Autenticación

A partir de la aplicación Citrix Workspace 2012, puedes ver el cuadro de diálogo de autenticación dentro de la aplicación Citrix Workspace y almacenar los detalles en la pantalla de inicio de sesión. Esta mejora proporciona una mejor experiencia de usuario.

Los tokens de autenticación se cifran y almacenan para que no tengas que volver a introducir las credenciales cuando el sistema o la sesión se reinicien.

Nota:

Esta mejora de la autenticación solo está disponible en implementaciones en la nube.

Requisito previo:

• Instala la biblioteca libsecret.

• Esta función está habilitada de forma predeterminada.

• Mejora de la autenticación para Storebrowse

• A partir de la versión 2205, el cuadro de diálogo de autenticación está presente dentro de la aplicación Citrix Workspace y los detalles del almacén se muestran en la pantalla de inicio de sesión para una mejor experiencia de usuario. Los tokens de autenticación se cifran y almacenan para que no tengas que volver a introducir las credenciales cuando el sistema o la sesión se reinicien.

• La mejora de la autenticación es compatible con storebrowse para las siguientes operaciones:

• Storebrowse -E: Enumera los recursos disponibles.
• Storebrowse -L: Inicia una conexión a un recurso publicado.
• Storebrowse -S: Enumera los recursos suscritos.
• Storebrowse -T: Finaliza todas las sesiones del almacén especificado.
• Storebrowse -Wr: Vuelve a conectar las sesiones desconectadas pero activas del almacén especificado. La opción [r] vuelve a conectar todas las sesiones desconectadas.
• storebrowse -WR: Vuelve a conectar las sesiones desconectadas pero activas del almacén especificado. La opción [R] vuelve a conectar todas las sesiones activas y desconectadas.
• Storebrowse -s: Suscribe el recurso especificado de un almacén determinado.
• Storebrowse -u: Anula la suscripción del recurso especificado de un almacén determinado.
• Storebrowse -q: Inicia una aplicación mediante la URL directa. Este comando solo funciona para almacenes de StoreFront.

Nota:

• Puedes seguir usando los comandos restantes de storebrowse como se usaban anteriormente (mediante AuthMangerDaemon).
• La mejora de la autenticación solo se aplica a las implementaciones en la nube.
• Con esta mejora, se admite la función de inicio de sesión persistente.

Compatibilidad con más de 200 grupos en Azure AD

A partir de la versión 2305, un usuario de Azure AD que forma parte de más de 200 grupos puede ver las aplicaciones y los escritorios asignados a ese usuario. Anteriormente, el mismo usuario no podía ver estas aplicaciones y escritorios.

Para habilitar esta función, haz lo siguiente:

1. Ve a $ICAROOT/config/AuthManConfig.xml y agrega las siguientes entradas:

   <compressedGroupsEnabled>true</compressedGroupsEnabled>
   <!--NeedCopy-->
   

Nota:

Los usuarios deben cerrar sesión en la aplicación Citrix Workspace y volver a iniciarla para habilitar esta función.

Configuración de la mejora de la autenticación para Storebrowse

De forma predeterminada, la función de mejora de la autenticación está deshabilitada.

Si gnome-keyring no está disponible, el token se almacena en la memoria del proceso de autoservicio.

• Para forzar el almacenamiento del token en la memoria, deshabilita gnome-keyring siguiendo estos pasos:

1. Ve a /opt/Citrix/ICAClient/config/AuthmanConfig.xml.

2. Agrega la siguiente entrada:

   <GnomeKeyringDisabled>true</GnomeKeyringDisabled>
   <!--NeedCopy-->
   

Tarjeta inteligente

Para configurar la compatibilidad con tarjetas inteligentes en la aplicación Citrix Workspace para Linux, debes configurar el servidor StoreFront a través de la consola de StoreFront.

• La aplicación Citrix Workspace admite lectores de tarjetas inteligentes que son compatibles con los controladores PCSC-Lite y PKCS#11 según corresponda. De forma predeterminada, la aplicación Citrix Workspace ahora localiza opensc-pkcs11.so en una de las ubicaciones estándar. Para agregar controladores PKCS#11 personalizados, consulta Agregar controladores PKCS#11 personalizados.

