Autenticación de paso de dominio (inicio de sesión único)

El paso de dominio (inicio de sesión único o SSON), también conocido como paso de dominio heredado (SSON), te permite autenticarte en un dominio y usar Citrix Virtual Apps and Desktops™ y Citrix DaaS (anteriormente servicio Citrix Virtual Apps and Desktops) sin tener que volver a autenticarte.

Nota:

• La directiva Habilitar las notificaciones MPR para el sistema o Configurar la transmisión de la contraseña del usuario en el contenido de las notificaciones MPR enviadas por Winlogon en la plantilla de objeto de directiva de grupo debe estar habilitada para admitir la función de autenticación de paso de dominio (inicio de sesión único) en Windows 11. Según el nivel de parche 24H2, puedes ver cualquiera de los nombres de directiva. De forma predeterminada, esta directiva está deshabilitada en Windows 11 24H2. Por lo tanto, si actualizas a Windows 11 24H2, debes habilitar la directiva Habilitar las notificaciones MPR para el sistema.

• Esta función está disponible a partir de la versión 2012 de la aplicación Citrix Workspace para Windows y posteriores.

• No puedes usar el paso de dominio heredado (SSON) y el paso de dominio mejorado juntos para la autenticación.

Cuando está habilitado, el paso de dominio (inicio de sesión único) almacena tus credenciales en caché, de modo que puedes conectarte a otras aplicaciones Citrix® sin tener que iniciar sesión cada vez. Asegúrate de que solo el software que cumple con las políticas de tu empresa se ejecute en tu dispositivo para mitigar el riesgo de compromiso de las credenciales.

• Cuando inicias sesión en la aplicación Citrix Workspace, tus credenciales se transmiten a StoreFront, junto con las aplicaciones y escritorios y la configuración del menú Inicio. Después de configurar el inicio de sesión único, puedes iniciar sesión en la aplicación Citrix Workspace e iniciar sesiones de aplicaciones y escritorios virtuales sin tener que volver a escribir tus credenciales.

Todos los navegadores web requieren que configures el inicio de sesión único mediante la plantilla administrativa de objeto de directiva de grupo (GPO). Para obtener más información sobre cómo configurar el inicio de sesión único mediante la plantilla administrativa de objeto de directiva de grupo (GPO), consulta Configurar el inicio de sesión único con Citrix Gateway.

Puedes configurar el inicio de sesión único tanto en una instalación nueva como en una configuración de actualización, utilizando cualquiera de las siguientes opciones:

• Interfaz de línea de comandos
• GUI

Nota:

• Los términos paso de dominio, inicio de sesión único y SSON pueden usarse indistintamente en este documento.

• A partir de la versión 2503 de la aplicación Citrix Workspace™ para Windows, el sistema instala SSON de forma predeterminada en modo inactivo. Puedes habilitar SSON después de la instalación mediante la directiva de objeto de directiva de grupo (GPO). Para habilitarlo, ve a Autenticación de usuario > Nombre de usuario y contraseña locales y selecciona la casilla de verificación Habilitar la autenticación de paso.

Nota:

Debes reiniciar el sistema después de actualizar la directiva GPO para que la configuración de SSON surta efecto.

Limitaciones:

El paso de dominio mediante credenciales de usuario tiene las siguientes limitaciones:

• No es compatible con la autenticación sin contraseña con métodos de autenticación modernos como Windows Hello o FIDO2. Se requiere un componente adicional llamado Federated Authentication Service (FAS) para el inicio de sesión único (SSO).
• La instalación o actualización de la aplicación Citrix Workspace con SSON habilitado requiere un reinicio del dispositivo.
• Requiere que las notificaciones del enrutador de múltiples proveedores (MPR) estén habilitadas en las máquinas con Windows 11.
• Debe estar en la parte superior de la lista de orden de proveedores de red.

Para superar las limitaciones anteriores, usa Paso de dominio mejorado para inicio de sesión único (SSO mejorado).

