Documentación de productos
Citrix Cloud™
Ver PDF

Configurar un servidor PingFederate local como proveedor SAML para Workspaces y Citrix Cloud™

April 2, 2026
Author:  Mark Dear

Este artículo fue redactado en colaboración entre ingenieros de Citrix® y Ping, y ha sido revisado por ambas partes para garantizar la precisión técnica en el momento de su redacción. Consulta la documentación de Ping para obtener instrucciones sobre cómo aprovisionar, configurar y licenciar un servidor PingFederate local para usarlo como proveedor SAML, ya que esto está fuera del alcance de este artículo.

  • Este documento se redactó utilizando las versiones 11.3 y 12 de PingFederate.

  • Requisitos previos

  • Este artículo aborda específicamente la configuración de SAML y garantiza que se cumplan las siguientes condiciones.

  • Ya has aprovisionado un servidor PingFederate local en tu organización y has obtenido la licencia necesaria. Para obtener más información, consulta Instalación de PingFederate.
  • Debes haber instalado una versión compatible de Java en el servidor PingFederate. Consulta la documentación de Ping Identity para conocer las versiones de Java compatibles. Para obtener más información, consulta Requisito de Java para PingFederate.
  • Has configurado las reglas de red y firewall necesarias para permitir que Citrix Cloud y Workspace redirijan al servidor PingFederate local durante el proceso de inicio de sesión SAML de la consola de administración de Workspace/Citrix Cloud. Para obtener más información, consulta Requisitos de red de PingFederate.
    • Has importado un certificado x509 firmado públicamente en tu servidor PingFederate que puede actuar como certificado de servidor para el servidor PingFederate.
    • Has importado un certificado x509 firmado públicamente en tu servidor PingFederate que puede actuar como certificado de firma SAML para el IdP. Este certificado debe cargarse en Citrix Cloud durante el proceso de conexión SAML.
    • Has conectado tu Active Directory local a PingFederate. Para obtener más información, consulta Almacén de datos LDAP de PingFederate

Nota:

Al configurar PingFederate para usarlo con Citrix Cloud y Workspace, consulta la documentación de PingFederate para comprender qué hacen las configuraciones SAML individuales y para complementar las instrucciones proporcionadas aquí.

Configurar una conexión de Active Directory a tu dominio de AD mediante un almacén de datos en PingFederate

  1. Configura una conexión de Active Directory en Almacenes de datos.

    Configurar conexión de Active Directory

  2. Selecciona el tipo Directorio (LDAP).

    Seleccionar Directorio

  3. Configura tus controladores de dominio para conexiones LDAPS y agrega tu lista de FQDN de controladores de dominio en el campo de nombres de host. Luego, haz clic en Probar conexión.

    Configurar controladores de dominio

  4. Una vez configurada, la conexión de Active Directory debería parecerse al siguiente ejemplo:

    Conexión de Active Directory

Cargar el certificado de firma SAML de Citrix Cloud

  1. Haz clic en la ficha Seguridad.

  2. Carga el certificado de firma SAML que deseas que use PingFederate en Claves y certificados de firma y descifrado.

    Claves y certificados de firma y descifrado

    Nota:

    El certificado utilizado es un certificado Digicert pingfederateserver.domain.com firmado públicamente en este ejemplo.

  3. Carga cualquier certificado de CA utilizado para firmar el certificado de firma SAML de tu servidor PingFederate.

    Certificado de firma SAML

Nota:

El certificado del servidor PingFederate y el certificado de firma SAML pueden ser el mismo certificado SSL o puedes usar diferentes certificados SSL. Debes proporcionar una copia del certificado de firma SAML a Citrix Cloud cuando configures la conexión SAML.

Certificados de servidor SSL

Cargar los metadatos de Citrix Cloud

  1. Proporciona un nombre para los metadatos de Citrix Cloud e introduce la URL de metadatos correspondiente a la región de Citrix Cloud donde se encuentra tu inquilino de Citrix Cloud.

    URL de metadatos del socio

  2. Una vez configurada, la configuración de metadatos de Citrix Cloud debería parecerse al siguiente ejemplo.

    URL de metadatos del socio configurada

Configurar un validador de credenciales de contraseña en PingFederate

-  Para obtener más información, consulta [Validador de credenciales de contraseña de PingFederate](https://docs.pingidentity.com/r/en-us/pingfederate-120/help_passwordcredentialvalidatortasklet_passwordcredentialvalidatormgmtstate)

-  1.  Configura el tipo de validador de credenciales de contraseña como nombre de usuario y contraseña LDAP.

![Validadores de credenciales de contraseña](/en-us/citrix-cloud/media/create-password.png)

  1. Configura la Configuración de instancia. Selecciona la conexión de dominio de AD y el almacén de datos que configuraste anteriormente Configurar una conexión de Active Directory a tu dominio de AD mediante un almacén de datos en PingFederate. Introduce un filtro LDAP adecuado como se muestra en el ejemplo. (((sAMAccountName=${username})(userPrincipalName=${username}))

    Configurar configuración de instancia

    Nota:

    El filtro de ejemplo admite los formatos de nombre de usuario de AD sAMAccountName y userPrincipalName, lo que permite a los usuarios finales iniciar sesión en Workspace o Citrix Cloud utilizando cualquiera de estos formatos.