La aplicación Citrix Workspace puede encontrar opensc-pkcs11.so en una ubicación no estándar u otro controlador PKCS\#11. Puedes almacenar la ubicación respectiva siguiendo este procedimiento:

• 1. Localiza el archivo de configuración: $ICAROOT/config/AuthManConfig.xml.
• 1. Localiza la línea <key>PKCS11module</key> y agrega la ubicación del controlador al elemento <value> inmediatamente después de la línea.

• Nota:

  Si introduces un nombre de archivo para la ubicación del controlador, la aplicación Citrix Workspace navega a ese archivo en el directorio $ICAROOT/PKCS\ #11. También puedes usar una ruta absoluta que comience con “/”.

Después de quitar una tarjeta inteligente, configura el comportamiento de la aplicación Citrix Workspace actualizando SmartCardRemovalAction siguiendo estos pasos:

1. Localiza el archivo de configuración: $ICAROOT/config/AuthManConfig.xml
2. Localiza la línea <key>SmartCardRemovalAction</key> y agrega noaction o forcelogoff al elemento <value> inmediatamente después de la línea.

El comportamiento predeterminado es noaction. No se realiza ninguna acción para borrar las credenciales almacenadas y los tokens generados al quitar la tarjeta inteligente.

La acción forcelogoff borra todas las credenciales y tokens dentro de StoreFront al quitar la tarjeta inteligente.

Limitación:

• Los intentos de iniciar una sesión VDA del servidor mediante autenticación con tarjeta inteligente pueden fallar para la tarjeta inteligente con varios usuarios. [HDX-44255]

• Agregar controladores PKCS#11 personalizados

Si tu tarjeta inteligente requiere un controlador PKCS#11 personalizado, sigue estos pasos para agregar la ruta del controlador:

1. Ve al archivo de configuración $ICAROOT/config/AuthManConfig.xml.

2. Localiza la línea <key>PKCS11module</key> y agrega la ubicación del controlador al elemento <value> inmediatamente después de la línea. Por ejemplo:

   /usr/lib/pkcs11/libIDPrimePKCS11.so.

3. Localiza el archivo de configuración: $ICAROOT/config/scardConfig.json.

4. Localiza DefaultPKCS11Lib y cambia el valor predeterminado a la ruta del controlador personalizado sin /usr. Por ejemplo:

   /lib/pkcs11/libIDPrimePKCS11.so

Habilitar la compatibilidad con tarjetas inteligentes

La aplicación Citrix Workspace admite varios lectores de tarjetas inteligentes si la tarjeta inteligente está habilitada tanto en el servidor como en la aplicación Citrix Workspace.

Puedes usar tarjetas inteligentes para los siguientes propósitos:

• Autenticación de inicio de sesión con tarjeta inteligente: Te autentica en los servidores de Citrix Virtual Apps and Desktops™ o Citrix DaaS (anteriormente servicio Citrix Virtual Apps and Desktops).
• Compatibilidad de aplicaciones con tarjetas inteligentes: Permite que las aplicaciones publicadas compatibles con tarjetas inteligentes accedan a los dispositivos de tarjetas inteligentes locales.

Los datos de la tarjeta inteligente son sensibles a la seguridad y deben transmitirse a través de un canal seguro autenticado, como TLS.

La compatibilidad con tarjetas inteligentes tiene los siguientes requisitos previos:

• Tus lectores de tarjetas inteligentes y aplicaciones publicadas deben ser compatibles con el estándar industrial PC/SC.
• Instala el controlador adecuado para tu tarjeta inteligente.
• Instala el paquete PC/SC Lite.
• Instala y ejecuta el demonio pcscd, que proporciona middleware para acceder a la tarjeta inteligente mediante PC/SC.

• En un sistema de 64 bits, deben estar presentes las versiones de 64 y 32 bits del paquete “libpcsclite1”.

