Conceptos avanzados

Diseño de referencia validado de Citrix Gateway SaaS y O365 Cloud de Citrix

Información general

Software as a Service (SaaS) es un modelo de distribución de software para ofrecer software de forma remota como un servicio basado en web. Aplicaciones SaaS de uso común, incluidas las suscripciones a Microsoft Office 365.

Ahora se puede acceder a las aplicaciones SaaS mediante Citrix Workspace mediante el servicio Citrix Gateway. Citrix Gateway Service y Citrix Workspace proporcionan una experiencia de usuario unificada para las aplicaciones SaaS configuradas, las aplicaciones virtuales configuradas o cualquier otro recurso de espacio de trabajo.

La entrega de aplicaciones SaaS mediante el Citrix Gateway Service le proporciona una solución sencilla, segura, robusta y escalable para administrar las aplicaciones. Las aplicaciones SaaS suministradas en la nube tienen las siguientes ventajas:

Configuración simple: Fácil de operar, actualizar y consumir. Single Sign-On: Inicios de sesión sin complicaciones con Single Sign-On. Plantilla estándar para diferentes aplicaciones: Configuración basada en plantillas de aplicaciones populares.

Requisitos previos

Para configurar aplicaciones O365 en la aplicación Citrix Workspace, asegúrese de completar lo siguiente:

  • Si tiene un dominio principal disponible en Azure AD que no está federado con otros servicios, puede usar ese dominio para federarse a Citrix Access Control. Asegúrese de que este dominio, ya sea el dominio principal o el secundario del mismo, no esté federado y que el dominio principal del mismo no esté agregado en Azure Active Directory (AAD).

    Por ejemplo, si el usuario inicia sesión con user1@demo.citrix.com, demo.citrix.com es el dominio principal, citrix.com es el dominio principal y us.demo.citrix.com es el dominio secundario.

  • Si no puede federar el dominio principal, agregue un dominio nuevo neto a Azure AD y federarlo a Citrix Access Control. Crea el dominio y completa la verificación. Para obtener información detallada, consulte https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/add-custom-domain.

    Para obtener más información sobre por qué necesitas un dominio federado, consulta Cómo funciona la federación de dominios.

  • Asegúrese de que el nuevo dominio que ha agregado esté en estado “Verificado” en Azure AD.

  • Configure una relación de confianza entre su proveedor de identidades SAML y Azure AD. Para configurar una confianza, debe tener un dominio verificado en AAD. Cuando se configura una federación en AAD mediante un dominio, AAD confía en el proveedor de SAML para la autenticación de usuarios en AAD, incluso si el usuario es de un dominio diferente al del dominio federado. En el flujo iniciado por el SP, cuando AAD debe identificar qué IdP usar para la autenticación (acelerar el usuario a un IdP federado), se identifica mediante el parámetro de consulta whr o domain_hint que se pasa a la URL https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/configure-authentication-for-federated-users-portal.

    Agregar una federación para un dominio nuevo no afecta a una federación existente que tenga en su configuración. Si ya tiene ADFS federado a un dominio, no se ve afectado, ya que está federando en un dominio diferente que no es un subdominio ni un dominio principal de un dominio ya federado.

    El SSO puede tener los dos flujos siguientes:

    Flujo iniciado por IDP: se usa normalmente cuando desea iniciar sesión en el portal de Azure AD. El servicio Citrix Access Control publica la aserción SAML en Azure AD (AAD). AAD lo valida en función de la configuración de federación que hicimos anteriormente. Si la validación se aprueba, extrae el atributo nameid de SAML. El atributo nameid debe coincidir con el immutableId del usuario que está presente en el AAD.

    Flujo iniciado por el SP: se usa normalmente cuando desea llegar a la aplicación directamente en lugar del portal de AAD. En este flujo, el servicio Citrix Access Control carga la URL que está configurada en la configuración de la aplicación. La URL va a AAD y, dado que la URL tiene alguna indicación del dominio federado, se redirige al usuario al Citrix Gateway Service con una solicitud SAML y un estado de retransmisión. El servicio Citrix Access Control publica la aserción SAML en AAD con el mismo estado de retransmisión que apareció en la solicitud. Una vez que se valida SAML, AAD redirige a un usuario al contexto en el estado de retransmisión y, por lo tanto, el usuario llega a la aplicación directamente.

  • Configure la aplicación O365 en el Citrix Gateway Service. Para obtener más información, consulte Soporte para la aplicación Software as a Service.

Cómo funciona la federación de dominios

La siguiente ilustración ilustra un flujo típico involucrado después de que se completa una federación de dominios.

Cómo funciona la federación de dominios

Tenga en cuenta que desea agregar la aplicación Office365 a Citrix Workspace y habilitar marcas de agua y restringir las descargas. El flujo típico es el siguiente:

  1. Inicie la aplicación Office365 en Citrix Workspace.
  2. La solicitud va al Access Control Service de Citrix.
  3. El servicio Citrix Access Control crea la aserción SAML y la reenvía a Azure AD.
  4. Como la solicitud proviene de un proveedor de identidades SAML de confianza, Azure AD la identifica a través de la federación de dominios que se crea y pasa la aserción SAML a la aplicación Office365.

