico o con ámbito en función de las aplicaciones SAML que requiere tu caso de uso y si tu proveedor SAML admite ID de entidad duplicados.

Requisito del caso de uso ¿El proveedor SAML admite ID de entidad duplicados? Configuración admitida
Solo una aplicación SAML ID de entidad genérico o con ámbito
Solo una aplicación SAML No ID de entidad genérico o con ámbito
Dos o más aplicaciones SAML ID de entidad genérico o con ámbito
Dos o más aplicaciones SAML No ID de entidad con ámbito
Pares de URL personalizada de Workspace y aplicación SAML ID de entidad genérico o con ámbito
Pares de URL personalizada de Workspace y aplicación SAML No ID de entidad con ámbito
Vincular la misma aplicación SAML a varios inquilinos de Citrix Cloud ID de entidad genérico
Vincular la misma aplicación SAML a varios inquilinos de Citrix Cloud No ID de entidad genérico

Configurar la conexión SAML principal con un ID de entidad con ámbito

En esta tarea, crearás una conexión SAML en Citrix Cloud usando un ID de entidad con ámbito para la aplicación SAML principal (Aplicación SAML 1).

  1. En el menú de Citrix Cloud, selecciona Administración de identidades y accesos.
  2. En la ficha Autenticación, busca SAML 2.0 y selecciona Conectar en el menú de puntos suspensivos.
  3. Cuando se te pida que crees tu URL de inicio de sesión única, introduce un identificador corto y compatible con URL para tu empresa (por ejemplo, https://citrix.cloud.com/go/mycompany) y selecciona Guardar y continuar. Este identificador debe ser único en todo Citrix Cloud.
  4. En Configurar proveedor de identidades SAML, selecciona Configurar ID de entidad SAML con ámbito. Citrix Cloud genera automáticamente los ID de entidad con ámbito y rellena los campos de ID de entidad, Servicio de consumidor de aserciones y URL de cierre de sesión.
  5. En Configurar una conexión SAML a Citrix Cloud, introduce los detalles de conexión de tu proveedor SAML.
  6. Acepta las asignaciones de atributos SAML predeterminadas.
  7. Selecciona Probar y finalizar.

Configurar la conexión SAML principal con un ID de entidad genérico

En esta tarea, crearás una conexión SAML en Citrix Cloud usando el ID de entidad genérico predeterminado para la aplicación SAML principal (Aplicación SAML 1).

  1. En el menú de Citrix Cloud, selecciona Administración de identidades y accesos.
  2. En la ficha Autenticación, busca SAML 2.0 y selecciona Conectar en el menú de puntos suspensivos.
  3. Cuando se te pida que crees tu URL de inicio de sesión única, introduce un identificador corto y compatible con URL para tu empresa (por ejemplo, https://citrix.cloud.com/go/mycompany) y selecciona Guardar y continuar. Este identificador debe ser único en todo Citrix Cloud.
  4. En Configurar proveedor de identidades SAML, verifica que Configurar ID de entidad SAML con ámbito esté deshabilitado.
  5. En Configurar una conexión SAML a Citrix Cloud, introduce los detalles de conexión de tu proveedor SAML.
  6. En Metadatos SAML del proveedor de servicios, haz clic en Descargar para obtener una copia de los metadatos SAML genéricos, si es necesario.
  7. Acepta las asignaciones de atributos SAML predeterminadas.
  8. Selecciona Probar y finalizar.

Configurar una conexión SAML usando dominios personalizados de Citrix Workspace™

Esta sección incluye la configuración de una conexión SAML usando una URL personalizada de Workspace con un ID de entidad genérico o con ámbito.

Las tareas de esta sección solo son aplicables si tienes una URL personalizada de Workspace existente que estés usando con SAML. Si no estás usando una URL personalizada de Workspace con autenticación SAML, puedes omitir las tareas de esta sección.

Para obtener más información, consulta los siguientes artículos:

Configurar una conexión SAML con una URL personalizada de Workspace y un ID de entidad genérico

En esta tarea, la configuración Configurar ID de entidad con ámbito está deshabilitada.

  1. En el menú de Citrix Cloud, selecciona Autenticación de Workspace.
    1. En URL personalizada de Workspace, selecciona Modificar en el menú de puntos suspensivos.
    1. Selecciona Usar tanto la URL [customerName].cloud.com como la URL de dominio personalizado.
  1. Introduce el ID de entidad genérico, la URL de SSO y la URL de SLO opcional para la Aplicación SAML 2 y carga el certificado de firma que descargaste anteriormente de tu proveedor SAML.
  2. Si es necesario, en Metadatos SAML del proveedor de servicios para dominio personalizado, haz clic en Descargar para obtener una copia de los metadatos SAML genéricos para la aplicación SAML de URL personalizada de Workspace.
  3. Haz clic en Guardar.

Configurar una conexión SAML con una URL personalizada de Workspace y un ID de entidad con ámbito

En esta tarea, la configuración Configurar ID de entidad con ámbito está habilitada.

  1. En el menú de Citrix Cloud, selecciona Autenticación de Workspace.
  2. En URL personalizada de Workspace, selecciona Modificar en el menú de puntos suspensivos.
  3. Selecciona Usar tanto la URL [customerName].cloud.com como la URL de dominio personalizado.
  4. Introduce el ID de entidad con ámbito, la URL de SSO y la URL de SLO opcional para la Aplicación SAML 2 y carga el certificado de firma SAML que descargaste anteriormente de tu proveedor SAML.
  5. Haz clic en Guardar.

Después de guardar la configuración, Citrix Cloud genera los metadatos SAML con ámbito que contienen el GUID correcto. Si es necesario, puedes obtener una copia de los metadatos con ámbito para la aplicación SAML de URL personalizada de Workspace.

