Documentación de productos
Citrix Cloud
Ver PDF

SAML con Azure AD e identidades de AD para la autenticación de espacios de trabajo

April 5, 2024
Author:  Mark Dear

En este artículo se describe cómo configurar SAML para la autenticación de espacios de trabajo mediante identidades de Active Directory (AD). El comportamiento predeterminado de la autenticación de Citrix Cloud y SAML en Citrix Workspace o Citrix Cloud, independientemente del proveedor de SAML utilizado, es confirmar la identidad de usuarios de AD. Para la configuración descrita en este artículo, es necesario usar Azure AD Connect para importar identidades de AD a Azure AD.

Importante:

Es fundamental determinar el flujo de SAML adecuado para los usuarios finales de Workspace, ya que afecta directamente a su proceso de inicio de sesión y a la visibilidad de los recursos. La identidad elegida influye en los tipos de recursos a los que puede acceder un usuario final de Workspace. Hay un artículo asociado que proporciona instrucciones sobre cómo usar Azure AD como proveedor de SAML para autenticarse en Workspace mediante identidades de AAD. Encontrará instrucciones detalladas en SAML con Azure AD e identidades de AAD para la autenticación de espacios de trabajo. Normalmente, los usuarios finales de Workspace suelen necesitar abrir aplicaciones y escritorios proporcionados por los VDA unidos a un dominio de AD. Es fundamental revisar detenidamente los casos de uso descritos en ambos artículos antes de decidir cuál es el flujo de SAML más adecuado para su organización. En caso de duda, Citrix recomienda usar el flujo SAML de AD y seguir las instrucciones de este artículo, ya que se ajusta al caso de DaaS más común.

Ámbito de las funciones

Este artículo se aplica a los usuarios que usan esta combinación de funciones de Citrix Cloud y Azure:

  • SAML para la autenticación de espacios de trabajo mediante identidades de AD
  • Inicio de sesión de administrador de SAML para Citrix Cloud mediante identidades de AD
  • Enumeración de recursos de Citrix DaaS y HDX publicados mediante VDA unidos a un dominio de AD
  • Enumeración de recursos de VDA unidos a un dominio de AD

¿Qué es mejor: identidades de AD o identidades de Azure AD?

Para determinar si los usuarios de su espacio de trabajo deben autenticarse mediante identidades SAML de AD o SAML de Azure AD:

  1. Decida qué combinación de recursos quiere poner a disposición de sus usuarios en Citrix Workspace.

  2. Use esta tabla para determinar qué tipo de identidad de usuario es adecuado para cada tipo de recurso.

    Tipo de recurso (VDA) Identidad del usuario al iniciar sesión en Citrix Workspace ¿Necesita una identidad SAML con Azure AD? ¿FAS proporciona Single Sign-On (SSO) a VDA?
    Unida a AD AD, Azure AD importado de AD (contiene SID) No. Use el SAML predeterminado.

Configurar la aplicación SAML personalizada de Azure AD Enterprise

De forma predeterminada, el comportamiento del inicio de sesión SAML en espacios de trabajo es confirmar la identidad de un usuario de AD.

  1. Inicie sesión en Azure Portal.
  2. En el menú del portal, seleccione Azure Active Directory.
  3. En el panel de la izquierda, en Manage, seleccione Enterprise Applications.

