Citrix Endpoint Management

Autenticación con Azure Active Directory a través de Citrix Cloud

Endpoint Management admite la autenticación con credenciales de Azure Active Directory (Azure AD) a través de Citrix Cloud. Este método de autenticación está disponible solamente para los usuarios que se inscriben en MDM a través de la aplicación Citrix Workspace o Citrix Secure Hub. Si Endpoint Management tiene Workspace habilitado, los usuarios acceden a los recursos desde la aplicación Citrix Workspace. Si no habilita la integración de Citrix Workspace en Citrix Endpoint Management, los usuarios acceden a los recursos desde Secure Hub.

Los dispositivos que se inscriben en MAM no pueden autenticarse con credenciales de Azure AD a través de Citrix Cloud. Para utilizar Secure Hub con MDM+MAM, configure Endpoint Management de modo que se pueda usar Citrix Gateway para la inscripción de MAM. Para obtener más información, consulte Citrix Gateway y Endpoint Management.

Endpoint Management utiliza el servicio de Citrix Cloud llamado “Identidad de Citrix” para la federación con Azure Active Directory. Citrix recomienda usar el proveedor de identidades Citrix, en lugar de una conexión directa a Azure Active Directory.

Endpoint Management admite la autenticación con Azure AD para las siguientes plataformas:

  • Dispositivos iOS
  • Dispositivos Android Enterprise (Tech Preview) para el modo BYOD y el modo totalmente administrado
  • Dispositivos Android que funcionan en el modo de administración de dispositivos heredados

La autenticación con Azure AD a través de Citrix Cloud presenta estas limitaciones:

  • No está disponible para cuentas locales de Endpoint Management.
  • No admite la autenticación a través de Azure AD para invitaciones de inscripción. Si envía una invitación de inscripción a los usuarios y esa invitación contiene una URL de inscripción, los usuarios deberán autenticarse a través de LDAP en lugar de Azure AD.

Requisitos previos

  • Credenciales de usuario de Azure Active Directory
  • Los grupos de usuarios de Active Directory deben coincidir con los grupos de usuarios de Azure Active Directory.
  • Los nombres de usuario y las direcciones de correo electrónico de Active Directory deben coincidir con los de Azure Active Directory.
  • Cuenta de Citrix Cloud, con Citrix Cloud Connector instalado para la sincronización de servicios de directorio.
  • Citrix Gateway. Citrix recomienda habilitar la autenticación basada en certificados para ofrecer Single Sign-On de manera integral. Si utiliza la autenticación LDAP en Citrix Gateway para la inscripción MAM, los usuarios finales ven un mensaje de autenticación doble durante la inscripción. Para obtener más información, consulte Autenticación con certificado de cliente o certificado y dominio.
  • Secure Hub si Endpoint Management no tiene Workspace habilitado.
  • Aplicación Citrix Workspace si Endpoint Management tiene Workspace habilitado. Para obtener información sobre cómo habilitar la integración de Citrix Workspace, consulte Configuración de Workspace.
  • En los perfiles de inscripción para Android Enterprise, desactive la opción Permitir a los usuarios rechazar la administración de dispositivos. Si los usuarios rechazan la administración de dispositivos, no pueden inscribirse con un proveedor de identidades para autenticarse. Para obtener más información, consulte Seguridad de la inscripción.

Puede configurar esta función con y sin Workspace habilitado.

Configuración si Endpoint Management tiene Workspace habilitado

Si integra Endpoint Management en Citrix Workspace, los pasos generales para configurar la autenticación con Azure AD a través de Citrix Cloud son:

  1. Configurar Citrix Cloud para que use Azure AD como proveedor de identidades.
  2. Configurar Azure AD como método de autenticación de Citrix Workspace.

Configuración si Endpoint Management no tiene Workspace habilitado

Si Citrix Workspace no está habilitado para Endpoint Management, los pasos generales para configurar la autenticación con Azure AD a través de Citrix Cloud son:

  1. Configurar Citrix Cloud para que use Azure AD como proveedor de identidades.
  2. Configurar Identidad de Citrix como tipo de IDP para Endpoint Management.

