Citrix Cloud

Conectar Google como proveedor de identidades con Citrix Cloud

Citrix Cloud admite el uso de Google como proveedor de identidades para autenticar a los suscriptores que inician sesión en sus espacios de trabajo. Tras conectar la cuenta de Google de su organización a Citrix Cloud, puede ofrecer una experiencia de inicio de sesión unificada para acceder a recursos de Citrix Workspace y Google.

Nota:

La autenticación de Google está disponible como Tech Preview. Citrix recomienda utilizar estas funciones en Tech Preview únicamente en entornos que no sean de producción.

Requisitos para la configuración con unión a un dominio y sin unión a ningún dominio

Puede configurar Google como proveedor de identidades en Citrix Cloud mediante una máquina que esté unida a un dominio o no.

  • Unidas a un dominio significa que las máquinas están unidas a un dominio en su instancia de Active Directory (AD) local y la autenticación utiliza los perfiles de usuario que están almacenados allí.
  • No unidas a ningún dominio significa que las máquinas no están unidas a un dominio de AD y la autenticación usa los perfiles de usuario que están almacenados en su directorio de Google Workspace (también conocidos como usuarios nativos de Google).

En la tabla siguiente se enumeran los requisitos de cada tipo de configuración.

Requisito Unido a un dominio No unido a ningún dominio Más información
AD local No Consulte Preparar Active Directory y Citrix Cloud Connectors en este artículo.
Citrix Cloud Connectors implementados en su ubicación de recursos No; los Cloud Connectors no son necesarios para acceder a las máquinas que no están unidas a ningún dominio. Preparar Active Directory y Citrix Cloud Connectors en este artículo.
Sincronización de AD con Google Cloud Opcional solo si se usa Gateway Service o Microaplicaciones y no otros servicios. De lo contrario, esta tarea es obligatoria. No Consulte Sincronizar Active Directory con Google Cloud en este artículo.
Cuenta de desarrollador con acceso a la consola de Google Cloud Platform. Se utiliza para crear una cuenta de servicio y una clave, y para habilitar la API del SDK de administración. Consulte Crear una cuenta de servicio, Crear una clave de cuenta de servicio y Configurar la delegación en todo el dominio en este artículo.
Una cuenta de administrador con acceso a la consola de administración de Google Workspace. Se utiliza para configurar la delegación en todo el dominio y una cuenta de usuario de API de solo lectura. Consulte Configurar la delegación en todo el dominio y Agregar una cuenta de usuario de API de solo lectura en este artículo.

Autenticación de Google con varias cuentas de Citrix Cloud

En este artículo se describe cómo conectar Google como un proveedor de identidades con una sola cuenta de Citrix Cloud. Si tiene varias cuentas de Citrix Cloud, puede conectar cada una a la misma cuenta de Google Cloud mediante la misma cuenta de servicio y la misma cuenta de usuario de API de solo lectura. Simplemente inicie sesión en Citrix Cloud y seleccione el ID de cliente correspondiente en el selector de clientes.

Preparar Active Directory y Citrix Cloud Connectors

Si utiliza una máquina unida a un dominio para configurar la autenticación de Google, use esta sección para preparar la instancia de AD local. Si usa una máquina que no está unida a un dominio, omita esta tarea y continúe con Crear una cuenta de servicio en este artículo.

Necesita al menos dos (2) servidores en su dominio de Active Directory en los que instalar el software de Citrix Cloud Connector. Los Cloud Connectors son necesarios para permitir la comunicación entre Citrix Cloud y su ubicación de recursos. Se requieren al menos dos Cloud Connectors para garantizar una conexión de alta disponibilidad con Citrix Cloud. Estos servidores deben cumplir los siguientes requisitos:

  • Cumplir los requisitos descritos en los Detalles técnicos de Cloud Connector.
  • No tener ningún otro componente de Citrix instalado, no ser un controlador de dominio de Active Directory ni ser cualquier otra máquina de importancia crítica para la infraestructura de la ubicación de recursos.
  • Está unido al dominio de Active Directory (AD). Si los recursos y los usuarios del espacio de trabajo residen en varios dominios, debe instalar al menos dos Cloud Connectors en cada dominio. Para obtener más información, consulte Casos de implementación para Cloud Connectors en Active Directory.
  • Conectado a una red que puede establecer contacto con los recursos a los que acceden los usuarios a través de Citrix Workspace.
  • Debe estar conectada a Internet. Para obtener más información, consulte Requisitos del sistema y de conectividad.

