Citrix Cloud

Agregar grupos de administradores de Azure AD a Citrix Cloud

Puede agregar administradores a su cuenta de Citrix Cloud mediante grupos de Azure Active Directory (AD). A continuación, puede administrar los permisos de acceso a servicios para todos los administradores del grupo.

Esta función solo se admite para su uso con Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service). Los administradores del grupo no tienen acceso para administrar ningún otro servicio en la cuenta de Citrix Cloud.

Requisitos previos

El uso de grupos de Azure AD requiere la versión más reciente de la aplicación Azure AD para conectar su Azure AD a Citrix Cloud. Citrix Cloud adquirió esta aplicación cuando conectó su Azure AD por primera vez. Si conectó Azure AD a Citrix Cloud antes de mayo de 2019, es posible que Citrix Cloud no esté utilizando la aplicación más reciente para conectarse a Azure AD. Citrix Cloud no puede mostrar sus grupos de Azure AD si su cuenta no utiliza la aplicación más reciente.

Antes de usar los grupos de Azure AD en Citrix Cloud, lleve a cabo las siguientes tareas:

  1. Compruebe que está utilizando la aplicación más reciente para la conexión con Azure AD. Citrix Cloud muestra una notificación si no utiliza la aplicación más reciente.
  2. Si la aplicación debe actualizarse, vuelva a conectar su Azure AD a Citrix Cloud. Por el hecho de reconectarse a su Azure AD, usted concede permisos de solo lectura a nivel de aplicación a Citrix Cloud y permite a Citrix Cloud volver a conectarse a su Azure AD en su nombre. Durante la reconexión, se muestra una lista de estos permisos para que los revise. Para obtener más información sobre los permisos que Citrix Cloud solicita, consulte Permisos de Azure Active Directory para Citrix Cloud.

    Importante:

    Debe ser un administrador global en Azure AD para completar esta tarea. Además, debe haber iniciado sesión en Citrix Cloud con una cuenta de administrador con acceso total en el proveedor de identidades de Citrix. Si inicia sesión con sus credenciales de Azure AD, se produce un error en la reconexión. Si no tiene ningún administrador que utilice el proveedor de identidades de Citrix, puede agregar uno temporalmente para realizar esta tarea y, a continuación, eliminarlo.

Comprobar la conexión a Azure AD

  1. Inicie sesión en Citrix Cloud con una cuenta de administrador con acceso total en el proveedor de identidades de Citrix.
  2. Desde el menú de Citrix Cloud, seleccione Administración de acceso e identidad y, luego, Autenticación.
  3. Busque Azure Active Directory. Aparece una notificación si Citrix Cloud debe actualizar la aplicación para su conexión con Azure AD.

    Mensaje de reconexión a Azure AD en la consola de Citrix Cloud

    Si Citrix Cloud ya utiliza la aplicación más reciente, no aparece ninguna notificación.

Reconectarse a Azure AD

  1. En la notificación de Azure AD de la consola de Citrix Cloud, haga clic en el enlace de reconexión. Aparecerá una lista de los permisos de Azure solicitados.
  2. Revise los permisos y, a continuación, seleccione Aceptar.

Permisos de Citrix Cloud disponibles

Para los grupos de Azure AD, solo están disponibles los permisos de acceso personalizado. Los permisos de acceso total no están disponibles.

Los cambios de permisos para administradores que ya hayan iniciado sesión surtirán efecto solamente después de que los administradores hayan cerrado sesión y se hayan autenticado de nuevo.

Permisos resultantes para administradores con identidades de Citrix y Azure AD

Cuando un administrador inicia sesión en Citrix Cloud, es posible que solo estén disponibles ciertos permisos si el administrador tiene tanto una identidad de Citrix (el proveedor de identidades predeterminado en Citrix Cloud) como una identidad de Azure AD de un solo usuario o por grupo. En la tabla de esta sección se describen los permisos que están disponibles para cada combinación de estas identidades.

La Identidad de Azure AD de un solo usuario se refiere a los permisos de Azure AD que se conceden al administrador a través de una cuenta individual. La Identidad de Azure AD por grupo se refiere a los permisos de Azure AD que se conceden como miembro de un grupo de Azure AD.

Identidad de Citrix Identidad de Azure AD de un solo usuario Identidad de Azure AD por grupo Permisos disponibles tras la autenticación
X X   El administrador tiene permisos acumulados de ambas identidades después de una autenticación correcta con la identidad de Citrix o la identidad de Azure AD.
X   X Cada identidad se trata como una entidad independiente. Los permisos disponibles dependen de si el administrador se autentica con la identidad de Citrix o la identidad de Azure AD.
  X X El administrador tiene permisos acumulados de ambas identidades al autenticarse en Citrix Cloud con Azure AD.
X X X Al autenticarse con su identidad de Citrix, el administrador tiene permisos acumulados tanto de la identidad de Citrix como de la identidad de Azure AD de un solo usuario. Al autenticarse con Azure AD, el administrador tiene permisos acumulados de las tres identidades.

