Citrix Cloud

Conectar Okta como proveedor de identidades con Citrix Cloud

Citrix Cloud admite el uso de Okta como proveedor de identidades para autenticar a los suscriptores que inician sesión en sus espacios de trabajo. Tras conectar su organización de Okta a Citrix Cloud, puede ofrecer una experiencia de inicio de sesión común para que sus suscriptores accedan a los recursos de Citrix Workspace.

Después de habilitar la autenticación con Okta en Configuración de Workspace, los suscriptores tienen una experiencia de inicio de sesión diferente. La selección de la autenticación de Okta ofrece un inicio de sesión federado, no Single Sign-On. Los suscriptores inician sesión en el espacio de trabajo desde una página de inicio de sesión de Okta, pero es posible que deban autenticarse una segunda vez al abrir una aplicación o escritorio desde Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops). Para habilitar Single Sign-On y evitar un segundo mensaje de inicio de sesión, debe usar el Servicio de autenticación federada de Citrix con Citrix Cloud. Para obtener más información, consulte Conectar el Servicio de autenticación federada de Citrix con Citrix Cloud.

Sugerencia:

Puede obtener más información sobre los proveedores de identidades admitidos con el curso Introduction to Citrix Identity and Authentication. El módulo “Planning Citrix Identity and Access Management” incluye vídeos breves que le guían al conectar este proveedor de identidades a Citrix Cloud y al habilitar la autenticación para Citrix Workspace.

Requisitos previos

Cloud Connectors

Necesita al menos dos (2) servidores en su dominio de Active Directory en los que instalar el software de Citrix Cloud Connector. Los Cloud Connectors son necesarios para permitir la comunicación entre Citrix Cloud y su ubicación de recursos. Se requieren al menos dos Cloud Connectors para garantizar una conexión de alta disponibilidad con Citrix Cloud. Estos servidores deben cumplir los siguientes requisitos:

  • Cumplir los requisitos descritos en los Detalles técnicos de Cloud Connector.
  • No tener ningún otro componente de Citrix instalado, no ser un controlador de dominio de Active Directory ni ser cualquier otra máquina de importancia crítica para la infraestructura de la ubicación de recursos.
  • Está unido al dominio de Active Directory (AD). Si los recursos y los usuarios del espacio de trabajo residen en varios dominios, debe instalar al menos dos Cloud Connectors en cada dominio. Para obtener más información, consulte Casos de implementación para Cloud Connectors en Active Directory.
  • Conectado a una red que puede establecer contacto con los recursos a los que acceden los usuarios a través de Citrix Workspace.
  • Debe estar conectada a Internet. Para obtener más información, consulte Requisitos del sistema y de conectividad.

Para obtener más información sobre la instalación de Cloud Connectors, consulte Instalar Cloud Connector.

Dominio Okta

Al conectar Okta a Citrix Cloud, debe proporcionar el dominio Okta de la organización. Citrix admite los siguientes dominios Okta:

  • okta.com
  • okta-eu.com
  • oktapreview.com

También puede usar dominios personalizados de Okta con Citrix Cloud. Revise las consideraciones importantes para el uso de dominios personalizados en Customize the Okta URL domain, en el sitio web de Okta.

Para obtener más información acerca de cómo localizar el dominio personalizado de la organización, consulte Finding Your Okta Domain en el sitio web de Okta.

Aplicación web OIDC de Okta

Para usar Okta como proveedor de identidades, debe crear una aplicación web OIDC de Okta con credenciales de cliente que pueda usar con Citrix Cloud. Después de crear y configurar la aplicación, anote el ID de cliente y el secreto de cliente. Proporcione estos valores a Citrix Cloud cuando conecte su organización de Okta.

