Autenticación de paso de dominio a Citrix Workspace con Azure Active Directory como proveedor de identidades
Puedes implementar el inicio de sesión único (SSO) en Citrix Workspace con Azure Active Directory (AAD) como proveedor de identidades en puntos finales/VM unidos a dominio, híbridos y registrados en Azure AD.
-
Con esta configuración, también puedes usar Windows Hello para el inicio de sesión único en Citrix Workspace con puntos finales registrados en AAD.
- Puedes autenticarte en la aplicación Citrix Workspace con Windows Hello.
- Autenticación basada en FIDO2 con la aplicación Citrix Workspace.
- Inicio de sesión único en la aplicación Citrix Workspace desde máquinas unidas a Microsoft AAD (AAD como IdP) y acceso condicional con AAD.
Para lograr el inicio de sesión único en aplicaciones y escritorios virtuales, puedes implementar FAS o configurar la aplicación Citrix Workspace de la siguiente manera.
Nota:
Puedes lograr el inicio de sesión único en los recursos de Citrix Workspace solo cuando usas Windows Hello. Sin embargo, se te pedirá el nombre de usuario y la contraseña al acceder a tus aplicaciones y escritorios virtuales publicados. Para resolver esta solicitud, puedes implementar FAS y el inicio de sesión único en aplicaciones y escritorios virtuales.
Requisitos previos:
- Conecta Azure Active Directory a Citrix Cloud. Para obtener más información, consulta Conectar Azure Active Directory a Citrix Cloud en la documentación de Citrix Cloud.
- Habilita la autenticación de Azure AD para acceder al espacio de trabajo. Para obtener más información, consulta Habilitar la autenticación de Azure AD para espacios de trabajo en la documentación de Citrix Cloud.
Para lograr el inicio de sesión único en Citrix Workspace:
- 1. Configura la aplicación Citrix Workspace con includeSSON.
- Deshabilita el atributo
prompt=loginen Citrix Cloud. - Configura la autenticación de paso de Azure Active Directory con Azure Active Directory Connect.
A partir de la versión 2503 de la aplicación Citrix Workspace™ para Windows, el sistema instala SSON de forma predeterminada en modo inactivo. Puedes habilitar SSON después de la instalación mediante la política de objeto de directiva de grupo (GPO). Para habilitarlo, ve a Autenticación de usuario > Nombre de usuario y contraseña locales y selecciona la casilla de verificación Habilitar autenticación de paso.
Nota:
Debes reiniciar el sistema después de actualizar la política de GPO para que la configuración de SSON surta efecto.
Configura la aplicación Citrix Workspace para admitir el inicio de sesión único
Requisitos previos:
- Versión 2109 o posterior de Citrix Workspace.
- > **Nota:** > > Si usas FAS para el inicio de sesión único, no es necesaria la configuración de Citrix Workspace.
-
Instala la aplicación Citrix Workspace desde la línea de comandos administrativa con la opción
includeSSON:CitrixWorkspaceApp.exe /includeSSON - Cierra la sesión del cliente de Windows e inicia sesión para iniciar el servidor SSON.
-
Haz clic en Configuración del equipo > Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuario para cambiar la GPO de Citrix Workspace y permitir Nombre de usuario y contraseña locales.
Nota:
Estas políticas se pueden enviar al dispositivo cliente a través de Active Directory. Este paso solo es necesario al acceder a Citrix Workspace desde el navegador web.
-
Habilita la configuración según la captura de pantalla.
-
- Agrega los siguientes sitios de confianza a través de GPO:
https://aadg.windows.net.nsatc.nethttps://autologon.microsoftazuread-sso.com-
https://xxxtenantxxx.cloud.com: URL del espacio de trabajo
Nota:
El inicio de sesión único para AAD se deshabilita cuando el registro AllowSSOForEdgeWebview en
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzlese establece en falso.
Deshabilita el parámetro prompt=login en Citrix Cloud
De forma predeterminada, prompt=login está habilitado para Citrix Workspace, lo que fuerza la autenticación incluso si el usuario optó por mantener la sesión iniciada o si el dispositivo está unido a Azure AD.
Puedes deshabilitar prompt=login en tu cuenta de Citrix Cloud. Ve a Configuración del espacio de trabajo\Personalizar\Preferencias - Sesiones de proveedor de identidades federadas y deshabilita el conmutador.
Para obtener más información, consulta el artículo de Knowledge Center CTX253779.
Nota:
En dispositivos unidos a AAD o unidos a AAD híbridos, si AAD se usa como IdP para Workspace, la aplicación Citrix Workspace no solicita credenciales. Los usuarios pueden iniciar sesión automáticamente con una cuenta de trabajo o escuela.
Para permitir que los usuarios inicien sesión con una cuenta diferente, establece el siguiente registro en falso.
Crea y agrega una cadena de registro REG_SZ con el nombre AllowSSOForEdgeWebview en
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\DazzleoComputer\HKEY_CURRENT_USER\SOFTWARE\Citrix\Dazzley establece su valor en False. Alternativamente, si los usuarios cierran la sesión de la aplicación Citrix Workspace, pueden iniciar sesión con una cuenta diferente en el siguiente inicio de sesión.
Configura la autenticación de paso de Azure Active Directory con Azure Active Directory Connect
- Si instalas Azure Active Directory Connect por primera vez, en la página Inicio de sesión de usuario, selecciona Autenticación de paso como método de inicio de sesión. Para obtener más información, consulta Autenticación de paso de Azure Active Directory: Guía de inicio rápido en la documentación de Microsoft.
-
Si ya existe Microsoft Azure Active Directory Connect:
- Selecciona la tarea Cambiar inicio de sesión de usuario y haz clic en Siguiente.
- Selecciona Autenticación de paso como método de inicio de sesión.
Nota:
Puedes omitir este paso si el dispositivo cliente está unido a Azure AD o unido a Azure AD híbrido. Si el dispositivo está unido a AD, la autenticación de paso de dominio funciona mediante la autenticación Kerberos.