Documentación de productos
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
Ver PDF

Paso a través de dominio a Citrix Workspace usando Citrix Gateway local como proveedor de identidades

April 16, 2026
Contribución de: 
C

Importante:

Este artículo te ayuda a configurar la autenticación de paso a través de dominio. Si ya configuraste Gateway local como IdP, salta a la sección Configurar el paso a través de dominio como método de autenticación en Citrix Gateway.

  • Citrix Cloud™ admite el uso de un Citrix Gateway local como proveedor de identidades para autenticar a los suscriptores que inician sesión en sus espacios de trabajo.

  • Al usar la autenticación de Citrix Gateway, puedes:

  • Continuar autenticando a los usuarios a través de tu Citrix Gateway existente para que puedan acceder a los recursos de tu implementación local de Virtual Apps and Desktops a través de Citrix Workspace.
  • Usar las funciones de autenticación, autorización y auditoría de Citrix Gateway con Citrix Workspace.

  • Proporcionar a tus usuarios acceso a los recursos que necesitan a través de Citrix Workspace utilizando funciones como la autenticación de paso a través, tarjetas inteligentes, tokens seguros, políticas de acceso condicional y federación.

  • La autenticación de Citrix Gateway es compatible con las siguientes versiones de productos:

  • Citrix Gateway 13.1.4.43 Advanced Edition o posterior

Requisitos previos:

-  Cloud Connectors: Necesitas al menos dos servidores en los que instalar el software Citrix Cloud Connector™.
-  Un Active Directory y asegúrate de que el dominio esté registrado.
-  Requisitos de Citrix Gateway
-  Usa políticas avanzadas en el gateway local debido a la obsolescencia de las políticas clásicas.
-  Al configurar el Gateway para autenticar a los suscriptores de Citrix Workspace, el gateway actúa como un proveedor de OpenID Connect. Los mensajes entre Citrix Cloud y Gateway cumplen con el protocolo OIDC, lo que implica la firma digital de tokens. Por lo tanto, debes configurar un certificado para firmar estos tokens.
-  Sincronización de reloj: Citrix Gateway debe estar sincronizado con la hora NTP.
  • Para obtener más información, consulta Requisitos previos en la documentación de Citrix Cloud.

Antes de crear la política de IdP de OAuth, primero debes configurar Citrix Workspace o Cloud para usar Gateway como opción de autenticación en el IdP. Para obtener detalles sobre cómo configurarlo, consulta Conectar un Citrix Gateway local a Citrix Cloud. Cuando completes la configuración, se generarán el ID de cliente, el secreto y la URL de redireccionamiento necesarios para crear la política de IdP de OAuth.

El paso a través de dominio para Workspace para web se habilita si usas Internet Explorer, Microsoft Edge, Mozilla Firefox y Google Chrome. El paso a través de dominio se habilita solo cuando el cliente se detecta correctamente.

Nota:

Si un usuario prefiere el cliente HTML5 o si el administrador lo impone, el método de autenticación de paso a través de dominio no se habilita.

Al iniciar la URL de StoreFront en un navegador, se muestra el mensaje Detectar Receiver.

Si los dispositivos están administrados, configura la política de grupo para deshabilitar este mensaje en lugar de deshabilitar la detección de clientes. Para obtener más información, consulta:

Nota:

El controlador de protocolo utilizado por la aplicación Citrix Workspace es receiver:. Configúralo como una de las URL permitidas.

Los usuarios también pueden seleccionar la casilla de verificación como se muestra en el siguiente ejemplo de mensaje para una URL de StoreFront en el mensaje de detección de cliente. Al seleccionar esta casilla de verificación, también se evita el mensaje para lanzamientos posteriores.

Permitir el iniciador de Citrix Workspace

Los siguientes pasos explican cómo se puede configurar Citrix Gateway como IdP.

Crear una política de IdP de OAuth en el Citrix Gateway local

La creación de una política de autenticación de IdP de OAuth implica las siguientes tareas:

  1. Crear un perfil de IdP de OAuth.
  2. Agregar una política de IdP de OAuth.
  3. Vincular la política de IdP de OAuth a un servidor virtual.
  4. Vincular el certificado globalmente.

