Citrix Cloud

Conectar Okta como proveedor de identidades con Citrix Cloud

Citrix Cloud admite el uso de Okta como proveedor de identidades para autenticar a los suscriptores que inician sesión en sus espacios de trabajo. Tras conectar su organización de Okta a Citrix Cloud, puede ofrecer una experiencia de inicio de sesión común para que sus suscriptores accedan a los recursos de Citrix Workspace.

Después de habilitar la autenticación Okta en Configuración del espacio de trabajo, los suscriptores tienen una experiencia de inicio de sesión diferente. La selección de la autenticación de Okta ofrece un inicio de sesión federado, no Single Sign-On. Los suscriptores inician sesión en el espacio de trabajo desde una página de inicio de sesión de Okta, pero es posible que deban autenticarse una segunda vez al abrir una aplicación o escritorio desde Citrix Virtual Apps and Desktops Service. Para habilitar Single Sign-On y evitar un segundo mensaje de inicio de sesión, debe usar el Servicio de autenticación federada de Citrix con Citrix Cloud. Para obtener más información, consulte Conectar el Servicio de autenticación federada de Citrix con Citrix Cloud.

Requisitos previos

Cloud Connectors

Necesita al menos dos (2) servidores en su dominio de Active Directory en los que instalar el software de Citrix Cloud Connector. Los Cloud Connectors son necesarios para permitir la comunicación entre Citrix Cloud y su ubicación de recursos. Citrix recomienda dos servidores para la alta disponibilidad de Cloud Connector. Estos servidores deben cumplir los siguientes requisitos:

  • Cumple los requisitos descritos en Detalles técnicos de Citrix Cloud Connector.
  • No tener ningún otro componente de Citrix instalado, no ser un controlador de dominio de Active Directory ni ser cualquier otra máquina de importancia crítica para la infraestructura de la ubicación de recursos.
  • Está unido al dominio de Active Directory (AD). Si los recursos y los usuarios del espacio de trabajo residen en varios dominios, debe instalar al menos dos Cloud Connectors en cada dominio. Para obtener más información, consulte Casos de implementación para Cloud Connectors en Active Directory.
  • Conectado a una red que puede establecer contacto con los recursos a los que acceden los usuarios a través de Citrix Workspace.
  • Debe estar conectada a Internet. Para obtener más información, consulte Requisitos del sistema y de conectividad.

Para obtener más información acerca de la instalación de Cloud Connectors, consulte Instalación de Cloud Connector.

Dominio Okta

Al conectar Okta a Citrix Cloud, debe proporcionar el dominio Okta de la organización. Citrix admite los siguientes dominios Okta:

  • okta.com
  • okta-eu.com
  • oktapreview.com

También puede usar dominios personalizados de Okta con Citrix Cloud. Revise las consideraciones importantes para el uso de dominios personalizados en Personalizar el dominio de URL de Okta, en el sitio web de Okta.

Para obtener más información acerca de cómo localizar el dominio personalizado de la organización, consulte Búsqueda de su dominio Okta en el sitio web de Okta.

Aplicación web OIDC de Okta

Para usar Okta como proveedor de identidades, debe crear una aplicación web OIDC de Okta con credenciales de cliente que pueda usar con Citrix Cloud. Después de crear y configurar la aplicación, anote el ID de cliente y el secreto de cliente. Proporcione estos valores a Citrix Cloud cuando conecte su organización de Okta.

Para crear y configurar esta aplicación, consulte las siguientes secciones de este artículo:

URL del espacio de trabajo

Al crear la aplicación Okta, debe proporcionar la URL del espacio de trabajo desde Citrix Cloud. Para localizar la URL del espacio de trabajo, seleccione Configuración del espacio de trabajo en el menú Citrix Cloud. La dirección URL del espacio de trabajo se muestra en la ficha Acceso.

Importante:

Si modifica la URL del espacio de trabajo más adelante, deberá actualizar la configuración de la aplicación Okta con la nueva URL. De lo contrario, los suscriptores podrían tener problemas al cerrar sesión en sus espacios de trabajo.

Token de API de Okta

El uso de Okta como proveedor de identidades con Citrix Cloud requiere un token de API para su organización de Okta. Cree este token mediante una cuenta de administrador de solo lectura en su organización de Okta. Este token debe poder leer los usuarios y grupos de su organización de Okta.

Para crear el token de API, consulte Crear un token de API de Okta en este artículo. Para obtener más información acerca de los tokens de API, consulte Crear un token de API en el sitio web de Okta.

Importante:

Al crear el token de API, tome nota del valor del token (por ejemplo, copie el valor temporalmente en un documento de texto sin formato). Okta muestra este valor solo una vez, por lo que puede crear el token justo antes de realizar los pasos descritos en Conectar Citrix Cloud con su organización de Okta.

Sincronizar cuentas con el agente de AD de Okta

Para usar Okta como proveedor de identidades, primero debe integrar su AD local con Okta. Para ello, instale el agente de AD para Okta en su dominio y agregue su AD a su organización de Okta. Para obtener instrucciones sobre la implementación del agente de AD para Okta, consulte Introducción a la integración con Active Directory en el sitio web de Okta. Después, importe los usuarios y grupos de AD a Okta. Al importar, incluya los valores SID, UPN y OID asociados a las cuentas de AD.

Nota:

Si utiliza el servicio Citrix Gateway con Workspace, no necesita sincronizar sus cuentas de AD con su organización de Okta.