Para crear y configurar esta aplicación, consulte las siguientes secciones de este artículo:

URL del espacio de trabajo

Al crear la aplicación Okta, debe proporcionar la URL del espacio de trabajo desde Citrix Cloud. Para localizar la URL del espacio de trabajo, seleccione Configuración de Workspace en el menú Citrix Cloud. La dirección URL del espacio de trabajo se muestra en la ficha Acceso.

Importante:

Si modifica la URL del espacio de trabajo más adelante, deberá actualizar la configuración de la aplicación Okta con la nueva URL. De lo contrario, los suscriptores podrían tener problemas al cerrar sesión en sus espacios de trabajo.

Token de API de Okta

El uso de Okta como proveedor de identidades con Citrix Cloud requiere un token de API para su organización de Okta. Cree este token mediante una cuenta de administrador de solo lectura en su organización de Okta. Este token debe poder leer los usuarios y grupos de su organización de Okta.

Para crear el token de API, consulte Crear un token de API de Okta en este artículo. Para obtener más información acerca de los tokens de API, consulte Create an API token en el sitio web de Okta.

Importante:

Al crear el token de API, tome nota del valor del token (por ejemplo, copie el valor temporalmente en un documento de texto sin formato). Okta muestra este valor solo una vez, por lo que puede crear el token justo antes de realizar los pasos descritos en Conectar Citrix Cloud con su organización de Okta.

Sincronizar cuentas con el agente de AD de Okta

Para usar Okta como proveedor de identidades, primero debe integrar su AD local con Okta. Para ello, instale el agente de AD para Okta en su dominio y agregue su AD a su organización de Okta. Para obtener instrucciones sobre la implementación del agente de AD para Okta, consulte Get started with Active Directory integration en el sitio web de Okta. Después, importe los usuarios y grupos de AD a Okta. Al importar, incluya los valores SID, UPN y OID asociados a las cuentas de AD.

Nota:

Si utiliza el servicio Citrix Gateway con Workspace, no necesita sincronizar sus cuentas de AD con su organización de Okta.

Para sincronizar los usuarios y grupos de AD con la organización de Okta:

  1. Instale y configure el agente de AD para Okta. Para obtener instrucciones completas, consulte los siguientes artículos en el sitio web de Okta:
  2. Agregue sus usuarios y grupos de AD a Okta realizando una importación manual o una importación automatizada. Para obtener más información sobre los métodos e instrucciones de importación de Okta, consulte Manage Active Directory users and groups en el sitio web de Okta.

Crear una integración de aplicación web OIDC de Okta

  1. En la consola de administración de Okta, en Applications, seleccione Applications.
  2. Seleccione Create App Integration.
  3. En Sign in method, seleccione OIDC - OpenID Connect y, a continuación, Web Application. Seleccione Siguiente.
  4. Introduzca un nombre para la integración de aplicación.
  5. En Grant type, seleccione las siguientes opciones:
    • Código de autorización
    • Implicit (hybrid)
  6. En Sign-in redirect URIs, introduzca https://accounts.cloud.com/core/login-okta.
  7. En Sign-out redirect URIs, introduzca la URL de Workspace de Citrix Cloud.
  8. En Assignments, seleccione si quiere asignar la integración de aplicaciones a todos los miembros de su organización, solo a los grupos que especifique, o si prefiere asignar el acceso más adelante.
  9. Seleccione Guardar.

Después de guardar la integración de aplicación, la consola muestra los valores de Client ID y Client Secret en las secciones Client Credentials. Proporcione estos valores cuando conecte Citrix Cloud con su organización de Okta.

Configurar la aplicación web OIDC de Okta

En este paso, configurará su aplicación web OIDC de Okta con los parámetros necesarios para Citrix Cloud. Citrix Cloud requiere estos parámetros para autenticar a sus suscriptores a través de Okta cuando inician sesión en sus espacios de trabajo.