• Para obtener más información sobre cómo configurar la compatibilidad con tarjetas inteligentes en servidores, consulta Tarjetas inteligentes en la documentación de Citrix Virtual Apps and Desktops.

Mejora en la compatibilidad con tarjetas inteligentes

A partir de la versión 2112, la aplicación Citrix Workspace admite la funcionalidad Plug and Play para el lector de tarjetas inteligentes.

Cuando insertas una tarjeta inteligente, el lector de tarjetas inteligentes la detecta en el servidor y en el cliente.

Puedes conectar y usar diferentes tarjetas al mismo tiempo, y todas ellas se detectan.

Requisitos previos:

Instala la biblioteca libpcscd en el cliente Linux.

Nota:

Es posible que esta biblioteca esté instalada de forma predeterminada en las versiones recientes de la mayoría de las distribuciones de Linux. Sin embargo, es posible que debas instalar la biblioteca libpcscd en versiones anteriores de algunas distribuciones de Linux, como Ubuntu 1604.

Para deshabilitar esta mejora:

1. Navega a la carpeta <ICAROOT>/config/module.ini.
2. Ve a la sección SmartCard.
3. Establece DriverName=VDSCARD.DLL.

Compatibilidad con nuevas tarjetas PIV

A partir de la versión 2303, la aplicación Citrix Workspace admite las siguientes nuevas tarjetas de verificación de identificación personal (PIV):

• Tarjeta inteligente IDEMIA de próxima generación
• Tarjeta inteligente DELL TicTok

Optimización del rendimiento para el controlador de tarjetas inteligentes

La versión 2303 de la aplicación Citrix Workspace incluye correcciones y optimizaciones relacionadas con el rendimiento para el controlador de tarjetas inteligentes VDSCARDV2.DLL. Estas mejoras ayudan a superar el rendimiento de la versión 1 de VDSCARD.DLL.

Tarjeta inteligente rápida

La tarjeta inteligente rápida es una mejora con respecto a la redirección de tarjetas inteligentes basada en HDX PC/SC existente. Mejora el rendimiento cuando las tarjetas inteligentes se utilizan en entornos WAN de alta latencia.

Las tarjetas inteligentes rápidas solo son compatibles con VDA de Windows.

Para habilitar el inicio de sesión rápido con tarjeta inteligente en la aplicación Citrix Workspace:

A partir de la versión 2408, el inicio de sesión rápido con tarjeta inteligente está habilitado de forma predeterminada en el VDA y deshabilitado de forma predeterminada en la aplicación Citrix Workspace. Para habilitar la función de tarjeta inteligente rápida, haz lo siguiente:

1. Navega a la sección [SmartCard] en el archivo de configuración /opt/Citrix/ICAClient/config/module.ini.

2. Agrega la siguiente entrada:

   SmartCardCryptographicRedirection=On
   <!--NeedCopy-->
   

Para deshabilitar el inicio de sesión rápido con tarjeta inteligente en la aplicación Citrix Workspace:

Para deshabilitar el inicio de sesión rápido con tarjeta inteligente en la aplicación Citrix Workspace, quita el parámetro SmartCardCryptographicRedirection de la sección [SmartCard] en el archivo de configuración /opt/Citrix/ICAClient/config/module.ini.

Compatibilidad con tarjetas inteligentes de criptografía de próxima generación

A partir de la versión 2408, la aplicación Citrix Workspace admite la nueva tarjeta inteligente de verificación de identificación personal (PIV) que utiliza el algoritmo de criptografía de curva elíptica (ECC). Este tipo de tarjeta inteligente funciona según la criptografía de próxima generación.

Compatibilidad con la autenticación multifactor (nFactor)

La autenticación multifactor mejora la seguridad de una aplicación al requerir que los usuarios proporcionen pruebas de identificación adicionales para obtener acceso.

La autenticación multifactor hace que los pasos de autenticación y los formularios de recopilación de credenciales asociados sean configurables por el administrador.

La aplicación nativa Citrix Workspace admite este protocolo basándose en la compatibilidad con el inicio de sesión mediante formularios ya implementada para StoreFront. Las páginas web de inicio de sesión para Citrix Gateway y los servidores virtuales de Traffic Manager también consumen este protocolo.

