Documentación de productos
Citrix Cloud
Ver PDF

Iniciar sesión en espacios de trabajo con SAML mediante dominios personalizados

November 27, 2023
Author:  Mark Dear

Si configuró un dominio personalizado en Citrix Workspace (por ejemplo, https://workspaces.yourdomain.com), es posible que necesite configuración adicional en Citrix Cloud y en su proveedor de SAML, según los casos de inicio de sesión de SAML que quiera permitir en Citrix Cloud.

Es posible que necesite un par de aplicaciones SAML para esta configuración. Citrix Cloud requiere dispositivos de punto final de proveedores de servicios (SP) de SAML diferentes, según si la aplicación SAML utiliza las URL de cloud.com o workspaces.sudominio.com para realizar la operación de inicio de sesión.

Para obtener más información sobre la configuración de dominios personalizados en Citrix Workspace, consulte Configurar un dominio personalizado en la documentación de producto de Citrix Workspace.

Consideraciones para implementar una o dos aplicaciones SAML

Para determinar si necesita implementar una solución con una o dos aplicaciones SAML, identifique qué combinación de casos de inicio de sesión SAML necesita permitir su proveedor de SAML.

Estos casos de inicio de sesión comparten la misma aplicación SAML (aplicación SAML 1) de forma predeterminada:

  • Autenticación SAML para Citrix Workspace, en la que la URL de inicio de sesión de Workspace de su región (cloud.com, citrixcloud.jp, cloud.us) está configurada en su proveedor de SAML como ID de entidad del SP.
  • Autenticación SAML para Citrix Cloud mediante su URL de inicio de sesión única (por ejemplo, https://citrix.cloud.com/go/mycompany). En este caso, los administradores se autentican en Citrix Cloud mediante SAML, según su pertenencia a grupos de Active Directory (AD).

Agregar la autenticación SAML para usuarios a través de un dominio personalizado (por ejemplo, https://workspaces.mycompany.com) que defina en Configuración de Workspace requiere una segunda aplicación SAML (aplicación SAML 2).

En esta tabla se enumeran las combinaciones permitidas de casos de inicio de sesión SAML y las aplicaciones SAML necesarias.

Iniciar sesión en Workspace con una URL de Workspace Iniciar sesión en Workspace con la URL de un dominio personalizado Iniciar sesión en Citrix Cloud mediante una URL de inicio de sesión SAML ¿Se necesita la aplicación SAML 1? ¿Se necesita la aplicación SAML 2?
No No Sí: usar dispositivos de punto final SAML de cloud.com No
No No Sí: usar dispositivos de punto final SAML de dominios personalizados No
No No Sí: usar dispositivos de punto final SAML de cloud.com No
No Sí: usar dispositivos de punto final SAML de cloud.com No
No No Sí: usar los dispositivos de punto final SAML de cloud.com Sí: usar dispositivos de punto final SAML de dominios personalizados
Sí: usar dispositivos de punto final SAML de cloud.com Sí: usar dispositivos de punto final SAML de dominios personalizados

Configuración de una única aplicación SAML

  1. En Citrix Cloud, vaya a Configuración de Workspace > Acceso y configure un dominio personalizado. Para obtener más información, consulte Configurar un dominio personalizado.
  2. En la consola de administración de su proveedor de SAML, configure una única aplicación SAML mediante el dominio personalizado como dispositivos de punto final del SP.
  3. Descargue el certificado de firma SAML para la aplicación SAML. En un paso posterior, cargue este certificado en Citrix Cloud.

  4. Para el ID de entidad, asegúrese de que se haya introducido https://saml.cloud.com. En función del proveedor de SAML, es posible que este parámetro se denomine Audience (audiencia). Para todos los demás dispositivos de punto final, sustituya https://saml.cloud.com por el dominio personalizado de Workspace que configuró en el paso 1.

    Este ejemplo ilustra la configuración del dispositivo de punto final de Okta, donde Audience Restriction contiene el valor del ID de entidad:

    Consola de Okta con los campos Audience y Endpoint resaltados

    Este ejemplo ilustra la configuración del dispositivo de punto final de OneLogin, donde Audience contiene el valor del ID de entidad:

    Consola de OneLogin con los campos Audience y Endpoint resaltados

  5. En Citrix Cloud, vaya a Administración de acceso e identidad > Autenticación y configure la conexión SAML.
  6. Vaya a Configuración de Workspace > Autenticación y seleccione SAML 2.0.
  7. Vaya a Configuración de Workspace > URL de Workspace personalizada > Modificar y seleccione Usar solo el dominio personalizado.
  8. Seleccione Guardar para guardar los cambios.
  9. Para probar la configuración, inicie sesión en Citrix Workspace con su URL de Workspace personalizada (https://workspaces.mycompany.com).

