Documentación de productos
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
Ver PDF

Autenticación de paso a través de dominio a Citrix Workspace mediante Citrix Gateway local como proveedor de identidades

April 16, 2026
Contribución de: 
C C

Importante:

Este artículo te ayuda a configurar la autenticación de paso a través de dominio. Si ya configuraste Gateway local como IdP, salta a la sección Configurar el paso a través de dominio como método de autenticación en Citrix Gateway.

  • Citrix Cloud™ admite el uso de un Citrix Gateway local como proveedor de identidades para autenticar a los suscriptores que inician sesión en sus espacios de trabajo.

  • Al usar la autenticación de Citrix Gateway, puedes:

  • Continuar autenticando a los usuarios a través de tu Citrix Gateway existente para que puedan acceder a los recursos de tu implementación local de Virtual Apps and Desktops a través de Citrix Workspace.
  • Usar las funciones de autenticación, autorización y auditoría de Citrix Gateway con Citrix Workspace.

  • Proporcionar a tus usuarios acceso a los recursos que necesitan a través de Citrix Workspace utilizando funciones como la autenticación de paso a través, tarjetas inteligentes, tokens seguros, directivas de acceso condicional y federación.

  • La autenticación de Citrix Gateway es compatible con las siguientes versiones de productos:

  • Citrix Gateway 13.1.4.43 Advanced edition o posterior

Requisitos previos:

-  Cloud Connectors: Necesitas al menos dos servidores en los que instalar el software Citrix Cloud Connector™.
-  Un Active Directory y asegúrate de que el dominio esté registrado.
-  Requisitos de Citrix Gateway
-  Usa directivas avanzadas en el gateway local debido a la obsolescencia de las directivas clásicas.
-  Al configurar Gateway para autenticar a los suscriptores en Citrix Workspace, el gateway actúa como proveedor de OpenID Connect. Los mensajes entre Citrix Cloud y Gateway cumplen con el protocolo OIDC, que implica la firma digital de tokens. Por lo tanto, debes configurar un certificado para firmar estos tokens.
-  Sincronización de reloj: Citrix Gateway debe estar sincronizado con la hora NTP.
  • Para obtener más información, consulta Requisitos previos en la documentación de Citrix Cloud.

Antes de crear la directiva OAuth IdP, primero debes configurar Citrix Workspace o Cloud para usar Gateway como opción de autenticación en el IdP. Para obtener más información sobre cómo configurarlo, consulta Conectar un Citrix Gateway local a Citrix Cloud. Cuando completes la configuración, se generarán el ID de cliente, el Secreto y la URL de redirección necesarios para crear la directiva OAuth IdP.

El paso a través de dominio para Workspace para web está habilitado si usas Internet Explorer, Microsoft Edge, Mozilla Firefox y Google Chrome. El paso a través de dominio solo se habilita cuando el cliente se detecta correctamente.

Nota:

Si un usuario prefiere el cliente HTML5 o el administrador lo impone, el método de autenticación de paso a través de dominio no se habilita.

Al iniciar la URL de StoreFront en un navegador, se muestra el mensaje Detectar Receiver.

Si los dispositivos están administrados, configura la directiva de grupo para deshabilitar este mensaje en lugar de deshabilitar la detección de clientes. Para obtener más información, consulta:

Nota:

El controlador de protocolo utilizado por la aplicación Citrix Workspace es receiver:. Configúralo como una de las URL permitidas.

Los usuarios también pueden seleccionar la casilla de verificación como se muestra en el siguiente ejemplo de mensaje para una URL de StoreFront en el mensaje de detección de cliente. Al seleccionar esta casilla de verificación, también se evita el mensaje para lanzamientos posteriores.

Permitir el iniciador de Citrix Workspace

Los siguientes pasos explican cómo se puede configurar Citrix Gateway como IdP.

Crear una directiva OAuth IdP en el Citrix Gateway local

La creación de una directiva de autenticación OAuth IdP implica las siguientes tareas:

  1. Crear un perfil OAuth IdP.
  2. Agregar una directiva OAuth IdP.
  3. Vincular la directiva OAuth IdP a un servidor virtual.
  4. Vincular el certificado globalmente.