Nota:

• La autenticación multifactor (nFactor) solo admite la autenticación basada en formularios.

Para obtener más información, consulta Autenticación SAML y Autenticación multifactor (nFactor) en la documentación de Citrix ADC.

• Compatibilidad con Endpoint Analysis para la autenticación multifactor (nFactor)

• A partir de esta versión, la aplicación Citrix Workspace admite Endpoint Analysis (EPA) para la autenticación multifactor, lo que mejora el cumplimiento y la seguridad. Por ejemplo, si EPA y LDAP están configurados como parte de la autenticación multifactor, la aplicación Citrix Workspace detecta y ejecuta la aplicación EPA para la autenticación junto con la autenticación LDAP.

• Anteriormente, la aplicación Citrix Workspace no admitía la invocación de la aplicación EPA, lo que resultaba en un error de “Acceso denegado”. Esta versión admite la invocación de EPA, lo que permite que el proceso de autenticación se desarrolle sin problemas.

La nueva función garantiza comprobaciones exhaustivas de seguridad de los puntos finales, el cumplimiento de las políticas organizativas y los requisitos reglamentarios. Reduce el riesgo de acceso no autorizado y mejora la integridad general de la red.

Requisitos previos:

Asegúrate de que la aplicación Endpoint Analysis esté instalada en tu sistema.

Sistemas operativos compatibles:

• IGEL OS: EPA ya está disponible.
• Ubuntu 18, 20 y 22: EPA no está preinstalado; debes descargar e instalar EPA antes de continuar con la autenticación. Descarga EPA para Ubuntu desde la página de descargas de Citrix.

Esta función está habilitada de forma predeterminada y se utiliza junto con la autenticación multifactor. Para obtener más información, consulta la documentación sobre autenticación multifactor (nFactor).

Compatibilidad con la autenticación mediante FIDO2 en la sesión HDX

A partir de la versión 2303, puedes autenticarte dentro de una sesión HDX utilizando claves de seguridad FIDO2 sin contraseña. Las claves de seguridad FIDO2 proporcionan una forma sencilla para que los empleados de la empresa se autentiquen en aplicaciones o escritorios compatibles con FIDO2 sin introducir un nombre de usuario o contraseña. Para obtener más información sobre FIDO2, consulta Autenticación FIDO2.

Nota:

Si utilizas el dispositivo FIDO2 a través de la redirección USB, quita la regla de redirección USB de tu dispositivo FIDO2. Puedes acceder a esta regla desde el archivo usb.conf en la carpeta $ICAROOT/. Esta actualización te ayuda a cambiar al canal virtual FIDO2.

De forma predeterminada, la autenticación FIDO2 está deshabilitada. Para habilitar la autenticación FIDO2, haz lo siguiente:

1. Navega al archivo <ICAROOT>/config/module.ini.
2. Ve a la sección ICA 3.0.
3. Establece FIDO2= On.

Esta función actualmente admite autenticadores itinerantes (solo USB) con código PIN y capacidades táctiles. Puedes configurar la autenticación basada en claves de seguridad FIDO2. Para obtener información sobre los requisitos previos y el uso de esta función, consulta Autorización local y autenticación virtual mediante FIDO2.

Cuando accedes a una aplicación o un sitio web compatible con FIDO2, aparece un mensaje que solicita acceso a la clave de seguridad. Si ya registraste tu clave de seguridad con un PIN, debes introducir el PIN al iniciar sesión. El PIN puede tener un mínimo de 4 y un máximo de 64 caracteres.

Si registraste tu clave de seguridad previamente sin un PIN, simplemente toca la clave de seguridad para iniciar sesión.

Limitación:

Es posible que no puedas registrar un segundo dispositivo en la misma cuenta usando la autenticación FIDO2.

Compatibilidad con varias claves de acceso en la sesión HDX

Anteriormente, cuando había varias claves de acceso asociadas a una clave de seguridad o a un dispositivo FIDO2, no tenías la opción de seleccionar la clave de acceso adecuada. Por defecto, la primera clave de acceso se usaba para la autenticación.