Experiencia en los inicios de sesión para administradores

Después de agregar un grupo de Azure AD a Citrix Cloud y definir los permisos del servicio, los administradores del grupo simplemente inician sesión al seleccionar Iniciar sesión con mis credenciales de empresa en la página de inicio de sesión de Citrix Cloud al introducir la URL de inicio de sesión de Azure AD correspondiente a la cuenta (por ejemplo, https://citrix.cloud.com/go/mycompany). A diferencia de agregar administradores individuales de Azure AD, los administradores del grupo de Azure AD no reciben ninguna invitación explícita, por lo que no recibirán ningún correo electrónico de invitación para ser administradores de Citrix Cloud.

Después de iniciar sesión, los administradores seleccionan Administrar en el mosaico de Citrix DaaS para acceder a la consola de administración del servicio.

Mosaico del launchpad con Citrix DaaS

Los administradores a los que se conceden permisos solo como miembros de grupos de Azure AD pueden acceder a la cuenta de Citrix Cloud mediante la URL de inicio de sesión de Azure AD correspondiente a la cuenta.

Los administradores a los que se conceden permisos a través de una cuenta individual de Azure AD y como miembros de grupos de Azure AD pueden elegir la cuenta de Citrix Cloud a la que quieren acceder. Si el administrador es miembro de varias cuentas de Citrix Cloud, puede seleccionar una cuenta de Citrix Cloud en el selector de clientes después de autenticarse correctamente.

Limitaciones

Acceso a funciones de plataforma y servicio

Las funciones de plataforma de Citrix Cloud no están disponibles para los administradores del grupo de Azure AD. Estas funciones incluyen:

  • Ubicaciones de recursos
  • Notificaciones
  • Biblioteca
  • Configuración de Workspace

Además, las funciones de Citrix DaaS que se basan en las prestaciones de la plataforma de Citrix Cloud, como la asignación de usuarios de la Distribución rápida, no están disponibles.

Impacto de varios grupos en el rendimiento de las aplicaciones

Citrix recomienda que un solo administrador no pertenezca a más de 20 grupos de Azure AD que se hayan agregado a Citrix Cloud. Es posible que, si pertenece a más grupos, degrade el rendimiento de las aplicaciones.

Impacto de varios grupos en la autenticación

Si se asigna un administrador por grupos de Azure AD a varios grupos de Azure AD, es posible que la autenticación falle porque hay demasiados grupos. Este problema se produce debido a una limitación en la integración entre Citrix Cloud y Azure AD. Cuando el administrador intenta iniciar sesión, Citrix Cloud intenta comprimir la cantidad de grupos que se obtienen. Si Citrix Cloud no puede aplicar la compresión correctamente, no se pueden obtener todos los grupos y se produce un error en la autenticación.

Es posible que este problema también afecte a los usuarios que se autentican en Citrix Workspace a través de Azure AD. Si un usuario pertenece a varios grupos de Azure AD, es posible que la autenticación falle porque hay demasiados grupos.

Para resolver este problema, revise la cuenta de administrador o de usuario y verifique que solo pertenezcan a los grupos que son necesarios para su rol en la organización.

No se pueden agregar grupos porque hay demasiados pares de roles y ámbitos asignados

Al agregar un grupo con varios pares de roles y ámbitos, es posible que se produzca un error que indica que el grupo no se puede crear. Este error se produce porque hay demasiados pares de roles y ámbitos asignados al grupo. Para resolver este error, divida los pares de roles y ámbitos en dos o más grupos y asigne los administradores a esos grupos.

Agregar un grupo de Azure AD a los administradores de Citrix Cloud

  1. Desde el menú de Citrix Cloud, seleccione Administración de acceso e identidad y, luego, Administradores.
  2. En Seleccione un proveedor de identidades, seleccione su Azure AD e inicie sesión en Azure, si es necesario. Consola de Administración de acceso e identidad con Azure AD y botón Iniciar sesión seleccionado
  3. Busque el grupo que quiere agregar y seleccione el grupo. Búsqueda de grupos de Azure AD
  4. Seleccione los roles que quiere asignar al grupo. Debe seleccionar al menos un rol. Selección de los permisos de acceso personalizado
  5. Cuando haya terminado, seleccione Guardar.

Modificar permisos de servicio para un grupo de Azure AD

  1. Desde el menú de Citrix Cloud, seleccione Administración de acceso e identidad y, luego, Administradores.
  2. En Seleccione un proveedor de identidades, seleccione su Azure AD e inicie sesión, si es necesario.
  3. Busque el grupo de Azure AD que quiere administrar y, en el menú de puntos suspensivos, seleccione Modificar acceso. Grupo con el menú Modificar acceso seleccionado
  4. Seleccione o desmarque los pares de roles y ámbitos que necesite. Consola de permisos de acceso personalizado
  5. Cuando haya terminado, seleccione Guardar.

