Configurar Single Sign-On en la aplicación Workspace

Single Sign-On mediante Azure Active Directory

En esta sección se explica cómo implementar Single Sign-On (SSO) con Azure Active Directory (AAD) como proveedor de identidades con cargas de trabajo unidas a un dominio en dispositivos de punto final híbridos o inscritos en AAD. Con esta configuración, puede autenticarse en Workspace mediante Windows Hello o FIDO2 en dispositivos de punto final que están inscritos en AAD.

Nota:

Si usa Windows Hello como autenticación independiente, puede usar Single Sign-On en la aplicación Citrix Workspace, pero se le solicitará el nombre de usuario y la contraseña al acceder a aplicaciones o escritorios virtuales publicados. Como solución temporal, considere la posibilidad de implementar el Servicio de autenticación federada (FAS).

Requisitos previos

Configuración

Siga estos pasos para configurar SSO en su dispositivo:

  1. Instale la aplicación Citrix Workspace mediante la línea de comandos de Windows con la opción includeSSON:

CitrixWorkspaceApp.exe /includeSSON

  1. Reinicie el dispositivo.

  2. Ejecute gpedit.msc para abrir la plantilla administrativa de GPO de la aplicación Citrix Workspace.

  3. Vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios > Nombre de usuario y contraseña locales.

  4. Seleccione Habilitar autenticación PassThrough. En función de la configuración y los parámetros de seguridad, seleccione la opción Permitir autenticación PassThrough para todas las conexiones ICA para que la autenticación PassThrough funcione.

  5. Modifique los parámetros de Autenticación del usuario en Internet Explorer. Para modificar los parámetros:

    • Abra Propiedades de Internet en el Panel de control.
    • Vaya a Propiedades generales > Intranet local y haga clic en Sitios.

    • En la ventana Intranet local, haga clic en Opciones avanzadas > Agregar este sitio a la zona de:, agregue estos sitios de confianza y haga clic en Cerrar:

      • https://aadg.windows.net.nsatc.net
      • https://autologon.microsoftazuread-sso.com
      • The name of your tenant, for example: https://xxxtenantxxx.cloud.com
  6. Para inhabilitar las solicitudes de autenticación adicionales, inhabilite el atributo prompt=login en su arrendatario. Para obtener más información, consulte User Prompted for Additional Credentials on Workspace URLs When Using Federated Authentication Providers. Puede ponerse en contacto con la asistencia técnica de Citrix para inhabilitar el atributo prompt=login en su arrendatario y configurar correctamente Single Sign-On.

  7. Habilite la autenticación PassThrough de dominio en el cliente de la aplicación Citrix Workspace. Para obtener más información, consulte Autenticación PassThrough de dominio.

  8. Reinicie la aplicación Citrix Workspace para que los cambios surtan efecto.

Single Sign-On mediante Okta y el Servicio de autenticación federada

En esta sección se explica cómo puede implementar Single Sign-On (SSO) mediante Okta como proveedor de identidades con un dispositivo unido a un dominio y el Servicio de autenticación federada (FAS). Con esta configuración, puede autenticarse en Workspace mediante Okta para habilitar Single Sign-On y evitar que se solicite un segundo inicio de sesión. Para que este mecanismo de autenticación funcione, debe usar el Servicio de autenticación federada de Citrix con Citrix Cloud. Para obtener más información, consulte Conectar el Servicio de autenticación federada de Citrix con Citrix Cloud.

Requisitos previos

Configuración

Siga estos pasos para configurar SSO en su dispositivo:

Conecte Citrix Cloud con su organización de Okta:

  1. Descargue e instale el agente de Active Directory para Okta. Para obtener más información, consulte Install the Okta Active Directory agent.

  2. Inicie sesión en Citrix Cloud desde https://citrix.cloud.com.

  3. Desde la consola de administración de Citrix Cloud, haga clic en el botón de menú y seleccione Administración de acceso e identidad.

  4. Busque Okta y seleccione Conectar en el menú de puntos suspensivos.

  5. En URL de Okta, introduzca su dominio de Okta.

  6. En Token de API de Okta, introduzca el token de API de su organización de Okta.

  7. En ID de cliente y Secreto del cliente, introduzca el ID y el secreto del cliente de la integración de la aplicación web OIDC que creó antes. Para copiar estos valores de la consola de Okta, seleccione Aplicaciones y busque su aplicación de Okta. En Credenciales del cliente, utilice el botón Copiar al portapapeles para cada valor.

  8. Haga clic en Probar y finalizar. Citrix Cloud verifica los detalles de Okta y prueba la conexión.

Habilite la autenticación con Okta para espacios de trabajo:

  1. En el menú de Citrix Cloud, seleccione Configuración de Workspace > Autenticación.

  2. Seleccione Okta. Cuando se le solicite, seleccione Comprendo los efectos en la experiencia de uso de los suscriptores.

  3. Haga clic en Aceptar para aceptar la solicitud de permisos.

Habilite el Servicio de autenticación federada.

  1. En el menú de Citrix Cloud, seleccione Configuración de Workspace y, luego, Autenticación.

  2. Haga clic en Habilitar FAS. Este cambio puede tardar hasta cinco minutos en aplicarse a las sesiones de los suscriptores.

Página Configuración de Workspace con el botón Habilitar FAS resaltado

Posteriormente, el Servicio de autenticación federada (FAS) se activa para todos los inicios de aplicaciones virtuales y escritorios de Citrix Workspace.

Página Configuración de Workspace con FAS habilitado

Cuando los suscriptores inician sesión en su espacio de trabajo e inician una aplicación virtual o un escritorio en la misma ubicación de recursos que el servidor FAS, la aplicación o el escritorio se inician sin solicitar credenciales.

Nota:

Si todos los servidores de FAS de una ubicación de recursos están inactivos o están en modo de mantenimiento, los inicios de aplicación se ejecutan correctamente, pero Single Sign-On no está activo. Se solicita a los suscriptores sus credenciales de AD para acceder a cada aplicación o escritorio.

Configurar Single Sign-On en la aplicación Workspace