    Se inicia la aplicación Office365.

Métodos de autenticación compatibles con Office365

De forma predeterminada, Citrix Cloud utiliza el proveedor de identidades Citrix para administrar la información de identidades de todos los usuarios de la cuenta de Citrix Cloud.

Citrix Workspace admite los siguientes métodos de autenticación para Office365. Actualmente, Okta y el IdP de Google no son compatibles.

  • Active Directory local
  • Token de Active Directory plus
  • Nota de Azure Active Directory: Si se usa AAD para autenticarse en el espacio de trabajo, no puede federar el dominio principal (dominio de inicio de sesión del usuario) porque esto crea un bucle. En tales casos, debe federar un dominio nuevo
  • Citrix Gateway
  • Active Directory y RADIUS

Para obtener más información, consulte Administración de identidades y accesos.

Configurar la aplicación O365 en el Citrix Gateway Service

Los siguientes son los pasos de alto nivel para configurar la aplicación O365 en el Citrix Gateway Service. Para obtener más información, consulte Compatibilidad con la aplicación Software as a Service.

  1. Vaya al Citrix Gateway Service en Citrix Cloud.
  2. Agregue una aplicación SaaS/web.
  3. Busca Office 365 y elige la plantilla.
  4. Agregue los siguientes dominios relacionados en los detalles de la aplicación. A continuación se muestra la lista de dominios de O365. Se agregan nuevos dominios cuando están disponibles.

    • *.office.com
    • *.office365.com
    • *.sharepoint.com
    • *.live.com
    • *.onenote.com
    • *.microsoft.com
    • *.powerbi.com
    • *.dynamics.com
    • *.microsoftstream.com
    • *.powerapps.com
    • *.yammer.com
    • *.windowsazure.com
    • *.msauth.net
    • *.msauthimages.net
    • *.msocdn.com
    • *.microsoftonline.com
    • *.windows.net
    • *.microsoftonline-p.com
    • *.akamaihd.net
    • *.sharepointonline.com
    • *.officescriptsservice.com
    • *.live.net
    • *.office.net
    • *.msftauth.net
  5. Habilite controles de seguridad mejorados, si es necesario.
  6. Configure el SSO.

    Nota: El único cambio que debe hacer es asegurarse de que “ID de nombre” sea el GUID de Active Directory.

  7. Asegúrese de que también se IDPEmailenvíen atributos avanzados
    • Nombre de atributo: IDPEmail
    • Formato de atributo: sin especificar
    • Valor de atributo: correo electrónico
  8. Haga clic en Metadatos SAML para abrirlos en una nueva ficha.
    • Copie “entityID”
    • Copie “Login URL”
    • Descargue el certificado en formato CRT

Configurar la federación de dominios de Azure AD a Citrix Workspace

Requisitos previos:

  • Enable PowerShell in Azure AD
  • Install Microsoft MSOnline module

Los siguientes son los comandos de PowerShell para instalar los módulos requeridos.

PS> Install-Module AzureAD -Force

PS> Import-Module AzureAD -Force

PS> Install-Module MSOnline -Force

PS> Import-module MSOnline -Force

Si los módulos ya están instalados, ejecute el siguiente comando.

PS> connect-msolservice

Nota: Se requiere una cuenta en la nube de Microsoft para conectarse a msolservice. Por ejemplo, admin.user@onmicrosoft.com

Pasos para configurar la federación de dominios de Azure AD a Citrix Workspace

  1. Ejecute los siguientes comandos en PowerShell para configurar la federación:

    • PS> $dom = "ad-domain.com"

    Nota: ad-domain.com es el nuevo dominio agregado a Azure AD

    • PS> $IssuerUri = "https://citrix.com/[customerID]"

    Nota: El customerID se puede encontrar en las siguientes ubicaciones:

    • Citrix Cloud > Administración de identidades y accesos > Acceso a la API
    • Citrix Cloud > Citrix Gateway Service > Agregar una aplicación web/SaaS > Inicio de sesión único > Archivo de metadatos SAML > EntityID

    • PS> $fedBrandName = “CitrixWorkspace”
    • PS> $logoffuri = "https://app.netscalergateway.net/cgi/logout"
    • PS> $uri = "https://app.netscalergateway.net/ngs/[customerID]/saml/login?APPID=[AppID]”

    Nota: $uri se puede copiar desde Citrix Gateway Service > Agregar una Web/SaaSApp > Inicio de sesión único > URL de inicio de sesión o desde Metadatos de SAML > Ubicación.