Para sincronizar los usuarios y grupos de AD con la organización de Okta:

  1. Instale y configure el agente de AD para Okta. Para obtener instrucciones completas, consulte los siguientes artículos en el sitio web de Okta:
  2. Agregue sus usuarios y grupos de AD a Okta realizando una importación manual o una importación automatizada. Para obtener más información sobre los métodos e instrucciones de importación de Okta, consulte Administrar usuarios y grupos de Active Directory en el sitio web de Okta.

Crear una aplicación web OIDC de Okta

  1. En la consola de administración de Okta, en Applications, seleccione Applications.
  2. Haga clic en Add Application y, a continuación, en Create New App.
  3. En Sign in method, seleccione OpenID Connect y haga clic en Create. El valor predeterminado de Platform (Web) no se modifica.
  4. Indique un nombre de aplicación.
  5. En Login redirect URIs, indique https://accounts.cloud.com/core/login-okta.
  6. En Logout redirect URIs, introduzca la URL de Workspace de Citrix Cloud.
  7. Haga clic en Guardar.

Configurar la aplicación web OIDC de Okta

En este paso, configurará su aplicación web OIDC de Okta con los parámetros necesarios para Citrix Cloud. Citrix Cloud requiere estos parámetros para autenticar a sus suscriptores a través de Okta cuando inician sesión en sus espacios de trabajo.

  1. En la página de configuración de la aplicación de Okta, en General Settings, haga clic en Edit.
  2. En Allowed grant types, seleccione las siguientes opciones:
    • Código de autorización
    • Refresh token
    • Implicit (hybrid)
    • Permitir token de ID con tipo de concesión implícita
    • Permitir token de acceso con tipo de concesión implícita
  3. Haga clic en Guardar.
  4. Habilite el acceso de usuarios o grupos a la aplicación:
    1. En la ficha Assignments, seleccione Assign y, a continuación, seleccione Assign to People o Assign to Groups.
    2. Seleccione los usuarios o grupos que quiere que tengan acceso a los espacios de trabajo. Para permitir el acceso a todos los usuarios, seleccione Assign to Groups y, a continuación, seleccione Everyone.
  5. Haga clic en Done.
  6. Agregue atributos de aplicación. Los atributos distinguen mayúsculas y minúsculas.
    1. En el menú de la consola de Okta, seleccione Directory > Profile Editor.
    2. Busque el perfil user de Okta y seleccione Profile. En Attributes, seleccione Add attribute.
    3. Introduzca la siguiente información:
      • Display Name: cip_sid
      • Variable Name: cip_sid
      • Description: Identificador de seguridad de usuario de AD
      • Attribute Length: Mayor que 1
      • Attribute Required: Yes
    4. Haga clic en Save and Add Another.
    5. Introduzca la siguiente información:
      • Display Name: cip_upn
      • Variable Name: cip_upn
      • Description: Nombre principal de usuario de AD
      • Attribute Length: Mayor que 1
      • Attribute Required: Yes
    6. Haga clic en Save and Add Another.
    7. Introduzca la siguiente información:
      • Display Name: cip_oid
      • Variable Name: cip_oid
      • Description: GUID de usuario de AD
      • Attribute Length: Mayor que 1
      • Attribute Required: Yes
    8. Haga clic en Guardar.
  7. Modifique las asignaciones de atributos de la aplicación:
    1. En la consola de Okta, seleccione Directory > Directory Integrations.
    2. Seleccione el AD que integró anteriormente. Para obtener más información, consulte Sincronizar cuentas con el agente de AD de Okta
    3. En la ficha Settings, seleccione Edit Mappings.
    4. Asigne los siguientes atributos:
      • Seleccione appuser.objectSid y asigne el atributo cip_sid.
      • Seleccione appuser.userName y asigne el atributo cip_upn.
      • Seleccione appuser.externalId y asigne el atributo cip_oid.
    5. Haga clic en Save Mappings.
    6. Haga clic en Apply updates now.

Crear un token de API de Okta

  1. Inicie sesión en la consola de Okta con una cuenta de administrador de solo lectura.
  2. En el menú de la consola de Okta, seleccione Security > API.
  3. Seleccione la ficha Tokens y, a continuación, seleccione Create Token.
  4. Introduzca un nombre para el token.
  5. Haga clic en Create Token.
  6. Copie el valor del token. Este valor se proporciona al conectar su organización de Okta con Citrix Cloud.

Conectar Citrix Cloud con su organización de Okta

  1. Inicie sesión en Citrix Cloud desde https://citrix.cloud.com.
  2. Desde la consola de administración de Citrix Cloud, haga clic en el botón de menú y seleccione Administración de acceso e identidad.
  3. Busque Okta y seleccione Conectar en el menú de puntos suspensivos.
  4. En URL de Okta, introduzca su dominio de Okta.
  5. En Token de API de Okta, introduzca el token de API de su organización de Okta.
  6. En ID de cliente y Secreto del cliente, introduzca las credenciales de su aplicación de Okta. Para copiar estos valores de la consola de Okta, seleccione Aplicaciones y busque su aplicación de Okta. En Credenciales del cliente, utilice el botón Copiar al portapapeles para cada valor.
  7. Haga clic en Probar y finalizar. Citrix Cloud verifica los detalles de Okta y prueba la conexión.

Habilitar la autenticación con Okta para espacios de trabajo

  1. En el menú de Citrix Cloud, seleccione Configuración de Workspace > Autenticación.
  2. Seleccione Okta. Cuando se le solicite, seleccione Comprendo los efectos en la experiencia de uso de los suscriptores.
  3. Haga clic en Aceptar para aceptar la solicitud de permisos.

Conectar Okta como proveedor de identidades con Citrix Cloud