  1. (Opcional) Actualice los permisos del cliente para el tipo de concesión implícita. Puede optar por realizar este paso si prefiere conceder la cantidad mínima de privilegios para este tipo de concesión.
    1. En la página de configuración de la aplicación Okta, en General Settings, seleccione Edit.
    2. En la sección Application, en Client acting on behalf of itself, desmarque Allow Access Token with implicit grant type.
    3. Seleccione Guardar.
  2. Agregue atributos de aplicación. Los atributos distinguen mayúsculas y minúsculas.
    1. En el menú de la consola de Okta, seleccione Directory > Profile Editor.
    2. Busque el perfil user de Okta y seleccione Profile. En Attributes, seleccione Add attribute.
    3. Introduzca la siguiente información:
      • Display Name: cip_sid
      • Variable Name: cip_sid
      • Description: Identificador de seguridad de usuario de AD
      • Attribute Length: Mayor que 1
      • Attribute Required: Yes
    4. Seleccione Save and Add Another.
    5. Introduzca la siguiente información:
      • Display Name: cip_upn
      • Variable Name: cip_upn
      • Description: Nombre principal de usuario de AD
      • Attribute Length: Mayor que 1
      • Attribute Required: Yes
    6. Seleccione Save and Add Another.
    7. Introduzca la siguiente información:
      • Display Name: cip_oid
      • Variable Name: cip_oid
      • Description: GUID de usuario de AD
      • Attribute Length: Mayor que 1
      • Attribute Required: Yes
    8. Seleccione Guardar.
  3. Modifique las asignaciones de atributos de la aplicación:
    1. En la consola de Okta, seleccione Directory > Directory Integrations.
    2. Seleccione el AD que integró anteriormente. Para obtener más información, consulte Sincronizar cuentas con el agente de AD de Okta
    3. Seleccione la ficha Provisioning y, a continuación, Settings > To Okta.
    4. En Okta Attribute Mappings, asigne los siguientes atributos. Seleccione Save después de modificar cada atributo.
      • Seleccione appuser.objectSid y asigne el atributo cip_sid.
      • Seleccione appuser.userName y asigne el atributo cip_upn.
      • Seleccione appuser.externalId y asigne el atributo cip_oid.
    5. Seleccione Force Sync.

Crear un token de API de Okta

  1. Inicie sesión en la consola de Okta con una cuenta de administrador de solo lectura.
  2. En el menú de la consola de Okta, seleccione Security > API.
  3. Seleccione la ficha Tokens y, a continuación, seleccione Create Token.
  4. Introduzca un nombre para el token.
  5. Seleccione Create Token.
  6. Copie el valor del token. Este valor se proporciona al conectar su organización de Okta con Citrix Cloud.

Conectar Citrix Cloud con su organización de Okta

  1. Inicie sesión en Citrix Cloud en https://citrix.cloud.com.
  2. Desde la consola de administración de Citrix Cloud, haga clic en el botón de menú y seleccione Administración de acceso e identidad.
  3. Busque Okta y seleccione Conectar en el menú de puntos suspensivos.
  4. En URL de Okta, introduzca su dominio de Okta.
  5. En Token de API de Okta, introduzca el token de API de su organización de Okta.
  6. En ID de cliente y Secreto del cliente, introduzca el ID y el secreto del cliente de la integración de la aplicación web OIDC que creó antes. Para copiar estos valores de la consola de Okta, seleccione Aplicaciones y busque su aplicación de Okta. En Credenciales del cliente, utilice el botón Copiar al portapapeles para cada valor.
  7. Haga clic en Probar y finalizar. Citrix Cloud verifica los detalles de Okta y prueba la conexión.

Habilitar la autenticación con Okta para espacios de trabajo

  1. En el menú de Citrix Cloud, seleccione Configuración de Workspace > Autenticación.
  2. Seleccione Okta. Cuando se le solicite, seleccione Comprendo los efectos en la experiencia de uso de los suscriptores.
  3. Haga clic en Aceptar para aceptar la solicitud de permisos.
Conectar Okta como proveedor de identidades con Citrix Cloud