PassThrough de dominio a Citrix Workspace con Azure Active Directory como proveedor de identidades

Se puede implementar Single Sign-On (SSO) en Citrix Workspace con Azure Active Directory (AAD) como proveedor de identidades con dispositivos de punto final/VM unidos a un dominio, híbridos o inscritos en AAD.

Con esta configuración, también puede usar Windows Hello para SSO en Citrix Workspace mediante dispositivos de punto final inscritos en AAD.

  • Puede autenticarse en la aplicación Citrix Workspace con Windows Hello.
  • Autenticación basada en FIDO2 con la aplicación Citrix Workspace.
  • Single Sign-On en la aplicación Citrix Workspace desde máquinas unidas a Microsoft AAD (AAD como IdP) y acceso condicional con AAD.

Para el inicio de sesión único (SSO) en aplicaciones y escritorios virtuales, puede implementar FAS o configurar la aplicación Citrix Workspace de la siguiente manera.

Nota:

SSO en los recursos de Citrix Workspace solo funciona con Windows Hello. Sin embargo, se le pedirá el nombre de usuario y la contraseña al acceder a sus aplicaciones y escritorios virtuales publicados. Para resolver este aviso, puede implementar FAS y SSO en escritorios y aplicaciones virtuales.

Requisitos previos:

  1. Conecte Azure Active Directory a Citrix Cloud. Para obtener más información, consulte Conectar Azure Active Directory a Citrix Cloud en la documentación de Citrix Cloud.
  2. Active la autenticación de Azure AD para acceder al espacio de trabajo Para obtener más información, consulte Habilitar la autenticación de Azure AD para espacios de trabajo en la documentación de Citrix Cloud.

Para implementar SSO en Citrix Workspace:

  1. Configure la aplicación Citrix Workspace con includeSSON.
  2. Inhabilite el atributo prompt=login en Citrix Cloud.
  3. Configure PassThrough de Azure Active Directory con Azure Active Directory Connect.

Configurar la aplicación Citrix Workspace para que admita SSO

Requisitos previos:

  • Citrix Workspace 2109 o una versión posterior.

Nota:

Si usa FAS para SSO, no es necesaria la configuración de Citrix Workspace.

  1. Instale la aplicación Citrix Workspace desde la línea de comandos de administración con la opción includeSSON:

    CitrixWorkspaceApp.exe /includeSSON

  2. Cierre sesión en el cliente de Windows e inicie sesión para iniciar el servidor SSON.
  3. Haga clic en Configuración del equipo > Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios para cambiar el GPO de Citrix Workspace y permitir el nombre de usuario y la contraseña actuales.

    Nota:

    Estas directivas se pueden enviar al dispositivo cliente a través de Active Directory. Este paso solo es necesario para acceder a Citrix Workspace desde el explorador web.

  4. Habilite la configuración como se indica en la captura de pantalla.

    Autenticación de usuario

  5. Agregue los siguientes sitios de confianza a través del GPO:

    • https://aadg.windows.net.nsatc.net
    • https://autologon.microsoftazuread-sso.com
    • https://xxxtenantxxx.cloud.com: URL del espacio de trabajo

Agregar un sitio de confianza

Inhabilitar el parámetro prompt=login en Citrix Cloud

De forma predeterminada, prompt=login está habilitado para Citrix Workspace, lo que fuerza la autenticación incluso si el usuario optó por mantener abierta la sesión o si el dispositivo está unido a Azure AD.

Póngase en contacto con Asistencia técnica de Citrix para inhabilitar el parámetro prompt=login en su instancia de Citrix Workspace para implementar Single Sign-On. Para obtener más información, consulte el artículo CTX253779 de Citrix Knowledge Center.

Configurar PassThrough de Azure Active Directory con Azure Active Directory Connect

  • Si va a instalar Azure Active Directory Connect por primera vez, en la página User sign-in, seleccione Pass-through Authentication como método de inicio de sesión. Para obtener más información, consulte Azure Active Directory Pass-Through Authentication: Quickstart en la documentación de Microsoft.
  • Si ya tiene Microsoft Azure Active Directory Connect:

    1. Seleccione la tarea Change user sign-in y haga clic en Next.
    2. Seleccione Pass-through Authentication como método de inicio de sesión.

Nota:

Puede omitir este paso si el dispositivo cliente está unido a Azure AD o tiene una unión híbrida. Si el dispositivo está unido a AD, la autenticación PassThrough de dominio funciona mediante la autenticación Kerberos.

PassThrough de dominio a Citrix Workspace con Azure Active Directory como proveedor de identidades