Una vez finalizada la configuración, los usuarios de Secure Hub que estén unidos a un dominio pueden usar Secure Hub para iniciar sesión con sus credenciales de Azure AD. Secure Hub utiliza la autenticación por certificado de cliente para los dispositivos MAM.

Configurar Citrix Cloud para que use Azure Active Directory como proveedor de identidades

Para configurar este servicio de modo que pueda usarse con la aplicación Citrix Workspace y Secure Hub, configure Azure Active Directory en Citrix Cloud.

  1. Vaya a https://citrix.cloud.com e inicie sesión en su cuenta de Citrix Cloud.

  2. En el menú de Citrix Cloud, vaya a la página Administración de acceso e identidad y conéctese a Azure Active Directory.

  3. Escriba su URL de inicio de sesión de administrador y haga clic en Conectar.

    Pantalla de Citrix Cloud

  4. Una vez iniciada la sesión, su cuenta de Azure Active Directory se conecta a Citrix Cloud. La página Administración de acceso e identidad > Autenticación muestra las cuentas a usar para iniciar sesión en las cuentas de Citrix Cloud y Azure AD.

  5. Para habilitar la autenticación con Azure AD para los usuarios que se inscriben a través de la aplicación Citrix Workspace, en Configuración de Workspace > Autenticación, seleccione Azure Active Directory. Después de completar la configuración, puede inscribir dispositivos de usuario a través de la aplicación Citrix Workspace.

Configurar Identidad de Citrix como tipo de IDP para Endpoint Management

Esta configuración solo se aplica a los usuarios que se inscriben a través de Secure Hub. Después de configurar Azure Active Directory en Citrix Cloud, configure Endpoint Management de esta manera.

  1. En la consola de Endpoint Management, vaya a Parámetros > Proveedor de identidades (IDP) y, a continuación, haga clic en Agregar.

  2. En la página Proveedor de identidades (IDP), configure lo siguiente:

    • Nombre de IDP: Escriba un nombre único para identificar la conexión del proveedor de identidades que creará.
    • Tipo de IDP: Elija Citrix Identity Platform.
    • Dominio de autenticación: Elija Azure Active Directory. Este dominio corresponde al dominio del proveedor de identidades de la página de Citrix Cloud Configuración de Workspace > Autenticación.
  3. Haga clic en Siguiente. En la página Uso de notificaciones IDP, configure lo siguiente:

    • Tipo de identificador de usuario: De forma predeterminada, este campo se establece como userPrincipalName. Asegúrese de configurar todos los usuarios con el mismo identificador, tanto en Active Directory local como en Azure Active Directory. Endpoint Management utiliza este identificador para asignar usuarios del proveedor de identidades con usuarios de Active Directory local.
    • Cadena de identificador del usuario: Este campo se rellena automáticamente.
  4. Haga clic en Siguiente, revise la información de la página Resumen y, a continuación, haga clic en Guardar.

    Ahora, los usuarios de Secure Hub, la consola de Endpoint Management y Self-Help Portal pueden iniciar sesión con sus credenciales de Azure Active Directory.

Secuencia de autenticación en Secure Hub

Endpoint Management sigue este flujo para autenticar a los usuarios con Azure AD como IDP en dispositivos inscritos a través de Secure Hub:

  1. Un usuario inicia Secure Hub.
  2. Secure Hub transfiere la solicitud de autenticación a Identidad de Citrix, que a su vez la transfiere a Azure Active Directory.
  3. El usuario escribe su nombre de usuario y su contraseña de Azure Active Directory.
  4. Azure Active Directory valida al usuario y envía un código a Identidad de Citrix.
  5. Identidad de Citrix envía el código a Secure Hub, que a su vez lo envía a Endpoint Management.
  6. Endpoint Management obtiene un token de identificación mediante el código y el secreto, y, a continuación, valida la información del usuario que está en el token de identificación. Endpoint Management devuelve un ID de sesión.