Crear un perfil OAuth IdP 

    -  1.  Para crear un perfil OAuth IdP mediante la CLI, escribe lo siguiente en el símbolo del sistema:

```
    -  add authentication OAuthIdPProfile <name> [-clientID <string>][-clientSecret ][-redirectURL <URL>][-issuer <string>][-audience <string>][-skewTime <mins>] [-defaultAuthenticationGroup <string>]

    -  add authentication OAuthIdPPolicy <name> -rule <expression> [-action <string> [-undefAction <string>] [-comment <string>][-logAction <string>]

add authentication ldapAction <name> -serverIP <IP> -ldapBase "dc=aaa,dc=local"

ldapBindDn <administrator@aaa.local> -ldapBindDnPassword <password> -ldapLoginName sAMAccountName

add authentication policy <name> -rule <expression> -action <string>

    -  bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <integer> -gotoPriorityExpression NEXT

    -  bind authentication vserver auth_vs -policy <OAuthIdPPolicyName> -priority <integer> -gotoPriorityExpression END

    -  bind vpn global –certkey <>

<!--NeedCopy--> ```

  1. Para crear un perfil OAuth IdP mediante la GUI:

    1. Inicia sesión en tu portal de administración de Citrix Gateway local y navega a Security > AAA – Application Traffic > Policies > Authentication > Advanced Policies > OAuth IDP.

      OAuth IdP

        1. En la página OAuth IdP, haz clic en la ficha Profiles y haz clic en Add.
        1. Configura el perfil OAuth IdP.

Nota:

  • Copia y pega los valores de ID de cliente, Secreto y URL de redirección de la ficha Citrix Cloud > Identity and Access Management > Authentication para establecer la conexión con Citrix Cloud.
  • Introduce la URL de Gateway correctamente en el campo Issuer Name. Por ejemplo, https://GatewayFQDN.com.
  • Copia y pega también el ID de cliente en el campo Audience.
  • Send Password: Habilita esta opción para la compatibilidad con el inicio de sesión único. Esta opción está deshabilitada de forma predeterminada.
1.  En la pantalla **Create Authentication OAuth IdP Profile**, establece los valores para los siguientes parámetros y haz clic en **Create**.

    -  **Name** – Nombre del perfil de autenticación. Debe comenzar con una letra, un número o el carácter de subrayado (_). El nombre solo debe contener letras, números y los caracteres de guion (-), punto (.), almohadilla (#), espacio ( ), arroba (@), igual (=), dos puntos (:) y subrayado. No puedes cambiar el nombre después de crear el perfil.
    -  **Client ID** – Cadena única que identifica al SP. El servidor de autorización infiere la configuración del cliente utilizando este ID. Longitud máxima: 127.
    -  **Client Secret** – Cadena secreta establecida por el usuario y el servidor de autorización. Longitud máxima: 239.
    -  **Redirect URL** – Punto final en el SP al que se debe publicar el código/token.
    -  **Issuer Name** – Identidad del servidor cuyos tokens deben aceptarse. Longitud máxima: 127. Ejemplo: `https://GatewayFQDN.com`.
    -  **Audience** – Destinatario objetivo del token enviado por el IdP. El destinatario verifica este token.
    -  **Skew Time** – Esta opción especifica la desviación de reloj permitida (en minutos) que Citrix ADC permite en un token entrante. Por ejemplo, si skewTime es 10, el token es válido desde (hora actual - 10) minutos hasta (hora actual + 10) minutos, es decir, 20 minutos en total. Valor predeterminado: 5.
    -  **Default Authentication Group** – Un grupo agregado a la lista de grupos internos de la sesión cuando el IdP elige este perfil, que se puede usar en el flujo nFactor. Se puede usar en la expresión (AAA.USER.IS_MEMBER_OF(“xxx”)) para que las directivas de autenticación identifiquen el flujo nFactor relacionado con la parte que confía. Longitud máxima: 63

Se agrega un grupo a la sesión para este perfil para simplificar la evaluación de directivas y ayudar a personalizar las directivas. Este grupo es el grupo predeterminado que se elige cuando la autenticación se realiza correctamente, además de los grupos extraídos. Longitud máxima: 63.