A partir de la versión 2405, puedes seleccionar una clave de acceso adecuada desde la interfaz de usuario de la aplicación Citrix Workspace. Esta función está habilitada por defecto. Cuando hay varias claves de acceso, la primera se selecciona por defecto. Sin embargo, puedes seleccionar la clave de acceso adecuada de la siguiente manera:

Compatibilidad con la autenticación FIDO2 al conectarse a almacenes locales

• A partir de la versión 2309 de la aplicación Citrix Workspace para Linux, los usuarios pueden autenticarse usando claves de seguridad FIDO2 sin contraseña al iniciar sesión en almacenes locales. Las claves de seguridad admiten diferentes tipos de entradas de seguridad, como PIN de seguridad, datos biométricos, deslizamiento de tarjeta, tarjeta inteligente, certificados de clave pública, etc. Para obtener más información sobre FIDO2, consulta Autenticación FIDO2.

Los administradores pueden configurar el tipo de navegador para autenticarse en la aplicación Citrix Workspace. Para habilitar la función, ve a $ICAROOT/config/AuthManConfig.xml y agrega las siguientes entradas:

    <key>FIDO2Enabled</key>
    <value>true</value>
<!--NeedCopy-->

Para modificar el navegador predeterminado, ve a $ICAROOT/config/AuthManConfig.xml y modifica la configuración del navegador según sea necesario. Los valores posibles son chromium, firefox, chromium-browser y Microsoft Edge.

    <FIDO2AuthBrowser>firefox</FIDO2AuthBrowser>
<!--NeedCopy-->

Compatibilidad con la autenticación FIDO2 al conectarse a almacenes en la nube

A partir de la versión 2405 de la aplicación Citrix Workspace para Linux, los usuarios pueden autenticarse usando claves de seguridad FIDO2 sin contraseña al iniciar sesión en almacenes en la nube. Las claves de seguridad admiten diferentes tipos de entradas de seguridad, como PIN de seguridad, datos biométricos, deslizamiento de tarjeta, tarjeta inteligente, certificados de clave pública, etc. Para obtener más información, consulta Autenticación FIDO2.

Los administradores pueden configurar el tipo de navegador para autenticarse en la aplicación Citrix Workspace.

Para habilitar la función, ve a $ICAROOT/config/AuthManConfig.xml y agrega las siguientes entradas:

    <key>FIDO2Enabled</key>
    <value>true</value>
<!--NeedCopy-->

Para modificar el navegador predeterminado, ve a $ICAROOT/config/AuthManConfig.xml y modifica la configuración del navegador según sea necesario. Los valores posibles son chromium, firefox y chromium-browser.

    <FIDO2AuthBrowser>firefox</FIDO2AuthBrowser>
<!--NeedCopy-->

Configurar la autenticación FIDO2 usando GACS

Para habilitar la autenticación FIDO2 para la URL del almacén usando GACS, sigue estos pasos:

1. Inicia sesión en Citrix Cloud™.

2. En la esquina superior izquierda, haz clic en el icono de la hamburguesa, luego en Workspace Configuration y, a continuación, en App Configuration.

   

3. Haz clic en Workspace y, a continuación, en el botón Configure.

   

• 1. Haz clic en Security and Authentication y, a continuación, en Authentication.

  

1. Haz clic en FIDO2 Authentication, selecciona la casilla de verificación Linux y, a continuación, activa el conmutador Enabled.

   

2. Haz clic en Publish Draft.

Autenticación personalizada

La siguiente tabla proporciona una referencia a la autenticación personalizada disponible para la aplicación Citrix Workspace:

• Compatibilidad con NFC para la autenticación FIDO2

A partir de la versión 2411, puedes usar la tarjeta NFC compatible con FIDO2 para una experiencia de “tocar y listo” (Tap-and-Go), que es una solución de inicio de sesión único (SSO) de extremo a extremo. Esto significa que puedes usar una tarjeta NFC para autenticarte en un almacén de Citrix® y, a continuación, un escritorio virtual o una aplicación virtual preconfigurados se abrirán automáticamente usando SSO.