    • PS> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(“<location of certificate downloaded from Citrix Gateway service/filename.crt>”)

      Por ejemplo: PS> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("c:\cert\saml_idp.crt")

    PS> $certData = [system.convert]::tobase64string($cert.rawdata)

  2. Ejecute la cadena PS para completar la federación en Citrix Gateway:

    PS> Set-MsolDomainAuthentication -DomainName $dom –federationBrandName $fedBrandName -Authentication Federated -PassiveLogOnUri $uri -LogOffUri $logoffuri -SigningCertificate $certData -IssuerUri $IssuerUri -PreferredAuthenticationProtocol SAMLP

  3. Verifique la configuración de la federación de dominios ejecutando el siguiente comando:

    Get-MsolDomainFederationSettings -DomainName <domain name>

Validación de la configuración

Configuración de aplicaciones de la suite Office individuales en Citrix Workspace

Realice lo siguiente para configurar aplicaciones de suite ofimática individuales:

  1. Complete la federación de dominios como se detalla en las secciones anteriores.
  2. Elige la plantilla O365.
  3. Cambie el nombre de la aplicación a, por ejemplo, MS Word.
  4. Cambia la URL de la aplicación a la que corresponda.

Palabra: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Foffice.live.com%2Fstart%2FWord.aspx%3Fauth%3D2&whr=<federated domain>

Powerpoint: <https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2Fpowerpoint%3Fauth%3D2&whr=<federated domain>

Excel: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Foffice.live.com%2Fstart%2FExcel.aspx%3Fauth%3D2&whr=<federated domain>

CRM/Dynamics en línea: https://<tenant>.crm.dynamics.com/?whr=<federated domain>

OneDrive para empresas: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>-my.sharepoint.com%2F&whr=<federated domain>

Calendario de Outlook: https://outlook.office.com/owa/?realm=<federated domain>&path=/calendar/view/Month

Acceso web de Outlook a Exchange Online: https://outlook.com/owa/<federated domain>

SharePoint Online: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>.sharepoint.com%2F&whr=<federated domain>

Aplicaciones de terceros integradas en Azure AD

Si ha integrado aplicaciones de terceros como Box, Salesforce, ServiceNow, Workday, puede obtener los enlaces inteligentes para estas aplicaciones en Azure AD.

Realice los siguientes pasos.

  1. Inicie sesión en Azure AD Portal https://portal.azure.com.

  2. Seleccione Todos los servicios > Azure Active Directoryy seleccione su directorio.

    Seleccione todos los servicios

  3. Seleccione Aplicaciones empresariales y, a continuación, elija la aplicación para la que desea generar un Smart Link.

    Selección de aplicaciones empresariales

  4. Seleccione Propiedades y copie la URL de acceso del usuario.

    Seleccionar propiedades

  5. Después de anexar whr a la URL, los parámetros whr aparecen como se muestra en la URL de ejemplo.

    URL de ejemplo: https://myapps.microsoft.com/signin/Workday/1234567891234567891234567896d64b?whr=ctxnsqa.net

    Nota: Adjunte whr a la URL para que AAD sepa qué IdP usar para autenticar a un usuario en función de la configuración de federación y redireccionar automáticamente a ese IdP.

  6. Establece controles de seguridad mejorados.
  7. Configure el SSO.
    • ID de nombre = GUID de AD
    • Habilitar casilla de verificación iniciada por SP

      Cuando realiza un flujo iniciado por IdP, siempre lleva a los usuarios a la página del portal de Azure AD. Si desea aterrizar directamente en la página de la aplicación, se necesita un flujo iniciado por SP, ya que envía el estado de retransmisión correcto en la aserción SAML.

Nota:

  • Si los usuarios inician sesión en Citrix Workspace mediante AAD, el dominio principal de los usuarios que se utiliza para iniciar sesión no debe estar federado al Citrix Gateway Service. Esto da como resultado un bucle. En tales casos, use otro dominio diferente de los dominios de los usuarios que inician sesión en AAD para federarse al Citrix Gateway Service.

  • Si el dominio principal está federado al Citrix Gateway Service, todos los inicios de sesión de los usuarios en ese dominio en AAD se redirigen al Citrix Gateway Service. Para la POC, si es necesario, puede federar un dominio de prueba antes de federar el dominio principal.
  • Si AAD tiene activada la directiva de ubicación, los usuarios solo deben pertenecer a la lista de direcciones IP permitidas de una red corporativa. En tales casos, puede publicar la aplicación O365 como una aplicación web y redirigir su tráfico a través del conector de puerta de enlace local.
  • Al iniciar sesión en el AAD, ¿quiere evitar permanecer conectado?, puede cambiar esta configuración mediante el AAD. Tenga en cuenta el mensaje importante que aparece cuando cambia la configuración y la revierte si es necesario.

Seleccione permanecer firmado en

Mensaje al revertir la configuración

Enlaces de referencia

Referencia del módulo Azure PowerShell

Referencia de comandos de Azure PowerShell

Implementar la sincronización de directorios de Office 365 en Microsoft Azure