Documentación de productos
Citrix Cloud™
Ver PDF

Configurar Duo como proveedor SAML para la autenticación de Workspace

April 2, 2026
Author:  Mark Dear

Este artículo describe los pasos necesarios para configurar una aplicación SAML de Duo y una conexión SAML entre Citrix Cloud™ y tu proveedor SAML. Algunos de estos pasos describen acciones que realizas en la consola de administración del proveedor SAML de Duo.

  • Requisitos previos

Antes de completar las tareas de este artículo, asegúrate de cumplir los siguientes requisitos previos:

  • Un inquilino de Duo Cloud.
  • Un proxy de autenticación de Duo dentro de tu bosque de AD.
  • Una conexión LDAPS de Active Directory que sincronice tus usuarios de AD con Duo.

Configurar la sincronización de Active Directory con tu inquilino de Duo

Sigue la documentación de Duo sobre conectar tu AD local a Duo e importar usuarios para SAML.

Crear una conexión LDAPS de Active Directory

  1. Selecciona Aplicaciones > Configuración de SSO > Agregar origen > Active Directory > Agregar Active Directory.

    Duo SAML agregar origen de autenticación

  2. Introduce un nombre para mostrar para la conexión LDAPS a tu bosque de AD.

  3. Introduce el FQDN de tu controlador de dominio.

    Duo SAML agregar FQDN de controlador de dominio

  4. Configura el DN base de tu dominio de AD.

    Duo SAML DN base

  5. Selecciona Integrado como tipo de autenticación.

    Duo SAML tipo de autenticación

  6. Selecciona LDAPS como tipo de transporte.

    Duo SAML tipo de transporte

  7. Marca Verificar nombre de host SSL.

  8. Introduce tanto el certificado del controlador de dominio como el certificado de CA de la autoridad de certificación de empresa privada que se utilizó para firmar tu certificado de dominio.

  9. Introduce los certificados con formato PEM según el siguiente ejemplo

    -----BEGIN CERTIFICATE-----
`<base64 Domain Controller Certificate>`
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
`<base64 Certificate Authority Certificate used to sign the Domain Controller Certificate above>`
-----END CERTIFICATE-----
<!--NeedCopy-->

  10. Prueba tu conexión LDAPS.

    Duo SAML ejecutar pruebas

Configurar el archivo de configuración de tu proxy de autenticación de Duo para SAML

  1. Verifica que la configuración de tu proxy de autenticación de Duo sea correcta y se muestre como Conectado a Duo.

    Duo SAML proxy de autenticación

  2. Inicia sesión en tu proxy de autenticación de Duo y agrega una sección SAML [sso] a su archivo de configuración utilizando la Identidad remota (rikey) proporcionada desde la consola de administración de Duo. El proxy de autenticación de Duo utiliza un secreto compartido para comunicarse con el servicio en la nube de Duo. Este secreto se genera durante la instalación o configuración inicial del proxy de autenticación.

    Duo SAML configuración del proxy de autenticación

Configurar una aplicación SAML de Duo para usar con Workspaces

  1. Selecciona Aplicaciones > Proteger una aplicación. Haz clic en Agregar aplicación.

  2. Busca la entrada para la plantilla de aplicación de Duo para proveedor de servicios SAML genérico. Citrix® recomienda la plantilla de Duo para proveedor de servicios SAML genérico, ya que es la más flexible y te permitirá configurar diferentes combinaciones de atributos SAML y diferentes flujos SAML según tus necesidades.

    Duo SAML proveedor de servicios SAML genérico

    Importante:

    No se recomienda el uso de la plantilla SAML de Duo Citrix Workspace™, ya que es inflexible y solo admite SAML mediante identidades de AD. La plantilla SAML de Duo Citrix Workspace tampoco permitirá agregar atributos opcionales como cip_domain y cip_forest, que son necesarios para algunas configuraciones SAML avanzadas de fusiones y adquisiciones. Tampoco permite la configuración del punto de conexión de cierre de sesión de Citrix Cloud.

  3. Especifica un Nombre para mostrar para tu aplicación SAML, como Citrix Cloud Prod.

  4. Especifica el acceso de usuario, como Habilitar para todos los usuarios.

  5. Selecciona Ninguno (entrada manual) en Detección de metadatos e introduce los siguientes puntos de conexión SAML de Citrix Cloud.

  6. Introduce el EntityID según la región de Citrix Cloud en la que se encuentre tu inquilino de CC.

    URL Región
    https://saml.cloud.com Comercial (UE, EE. UU. y APS)
    https://saml.citrixcloud.jp JP
    https://saml.cloud.us GUB

  7. Configura la URL de inicio de sesión único (URL de ACS) según la región de Citrix Cloud en la que se encuentre tu inquilino de CC.