Configurar el inicio de sesión único durante una instalación nueva

Para configurar el inicio de sesión único durante una instalación nueva, sigue estos pasos:

1. Configuración en StoreFront.
2. Configura los servicios de confianza XML en el Delivery Controller.
3. Modifica la configuración de Internet Explorer.
4. Instala la aplicación Citrix Workspace con inicio de sesión único.

Configurar el inicio de sesión único en StoreFront

El inicio de sesión único te permite autenticarte en un dominio y usar Citrix Virtual Apps and Desktops y Citrix DaaS desde el mismo dominio sin tener que volver a autenticarte en cada aplicación o escritorio.

Cuando agregas una tienda mediante la utilidad Storebrowse, tus credenciales se transmiten al servidor de Citrix Gateway, junto con las aplicaciones y escritorios enumerados para ti, incluida la configuración del menú Inicio. Después de configurar el inicio de sesión único, puedes agregar la tienda, enumerar tus aplicaciones y escritorios, e iniciar los recursos necesarios sin tener que escribir tus credenciales varias veces.

Según la implementación de Citrix Virtual Apps and Desktops, la autenticación de inicio de sesión único se puede configurar en StoreFront mediante la Consola de administración.

Usa la siguiente tabla para diferentes casos de uso y su configuración respectiva:

Configurar el inicio de sesión único con Citrix Gateway

Habilitas el inicio de sesión único con Citrix Gateway mediante la plantilla administrativa de objeto de directiva de grupo. Sin embargo, debes asegurarte de haber habilitado la autenticación básica y la autenticación de factor único (nFactor con 1 factor) en Citrix Gateway.

1. Abre la plantilla administrativa de GPO de la aplicación Citrix Workspace ejecutando gpedit.msc.
2. En el nodo Configuración del equipo, ve a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuario, y selecciona la directiva Inicio de sesión único para Citrix Gateway.
3. Selecciona Habilitado.
4. Haz clic en Aplicar y Aceptar.
5. Reinicia la aplicación Citrix Workspace para que los cambios surtan efecto.

Configurar los servicios de confianza XML en el Delivery Controller

En Citrix Virtual Apps and Desktops y Citrix DaaS™, ejecuta el siguiente comando de PowerShell como administrador en el Delivery Controller:

[[CODE_BLOCK_0]]

Modificar la configuración de Internet Explorer

1. Agrega el servidor de StoreFront a la lista de sitios de confianza mediante Internet Explorer. Para agregarlo:
   1. Abre Opciones de Internet desde el Panel de control.

   2. Haz clic en Seguridad > Intranet local y haz clic en Sitios.

      Aparece la ventana Intranet local.

   3. Selecciona Avanzado.
   4. Agrega la URL del FQDN de StoreFront con los protocolos HTTP o HTTPS adecuados.
   5. Haz clic en Aplicar y Aceptar.
2. Modifica la configuración de Autenticación de usuario en Internet Explorer. Para modificarla:
   1. Abre Opciones de Internet desde el Panel de control.
   2. Haz clic en la ficha Seguridad > Intranet local.
   3. Haz clic en Nivel personalizado. Aparece la ventana Configuración de seguridad – Zona de intranet local.

   4. En el panel Autenticación de usuario, selecciona Inicio de sesión automático con el nombre de usuario y la contraseña actuales.

      

   5. Haz clic en Aplicar y Aceptar.

Configurar el inicio de sesión único mediante la interfaz de línea de comandos

Instala Citrix Workspace app con el parámetro /includeSSON y reinicia Citrix Workspace app para que los cambios surtan efecto.

Configurar el inicio de sesión único mediante la GUI

1. Busca el archivo de instalación de Citrix Workspace app (CitrixWorkspaceApp.exe).
2. Haz doble clic en CitrixWorkspaceApp.exe para iniciar el instalador.
3. En el asistente de instalación Habilitar inicio de sesión único, selecciona la opción Habilitar inicio de sesión único.
4. Haz clic en Siguiente y sigue las indicaciones para completar la instalación.

• Ahora puedes iniciar sesión en un almacén existente (o configurar un nuevo almacén) mediante Citrix Workspace app sin introducir credenciales de usuario.

• Configurar el inicio de sesión único en Workspace para Web

Puedes configurar el inicio de sesión único en Workspace para Web mediante la plantilla administrativa de objeto de directiva de grupo.