Crear un perfil de IdP de OAuth 

    -  1.  Para crear un perfil de IdP de OAuth usando la CLI, escribe lo siguiente en el símbolo del sistema:

```
    -  add authentication OAuthIdPProfile <name> [-clientID <string>][-clientSecret ][-redirectURL <URL>][-issuer <string>][-audience <string>][-skewTime <mins>] [-defaultAuthenticationGroup <string>]

    -  add authentication OAuthIdPPolicy <name> -rule <expression> [-action <string> [-undefAction <string>] [-comment <string>][-logAction <string>]

add authentication ldapAction <name> -serverIP <IP> -ldapBase "dc=aaa,dc=local"

ldapBindDn <administrator@aaa.local> -ldapBindDnPassword <password> -ldapLoginName sAMAccountName

add authentication policy <name> -rule <expression> -action <string>

    -  bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <integer> -gotoPriorityExpression NEXT

    -  bind authentication vserver auth_vs -policy <OAuthIdPPolicyName> -priority <integer> -gotoPriorityExpression END

    -  bind vpn global –certkey <>

<!--NeedCopy--> ```

  1. Para crear un perfil de IdP de OAuth usando la GUI:

    1. Inicia sesión en tu portal de administración de Citrix Gateway local y navega a Seguridad > AAA – Tráfico de aplicaciones > Políticas > Autenticación > Políticas avanzadas > OAuth IDP.

      IdP de OAuth

        1. En la página IdP de OAuth, haz clic en la ficha Perfiles y luego en Agregar.
        1. Configura el perfil de IdP de OAuth.

Nota:

  • Copia y pega los valores de ID de cliente, Secreto y URL de redireccionamiento de la ficha Citrix Cloud > Administración de identidades y accesos > Autenticación para establecer la conexión con Citrix Cloud.
  • Introduce la URL de Gateway correctamente en el campo Nombre del emisor. Por ejemplo, https://GatewayFQDN.com.
  • Copia y pega también el ID de cliente en el campo Audiencia.
  • Enviar contraseña: Habilita esta opción para la compatibilidad con el inicio de sesión único. Esta opción está deshabilitada de forma predeterminada.
1.  En la pantalla **Crear perfil de IdP de OAuth de autenticación**, establece los valores para los siguientes parámetros y haz clic en **Crear**.

    -  **Nombre**: Nombre del perfil de autenticación. Debe comenzar con una letra, un número o el carácter de subrayado (_). El nombre solo debe contener letras, números y los caracteres guion (-), punto (.), almohadilla (#), espacio ( ), arroba (@), igual (=), dos puntos (:) y subrayado. No puedes cambiar el nombre después de crear el perfil.
    -  **ID de cliente**: Cadena única que identifica al SP. El servidor de autorización infiere la configuración del cliente usando este ID. Longitud máxima: 127.
    -  **Secreto de cliente**: Cadena secreta establecida por el usuario y el servidor de autorización. Longitud máxima: 239.
    -  **URL de redireccionamiento**: Punto final en el SP al que se debe publicar el código/token.
    -  **Nombre del emisor**: Identidad del servidor cuyos tokens deben aceptarse. Longitud máxima: 127. Ejemplo: `https://GatewayFQDN.com`.
    -  **Audiencia**: Destinatario objetivo del token enviado por el IdP. El destinatario verifica este token.
    -  **Tiempo de desviación**: Esta opción especifica la desviación de reloj permitida (en minutos) que Citrix ADC permite en un token entrante. Por ejemplo, si el tiempo de desviación es 10, el token es válido desde (hora actual - 10) minutos hasta (hora actual + 10) minutos, es decir, 20 minutos en total. Valor predeterminado: 5.
    -  **Grupo de autenticación predeterminado**: Un grupo agregado a la lista de grupos internos de la sesión cuando el IdP elige este perfil, que se puede usar en el flujo nFactor. Se puede usar en la expresión (AAA.USER.IS_MEMBER_OF(“xxx”)) para las políticas de autenticación para identificar el flujo nFactor relacionado con la parte que confía. Longitud máxima: 63

Se agrega un grupo a la sesión para este perfil para simplificar la evaluación de políticas y ayudar a personalizar las políticas. Este grupo es el grupo predeterminado que se elige cuando la autenticación se realiza correctamente, además de los grupos extraídos. Longitud máxima: 63.

  ![Crear perfil de IdP de OAuth](/en-us/citrix-workspace-app-for-windows/media/create-oth-idp-profil.png)