    URL Región
    https://saml.cloud.com/saml/acs Comercial (UE, EE. UU. y APS)
    https://saml.citrixcloud.jp/saml/acs JP
    https://saml.cloud.us/saml/acs GUB

  8. Configura la URL de cierre de sesión único según la región de Citrix Cloud en la que se encuentre tu inquilino de CC.

    URL Región
    https://saml.cloud.com/saml/logout/callback Comercial (UE, EE. UU. y APS)
    https://saml.citrixcloud.jp/samllogout/callback JP
    https://saml.cloud.us/saml/samllogout/callback GUB

  9. La URL de inicio de sesión del proveedor de servicios no es necesaria y se puede dejar en blanco.

  10. El Estado de retransmisión predeterminado no es necesario y se puede dejar en blanco.

    Proveedor de servicios SAML de Duo

  11. Configura el Formato de ID de nombre como No especificado.

  12. Configura el Atributo de ID de nombre como userPrincipalName (distingue entre mayúsculas y minúsculas).

  13. Configura el Algoritmo de firma como SHA256.

  14. Configura las Opciones de firma como Firmar respuesta.

  15. Configura el Cifrado de aserción como deshabilitado.

    Respuesta SAML de Duo

  16. Configura la Asignación de atributos con los atributos de puente de Duo a la izquierda y los nombres de las aserciones SAML de Citrix Cloud a la derecha.

    Asignaciones de atributos SAML de Duo

    Importante:

    Los atributos de puente de Duo (izquierda) y los nombres de las aserciones de atributos SAML (derecha) distinguen entre mayúsculas y minúsculas. Los nombres de las aserciones de la derecha deben coincidir con lo que está configurado en la conexión SAML de Citrix Cloud.

Configurar la conexión SAML de Citrix Cloud

  1. Todos los flujos de inicio de sesión de Citrix deben ser iniciados por el proveedor de servicios mediante una URL de Workspace o una URL de Citrix Cloud GO.

  2. Usa los valores predeterminados recomendados para la conexión SAML en Administración de identidades y accesos > Autenticación > Agregar un proveedor de identidades > SAML.

  3. Obtén los puntos de conexión SAML de la aplicación SAML de Duo para introducirlos en la conexión SAML de Citrix Cloud desde tu portal de Duo visitando la documentación de sincronización de Duo Active Directory.

    Puntos de conexión de Duo SAML de Duo

    En este campo de Citrix Cloud Introduce este valor
    ID de entidad https://sso-<id>.sso.duosecurity.com/saml2/sp/<samlappID>/metadata
    Firmar solicitud de autenticación
    URL del servicio SSO https://sso-<id>.sso.duosecurity.com/saml2/sp/<samlappID>/sso
    Mecanismo de enlace SSO HTTP Post
    Respuesta SAML Firmar respuesta o aserción
    Contexto de autenticación No especificado, Exacto
    URL de cierre de sesión https://sso-<id>.sso.duosecurity.com/saml2/sp/<samlappID>/slo
    Firmar solicitud de cierre de sesión
    Mecanismo de enlace SLO HTTP Post

Comportamiento de cierre de sesión SAML de Duo

Duo SAML no admite actualmente SAML SLO en el momento de redactar este artículo, pero es posible configurar Duo para que finalice la sesión del IDP cuando un usuario cierra explícitamente la sesión de Workspace y/o Citrix Cloud. Se recomienda que leas la sección Consideraciones sobre el cierre de sesión SAML consideraciones sobre el cierre de sesión SAML en el artículo principal de SAML antes de elegir configurar los ajustes de cierre de sesión de tu aplicación SAML de Duo.

Importante:

Tomado de la documentación de Duo Comportamiento de cierre de sesión de Duo SSO y detalles de administración de sesiones.

Los usuarios que decidan cerrar sesión y accedan a la URL de SLO para Duo SSO cerrarán sesión en Duo SSO y se eliminará su sesión de dispositivos recordados de MFA antes de redirigirlos a la página de cierre de sesión.

Para configurar el cierre de sesión explícito de la sesión IDP de Duo cuando el usuario final cierra sesión en Workspace y/o Citrix Cloud, sigue los pasos recomendados a continuación.

  1. Configura el punto de conexión de cierre de sesión SAML de Citrix Cloud dentro de tu aplicación SAML de Duo.

    Cierre de sesión de CC de Duo SAML

  2. Configura el punto de conexión SLO de Duo dentro de la conexión SAML de Citrix Cloud.

    Importante:

    Si no has usado la plantilla de aplicación de Duo Proveedor SAML genérico, no podrás completar este paso, ya que la opción para introducir el punto de conexión de cierre de sesión de Citrix Cloud no estará disponible.

    Cierre de sesión de conexión CC de Duo SAML

  3. Al cerrar sesión en Workspace con ambos lados de la conexión SAML configurados para el cierre de sesión según los pasos 1 y 2, Duo mostrará la siguiente interfaz de usuario, lo que indica que la sesión IDP ha finalizado.

    Interfaz de usuario de cierre de sesión de Duo SAML

  4. Opcional: Para mejorar la experiencia de cierre de sesión de los usuarios finales de Workspace, es posible configurar la conexión LDAPS de Duo con una única URL de redirección de cierre de sesión que redirigirá a tus usuarios finales de vuelta a la página de inicio de sesión de Citrix Workspace. Esto se hace dentro de la conexión LDAPS de tu bosque de AD.

    URL de redirección de cierre de sesión de Duo SAML

    Importante:

    El campo de URL de redirección de cierre de sesión que se muestra arriba solo permitirá la configuración de una única URL de Workspace. El uso de varias URL de Workspace diferentes dentro del inquilino de Citrix Cloud no se puede configurar dentro de una única conexión de bosque de Active Directory en Duo.

Configurar Duo como proveedor SAML para la autenticación de Workspace
April 2, 2026
Author:  Mark Dear
April 2, 2026
Author:  Mark Dear

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.