1. Abre la plantilla administrativa de GPO de Workspace para Web ejecutando gpedit.msc.
2. En el nodo Configuración del equipo, ve a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuario.
3. Selecciona la directiva Nombre de usuario y contraseña locales y configúrala como Habilitada.

• 1. Haz clic en Habilitar autenticación de paso. Esta opción permite que Workspace para Web use tus credenciales de inicio de sesión para la autenticación en el servidor remoto.

1. Haz clic en Permitir autenticación de paso para todas las conexiones ICA®. Esta opción omite cualquier restricción de autenticación y permite que las credenciales pasen a través de todas las conexiones.
2. Haz clic en Aplicar y Aceptar.
3. Reinicia Workspace para Web para que los cambios surtan efecto.

Verifica que el inicio de sesión único esté habilitado iniciando el Administrador de tareas y comprobando si el proceso ssonsvr.exe se está ejecutando.

Configurar el inicio de sesión único mediante Active Directory

Completa los siguientes pasos para configurar Citrix Workspace app para la autenticación de paso mediante la directiva de grupo de Active Directory. En este escenario, puedes lograr la autenticación de inicio de sesión único sin usar las herramientas de implementación de software empresarial, como Microsoft System Center Configuration Manager.

1. Descarga y coloca el archivo de instalación de Citrix Workspace app (CitrixWorkspaceApp.exe) en un recurso compartido de red adecuado. Debe ser accesible para las máquinas de destino en las que instales Citrix Workspace app.

2. Obtén la plantilla CheckAndDeployWorkspacePerMachineStartupScript.bat de la página de descarga de Citrix Workspace app para Windows.

3. Edita el contenido para reflejar la ubicación y la versión de CitrixWorkspaceApp.exe.

4. En la consola de Administración de directivas de grupo de Active Directory, escribe CheckAndDeployWorkspacePerMachineStartupScript.bat como script de inicio. Para obtener más información sobre la implementación de los scripts de inicio, consulta la sección Active Directory.

5. En el nodo Configuración del equipo, ve a Plantillas administrativas > Agregar o quitar plantillas para agregar el archivo receiver.adml.

6. Después de agregar la plantilla receiver.adml, ve a Configuración del equipo > Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuario. Para obtener más información sobre cómo agregar los archivos de plantilla, consulta Plantilla administrativa de objeto de directiva de grupo.

7. Selecciona la directiva Nombre de usuario y contraseña locales y configúrala como Habilitada.

8. Selecciona Habilitar autenticación de paso y haz clic en Aplicar.

9. Reinicia la máquina para que los cambios surtan efecto.

Configurar el inicio de sesión único en StoreFront

Configuración de StoreFront

1. Inicia Citrix Studio en el servidor de StoreFront y selecciona Stores > Manage Authentication Methods - Store.
2. Selecciona Domain pass-through.

Autenticación de paso de dominio (inicio de sesión único) con Kerberos

Este tema se aplica solo a las conexiones entre la aplicación Citrix Workspace para Windows y StoreFront, Citrix Virtual Apps and Desktops y Citrix DaaS.

La aplicación Citrix Workspace es compatible con Kerberos para la autenticación de paso de dominio (inicio de sesión único o SSON) en implementaciones que utilizan tarjetas inteligentes. Kerberos es uno de los métodos de autenticación incluidos en la Autenticación integrada de Windows (IWA).

Cuando está habilitado, Kerberos autentica sin contraseñas para la aplicación Citrix Workspace. Como resultado, evita ataques de tipo troyano en el dispositivo del usuario que intentan obtener acceso a las contraseñas. Los usuarios pueden iniciar sesión utilizando cualquier método de autenticación y acceder a los recursos publicados, por ejemplo, un autenticador biométrico como un lector de huellas dactilares.