Eliminar un grupo de Azure AD

  1. Desde el menú de Citrix Cloud, seleccione Administración de acceso e identidad y, luego, Administradores.
  2. Busque el grupo de Azure AD que quiere administrar y, en el menú de puntos suspensivos, seleccione Eliminar grupo. Menú de puntos suspensivos con Eliminar grupo seleccionado

    Aparece un mensaje de confirmación. Mensaje de confirmación de eliminación de grupo

  3. Elija Entiendo que, al eliminar este grupo, los administradores de este grupo no podrán acceder a Citrix Cloud para confirmar que conoce las consecuencias de eliminar el grupo.
  4. Seleccione Eliminar.

Cambios en los grupos de Azure AD

Si realiza algún cambio en sus grupos de Azure AD, es posible que esos cambios no se propaguen automáticamente a Citrix Cloud. Para asegurarse de que Citrix Cloud muestre estos cambios, seleccione Actualizar en la página Administración de acceso e identidad > Administradores.

Página de administradores con Azure AD seleccionado y botón Actualizar resaltado

Cambiar de cuenta de Citrix Cloud

De forma predeterminada, los administradores de Citrix Cloud pueden usar la opción de menú Cambiar cliente para cambiar de cuenta de Citrix Cloud que pueden administrar.

Menú de usuario con el botón Cambiar cliente resaltado

Esta opción de menú no está disponible para los miembros de los grupos de Azure AD. Para habilitar esta opción de menú, debe vincular las cuentas de Citrix Cloud entre las que quiere cambiar.

La vinculación de cuentas de Citrix Cloud implica un enfoque radial. Antes de vincular cuentas, decida qué cuenta de Citrix Cloud actuará como la cuenta desde la que se acceda a las otras cuentas (el “centro”) y qué cuentas quiere que aparezcan en el selector de clientes (el “radio”).

Antes de vincular cuentas, asegúrese de cumplir con los siguientes requisitos:

  • Tiene permisos de administrador total en Citrix Cloud.
  • Tiene acceso al Entorno de scripting integrado (ISE) de Windows PowerShell.
  • Tiene los ID de cliente de las cuentas de Citrix Cloud que quiere vincular. El ID de cliente aparece en la esquina superior derecha de la consola de administración de cada cuenta. Consola de Citrix Cloud con ID de cliente resaltado
  • Tiene el token de portador de Citrix CWSAuth para la cuenta de Citrix Cloud que quiere vincular como cuenta central. Para obtener este token de portador, siga las instrucciones de CTX330675. Debe proporcionar esta información al vincular sus cuentas de Citrix Cloud.

Para vincular cuentas de Citrix Cloud

  1. Abra el ISE de PowerShell y pegue este script en el panel de trabajo:

    $headers = @{}
    $headers.Add("Accept","application/json")
    $headers.Add("Content-Type","application/json")
    $headers.Add("Authorization","CWSAuth bearer=XXXXXXX")
    
    $uri = "https://trust.citrixworkspacesapi.net/HubCustomerID/links"
    
    $resp = Invoke-RestMethod -Method Get -Uri $uri -Headers $headers
    $allLinks = $resp.linkedCustomers + @("SpokeCustomerID")
    
    $body = @{"customers"=$allLinks}
    $bodyjson = $body | ConvertTo-Json
    
    $resp = Invoke-WebRequest -Method Post -Uri $uri -Headers $headers -Body $bodyjson -ContentType 'application/json'
    Write-Host "Citrix Cloud Status Code: $($resp.RawContent)"
    <!--NeedCopy-->
    
  2. En la línea 4, sustituya CWSAuth bearer=XXXXXXX por su valor de CWSAuth (por ejemplo, CWSAuth bearer=AbCdef123Ghik…). Este valor es un hash largo que se parece a una clave de certificado.
  3. En la línea 6, sustituya HubCustomerID por el ID de cliente de la cuenta del centro.
  4. En la línea 9, sustituya SpokeCustomerID por el ID de cliente de la cuenta del centro.
  5. Ejecute el script.
  6. Repita los pasos del 3 al 5 para vincular cuentas adicionales como radios.

Para desvincular cuentas de Citrix Cloud

  1. Abra el ISE de PowerShell. Si el ISE de PowerShell ya está abierto, borre el contenido del panel de trabajo.
  2. Pegue este script en el panel de trabajo:

    $headers = @{}
    $headers.Add("Accept","application/json")
    $headers.Add("Content-Type","application/json")
    $headers.Add("Authorization","CWSAuth bearer=XXXXXXX")
    
    $uri = "https://trust.citrixworkspacesapi.net/HubCustomerID/links/SpokeCustomerID"
    
    $resp = Invoke-WebRequest -Method Delete -Uri $uri -Headers $headers
    Write-Host "Response: $($resp.RawContent)"
    <!--NeedCopy-->
    
  3. En la línea 4, sustituya CWSAuth bearer=xxxxxxx1 por su valor de CWSAuth (por ejemplo, CWSAuth bearer=AbCdef123Ghik…). Este valor es un hash largo que se parece a una clave de certificado.
  4. En la línea 6, sustituya HubCustomerID por el ID de cliente de la cuenta del centro.
  5. En la línea 6, sustituya SpokeCustomerID por el ID de cliente de la cuenta del centro.
  6. Ejecute el script.
  7. Repita los pasos del 4 al 6 para desvincular cuentas adicionales.