  4. En el cuadro de búsqueda, introduzca Citrix Cloud SAML SSO para buscar la plantilla de aplicación SAML para Citrix.

    Plantillas de aplicaciones SAML

  5. Introduzca un nombre adecuado para la aplicación SAML, como Citrix Cloud SAML SSO Production

    Nombre de la aplicación SAML

  6. En el panel de navegación izquierdo, seleccione Inicio de sesión único y, en el panel de trabajo, haga clic en SAML.
  7. En la sección Basic SAML Configuration, haga clic en Edit y configure estos parámetros:
    1. En la sección Identifier (Entity ID), seleccione Add identifier y, a continuación, introduzca el valor asociado a la región en la que se encuentra el arrendatario de Citrix Cloud:
      • Para las regiones de Europa, Estados Unidos y Asia-Pacífico Sur, introduzca https://saml.cloud.com.
      • Para la región de Japón, introduzca https://saml.citrixcloud.jp.
      • Para la región de Citrix Cloud Government, introduzca https://saml.cloud.us.
    2. En la sección Reply URL (Assertion Consumer Service URL), seleccione Add reply URL y, a continuación, introduzca el valor asociado a la región en la que se encuentra su arrendatario de Citrix Cloud:
      • Para las regiones de Europa, Estados Unidos y Asia-Pacífico Sur, introduzca https://saml.cloud.com/saml/acs.
      • Para la región de Japón, introduzca https://saml.citrixcloud.jp/saml/acs.
      • Para la región de Citrix Cloud Government, introduzca https://saml.cloud.us/saml/acs.
    3. En la sección URL de inicio de sesión, introduzca la URL de su espacio de trabajo.
    4. En la sección Logout URL (Optional), introduzca el valor asociado a la región en la que se encuentra el arrendatario de Citrix Cloud:
      • Para las regiones de Europa, Estados Unidos y Asia-Pacífico Sur, introduzca https://saml.cloud.com/saml/logout/callback.
      • Para la región de Japón, introduzca https://saml.citrixcloud.jp/saml/logout/callback.
      • Para la región de Citrix Cloud Government, introduzca https://saml.cloud.us/saml/logout/callback.
    5. En la barra de comandos, haga clic en Guardar. La sección Configuración básica de SAML se muestra de esta manera:

    Configuración básica de SAML

  8. En la sección Attributes & Claims, haga clic en Edit para configurar estas notificaciones. Estas notificaciones aparecen en la aserción SAML incluida en la respuesta SAML. Tras crear la aplicación SAML, configure estos atributos.

    Attributes & Claims

    1. Para la notificación Unique User Identifier (Name ID), deje el valor predeterminado de user.userprincipalname.
    2. Para la notificación cip_upn, deje el valor predeterminado de user.userprincipalname.
    3. Para la notificación cip_email, deje el valor predeterminado de user.mail.
    4. Para la notificación cip_sid, deje el valor predeterminado de user.onpremisesecurityidentitier.
    5. Para la notificación cip_oid, modifique la notificación existente y seleccione Atributo de origen. Busque la cadena object y seleccione user.onpremisesimmutableid.

    Administrar notificación

    1. Para displayName, deje el valor predeterminado de user.displayname.
    2. En la sección Additional claims, para las notificaciones restantes con el espacio de nombres http://schemas.xmlsoap.org/ws/2005/05/identity/claims, haga clic en el botón de puntos suspensivos (…) y, a continuación, haga clic en Delete. No es necesario incluir estas notificaciones, ya que son duplicados de los atributos de usuario anteriores.

    Eliminar menú resaltado

    Al terminar, la sección Attributes & Claims aparece como se ilustra a continuación:

    Atributos y notificaciones completados de Azure AD

    1. Obtenga una copia del certificado de firma SAML de Citrix Cloud con esta herramienta en línea de terceros.
    2. Introduzca https://saml.cloud.com/saml/metadata en el campo URL y haga clic en Cargar.

    Eliminar menú resaltado

  9. Desplácese al final de la página y haga clic en Descargar.

    Descargar certificado de metadatos

    Descargar certificado

  10. Configure los parámetros de firma de la aplicación SAML de Azure Active Directory.
  11. Cargue el certificado de firma SAML de producción obtenido en el paso 10 en la aplicación SAML de Azure Active Directory
    1. Habilite Exigir certificados de verificación.

    Certificado de verificación

    Certificado de verificación

Solución de problemas

  1. Compruebe que sus aserciones SAML contienen los atributos de usuario correctos mediante una herramienta de red SAML, como la extensión para exploradores web SAML-tracer.

Extensión de explorador web SAML-tracer

  1. Busque la respuesta SAML que se muestra en amarillo y compárela con este ejemplo:

    Ejemplo de respuesta SAML desde una herramienta de red

  2. Haga clic en la ficha SAML del panel inferior para decodificar la respuesta SAML y verla como XML.

  3. Desplácese hasta el final de la respuesta y compruebe que la aserción SAML contenga los atributos SAML y los valores de usuario correctos.

    Archivo XML con valor de aserción SAML resaltado

Si sus suscriptores siguen sin poder iniciar sesión en su espacio de trabajo o no pueden ver sus escritorios de Citrix HDX Plus para Windows 365, contacte con Citrix Support y proporcione esta información:

  • Captura de SAML-tracer
  • Fecha y hora en que no se pudo iniciar sesión en Citrix Workspace
  • El nombre de usuario afectado
  • La dirección IP de la persona que llama del equipo cliente que utilizó para iniciar sesión en Citrix Workspace. Puede usar una herramienta como https://whatismyip.com para obtener esta dirección IP.
SAML con Azure AD e identidades de AD para la autenticación de espacios de trabajo
April 5, 2024
Author:  Mark Dear
April 5, 2024
Author:  Mark Dear

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.