  ![Crear perfil OAuth IdP](/en-us/citrix-workspace-app-for-windows/media/create-oth-idp-profil.png)

Agregar una directiva OAuth IdP

  1. En la página OAuth IdP, haz clic en Policies y haz clic en Add.

  2. En la pantalla Create Authentication OAuth IdP Policy, establece los valores para los siguientes parámetros y haz clic en Create.

    • Nombre – El nombre de la directiva de autenticación.
    • Acción – Nombre del perfil creado anteriormente.
    • Acción de registro – Nombre de la acción de registro de mensajes que se usará cuando una solicitud coincida con esta directiva. No es un campo obligatorio.
    • Acción de resultado indefinido – Acción que se realizará si el resultado de la evaluación de la directiva no está definido (UNDEF). No es un campo obligatorio.
    • Expresión – Expresión de sintaxis predeterminada que usa la directiva para responder a una solicitud específica. Por ejemplo, true.
    • Comentarios – Cualquier comentario sobre la directiva.

    Crear directiva OAuth IdP

    Nota:

    Cuando sendPassword está configurado en ON (OFF de forma predeterminada), las credenciales del usuario se cifran y se transmiten a través de un canal seguro a Citrix Cloud. La transmisión de las credenciales del usuario a través de un canal seguro te permite habilitar el inicio de sesión único (SSO) en Citrix Virtual Apps and Desktops™ al iniciar.

Vincular la directiva OAuthIDP y la directiva LDAP al servidor de autenticación virtual

Ahora debes vincular la directiva OAuth IdP al servidor de autenticación virtual en Citrix Gateway local.

  1. Inicia sesión en el portal de administración de Citrix Gateway local y navega a Configuration > Security > AAA-Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP.
  2. En la pantalla LDAP Actions, haz clic en Add.
      1. En la pantalla Create Authentication LDAP Server, establece los valores para los siguientes parámetros y haz clic en Create.
      • Nombre – El nombre de la acción LDAP.
      • ServerName/ServerIP – Proporciona el FQDN o la IP del servidor LDAP.
      • Elige los valores apropiados para Security Type, Port, Server Type, Time-Out.
      • Asegúrate de que Authentication esté marcada.
    • DN base – Base desde la que iniciar la búsqueda LDAP. Por ejemplo, dc=aaa, dc=local.
    • DN de enlace de administrador: Nombre de usuario del enlace al servidor LDAP. Por ejemplo, admin@aaa.local.
    • Contraseña de administrador/Confirmar contraseña: Contraseña para vincular LDAP.
    • Haz clic en Test Connection para probar tu configuración.
    • Atributo de nombre de inicio de sesión del servidor: Elige “sAMAccountName”.
    • Otros campos no son obligatorios y, por lo tanto, se pueden configurar según sea necesario.
  3. Navega a Configuration > Security > AAA-Application Traffic > Policies > Authentication > Advanced Policies > Policy.
  4. En la pantalla Authentication Policies, haz clic en Add.

  5. En la página Create Authentication Policy, establece los valores para los siguientes parámetros y haz clic en Create.

    • Nombre – Nombre de la directiva de autenticación LDAP.
    • Tipo de acción – Elige LDAP.
    • Acción – Elige la acción LDAP.
    • Expresión – Expresión de sintaxis predeterminada que usa la directiva para responder a una solicitud específica. Por ejemplo, true**.

Vincular el certificado globalmente a la VPN 

    -  La vinculación del certificado globalmente a la VPN requiere acceso CLI a Citrix Gateway local. Inicia sesión en Citrix Gateway local mediante SSH usando Putty (o similar).

    -  1.  Inicia una utilidad de línea de comandos, como Putty.
  1. Inicia sesión en Citrix Gateway local mediante SSH.

  2. Escribe el siguiente comando: show vpn global

    Nota:

    No debe haber ningún certificado vinculado.

    Mostrar VPN global

  3. Para listar los certificados en Citrix Gateway local, escribe el siguiente comando:
