Paso a través de dominio a Citrix Workspace con Azure Active Directory como proveedor de identidades
Puedes implementar el inicio de sesión único (SSO) en Citrix Workspace usando Azure Active Directory (AAD) como proveedor de identidades con puntos finales/VMs unidos a dominio, híbridos y registrados en Azure AD.
-
Con esta configuración, también puedes usar Windows Hello para el SSO en Citrix Workspace con puntos finales registrados en AAD.
- Puedes autenticarte en la aplicación Citrix Workspace usando Windows Hello.
- Autenticación basada en FIDO2 con la aplicación Citrix Workspace.
- Inicio de sesión único en la aplicación Citrix Workspace desde máquinas unidas a Microsoft AAD (AAD como IdP) y acceso condicional con AAD.
Para lograr el SSO en aplicaciones y escritorios virtuales, puedes implementar FAS o configurar la aplicación Citrix Workspace de la siguiente manera.
Nota:
Puedes lograr el SSO en los recursos de Citrix Workspace solo cuando usas Windows Hello. Sin embargo, se te pedirá el nombre de usuario y la contraseña al acceder a tus aplicaciones y escritorios virtuales publicados. Para resolver esta solicitud, puedes implementar FAS y SSO en aplicaciones y escritorios virtuales.
Requisitos previos:
- Conecta Azure Active Directory a Citrix Cloud. Para obtener más información, consulta Conectar Azure Active Directory a Citrix Cloud en la documentación de Citrix Cloud.
- Habilita la autenticación de Azure AD para acceder al espacio de trabajo. Para obtener más información, consulta Habilitar la autenticación de Azure AD para espacios de trabajo en la documentación de Citrix Cloud.
Para lograr el inicio de sesión único en Citrix Workspace:
- 1. Configura la aplicación Citrix Workspace con includeSSON.
- Deshabilita el atributo
prompt=loginen Citrix Cloud. - Configura el paso a través de Azure Active Directory con Azure Active Directory Connect.
A partir de la versión 2503 de la aplicación Citrix Workspace™ para Windows, el sistema instala SSON de forma predeterminada en modo inactivo. Puedes habilitar SSON después de la instalación usando la política de objeto de directiva de grupo (GPO). Para habilitarlo, navega a Autenticación de usuario > Nombre de usuario y contraseña locales y selecciona la casilla de verificación Habilitar autenticación de paso a través.
Nota:
Debes reiniciar el sistema después de actualizar la política de GPO para que la configuración de SSON surta efecto.
Configurar la aplicación Citrix Workspace para admitir el SSO
Requisitos previos:
- Citrix Workspace versión 2109 o superior.
- > **Nota:** > > Si usas FAS para el SSO, no es necesaria la configuración de Citrix Workspace.
-
Instala la aplicación Citrix Workspace desde la línea de comandos administrativa con la opción
includeSSON:CitrixWorkspaceApp.exe /includeSSON - Cierra la sesión del cliente de Windows e inicia sesión para iniciar el servidor SSON.
-
Haz clic en Configuración del equipo > Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuario para cambiar la GPO de Citrix Workspace y permitir Nombre de usuario y contraseña locales.
Nota:
Estas políticas se pueden enviar al dispositivo cliente a través de Active Directory. Este paso solo es necesario cuando se accede a Citrix Workspace desde el navegador web.
-
Habilita la configuración según la captura de pantalla.
-
- Agrega los siguientes sitios de confianza a través de GPO:
https://aadg.windows.net.nsatc.nethttps://autologon.microsoftazuread-sso.com-
https://xxxtenantxxx.cloud.com: URL del espacio de trabajo
Nota:
El inicio de sesión único para AAD se deshabilita cuando el registro AllowSSOForEdgeWebview en
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzlese establece en false.
Deshabilitar el parámetro prompt=login en Citrix Cloud
De forma predeterminada, prompt=login está habilitado para Citrix Workspace, lo que fuerza la autenticación incluso si el usuario eligió mantener la sesión iniciada o si el dispositivo está unido a Azure AD.
Puedes deshabilitar prompt=login en tu cuenta de Citrix Cloud. Navega a Workspace Configuration\Customize\Preferences-Federated Identity Provider Sessions y deshabilita el interruptor.
Para obtener más información, consulta el artículo del Centro de conocimiento CTX253779.
Nota:
En dispositivos unidos a AAD o unidos a AAD híbridos, si AAD se usa como IdP para Workspace, la aplicación Citrix Workspace no solicita credenciales. Los usuarios pueden iniciar sesión automáticamente usando una cuenta profesional o educativa.
Para permitir que los usuarios inicien sesión con una cuenta diferente, establece el siguiente registro en false.
Crea y agrega una cadena de registro REG_SZ con el nombre AllowSSOForEdgeWebview en
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\DazzleoComputer\HKEY_CURRENT_USER\SOFTWARE\Citrix\Dazzley establece su valor en False. Alternativamente, si los usuarios cierran sesión en la aplicación Citrix Workspace, pueden iniciar sesión con una cuenta diferente en el siguiente inicio de sesión.
Configurar el paso a través de Azure Active Directory con Azure Active Directory Connect
- Si instalas Azure Active Directory Connect por primera vez, en la página Inicio de sesión de usuario, selecciona Autenticación de paso a través como método de inicio de sesión. Para obtener más información, consulta Autenticación de paso a través de Azure Active Directory: Guía de inicio rápido en la documentación de Microsoft.
-
Si ya existe Microsoft Azure Active Directory Connect:
- Selecciona la tarea Cambiar inicio de sesión de usuario y haz clic en Siguiente.
- Selecciona Autenticación de paso a través como método de inicio de sesión.
Nota:
Puedes omitir este paso si el dispositivo cliente está unido a Azure AD o es híbrido. Si el dispositivo está unido a AD, la autenticación de paso a través de dominio funciona mediante la autenticación Kerberos.