Citrix Cloud

SAML con Azure AD e identidades de AAD para la autenticación de espacios de trabajo

En este artículo, se describe cómo configurar SAML para la autenticación de espacios de trabajo mediante identidades de Azure Active Directory (AD) en lugar de identidades de AD. Use esta configuración si los usuarios de Azure AD no pueden enumerar los PC en la nube Windows 365 o los VDA unidos a un dominio de Azure AD después de iniciar sesión en Citrix Workspace con el comportamiento de SAML predeterminado. Tras completar la configuración, los usuarios pueden iniciar sesión en Citrix Workspace mediante la autenticación SAML para acceder tanto a aplicaciones como a escritorios HDX a través de Citrix DaaS y a PC en la nube Windows 365 a través de Azure.

El comportamiento predeterminado de la autenticación de Citrix Cloud y SAML en Citrix Workspace es confirmar la identidad de usuarios de AD. Para la configuración descrita en este artículo, es necesario usar Azure AD Connect para importar identidades de AD a Azure AD. Las identidades de AD contienen el SID del usuario, que Citrix Workspace puede enviar a Citrix DaaS y permite enumerar e iniciar recursos HDX. Como se utiliza la versión Azure AD de las identidades de los usuarios, los usuarios también pueden enumerar e iniciar recursos de Azure, como los PC en la nube Windows 365, desde Citrix Workspace.

Importante:

La enumeración hace referencia a la lista de recursos que ven los usuarios después de iniciar sesión en Citrix Workspace. Los recursos a los que puede acceder un usuario determinado dependen de su identidad de usuario y de los recursos que estén asociados a esa identidad en Citrix DaaS. Hay un artículo asociado que proporciona instrucciones sobre cómo usar Azure AD e identidades de AD como proveedor de SAML para autenticarse en Workspace. Encontrará instrucciones detalladas en SAML con Azure AD e identidades de AD para la autenticación de espacios de trabajo

Ámbito de las funciones

Este artículo se aplica a los usuarios que usan esta combinación de funciones de Citrix Cloud y Azure:

  • SAML para la autenticación de espacios de trabajo
  • Enumeración de recursos de Citrix DaaS y HDX publicados mediante VDA unidos a un dominio de AD
  • Enumeración de recursos de VDA unidos a un dominio de Azure AD
  • Enumeración de recursos de VDA unidos a un dominio híbrido de Azure
  • Enumeración e inicio de W365 Cloud PC

Importante:

No utilice este flujo SAML de AAD para iniciar sesión con SAML en Citrix Cloud, ya que esto requiere que el usuario administrador de Citrix Cloud sea miembro de un grupo de AD y, por lo tanto, se debe usar una identidad de usuario de AD. Encontrará instrucciones detalladas en SAML con Azure AD e identidades de AD para la autenticación de espacios de trabajo

¿Qué es mejor: identidades de AD o identidades de Azure AD?

Para determinar si los usuarios de su espacio de trabajo deben autenticarse mediante identidades SAML de AD o SAML de Azure AD:

  1. Decida qué combinación de recursos quiere poner a disposición de sus usuarios en Citrix Workspace.
  2. Use esta tabla para determinar qué tipo de identidad de usuario es adecuado para cada tipo de recurso.

    Tipo de recurso (VDA) Identidad del usuario al iniciar sesión en Citrix Workspace ¿Necesita una identidad SAML con Azure AD? ¿FAS proporciona Single Sign-On (SSO) a VDA?
    Unida a AD AD, Azure AD importado de AD (contiene SID) No. Use el SAML predeterminado.
    Híbrido unido AD, Azure AD importado de AD (contiene SID) No. Use el SAML predeterminado. Sí, para AD como proveedor de identidades. FAS no es obligatorio si se selecciona Azure AD para VDA.
    Unida a Azure AD Usuario nativo de Azure AD, Azure AD importado de AD (contiene SID) Sí, use SAML a través de Azure AD. SSO funciona con la autenticación moderna de Azure AD. No se requiere FAS.
    PC en la nube Windows 365 Usuario nativo de Azure AD, Azure AD importado de AD (contiene SID) Sí, use SAML a través de Azure AD. SSO funciona con la autenticación moderna de Azure AD. No se requiere FAS.
    Unido a AD, unido a Azure AD, PC en la nube Windows 365 Azure AD importado de AD (contiene SID) Sí, use SAML a través de Azure AD. Sí, para los unidos a AD. No, para PC en la nube Windows 365 y unidos a Azure AD.