  • show ssl certkey
    1. Selecciona el certificado apropiado y escribe el siguiente comando para vincular el certificado globalmente a la VPN:

  • bind vpn global -certkey cert_key_name

  • donde cert_key_name es el nombre del certificado.
    1. Escribe el siguiente comando para comprobar si el certificado está vinculado globalmente a la VPN:

    show vpn global

    Mostrar VPN global

Configurar el paso a través de dominio como método de autenticación en Citrix Gateway

Cuando termines de configurar Citrix Gateway como IdP, realiza los siguientes pasos para configurar el paso a través de dominio como método de autenticación en Citrix Gateway.

Cuando el paso a través de dominio se establece como método de autenticación, el cliente usa tickets Kerberos para autenticarse en lugar de credenciales. Citrix Gateway admite tanto la suplantación como la delegación restringida de Kerberos (KCD). Sin embargo, este artículo describe la autenticación KCD. Para obtener más información, consulta el artículo del Centro de conocimiento CTX236593.

La configuración del paso a través de dominio incluye los siguientes pasos:

  1. Configuración de la delegación restringida de Kerberos
  2. Configuración del cliente

Configuración de la delegación restringida de Kerberos

  1. Crear un usuario KCD en Active Directory

    Kerberos funciona con un sistema de concesión de tickets para autenticar usuarios en los recursos, e implica un cliente, un servidor y un Centro de distribución de claves (KDC).

    Para que Kerberos funcione, el cliente necesita solicitar un ticket al KDC. El cliente debe autenticarse primero en el KDC usando su nombre de usuario, contraseña y dominio antes de solicitar un ticket, llamado solicitud AS.

    Propiedades de Kerberos

  2. Asociar el nuevo usuario con el nombre principal de servicio (SPN).

    El SPN de Gateway es utilizado por el cliente para autenticarse.

    • Nombre principal de servicio (SPN): Un nombre principal de servicio (SPN) es un identificador único de una instancia de servicio. La autenticación Kerberos usa el SPN para asociar una instancia de servicio con una cuenta de inicio de sesión de servicio. Esta función permite que una aplicación cliente solicite la autenticación de servicio de una cuenta incluso si el cliente no tiene el nombre de la cuenta.

    SetSPN es la aplicación para administrar SPN en un dispositivo Windows. Con SetSPN, puedes ver, editar y eliminar registros de SPN.

    1. En el servidor de Active Directory, abre un símbolo del sistema.

    2. En el símbolo del sistema, introduce el siguiente comando:

      setspn –A http/<LB fqdn> <domain\Kerberos user>

    3. Para confirmar los SPN para el usuario de Kerberos, ejecuta el siguiente comando:

      setspn –l <Kerberos user>

      La ficha Delegación aparece después de ejecutar el comando setspn.

    4. Selecciona la opción Confiar en este usuario para la delegación solo en los servicios especificados y la opción Usar cualquier protocolo de autenticación. Agrega el servidor web y selecciona el servicio HTTP.

      Propiedades del usuario KCD

  3. Crea un registro DNS para que el cliente encuentre el SPN de Gateway:

    Agrega un registro DNS TXT en Active Directory.

    Nota:

    El nombre debe empezar por _Kerberos, los datos deben ser el nombre de dominio. El FQDN debe mostrar Kerberos..

    Propiedades de Kerberos

    Un cliente unido a un dominio de Windows usa _kerberos.fqdn para solicitar tickets. Por ejemplo, si el cliente está unido a citrite.net, el sistema operativo puede obtener tickets para cualquier sitio web con *.citrite.net. Sin embargo, si el dominio de Gateway es externo, como gateway.citrix.com, el sistema operativo del cliente no puede obtener el ticket Kerberos.

    Por lo tanto, debes crear un registro DNS TXT que ayude al cliente a buscar _kerberos.gateway.citrix.com y obtener el ticket Kerberos para la autenticación.

