PassThrough de dominio a Citrix Workspace con Azure Active Directory como proveedor de identidades
Se puede implementar Single Sign-On (SSO) en Citrix Workspace con Azure Active Directory (AAD) como proveedor de identidades con dispositivos de punto final/VM unidos a un dominio, híbridos o inscritos en AAD.
Con esta configuración, también puede usar Windows Hello para SSO en Citrix Workspace mediante dispositivos de punto final inscritos en AAD.
- Puede autenticarse en la aplicación Citrix Workspace con Windows Hello.
- Autenticación basada en FIDO2 con la aplicación Citrix Workspace.
- Single Sign-On en la aplicación Citrix Workspace desde máquinas unidas a Microsoft AAD (AAD como IdP) y acceso condicional con AAD.
Para el inicio de sesión único (SSO) en aplicaciones y escritorios virtuales, puede implementar FAS o configurar la aplicación Citrix Workspace de la siguiente manera.
Nota
SSO en los recursos de Citrix Workspace solo funciona con Windows Hello. Sin embargo, se le pedirá el nombre de usuario y la contraseña al acceder a sus aplicaciones y escritorios virtuales publicados. Para resolver este aviso, puede implementar FAS y SSO en escritorios y aplicaciones virtuales.
Requisitos previos:
- Conecte Azure Active Directory a Citrix Cloud. Para obtener más información, consulte Conectar Azure Active Directory a Citrix Cloud en la documentación de Citrix Cloud.
- Habilite la autenticación de Azure AD para acceder al espacio de trabajo. Para obtener más información, consulte Habilitar la autenticación de Azure AD para espacios de trabajo en la documentación de Citrix Cloud.
Para implementar SSO en Citrix Workspace:
- Configure la aplicación Citrix Workspace con includeSSON.
- Inhabilite el atributo
prompt=loginen Citrix Cloud. - Configure PassThrough de Azure Active Directory con Azure Active Directory Connect.
A partir de la aplicación Citrix Workspace para Windows versión 2503, el sistema instala SSON de manera predeterminada en modo inactivo. Puede habilitar SSON después de la instalación mediante la directiva de objeto de directiva de grupo (GPO). Para habilitar, navegue a Autenticación de usuario > Nombre de usuario y contraseña locales y seleccione la casilla de verificación Habilitar autenticación PassThrough.
Nota
Debe reiniciar el sistema después de actualizar la directiva de GPO para que el parámetro SSON surta efecto.
Configurar la aplicación Citrix Workspace para que admita SSO
Requisitos previos:
- Citrix Workspace 2109 o una versión posterior.
Nota
Si usa FAS para SSO, no es necesaria la configuración de Citrix Workspace.
-
Instale la aplicación Citrix Workspace desde la línea de comandos administrativa con la opción
includeSSON:CitrixWorkspaceApp.exe /includeSSON - Cierre sesión en el cliente de Windows e inicie sesión para iniciar el servidor SSON.
-
Haga clic en Configuración del equipo > Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuario para cambiar el GPO de Citrix Workspace para permitir Nombre de usuario y contraseña locales.
Nota
Estas directivas se pueden enviar al dispositivo cliente a través de Active Directory. Este paso solo es necesario para acceder a Citrix Workspace desde el explorador web.
-
Habilite la configuración como se indica en la captura de pantalla.
-
Agregue los siguientes sitios de confianza a través del GPO:
https://aadg.windows.net.nsatc.nethttps://autologon.microsoftazuread-sso.com-
https://xxxtenantxxx.cloud.com: URL del espacio de trabajo
Nota
Single Sign-On para AAD está inhabilitado cuando el registro AllowSSOForEdgeWebview en
Equipo\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzleestá establecido en false.
Inhabilitar el parámetro prompt=login en Citrix Cloud
De forma predeterminada, prompt=login está habilitado para Citrix Workspace, lo que fuerza la autenticación incluso si el usuario optó por permanecer conectado o si el dispositivo está unido a Azure AD.
Puede inhabilitar prompt=login en su cuenta de Citrix Cloud. Vaya a Configuración de Workspace\Personalizar\Preferencias-Sesiones de proveedores de identidad federada e inhabilite la opción. Para obtener más información, consulte el artículo CTX253779 de Knowledge Center.
Nota
En los dispositivos unidos a AAD o a AAD híbrido, si se utiliza AAD como IdP para Workspace, la aplicación Citrix Workspace no solicita las credenciales. Los usuarios pueden iniciar sesión automáticamente con una cuenta profesional o educativa.
Para permitir que los usuarios inicien sesión con una cuenta diferente, establezca el siguiente registro en false.
Cree y agregue una cadena de registro REG_SZ con el nombre AllowSSOForEdgeWebview en
Equipo\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\DazzleoEquipo\HKEY_CURRENT_USER\SOFTWARE\Citrix\Dazzley establezca su valor en False. Como alternativa, si los usuarios cierran sesión en la aplicación Citrix Workspace, podrán iniciar sesión con una cuenta diferente la próxima vez.
Configurar PassThrough de Azure Active Directory con Azure Active Directory Connect
- Si va a instalar Azure Active Directory Connect por primera vez, en la página User sign-in, seleccione Pass-through Authentication como método de inicio de sesión. Para obtener más información, consulte Azure Active Directory Pass-Through Authentication: Quickstart en la documentación de Microsoft.
-
Si ya tiene Microsoft Azure Active Directory Connect:
- Seleccione la tarea Change user sign-in y haga clic en Next.
- Seleccione Pass-through Authentication como método de inicio de sesión.
Nota
Puede omitir este paso si el dispositivo cliente está unido a Azure AD o tiene una unión híbrida. Si el dispositivo está unido a AD, la autenticación PassThrough de dominio funciona mediante la autenticación Kerberos.