Agregar una política de IdP de OAuth

  1. En la página IdP de OAuth, haz clic en Políticas y luego en Agregar.

  2. En la pantalla Crear política de IdP de OAuth de autenticación, establece los valores para los siguientes parámetros y haz clic en Crear.

    • Nombre – El nombre de la directiva de autenticación.
    • Acción – Nombre del perfil creado anteriormente.
    • Acción de registro – Nombre de la acción de registro de mensajes que se utilizará cuando una solicitud coincida con esta directiva. Campo no obligatorio.
    • Acción de resultado indefinido – Acción que se realizará si el resultado de la evaluación de la directiva es indefinido (UNDEF). Campo no obligatorio.
    • Expresión – Expresión de sintaxis predeterminada que utiliza la directiva para responder a una solicitud específica. Por ejemplo, true.
    • Comentarios – Cualquier comentario sobre la directiva.

    Create OAuth IdP Policy

    Nota:

    Cuando sendPassword se establece en ON (OFF de forma predeterminada), las credenciales de usuario se cifran y se transmiten a través de un canal seguro a Citrix Cloud. La transmisión de credenciales de usuario a través de un canal seguro te permite habilitar el inicio de sesión único (SSO) en Citrix Virtual Apps and Desktops™ al iniciar.

Vincular la directiva OAuthIDP y la directiva LDAP al servidor de autenticación virtual

Ahora debes vincular la directiva OAuth IdP al servidor de autenticación virtual en Citrix Gateway local.

  1. Inicia sesión en tu portal de administración de Citrix Gateway local y navega hasta Configuración > Seguridad > Tráfico AAA-Aplicación > Directivas > Autenticación > Directivas avanzadas > Acciones > LDAP.
  2. En la pantalla Acciones LDAP, haz clic en Agregar.
      1. En la pantalla Crear servidor LDAP de autenticación, establece los valores para los siguientes parámetros y haz clic en Crear.
      • Nombre – El nombre de la acción LDAP.
      • Nombre del servidor/IP del servidor – Proporciona el FQDN o la IP del servidor LDAP.
      • Elige los valores adecuados para Tipo de seguridad, Puerto, Tipo de servidor, Tiempo de espera.
      • Asegúrate de que Autenticación esté marcada.
    • DN base – Base desde la que iniciar la búsqueda LDAP. Por ejemplo, dc=aaa, dc=local.
    • DN de enlace de administrador: Nombre de usuario del enlace al servidor LDAP. Por ejemplo, admin@aaa.local.
    • Contraseña de administrador/Confirmar contraseña: Contraseña para enlazar LDAP.
    • Haz clic en Probar conexión para probar tu configuración.
    • Atributo de nombre de inicio de sesión del servidor: Elige “sAMAccountName”.
    • Otros campos no son obligatorios y, por lo tanto, se pueden configurar según sea necesario.
  3. Navega hasta Configuración > Seguridad > Tráfico AAA-Aplicación > Directivas > Autenticación > Directivas avanzadas > Directiva.
  4. En la pantalla Directivas de autenticación, haz clic en Agregar.

  5. En la página Crear directiva de autenticación, establece los valores para los siguientes parámetros y haz clic en Crear.

    • Nombre – Nombre de la directiva de autenticación LDAP.
    • Tipo de acción – Elige LDAP.
    • Acción – Elige la acción LDAP.
    • Expresión – Expresión de sintaxis predeterminada que utiliza la directiva para responder a una solicitud específica. Por ejemplo, true**.

Vincular el certificado globalmente a la VPN 

    -  Vincular el certificado globalmente a la VPN requiere acceso CLI a Citrix Gateway local. Utiliza Putty (o similar) para iniciar sesión en Citrix Gateway local mediante SSH.

    -  1.  Inicia una utilidad de línea de comandos, como Putty.
  1. Inicia sesión en Citrix Gateway local mediante SSH.

  2. Escribe el siguiente comando: show vpn global

    Nota:

    No debe haber ningún certificado vinculado.

    Show VPN global

  3. Para listar los certificados en Citrix Gateway local, escribe el siguiente comando:
  • show ssl certkey
    1. Selecciona el certificado adecuado y escribe el siguiente comando para vincular el certificado globalmente a la VPN:

  • bind vpn global -certkey cert_key_name

  • donde cert_key_name es el nombre del certificado.