  4. Configura Kerberos como factor de autenticación.

    1. Crea una cuenta KCD para el usuario de NetScaler®. Aquí optamos por hacerlo manualmente, pero puedes crear un archivo keytab.

      Nota:

      Si usas dominios alternativos (dominio interno y dominio externo), debes establecer el SPN del servicio en HTTP/PublicFQDN.com@InternalDomain.ext.

      • Realm - Realm de Kerberos. Normalmente, el sufijo de tu dominio interno.
      • User Realm - Este es el sufijo del dominio interno de tu usuario.
      • Enterprise Realm - Esto solo debe proporcionarse en ciertas implementaciones de KDC donde KDC espera el nombre de usuario de Enterprise en lugar del nombre principal.
      • Delegated User - Esta es la cuenta de usuario de NetScaler para KCD que creaste en AD en los pasos anteriores. Asegúrate de que la contraseña sea correcta.

      Configurar cuenta KCD

    2. Asegúrate de que el perfil de sesión esté usando la cuenta KCD correcta. Vincula la política de sesión al servidor virtual de autenticación, autorización y auditoría.

      Configurar perfil de sesión

    3. Vincula la política de autenticación al servidor virtual de autenticación, autorización y auditoría. Estas políticas usan métodos de autenticación, autorización y auditoría que no obtienen una contraseña del cliente, de ahí la necesidad de usar KCD. Sin embargo, aún deben obtener el nombre de usuario y la información del dominio, en formato UPN.

      Nota:

      Puedes usar la dirección IP o el escaneo EPA para diferenciar los dispositivos unidos a un dominio de los que no lo están y usar Kerberos o LDAP regular como factor de autenticación.

Configura el cliente

Para permitir un inicio de sesión único (SSO) exitoso en VDA, realiza lo siguiente.

Requisitos previos:

  • Máquina unida a un dominio
  • Citrix Workspace 2112.1 o posterior con la configuración de SSO habilitada
  • Confía en las URL necesarias que verifican si las conexiones son seguras
  • Valida Kerberos desde el cliente y AD. El sistema operativo del cliente debe tener conectividad con AD para obtener tickets Kerberos.

Las siguientes son algunas de las URL en las que debes confiar en el navegador:

  • URL o FQDN de Gateway
  • FQDN de AD
  • URL de Workspace para SSO desde lanzamientos basados en navegador.

  1. Si usas Internet Explorer, Microsoft Edge o Google Chrome, haz lo siguiente:

    1. Inicia el navegador.
    2. Abre el Editor de políticas de grupo local en el cliente.

    Mostrar contenido

    1. Ve a Configuración del equipo > Componentes de Windows > Internet Explorer > Panel de control de Internet > Página de seguridad.
    2. Abre la lista de Asignación de sitios a zonas y agrega todas las URL listadas con el valor uno (1).
    3. (Opcional) Ejecuta Gpupdate para aplicar las políticas.

  2. Si usas el navegador Mozilla Firefox, haz lo siguiente:

    1. Abre el navegador.
    2. Escribe about:config en la barra de búsqueda.
    3. Acepta el riesgo y continúa.
    4. En el campo de búsqueda, escribe negotiate.

    5. De la lista de datos rellenados, verifica si network.negotiate-auth.trusted-uris está configurado con el valor de dominio.

      Verificar

    Esto completa la configuración en el lado del cliente.

  3. Inicia sesión en Workspace usando la aplicación Citrix Workspace o el navegador.

Esto no debe solicitar un nombre de usuario o contraseña en un dispositivo unido a un dominio.

Solución de problemas de Kerberos

Nota:

Debes ser administrador de dominio para ejecutar este paso de verificación.

En el símbolo del sistema o en Windows PowerShell, ejecuta el siguiente comando para verificar la validación del ticket Kerberos para el usuario SPN:

Autenticación de paso a través de dominio a Citrix Workspace mediante Citrix Gateway local como proveedor de identidades
April 16, 2026
Contribución de: 
C C
April 16, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.