Para obtener más información sobre cómo configurar esta función, consulta las siguientes secciones:

Requisitos previos

Requisitos de hardware:

• Claves FIDO2 compatibles con NFC. Por ejemplo, Yubikey5.
• Lectores FIDO2 compatibles con NFC que sean compatibles con clientes Linux. Por ejemplo, ACR1252U-M.

Requisitos de software:

Los siguientes paquetes de software son necesarios para esta función:

• swig
• libpcsclite-devel y pcsc-lite para CentOS o RHEL
• libpcsclite-dev y pcscd para Ubuntu
• python3 y python3-pip
• Paquetes de Python: pyscard, uhid y fido2
• Navegador Chromium (si no se prefiere Citrix Enterprise Browser). El instalador preferido para el navegador Chromium es el paquete Debian, que se puede descargar desde la página de descargas de Chromium. No se recomienda instalar Chromium como un snap.

Nota:

• Los administradores pueden instalar los paquetes anteriores ejecutando el script setupFIDO2Service.sh, que se encuentra en <ICAROOT>/util/Fido2HIDBridge, como usuario sudo. Este script setupFIDO2Service.sh es un ejemplo para los sistemas operativos Ubuntu y RHEL. Los administradores pueden modificar este script según sea necesario para la configuración de su sistema operativo.
• Esta función no es compatible con las arquitecturas Ubuntu x86-64, RHEL x86-64 y ARM64.

Cómo habilitar esta función

1. Asegúrate de que el servicio fido2-hid-bridge.service esté en ejecución, ya que normalmente se instala con la aplicación Citrix Workspace. Si no está en ejecución, puedes iniciarlo manualmente.

   

2. Navega hasta $ICAROOT/config/AuthManConfig.xml y agrega las siguientes entradas:

   <key>FIDO2Enabled</key>

   <value>true</value>

   Deshabilita también el token de larga duración:

   <longLivedTokenSupport>false</longLivedTokenSupport>

3. Si es necesario, modifica el navegador predeterminado navegando hasta $ICAROOT/config/AuthManConfig.xml y actualizando la configuración del navegador según sea necesario. Los valores posibles son CEB y chromium. El valor predeterminado es CEB.

   <FIDO2AuthBrowser>CEB</FIDO2AuthBrowser>

4. Para mostrar el Autenticador de la aplicación en pantalla completa, agrega la siguiente entrada:

   <Fido2FullScreenMode>true</Fido2FullScreenMode>

   De forma predeterminada, el Autenticador de la aplicación se muestra en modo ventana.

Cómo usar esta función

1. Agrega StoreURL y ResourceName en $ICAROOT/config/AuthManConfig.xml:

   <StoreURL>test.cloud.com</StoreURL>

   <ResourceName>Notepad</ResourceName>

2. Navega hasta $ICAROOT/util y ejecuta nfcui.

   

3. Una vez agregada la tienda, toca o haz clic en Continuar para la autenticación.

   

4. En la página de autenticación, introduce las credenciales de usuario y haz clic en Cara, Huella digital, PIN o Clave de seguridad como opción de inicio de sesión.

5. Toca la clave FIDO2 compatible con NFC en el lector.

6. Introduce el PIN de tu clave de seguridad y haz clic en Siguiente.

7. Después de una autenticación exitosa, haz clic en Sí en la ventana ¿Mantener la sesión iniciada?.

8. Una vez completada la autenticación, se inicia el VDA configurado o la aplicación.

   

La aplicación se ha iniciado correctamente.

Exigir a los usuarios finales que se autentiquen y accedan a aplicaciones y escritorios a través de la aplicación nativa

A partir de la versión 2508, los administradores pueden exigir a los usuarios de Linux que accedan a Citrix Workspace exclusivamente a través de la aplicación nativa. Cuando está habilitada, los usuarios que intentan acceder a la URL de la tienda o usar navegadores de terceros son redirigidos automáticamente a la aplicación Citrix Workspace. Esto garantiza que los usuarios se beneficien de todas las funciones de la aplicación nativa y disfruten de una experiencia fluida.