      1. Configura el Contrato extendido.
    • Contrato extendido

  2. El resumen del Validador de credenciales de contraseña debería parecerse a este ejemplo.

    Validador de credenciales de contraseña

Configura el adaptador de IdP en PingFederate

Para obtener más información, consulta adaptador de formulario HTML de PingFederate

  1. Crea un nuevo adaptador de IdP de tipo Adaptador de IdP de formulario HTML.

    Create adapter instance

  2. Selecciona el Validador de credenciales de contraseña existente que configuraste anteriormente y configura el adaptador de IdP. Para obtener más información, consulta Configurar un validador de credenciales de contraseña en PingFederate.

    Password credential validator

  3. Configura el Contrato extendido con los atributos SAML que se pasan a Citrix Cloud o Workspaces durante el inicio de sesión SAML.

    Configure extended contract

  4. Configura los Atributos del adaptador.

    Configure adapter attributes

  5. Configura la Asignación de contratos del adaptador, donde los atributos SAML se asignan a los atributos de usuario LDAP de las identidades de AD. Haz clic en Configurar el contrato del adaptador.

  6. Configura Orígenes de atributos y búsqueda de usuarios.

    Attribute Sources and User Lookup

  7. Configura el Cumplimiento del contrato del adaptador. Selecciona LDAP y el nombre de tu almacén de datos de Active Directory como origen de los datos de atributos de usuario. El valor es el atributo de Active Directory para el usuario, como objectGUID o objectSid.

    Configure Adapter Contract Fulfilment

Configuración de la conexión del proveedor de servicios (aplicación SAML) para Citrix Cloud o Workspaces

La configuración de ejemplo de PingFederate que se proporciona a continuación asume los siguientes requisitos de autenticación SAML en tu organización.

  • Las solicitudes de autenticación SAML enviadas desde la consola de administración de Workspace/Citrix Cloud DEBEN estar firmadas.
  • Se usarán enlaces SAML HTTP POST para las solicitudes de SSO y SLO.
  • El cierre de sesión único (SLO) es un requisito en tu organización. Cuando un usuario final cierra sesión en Workspace o en la consola de administración de Citrix Cloud, se envía una solicitud SAML SLO desde Citrix Cloud al proveedor SAML (IdP) para cerrar la sesión del usuario.

  • PingFederate requiere solicitudes HTTP POST firmadas para iniciar el cierre de sesión. El proveedor SAML requiere solicitudes SLO firmadas.

    SLO Binding Mechanism

Para obtener más información, consulta Administración de SP de PingFederate

Procedimiento

  1. Configura la Plantilla de conexión.

    Configure the Connection Template

  2. Configura el Tipo de conexión y selecciona Perfiles de SSO del navegador y SAML 2.0.

    Configure Connection Type

  3. Configura las Opciones de conexión.

    Configure connection options

  4. Importa los metadatos de Citrix Cloud. Selecciona URL y la URL CitrixCloudProdMetadata que creaste anteriormente y haz clic en Cargar metadatos.

    Import Citrix Cloud Metadata

  5. Configura la Información general. Establece el ID de entidad de conexión del proveedor de servicios, la URL base y el nombre de conexión en el punto de conexión SAML de Citrix Cloud para tu región de cliente de Citrix Cloud.

    Configure General Info

  6. Configura los Ajustes de protocolo.

    Configure Protocol settings

  7. Usa la configuración predeterminada de Vida útil de la aserción.

    Assertion lifetime settings

  8. Configura la creación de aserciones SAML.

    1. Haz clic en Configurar creación de aserciones.

      Configure Assertion Creation

    2. Selecciona Estándar.

      Select Standard

  9. Configura el Contrato de atributos.

    Configure Attribute Contract

  10. Configura la instancia del adaptador.

    Configura la instancia del adaptador

  11. Configura el método de asignación.

    Configura el método de asignación

  12. Configura el cumplimiento del contrato de atributos.

    Configura el cumplimiento del contrato de atributos

  13. Configura los criterios de emisión con los valores predeterminados y sin condiciones.

    Configura los criterios de emisión

  14. La asignación del adaptador de IDP completada aparece de la siguiente manera:

    Asignación del adaptador de IDP completada

  15. Configura los ajustes de protocolo. Las rutas SAML requeridas por Citrix Cloud se agregarán a la URL base de tu servidor PingFederate. Es posible anular la URL base introduciendo una ruta completa en el campo de URL del punto final, pero esto suele ser innecesario y no deseable. URL base: https://youpingfederateserver.domain.com

    1. Configura la URL del servicio de consumidor de aserciones, que agrega la ruta SAML a la URL base del servidor PingFederate. EndpointURL: /saml/acs

      Configura la URL del servicio de consumidor de aserciones

    2. Configura la URL del servicio SLO. EndpointURL: /saml/logout/callback

      Configura la URL del servicio SLO

    Importante:

    La conexión SAML de Citrix Cloud requiere que se configure una URL de cierre de sesión de PingFederate para que coincida con esta si deseas realizar un SLO al cerrar sesión en Workspace o Citrix Cloud. Si no configuras la URL de cierre de sesión dentro de tu conexión SAML, los usuarios finales solo cerrarán sesión en Workspace, pero no en PingFederate.