Más información

Requisitos

  • Su arrendatario de Azure AD debe estar conectado a su arrendatario de Citrix Cloud. En la consola de Citrix Cloud, para ver su conexión a Azure AD, seleccione Administración de acceso e identidad > Autenticación.

    Proveedor de Azure Active Directory con el estado de conexión resaltado

  • El método de autenticación de espacios de trabajo debe estar configurado en SAML 2.0. No utilice Azure AD como método de autenticación. Para cambiar el método de autenticación de espacios de trabajo, vaya a Configuración de Workspace > Autenticación en la consola de Citrix Cloud.
  • El sufijo UPN @yourdomain.com debe importarse y verificarse en Azure AD como nombre de dominio personalizado. En Azure Portal, se encuentra en Azure Active Directory > Nombres de dominio personalizados.
  • Las identidades de usuario de Azure AD se deben importar de AD mediante Microsoft Azure AD Connect. Esto garantiza que las identidades de los usuarios se importen correctamente y tengan el sufijo UPN correcto. No se admiten usuarios de Azure AD con sufijos UPN @yourtenant.onmicrosoft.com.
  • Citrix FAS debe implementarse y conectarse a la ubicación de recursos y arrendatarios de Citrix Cloud. FAS proporciona Single Sign-On en aplicaciones y escritorios HDX que se inician desde Citrix Workspace. No es necesario configurar cuentas sombra de AD porque el UPN user@customerdomain de las identidades de usuario de AD y Azure AD debe coincidir. FAS genera los certificados de usuario necesarios con el UPN correcto y realiza un inicio de sesión con tarjeta inteligente cuando se inician recursos HDX.

Configurar la aplicación SAML personalizada de Azure AD Enterprise

De forma predeterminada, el comportamiento del inicio de sesión SAML en espacios de trabajo es confirmar la identidad de un usuario de AD. El atributo SAML cip_directory es un valor de cadena codificado que es el mismo para todos los suscriptores y actúa como un conmutador. Citrix Cloud y Citrix Workspace detectan este atributo durante el inicio de sesión y activan SAML para confirmarlo con la versión Azure AD de la identidad del usuario. El uso del parámetro azuread con este atributo supedita el comportamiento predeterminado de SAML y, en su lugar, activa el uso de SAML en Azure AD.

Aunque los pasos de esta sección son para Azure AD, puede crear una aplicación SAML similar con otro proveedor de SAML 2.0 (por ejemplo, ADFS, Duo, Okta, OneLogin, PingOneSSO, etc.), siempre que realice las mismas tareas. Tu proveedor de SAML debe permitirte configurar un atributo SAML codificado (cip_directory = azuread) en la aplicación SAML. Simplemente cree las mismas asignaciones de atributos SAML que se describen en esta sección.

  1. Inicie sesión en Azure Portal.
  2. En el menú del portal, seleccione Azure Active Directory.
  3. En el panel de la izquierda, en Manage, seleccione Enterprise Applications.
  4. En la barra de comandos del panel de trabajo, seleccione New Application.
  5. En la barra de comandos, seleccione Create your own application. No utilice la plantilla de aplicaciones de empresa de SSO SAML de Citrix Cloud. La plantilla no le permite modificar la lista de notificaciones ni los atributos SAML.
  6. Introduzca un nombre para la aplicación y, a continuación, seleccione Integrate any other application you don’t find in the gallery (Non-gallery). Haga clic en Crear. Aparecerá la página de información general de la aplicación.
  7. En el panel de la izquierda, seleccione Single sign-on. En el panel de trabajo, selecciona SAML.
  8. En la sección Basic SAML Configuration, seleccione Edit y configure estos parámetros:
    1. En la sección Identifier (Entity ID), seleccione Add identifier y, a continuación, introduzca el valor asociado a la región en la que se encuentra el arrendatario de Citrix Cloud:
      • Para las regiones de la Unión Europea, Estados Unidos y Asia-Pacífico Sur, introduzca https://saml.cloud.com.
      • Para la región de Japón, introduzca https://saml.citrixcloud.jp.
      • Para la región de Citrix Cloud Government, introduzca https://saml.cloud.us.
    2. En la sección Reply URL (Assertion Consumer Service URL), seleccione Add reply URL y, a continuación, introduzca el valor asociado a la región en la que se encuentra su arrendatario de Citrix Cloud:
      • Para las regiones de la Unión Europea, Estados Unidos y Asia-Pacífico Sur, introduzca https://saml.cloud.com/saml/acs.
      • Para la región de Japón, introduzca https://saml.citrixcloud.jp/saml/acs.
      • Para la región de Citrix Cloud Government, introduzca https://saml.cloud.us/saml/acs.
    3. En la sección Logout URL (Optional), introduzca el valor asociado a la región en la que se encuentra el arrendatario de Citrix Cloud:
      • Para las regiones de la Unión Europea, Estados Unidos y Asia-Pacífico Sur, introduzca https://saml.cloud.com/saml/logout/callback.
      • Para la región de Japón, introduzca https://saml.citrixcloud.jp/saml/logout/callback.
      • Para la región de Citrix Cloud Government, introduzca https://saml.cloud.us/saml/logout/callback.
    4. En la barra de comandos, seleccione Save.
  9. En la sección Attributes & Claims, seleccione Edit para configurar estas notificaciones. Estas notificaciones aparecen en la aserción SAML incluida en la respuesta SAML.
    1. Para Unique User Identifier (Name ID), deje el valor predeterminado de user.userprincipalname.
    2. En la barra de comandos, seleccione Add new claim.
    3. En Name, escriba cip_directory.
    4. En Source, deje la opción Attribute seleccionada.
    5. En Source attribute, introduzca azuread. Este valor aparece entre comillas después de introducirlo.