Si los usuarios intentan conectarse usando un navegador e iniciar el motor HDX™, se les pedirá que agreguen la tienda al cliente nativo para uso futuro. Esta función otorga a los administradores un mayor control, mejora la seguridad al mantener la autenticación dentro de la aplicación nativa. Además, elimina la necesidad de descargar archivos ICA.

Los administradores pueden habilitar esta función en Citrix Cloud. Actualmente, solo es compatible con las tiendas de Cloud.

Para obtener más información, consulta Exigir a los usuarios finales que se autentiquen y accedan a aplicaciones y escritorios a través de la aplicación nativa.

Compatibilidad con SSO de Entra ID para la nube

A partir de la versión 2508.10, la aplicación Citrix Workspace para Linux es compatible con el inicio de sesión único (SSO) de Microsoft Entra ID en dispositivos de punto final que ejecutan Ubuntu 22.04 y Ubuntu 24.04. Usa las credenciales de Microsoft Entra ID para iniciar sesión en las tiendas en la nube de Citrix y acceder a Citrix Virtual Apps and Desktops con SSO, sin repetidas solicitudes de credenciales.

Inicio de sesión único con Microsoft Entra ID

Usa SSO con las credenciales de Microsoft Entra ID para acceder a aplicaciones y escritorios virtuales en hosts de sesión unidos a Entra o unidos a Entra híbrido.

Requisitos previos

Instala los siguientes paquetes en el dispositivo de punto final:

• gnome-keyring (versión 3.18.3 o posterior)

  Para Ubuntu y distribuciones basadas en Ubuntu, ejecuta el siguiente comando:

  sudo apt-get install gnome-keyring
  <!--NeedCopy-->
  

• libsecret

  Para Ubuntu y distribuciones basadas en Ubuntu, ejecuta el siguiente comando:

  sudo apt-get install libsecret-1-0
  <!--NeedCopy-->
  

Nota:

Cuando el token de larga duración (LLT) de Citrix está habilitado, las cookies de SSO de Microsoft Entra ID deben persistir para mantener una autenticación fluida. Para habilitar la persistencia de cookies, configura la siguiente opción en AuthManConfig.xml ubicado en /opt/Citrix/ICAClient:

<key>SharedAuthContextEnabled</key>
<value>true</value>
<!--NeedCopy-->

SSO de Entra ID usando el navegador del sistema

Para habilitar el SSO de Entra ID con el navegador del sistema, establece las siguientes claves en AuthManConfig.xml ubicado en /opt/Citrix/ICAClient:

<key>AADSSOWithFido2AuthenticationEnabled</key>
<value>true</value>

<key>FIDO2Enabled</key>
<value>true</value>

<!-- FIDO2AuthBrowser options: CEB, chromium, firefox, chromium-browser -->
<FIDO2AuthBrowser>chromium</FIDO2AuthBrowser>
<!--NeedCopy-->

Nota:

El inicio de sesión único (SSO) de Entra ID es compatible con Firefox, Microsoft Edge y Chromium.

Inicio de sesión único (SSO) de Entra ID con Storebrowse

Para habilitar el inicio de sesión único (SSO) de Entra ID con Storebrowse:

1. Navega hasta el directorio de utilidades:

   cd /opt/Citrix/ICAClient/util
   <!--NeedCopy-->
   

2. Agrega el almacén:

   ./storebrowse -a <store_URL>
   <!--NeedCopy-->
   

3. Enumera y autentica el almacén:

   ./storebrowse -E <full_store_URL>
   <!--NeedCopy-->
   

4. Inicia el recurso:

   ./storebrowse -L <resourceID> <full_store_URL>
   <!--NeedCopy-->
   

Inicio de sesión único (SSO) de Entra ID desde navegadores web

A partir de la versión 2601, la aplicación Citrix Workspace para Linux es compatible con el inicio de sesión único (SSO) de Entra ID desde navegadores web a través de la extensión web de Citrix. Esta función está habilitada de forma predeterminada.