Para obtener más información sobre la instalación de Cloud Connectors, consulte Instalar Cloud Connector.

Sincronizar Active Directory con Google Cloud

Si utiliza una máquina unida a un dominio para configurar la autenticación de Google, use esta sección para preparar la instancia de AD local. Si usa una máquina que no está unida a un dominio, omita esta tarea y continúe con Crear una cuenta de servicio en este artículo.

La sincronización de su AD con Google es opcional si solo usa Citrix Gateway Service o microaplicaciones sin ningún otro servicio habilitado. Solo para estos servicios, puede usar usuarios nativos de Google sin necesidad de sincronizarlos con su AD.

Si utiliza otros servicios de Citrix Cloud, es necesario sincronizar su AD con Google. Google Cloud debe pasar estos atributos de usuario de AD a Citrix Cloud:

  • SecurityIDentifier (SID)
  • objectGUID
  • userPrincipalName (UPN)

Para sincronizar AD con Google Cloud

  1. Descargue e instale la utilidad Google Cloud Directory Sync del sitio web de Google. Para obtener más información sobre esta utilidad, consulte la documentación de Google Cloud Directory Sync en el sitio web de Google.
  2. Después de instalar la utilidad, inicie Configuration Manager (Inicio > Configuration Manager).
  3. Especifique los parámetros del dominio de Google y los parámetros de LDAP tal y como se describe en Definir la sincronización con el gestor de configuración de la documentación de la utilidad.
  4. En General Settings, seleccione Custom Schemas. No cambie las selecciones predeterminadas.
  5. Configure un esquema personalizado para aplicarlo a todas las cuentas de usuario. Introduzca la información necesaria con el formato y la ortografía exactos que se especifican en esta sección.
    1. Seleccione la ficha Custom Schemas y, a continuación, seleccione Add Schema.
    2. Seleccione Use rules defined in “User Accounts”.
    3. En Schema Name, escriba citrix-schema.
    4. Seleccione Add Field y, a continuación, introduzca esta información:
      • Dentro de Schema field template, en Schema Field, seleccione userPrincipalName.
      • Dentro de Google field details, en Field Name, introduzca UPN.
    5. Repita el paso 4 para crear estos campos:
      • objectGUID: En Schema field template, seleccione objectGUID. En Google field details, introduzca objectGUID.
      • SID: En Schema field template, seleccione Custom. En Google field details, introduzca SID.
      • objectSID: En Schema field template, seleccione Custom. En Google field details, introduzca objectSID.
    6. Seleccione OK para guardar las entradas.
  6. Termine de configurar los parámetros restantes de su organización y verifique los parámetros de sincronización tal y como se describe en Definir la sincronización con el gestor de configuración de la documentación de la utilidad.
  7. Seleccione Sync & apply changes para sincronizar su Active Directory con su cuenta de Google.

Una vez finalizada la sincronización, la sección User Information de Google Cloud muestra la información de Active Directory de los usuarios.

Crear una cuenta de servicio

Para completar esta tarea, necesita una cuenta de desarrollador de Google Cloud Platform.

  1. Inicie sesión en https://console.cloud.google.com.
  2. En la barra lateral del panel, seleccione IAM & Admin y, a continuación, seleccione Service Accounts.
  3. Seleccione Create service account.
  4. En Service account details, introduzca el nombre y el ID de la cuenta de servicio.
  5. Seleccione Done.

Crear una clave de cuenta de servicio

  1. En la página Service Accounts, seleccione la cuenta de servicio que acaba de crear.
  2. Seleccione la ficha Keys y, a continuación, seleccione Add key > Create new key.
  3. Deje seleccionada la opción predeterminada de tipo de clave JSON.
  4. Seleccione Create. Guarde la clave en una ubicación segura a la que pueda acceder más adelante. La clave privada se introduce en la consola de Citrix Cloud cuando se conecta a Google como proveedor de identidades.