      Pantalla de administración de notificación con entrada de atributos de origen

    6. En la barra de comandos, seleccione Save.
    7. Cree notificaciones adicionales con estos valores en los campos Name y Source attribute:

      Nombre Atributo de origen
      cip_fed_upn user.userprincipalname
      displayName user.displayname
      firstName user.givenname
      lastName user.surname

      Pantalla de administración de notificaciones con valor de UPN

      Importante:

      Para crear estas notificaciones adicionales, repita los pasos b-f para cada notificación o modifique las notificaciones predeterminadas en la sección Additional claims que ya tienen los atributos de origen enumerados en la tabla anterior. Las notificaciones predeterminadas incluyen el espacio de nombres http://schemas.xmlsoap.org/ws/2005/05/identity/claims.

      Si modifica las notificaciones predeterminadas, debe quitar el espacio de nombres de cada notificación. Si crea notificaciones, debe eliminar las notificaciones que incluyen el espacio de nombres. Si las notificaciones con este espacio de nombres se incluyen en la aserción SAML resultante, dicha aserción no será válida e incluirá nombres de atributos SAML incorrectos.

    8. En la sección Additional claims, para las notificaciones restantes con el espacio de nombres http://schemas.xmlsoap.org/ws/2005/05/identity/claims, haga clic en el botón de puntos suspensivos (…) y, a continuación, haga clic en Delete.

      Eliminar menú resaltado

    Al terminar, la sección Attributes & Claims aparece como se ilustra a continuación:

    Atributos y notificaciones completados de Azure AD

  10. Obtenga una copia del certificado de firma SAML de Citrix Cloud con esta herramienta en línea de terceros.
  11. Introduzca https://saml.cloud.com/saml/metadata en el campo URL y haga clic en Cargar.

    Extracto de certificado de metadatos

  12. Desplácese al final de la página y haga clic en Descargar.

    Descargar

    Archivo descargado

  13. Configure los parámetros de firma de la aplicación SAML de Azure Active Directory.
  14. Cargue el certificado de firma SAML de producción obtenido en el paso 10 en la aplicación SAML de Azure Active Directory.
    • Habilite Exigir certificados de verificación.

    Certificado de verificación

    Certificado SAML

Solución de problemas

  1. Compruebe que sus aserciones SAML contienen los atributos de usuario correctos mediante una herramienta de red SAML, como la extensión para exploradores web SAML-tracer.
  2. Busque la respuesta SAML que se muestra en amarillo y compárela con este ejemplo:

    Ejemplo de respuesta SAML desde una herramienta de red

  3. Haga clic en la ficha SAML del panel inferior para decodificar la respuesta SAML y verla como XML.
  4. Desplácese hasta el final de la respuesta y compruebe que la aserción SAML contenga los atributos SAML y los valores de usuario correctos.

    Archivo XML con valor de aserción SAML resaltado

Si los suscriptores siguen sin poder iniciar sesión en sus espacios de trabajo, contacte con Citrix Support y proporcione esta información:

  • Captura de SAML-tracer
  • Fecha y hora en que no se pudo iniciar sesión en Citrix Workspace
  • El nombre de usuario afectado
  • La dirección IP de la persona que llama del equipo cliente que utilizó para iniciar sesión en Citrix Workspace. Puede usar una herramienta como https://whatismyip.com para obtener esta dirección IP.
SAML con Azure AD e identidades de AAD para la autenticación de espacios de trabajo