  1. En la página Administración de identidades y accesos, busca la conexión SAML y selecciona Ver en el menú de puntos suspensivos.
  2. En Metadatos SAML del proveedor de servicios para dominio personalizado, haz clic en Descargar.

Ver la configuración SAML de las aplicaciones SAML principal y de URL personalizada de Workspace

Al ver los detalles de configuración de tu conexión SAML con ámbito, Citrix Cloud muestra la configuración del ID de entidad con ámbito tanto para la aplicación SAML principal como para la aplicación SAML de dominio personalizado de Workspace.

Por ejemplo, cuando los ID de entidad con ámbito están habilitados, los campos ID de entidad del proveedor de servicios e ID de entidad del proveedor de servicios para dominio personalizado contienen los ID de entidad con ámbito que genera Citrix Cloud.

Configuración SAML con ID de entidad con ámbito habilitado

Cuando los ID de entidad con ámbito están deshabilitados, los campos ID de entidad del proveedor de servicios e ID de entidad del proveedor de servicios para dominio personalizado contienen los ID de entidad genéricos.

Configuración de SAML con ID de entidad genéricos

Puedes actualizar las aplicaciones SAML existentes en tu proveedor SAML agregando el ID de entidad con ámbito al valor del ID de entidad existente.

Configuración del proveedor SAML con ID de entidad con ámbito

Después de configurar la conexión SAML en Citrix Cloud con ID de entidad con ámbito, puedes agregar el ID de entidad con ámbito a tu proveedor SAML.

Esta sección incluye ejemplos de configuración de Azure AD y PingFederate.

Configuración de SAML de Azure AD con ID de entidad con ámbito

En este ejemplo, el ID de entidad con ámbito de Citrix Cloud se introduce en el campo Identificador de Azure AD.

Configuración de la aplicación SAML en Azure AD con el ID de entidad resaltado

Configuración de SAML de PingFederate con ID de entidad con ámbito

En este ejemplo, el ID de entidad con ámbito y el ID de entidad genérico de Citrix Cloud se rellenan en el campo ID de entidad del socio y en el campo URL base, respectivamente.

Configuración de la aplicación SAML en PingFederate con el ID de entidad resaltado

Solución de problemas

Citrix recomienda usar la extensión de navegador SAML-tracer para solucionar cualquier problema con tu configuración SAML. Esta extensión decodifica las solicitudes y respuestas codificadas en Base64 a XML SAML, lo que hace que la información sea legible. Puedes usar la extensión SAML-tracer para examinar tanto las solicitudes SAML de SSO como las de SLO que Citrix Cloud (el proveedor de servicios) genera y envía a tu proveedor SAML (el proveedor de identidades). La extensión puede mostrar si el ámbito del ID de entidad (GUID) está incluido en ambas solicitudes.

  1. Desde el panel Extensiones de tu navegador web, instala y habilita la extensión SAML-tracer.
  2. Realiza una operación de inicio y cierre de sesión SAML y captura todo el flujo con la extensión SAML-tracer.

  3. Localiza la siguiente línea dentro de la solicitud SAML de SSO o de SLO.

    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">https://saml.cloud.com/cfee4a86-97a8-49cf-9bb6-fd15ab075b92</saml:Issuer>
<!--NeedCopy-->
  4. Verifica que el ID de entidad coincida con el ID de entidad configurado en tu aplicación de proveedor SAML.
  5. Verifica que el ID de entidad con ámbito esté presente en el campo Emisor y verifica que esté configurado correctamente en tu proveedor SAML.
  6. Exporta y guarda la salida JSON de SAML-tracer. Si estás trabajando con el Soporte de Citrix para resolver un problema, carga la salida en tu caso de soporte de Citrix.

Solución de problemas de Azure AD

Problema: El cierre de sesión de Azure AD falla cuando SLO está configurado. Azure AD muestra el siguiente error al usuario:

Error de cierre de sesión de Azure AD

Si los ID de entidad con ámbito están habilitados para la conexión SAML en Citrix Cloud, el ID de entidad con ámbito debe enviarse tanto en las solicitudes de SSO como en las de SLO.

Causa: La entidad con ámbito está configurada, pero falta el ID de entidad en la solicitud de SLO. Verifica que el ID de entidad con ámbito esté presente en la solicitud de SLO en la salida de SAML-tracer.

Solución de problemas de PingFederate local

Problema: El inicio o cierre de sesión de PingFederate falla después de habilitar la configuración del ID de entidad con ámbito.

Causa: El administrador de PingFederate agregó el ID de entidad con ámbito a la URL base de la conexión del SP.

Para corregir este problema, agrega el ID de entidad con ámbito únicamente al campo ID de entidad del socio. Agregar el ID de entidad con ámbito a la URL base da como resultado un punto de conexión SAML mal formado. Si la URL base de Citrix Cloud se actualiza incorrectamente, todas las demás URL relativas de los puntos de conexión SAML que se derivan de la URL base producirán errores de inicio de sesión.

Los siguientes puntos de conexión son ejemplos de puntos de conexión SAML de Citrix Cloud mal formados que podrían aparecer en la salida de SAML-tracer:

  • https://saml.cloud.com/<GUID>/saml/acs
  • https://saml.cloud.com/<GUID>/saml/logout/callback

La siguiente imagen muestra una aplicación SAML de PingFederate mal configurada. El campo configurado correctamente se muestra en verde. El campo configurado incorrectamente se muestra en rojo.

Consola de PingFederate con los campos mal configurados resaltados

Configura una aplicación SAML con un ID de entidad con ámbito en Citrix Cloud™
April 2, 2026
Author:  Mark Dear
April 2, 2026
Author:  Mark Dear

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.