Requisitos previos:

Se requieren las siguientes bibliotecas:

• gnome-keyring versión 3.18.3 o posterior

  Si usas Debian, ejecuta el siguiente comando:

   sudo apt-get install gnome-keyring
   <!--NeedCopy-->
  

  Si usas RPM, ejecuta el siguiente comando:

   sudo yum install gnome-keyring
   <!--NeedCopy-->
  

• libsecret

  Si usas Debian, ejecuta el siguiente comando:

   sudo apt-get install libsecret-1-0
   <!--NeedCopy-->
  

  Si usas RPM, ejecuta el siguiente comando:

   sudo yum install libsecret-1*
   <!--NeedCopy-->
  

Compatibilidad de Microsoft Edge con FIDO2 y el inicio de sesión único (SSO) de Entra ID

A partir de la versión 2601, la aplicación Citrix Workspace para Linux agrega compatibilidad con el uso de Microsoft Edge para:

• Autenticación FIDO2
• Inicio de sesión único (SSO) de Entra ID mediante el navegador del sistema

Para configurar Microsoft Edge para estos flujos, modifica AuthManConfig.xml ubicado en /opt/Citrix/ICAClient/config/AuthManConfig.xml.

Usa Microsoft Edge como navegador para la autenticación FIDO2:

<!-- FIDO2AuthBrowser - CEB, chromium, firefox, chromium-browser, edge -->
<FIDO2AuthBrowser>edge</FIDO2AuthBrowser>
<!--NeedCopy-->

Usa Microsoft Edge como navegador del sistema para el inicio de sesión único (SSO) de Entra ID:

<!-- SystemBrowser - CEB, chromium, firefox, chromium-browser, edge -->
<SystemBrowser>edge</SystemBrowser>
<!--NeedCopy-->

Estas configuraciones garantizan que tanto la autenticación FIDO2 como el flujo de inicio de sesión único (SSO) de Entra ID se inicien con Microsoft Edge.

Configuración del tiempo de espera de autenticación FIDO2

A partir de la versión 2601, la aplicación Citrix Workspace para Linux ofrece una opción de configuración para controlar el tiempo de espera de la autenticación FIDO2 basada en navegador.

Para configurar, abre /opt/Citrix/ICAClient/config/AuthManConfig.xml y establece el tiempo de espera (en segundos) usando FIDO2AuthTimeout:

<!-- FIDO2AuthTimeout - Authentication timeout in seconds (default: 60, max: 180) -->
<FIDO2AuthTimeout>60</FIDO2AuthTimeout>
<!--NeedCopy-->

Nota:

Establece el tiempo de espera en un valor entre 60 y 180 segundos, según sea necesario.

Cierre de sesión del proveedor de identidades (IDP) por tiempo de espera de inactividad de Workspace (WSP)

A partir de la versión 2601, la aplicación Citrix Workspace para Linux agrega compatibilidad con el cierre de sesión del proveedor de identidades (IDP) durante el cierre de sesión del usuario y cuando se produce un tiempo de espera de inactividad de Workspace (WSP). Esta función opcional ayuda a garantizar la terminación completa de la sesión en toda la cadena de autenticación, al tiempo que conserva el comportamiento de cierre de sesión existente a menos que se habilite.

Para configurar esta función, modifica AuthManConfig.xml ubicado en /opt/Citrix/ICAClient/config/AuthManConfig.xml.

Configuración predeterminada:

<!-- EnableChainedLogoffOnTimeout - true, false -->
<EnableChainedLogoffOnTimeout>false</EnableChainedLogoffOnTimeout>
<!--NeedCopy-->

Para habilitar la función,

<!-- EnableChainedLogoffOnTimeout - true, false -->
<EnableChainedLogoffOnTimeout>true</EnableChainedLogoffOnTimeout>
<!--NeedCopy-->

Nota:

Esta función está deshabilitada de forma predeterminada. Contacta con tu administrador para habilitar esta función si es necesario.