    1. Configura los enlaces SAML permitidos.

      Configura los enlaces SAML permitidos

    2. Configura la política de firma.

      Configura la política de firma

    Importante:

    Los ajustes de firma SAML deben configurarse de forma coherente en ambos lados de la conexión SAML. Workspace o Citrix Cloud (SP) deben configurarse para enviar solicitudes SSO y SLO firmadas.

    1. PingFederate (IDP) debe configurarse para aplicar la ejecución de solicitudes firmadas utilizando el certificado de verificación de firma SAML de Citrix Cloud.

      Aplicación de solicitudes firmadas

    2. Configura la política de cifrado.

      Configura la política de cifrado

      Nota:

      Se recomienda establecer el cifrado en NINGUNO durante la configuración y las pruebas iniciales para que puedas depurar cualquier problema con atributos SAML faltantes o incorrectos en la aserción. Si necesitas aserciones cifradas, se recomienda que habilites el cifrado después de comprobar que el inicio de sesión en Workspace o Citrix Cloud es correcto y que todos los recursos se han enumerado y se pueden iniciar correctamente. La depuración de problemas con SAML mientras el cifrado está habilitado será imposible si no puedes ver el contenido de texto sin formato de la aserción SAML.

    3. Revisa la ficha Resumen.

      Ficha Resumen

    4. Revisa la conexión del proveedor de servicios (SP) de Citrix Cloud. Una vez configurada la conexión SP de Citrix Cloud, debería verse como este ejemplo:

      Resumen Resumen Resumen Resumen

      Consejo útil:

      Usa la página de activación y resumen de la conexión SP para revisar tu aplicación SAML y para fines de depuración, ya que permite realizar cambios de configuración de forma rápida y sencilla. La página de activación y resumen de la conexión SP te permite navegar a cualquiera de las subsecciones de configuración SAML haciendo clic en el título de esa sección. Haz clic en cualquiera de los títulos resaltados en rojo para actualizar estos ajustes.

    Ajustes de protocolo

  16. La conexión SP de Citrix Cloud completada debería aparecer en la lista de esta manera.

    Conexión SP de Citrix Cloud

  17. Es posible exportar la conexión SP en forma de archivo XML. Citrix recomienda hacer una copia de seguridad de tu conexión SP una vez que la hayas probado con Citrix Cloud y Workspace.

    Exportar la conexión SP

Configura la conexión SAML de Citrix Cloud

Todos los flujos de inicio de sesión de Citrix deben ser iniciados por el proveedor de servicios utilizando una URL de Workspace o una URL GO de Citrix Cloud.

Usa los valores predeterminados recomendados para la conexión SAML dentro de Administración de identidades y accesos → Autenticación → Agregar un proveedor de identidades → SAML.

En este campo de Citrix Cloud Introduce este valor
ID de entidad https://yourpingfedbaseurl.domain.com, donde yourpingfedbaseurl.domain.com es el dominio de tu servidor PingFederate.
Firmar solicitud de autenticación
URL del servicio SSO https://yourpingfedbaseurl.domain.com/idp/SSO.saml2 donde yourpingfedbaseurl.domain.com es el dominio de tu servidor PingFederate.
Mecanismo de enlace SSO HTTP Post
Respuesta SAML Firmar respuesta o aserción
Contexto de autenticación Sin especificar, Exacto
URL de cierre de sesión https://yourpingfedbaseurl.domain.com/idp/SLO.saml2 donde yourpingfedbaseurl.domain.com es el dominio de tu servidor PingFederate.
Firmar solicitud de cierre de sesión
Mecanismo de enlace SLO HTTP Post

Importante:

  • El uso del punto final SSO iniciado por IDP de PingFederate incorrecto https://yourpingfederateserver.domain.com/idp/startSSO.ping?PartnerSpId=https://saml.cloud.com no es compatible. Citrix Cloud y Workspace no admiten SSO iniciado por IDP.
  • El siguiente extracto se toma de la documentación de PingFederate: Esta es la ruta utilizada para iniciar una transacción de inicio de sesión único (SSO) iniciada por IdP no solicitada durante la cual se envía una respuesta SAML que contiene una aserción a un proveedor de servicios (SP).
  • Se sabe que el uso del punto final SAML incorrecto causa fallos en el inicio de sesión SAML y el siguiente error dentro de la plataforma de autenticación de Citrix Cloud. ExceptionMessage=An IdP-initiated SAML response from YourSAMLApp was received unexpectedly.
Configurar un servidor PingFederate local como proveedor SAML para Workspaces y Citrix Cloud™
April 2, 2026
Author:  Mark Dear
April 2, 2026
Author:  Mark Dear

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.