Configuración de dos aplicaciones SAML

  1. En Citrix Cloud, vaya a Configuración de Workspace > Acceso y configure un dominio personalizado. Para obtener más información, consulte Configurar un dominio personalizado.
  2. En la consola de administración de su proveedor de SAML, configure dos aplicaciones SAML. Configure estas aplicaciones de forma idéntica, incluidos los parámetros de firma idéntica para las solicitudes de SSO y SLO, el tipo de vínculo y los parámetros de cierre de sesión. Si las configuraciones de estas aplicaciones SAML no coinciden, es posible que note diferencias en el comportamiento de inicio y de cierre de sesión al cambiar entre la URL de Workspace y su dominio personalizado de Workspace.
  3. En la primera aplicación SAML, configure estos dispositivos de punto final del SP:
    • ID de entidad: https://saml.cloud.com
    • Assertion Consumer Service: https://saml.cloud.com/saml/acs
    • Cierre de sesión: https://saml.cloud.com/saml/logout/callback

    Este ejemplo muestra esta configuración de dispositivos de punto final en la consola de administración de Okta:

    Consola de Okta con dispositivos de punto final configurados

  4. En la segunda aplicación SAML, configure estos dispositivos de punto final del SP. Use su dominio personalizado de Workspace solo para los dispositivos de punto final de Assertion Consumer Service y del cierre de sesión.
    • ID de entidad: https://saml.cloud.com
    • Assertion Consumer Service: https://workspaces.mycompany.com/saml/acs
    • Cierre de sesión: https://workspaces.mycompany.com/saml/logout/callback

    Este ejemplo muestra esta configuración de dispositivos de punto final en la consola de Okta. Tenga en cuenta que Audience Restriction contiene el valor del ID de entidad.

    Consola de Okta con dispositivos de punto final configurados en la primera aplicación

  5. Descargue los certificados de firma SAML para ambas aplicaciones SAML. Los cargará en Citrix Cloud en un paso posterior.
  6. En la consola de administración de Citrix Cloud, configure una conexión SAML:
    1. Desde la consola de administración de Citrix Cloud, haga clic en el botón de menú y seleccione Administración de acceso e identidad.
    2. En la ficha Autenticación, busque SAML 2.0, haga clic en el botón de tres puntos y seleccione Conectar.
    3. En la página Configurar SAML, introduzca los detalles de la primera aplicación SAML que creó en el paso 2.
  7. Configure Citrix Workspace para usar la nueva conexión SAML:
    1. En el menú de Citrix Cloud, seleccione Configuración de Workspace.
    2. En la ficha Autenticación, seleccione SAML 2.0.
  8. En la ficha Acceso, en URL de Workspace, seleccione Modificar.
  9. En la página Configurar para SAML, seleccione Usar la URL de cliente.cloud.com y la URL de dominio personalizado.
  10. Introduzca la siguiente información:
    • En ID de entidad del proveedor de identidades del dominio personalizado, introduzca el ID de entidad de la segunda aplicación SAML que creó en el paso 2.
    • En URL del servicio SSO para el dominio personalizado, introduzca la URL de SSO de la segunda aplicación SAML.
    • En URL de cierre de sesión para el dominio personalizado, introduzca la URL de SLO de la segunda aplicación SAML.
    • En Certificado de firma del proveedor de identidades para dominio personalizado, cargue el certificado de firma SAML desde la segunda aplicación SAML.

    Panel de configuración SAML para dominios personalizados de Workspace

  11. Seleccione Guardar para guardar los cambios.

Ver los detalles de la conexión SAML

Tras la configuración, vaya a Administración de acceso e identidad > Autenticación. En SAML 2.0, seleccione Seleccionar proveedor de SAML > Ver en el menú de tres puntos. La página Configuración de SAML muestra pares de dispositivos de punto final de SAML configurados para el ID de entidad, la URL de SSO y la URL de cierre de sesión.

Consola de Citrix Cloud que muestra detalles de la conexión SAML para la configuración de dos aplicaciones

Todos los demás parámetros de configuración de SAML se aplican tanto a la primera como a la segunda aplicación SAML que haya creado.

Verificar los inicios de sesión en Citrix Workspace

Para verificar el comportamiento de inicio y de cierre de sesión configurado, haga estas pruebas:

  • Inicie sesión en Citrix Workspace con su URL de Workspace (https://mycompany.cloud.com) y su proveedor de SAML.
  • Inicie sesión en Citrix Workspace con su dominio personalizado de Workspace (https://workspace.mycompany.com) y su proveedor de SAML.
  • Inicie sesión en Citrix Cloud con su URL de inicio de sesión única (https://citrix.cloud.com/go/mycompany) y su proveedor de SAML.
Iniciar sesión en espacios de trabajo con SAML mediante dominios personalizados
November 27, 2023
Author:  Mark Dear
November 27, 2023
Author:  Mark Dear

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.