Cuando inicias sesión con una tarjeta inteligente en la aplicación Citrix Workspace, StoreFront, Citrix Virtual Apps and Desktops y Citrix DaaS configurados para la autenticación con tarjeta inteligente, la aplicación Citrix Workspace:

1. Captura el PIN de la tarjeta inteligente durante el inicio de sesión único.

2. Usa IWA (Kerberos) para autenticar al usuario en StoreFront. StoreFront proporciona entonces a tu aplicación Citrix Workspace información sobre los Citrix Virtual Apps and Desktops y Citrix DaaS disponibles.

   Nota:

   Habilita Kerberos para evitar una solicitud de PIN adicional. Si no se utiliza la autenticación Kerberos, la aplicación Citrix Workspace se autentica en StoreFront utilizando las credenciales de la tarjeta inteligente.

3. El motor HDX (anteriormente conocido como cliente ICA) pasa el PIN de la tarjeta inteligente al VDA para iniciar la sesión del usuario en la aplicación Citrix Workspace. Citrix Virtual Apps and Desktops y Citrix DaaS entregan entonces los recursos solicitados.

Para usar la autenticación Kerberos con la aplicación Citrix Workspace, comprueba que la configuración de Kerberos se ajusta a lo siguiente.

• Kerberos funciona solo entre la aplicación Citrix Workspace y los servidores que pertenecen al mismo dominio de Windows Server o a dominios de Windows Server de confianza. Los servidores son de confianza para la delegación, una opción que configuras a través de la herramienta de administración Usuarios y equipos de Active Directory.
• Kerberos debe estar habilitado tanto en el dominio como en Citrix Virtual Apps and Desktops y Citrix DaaS. Para mejorar la seguridad y asegurarte de que se utiliza Kerberos, deshabilita cualquier opción de IWA que no sea Kerberos en el dominio.
• El inicio de sesión de Kerberos no está disponible para las conexiones de Servicios de Escritorio remoto que están configuradas para usar la autenticación básica, usar siempre la información de inicio de sesión especificada o solicitar siempre una contraseña.

Advertencia:

El uso incorrecto del editor del Registro puede causar problemas graves que pueden requerir la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas resultantes del uso incorrecto del editor del Registro puedan resolverse. Utiliza el Editor del Registro bajo tu propia responsabilidad. Asegúrate de hacer una copia de seguridad del registro antes de editarlo.

Autenticación de paso de dominio (inicio de sesión único) con Kerberos para usar con tarjetas inteligentes

Antes de continuar, consulta la sección Protege tu implementación en el documento de Citrix Virtual Apps and Desktops.

Cuando instales la aplicación Citrix Workspace para Windows, incluye la siguiente opción de línea de comandos:

• /includeSSON

  Esta opción instala el componente de inicio de sesión único en el equipo unido al dominio, lo que permite que tu espacio de trabajo se autentique en StoreFront mediante IWA (Kerberos). El componente de inicio de sesión único almacena el PIN de la tarjeta inteligente, utilizado por el motor HDX cuando remota el hardware y las credenciales de la tarjeta inteligente a Citrix Virtual Apps and Desktops y Citrix DaaS. Citrix Virtual Apps and Desktops y Citrix DaaS seleccionan automáticamente un certificado de la tarjeta inteligente y obtienen el PIN del motor HDX.

  Una opción relacionada, ENABLE_SSON, está habilitada de forma predeterminada.

Si una política de seguridad te impide habilitar el inicio de sesión único en un dispositivo, configura la aplicación Citrix Workspace mediante la plantilla administrativa de objeto de directiva de grupo.

1. Abre la plantilla administrativa de objeto de directiva de grupo de la aplicación Citrix Workspace ejecutando gpedit.msc.
2. Elige Administrative Templates > Citrix Components > Citrix Workspace > User authentication > Local user name and password
3. Selecciona Enable pass-through authentication.

4. Reinicia la aplicación Citrix Workspace para que los cambios surtan efecto.

   

Para configurar StoreFront:

Cuando configures el servicio de autenticación en el servidor de StoreFront, selecciona la opción Domain pass-through. Esa configuración habilita la Autenticación integrada de Windows. No necesitas seleccionar la opción de Tarjeta inteligente a menos que también tengas clientes no unidos al dominio que se conecten a StoreFront mediante tarjetas inteligentes.

Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulta Configurar el servicio de autenticación en la documentación de StoreFront.