    1. Escribe el siguiente comando para comprobar si el certificado está vinculado globalmente a la VPN:

    show vpn global

    Show VPN global

Configurar el paso a través de dominio como método de autenticación en Citrix Gateway

Cuando termines de configurar Citrix Gateway como IdP, realiza los siguientes pasos para configurar el paso a través de dominio como método de autenticación en Citrix Gateway.

Cuando el paso a través de dominio se establece como método de autenticación, el cliente utiliza tickets Kerberos para autenticarse en lugar de credenciales. Citrix Gateway admite tanto la suplantación como la delegación restringida de Kerberos (KCD). Sin embargo, este artículo describe la autenticación KCD. Para obtener más información, consulta el artículo del Centro de conocimiento CTX236593.

La configuración del paso a través de dominio incluye los siguientes pasos:

  1. Configuración de la delegación restringida de Kerberos
  2. Configuración del cliente

Configuración de la delegación restringida de Kerberos

  1. Crea un usuario KCD en Active Directory

    Kerberos funciona con un sistema de concesión de tickets para autenticar usuarios en los recursos, e implica un cliente, un servidor y un Centro de distribución de claves (KDC).

    Para que Kerberos funcione, el cliente necesita solicitar un ticket al KDC. El cliente debe autenticarse primero en el KDC utilizando su nombre de usuario, contraseña y dominio antes de solicitar un ticket, denominado solicitud AS.

    Kerberos properties

  2. Asocia el nuevo usuario con el Nombre principal de servicio (SPN).

    El SPN de Gateway es utilizado por el cliente para autenticarse.

    • Nombre principal de servicio (SPN): Un Nombre principal de servicio (SPN) es un identificador único de una instancia de servicio. La autenticación Kerberos utiliza el SPN para asociar una instancia de servicio con una cuenta de inicio de sesión de servicio. Esta función permite que una aplicación cliente solicite la autenticación de servicio de una cuenta incluso si el cliente no tiene el nombre de la cuenta.

    SetSPN es la aplicación para administrar SPN en un dispositivo Windows. Con SetSPN, puedes ver, editar y eliminar registros de SPN.

    1. En el servidor de Active Directory, abre un símbolo del sistema.

    2. En el símbolo del sistema, introduce el siguiente comando:

      setspn –A http/<LB fqdn> <domain\Kerberos user>

    3. Para confirmar los SPN del usuario Kerberos, ejecuta el siguiente comando:

      setspn –l <Kerberos user>

      La ficha Delegación aparece después de ejecutar el comando setspn.

    4. Selecciona la opción Confiar en este usuario para la delegación solo en los servicios especificados y la opción Usar cualquier protocolo de autenticación. Agrega el servidor web y selecciona el servicio HTTP.

      Propiedades del usuario KCD

  3. Crea un registro DNS para que el cliente encuentre el SPN de Gateway:

    Agrega un registro DNS TXT en Active Directory.

    Nota:

    El nombre debe comenzar con _Kerberos, los datos deben ser el nombre de dominio. El FQDN debe mostrar Kerberos..

    Propiedades de Kerberos

    Un cliente unido a un dominio de Windows usa _kerberos.fqdn para solicitar tickets. Por ejemplo, si el cliente está unido a citrite.net, el sistema operativo puede obtener tickets para cualquier sitio web con *.citrite.net. Sin embargo, si el dominio de Gateway es externo, como gateway.citrix.com, el sistema operativo del cliente no puede obtener el ticket Kerberos.

    Por lo tanto, debes crear un registro DNS TXT que ayude al cliente a buscar _kerberos.gateway.citrix.com y obtener el ticket Kerberos para la autenticación.

  4. Configura Kerberos como factor de autenticación.

    1. Crea una cuenta KCD para el usuario de NetScaler®. Aquí optamos por hacerlo manualmente, pero puedes crear un archivo keytab.

      Nota:

      Si usas dominios alternativos (dominio interno y dominio externo), debes establecer el SPN del servicio en HTTP/PublicFQDN.com@InternalDomain.ext.

      • Realm - Realm de Kerberos. Normalmente, el sufijo de tu dominio interno.
      • User Realm - Este es el sufijo del dominio interno de tu usuario.