Configurar la delegación en todo el dominio

  1. Habilite la API del SDK de administración:
    1. En el menú de Google Cloud Platform, seleccione APIs & Services > Enabled APIs & services.
    2. Seleccione Enable APIs and services cerca de la parte superior de la consola. Aparecerá la página de inicio de la biblioteca de API.
    3. Busque Admin SDK API y selecciónela en la lista de resultados.
    4. Seleccione Enable.
  2. Cree un cliente de API para la cuenta de servicio:
    1. En el menú de Google Cloud Platform, seleccione IAM & Admin > Service Accounts y, a continuación, seleccione la cuenta de servicio que creó antes.
    2. En la ficha Details de la cuenta de servicio, expanda Advanced settings.
    3. En Domain-wide Delegation, copie el ID de cliente y seleccione View Google Workspace Admin Console.
    4. Si hace falta, seleccione la cuenta de administrador de Google Workspace que quiera usar. Aparecerá la consola de administración de Google.
    5. En la barra lateral de la administración de Google, seleccione Security > Access and data control > API controls.
    6. En Domain wide delegation, haga clic en Manage Domain Wide Delegation.
    7. Seleccione Add new.
    8. En Client ID, pegue el ID de cliente de la cuenta de servicio que copió en el paso C.
    9. En OAuth scopes, introduzca estos ámbitos en una línea delimitada por comas:

      https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.domain.readonly
      <!--NeedCopy-->
      
    10. Seleccione Authorize.

Agregar una cuenta de usuario de API de solo lectura

En esta tarea, creará una cuenta de usuario de Google Workspace con acceso a API de solo lectura para Citrix Cloud. Esta cuenta no se usa para ningún otro propósito y no tiene otros privilegios.

  1. En el menú de la administración de Google, seleccione Directory > Users.
  2. Seleccione Add new user e introduzca la información de usuario correspondiente.
  3. Seleccione Add new user para guardar la información de la cuenta.
  4. Cree un rol personalizado para la cuenta de usuario de solo lectura:
    1. En el menú de la administración de Google, seleccione Account > Admin roles.
    2. Seleccione Create new role.
    3. Introduzca un nombre para el nuevo rol. Ejemplo: API-ReadOnly
    4. Seleccione Continue.
    5. En Admin API privileges, seleccione estos privilegios:
      • Users > Read
      • Groups > Read
      • Domain Management
    6. Seleccione Continue y, a continuación, seleccione Create role.
  5. Asigne el rol personalizado a la cuenta de usuario de solo lectura que creó antes:
    1. En la página de detalles del rol personalizado, en el panel Admins, seleccione Assign users.
    2. Comience a escribir el nombre de la cuenta de usuario de solo lectura y selecciónelo en la lista de usuarios.
    3. Seleccione Assign role.
    4. Para comprobar la asignación de roles, regrese a la página Users (Directory > Users) y seleccione la cuenta de usuario de solo lectura. La asignación de roles personalizados se muestra en Admin roles and privileges.

Conectar Google con Citrix Cloud

  1. Inicie sesión en Citrix Cloud en https://citrix.cloud.com.
  2. Desde la consola de administración de Citrix Cloud, haga clic en el botón de menú y seleccione Administración de acceso e identidad.
  3. Busque Google y seleccione Conectar en el menú de puntos suspensivos.
  4. Seleccione Importar archivo y, a continuación, seleccione el archivo JSON que guardó al crear la clave de la cuenta de servicio. Esta acción importa su clave privada y la dirección de correo electrónico de la cuenta de servicio de Google Cloud que creó.
  5. En Usuario suplantado, introduzca el nombre de la cuenta de usuario de API de solo lectura.
  6. Seleccione Siguiente. Citrix Cloud verifica los detalles de su cuenta de Google y prueba la conexión.
  7. Revise los dominios asociados que aparecen en la lista. Si son correctos, seleccione Confirmar para guardar la configuración.

Habilitar la autenticación con Google para espacios de trabajo

  1. En el menú de Citrix Cloud, seleccione Configuración de Workspace > Autenticación.
  2. Seleccione Google. Cuando se le solicite, seleccione Comprendo los efectos en la experiencia de uso de los suscriptores y haga clic en Guardar.