      • Enterprise Realm - Esto solo debe proporcionarse en ciertas implementaciones de KDC donde KDC espera el nombre de usuario de Enterprise en lugar del nombre principal.
      • Delegated User - Esta es la cuenta de usuario de NetScaler para KCD que creaste en AD en los pasos anteriores. Asegúrate de que la contraseña sea correcta.

      Configurar cuenta KCD

    2. Asegúrate de que el perfil de sesión esté usando la cuenta KCD correcta. Vincula la política de sesión al servidor virtual de autenticación, autorización y auditoría.

      Configurar perfil de sesión

    3. Vincula la política de autenticación al servidor virtual de autenticación, autorización y auditoría. Estas políticas usan métodos de autenticación, autorización y auditoría que no obtienen una contraseña del cliente, de ahí la necesidad de usar KCD. Sin embargo, aún deben obtener el nombre de usuario y la información del dominio, en formato UPN.

      Nota:

      Puedes usar la dirección IP o el escaneo EPA para diferenciar los dispositivos unidos a un dominio y los no unidos a un dominio, y usar Kerberos o LDAP regular como factor de autenticación.

Configura el cliente

Para permitir un inicio de sesión único exitoso en VDA, realiza lo siguiente.

Requisitos previos:

  • Máquina unida a un dominio
  • Citrix Workspace 2112.1 o posterior con la configuración de SSO habilitada
  • Confía en las URL necesarias que verifican si las conexiones son seguras
  • Valida Kerberos desde el cliente y AD. El sistema operativo del cliente debe tener conectividad con AD para obtener tickets Kerberos.

A continuación, se muestran algunas de las URL en las que se debe confiar en el navegador:

  • URL de Gateway o FQDN
  • FQDN de AD
  • URL de Workspace para SSO desde lanzamientos basados en navegador.

  1. Si usas Internet Explorer, Microsoft Edge o Google Chrome, haz lo siguiente:

    1. Inicia el navegador.
    2. Abre el Editor de políticas de grupo local en el cliente.

    Mostrar contenido

    1. Ve a Configuración del equipo > Componentes de Windows > Internet Explorer > Panel de control de Internet > Página de seguridad.
    2. Abre la lista de asignación de sitios a zonas y agrega todas las URL enumeradas con el valor uno (1).
    3. (Opcional) Ejecuta Gpupdate para aplicar las políticas.

  2. Si usas el navegador Mozilla Firefox, haz lo siguiente:

    1. Abre el navegador.
    2. Escribe about:config en la barra de búsqueda.
    3. Acepta el riesgo y continúa.
    4. En el campo de búsqueda, escribe negotiate.

    5. De la lista de datos rellenados, verifica si network.negotiate-auth.trusted-uris está configurado con el valor de dominio.

      Verificar

    Esto completa la configuración en el lado del cliente.

  3. Inicia sesión en Workspace usando la aplicación Citrix Workspace o el navegador.

Esto no debe solicitar un nombre de usuario o contraseña en un dispositivo unido a un dominio.

Solución de problemas de Kerberos

Nota:

Debes ser administrador de dominio para ejecutar este paso de verificación.

En el símbolo del sistema o en Windows PowerShell, ejecuta el siguiente comando para verificar la validación del ticket Kerberos para el usuario SPN:

```
add authentication OAuthIdPProfile <name> [-clientID <string>][-clientSecret ][-redirectURL <URL>][-issuer <string>][-audience <string>][-skewTime <mins>] [-defaultAuthenticationGroup <string>]

add authentication OAuthIdPPolicy <name> -rule <expression> [-action <string>] [-undefAction <string>] [-comment <string>][-logAction <string>]

add authentication ldapAction <name> -serverIP <IP> -ldapBase "dc=aaa,dc=local"

ldapBindDn <administrator@aaa.local> -ldapBindDnPassword <password> -ldapLoginName sAMAccountName

add authentication policy <name> -rule <expression> -action <string>

bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <integer> -gotoPriorityExpression NEXT

bind authentication vserver auth_vs -policy <OAuthIdPPolicyName> -priority <integer> -gotoPriorityExpression END

bind vpn global –certkey <>

<!--NeedCopy--> ````
Paso a través de dominio a Citrix Workspace usando Citrix Gateway local como proveedor de identidades
April 16, 2026
Contribución de: 
C
April 16, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.