Transferencia de dominio mejorada para inicio de sesión único
La transferencia de dominio mejorada para inicio de sesión único utiliza Kerberos para permitir el inicio de sesión único en la aplicación Citrix Workspace y en las sesiones de aplicaciones y escritorios virtuales al usar dispositivos cliente unidos a Active Directory (AD) y Citrix StoreFront.
Nota:
Esta función no es compatible con sistemas operativos de 32 bits.
Esta función reemplaza la función de autenticación de transferencia heredada basada en el servicio de inicio de sesión único de Citrix (ssonsvr.exe).
Si utilizas las siguientes versiones de la aplicación Citrix Workspace y VDA, esta función no será compatible con Windows 11:
VDA: 2308, 2311, 2402
- Aplicación Citrix Workspace: 2309, 2309.1, 2311, 2402
Requisitos del sistema
- Plano de control
- Citrix DaaS™
- Citrix Virtual Apps and Desktops™ 2311 o posterior
- Virtual Delivery Agent
- Windows: versión 2308 o posterior
>**Nota:**
>
> Si utilizas las versiones 2308 a 2402 de Virtual Delivery Agent, esta función no es compatible con Windows 11. La versión 2407 o posterior es compatible con esta función en Windows 11.
- Aplicación Citrix Workspace™
- Aplicación Citrix Workspace para Windows 2309 o posterior
- >**Nota:**
- >
- > Si utilizas las versiones 2309 a 2402 de la aplicación Citrix Workspace, esta función no es compatible con Windows 11. La versión 2405.10 o posterior es compatible con esta función en Windows 11.
- Dispositivo cliente
- Unido a un dominio de Active Directory
- Windows 10 de 64 bits
- Windows 11 de 64 bits
- Hosts de sesión multisecuencia:
- Windows Server 2019
- Windows Server 2022
- Windows 10 Enterprise multisecuencia 22H2
- Windows 11 Enterprise multisecuencia 22H2 o posterior
- Hosts de sesión de una sola sesión:
- Windows 10 versión 22H2
- Windows 11 versión 22H2 o posterior
Nota:
- El dispositivo cliente debe tener conectividad directa con los controladores de dominio. Si el dispositivo está fuera de la red, el inicio de sesión único no es compatible.
Configuración de StoreFront™
Debes habilitar la autenticación de transferencia de dominio para el almacén y su sitio web correspondiente.
Realiza los siguientes pasos para habilitar la transferencia de dominio para el almacén:
- Abre la consola de administración de StoreFront.
-
Ve a Store > Manage Authentication methods. Aparece la ventana Manage Authentication Methods - Web.
-
Selecciona la casilla de verificación Domain pass-through.
- Haz clic en OK.
Realiza los siguientes pasos para habilitar la transferencia de dominio para el sitio web:
- Abre la consola de administración de StoreFront.
- Abre Stores > ficha Receiver for Websites > Manage Receiver for Web Sites > Configure > Authentication Methods. Aparece la ventana Edit Receiver for Web site - /Citrix/Web.
-
Selecciona la casilla de verificación Domain pass-through.
- Haz clic en OK.
Configuración de la política de Citrix
Debes habilitar la configuración mediante la política de Citrix:
-
- Ve a Citrix Studio o a la consola web.
-
- Haz clic en Policies > Create Policy. Aparece el cuadro de diálogo Create Policy.
- Busca la política Enhanced domain pass-through for single sign-on. Aparece el cuadro de diálogo Edit Settings.
-
Selecciona la opción Allowed para habilitar la política Enhanced domain pass-through for single sign-on.
- Haz clic en OK.
Configuración del host de sesión
Después de habilitar la función Enhanced domain pass-through for single sign on mediante la política de Citrix, también debes habilitar una configuración de Windows en los hosts de sesión. Puedes habilitar la configuración de Windows a través de la política local o GPO:
- Ve a
Computer Configuration\Policies\Administrative Templates\System\CredentialsDelegation. -
Habilita la configuración Remote host allows delegation of non-exportable credentials.
- Reinicia el host de sesión para que la configuración surta efecto.
Nota:
La configuración Remote host allows delegation of non-exportable credentials no está disponible en la política local de Windows Server 2016. Si necesitas configurar esta opción localmente en el host de sesión en lugar de usar GPO, debes agregar el siguiente valor de registro:
Clave: HKLM\SYSTEM\CurrentControlSet\Control\Lsa
- Tipo de valor: DWORD
- Nombre del valor: DisableRestrictedAdmin
- Datos del valor: 0
Configuración del dispositivo cliente
Debes hacer lo siguiente en el dispositivo cliente:
- Habilitar la transferencia de dominio mejorada para inicio de sesión único
- Confiar en el sitio de StoreFront
Habilitar la transferencia de dominio mejorada para inicio de sesión único
Debes habilitar la función Enhanced domain pass-through for single sign on en el dispositivo cliente. Puedes hacerlo a través de la política local o GPO.
- Ve a
Computer Configuration\Policies\Administrative Templates\Citrix Components\Citrix Workspace\User Authentication. -
Habilita la configuración Enhanced Domain pass-through for single sign-on.
- Reinicia la aplicación Citrix Workspace para que la configuración surta efecto.
Confiar en el sitio de StoreFront
Debes asegurarte de que la URL de tu StoreFront sea de confianza para los dispositivos cliente. Si la URL no forma parte de un dominio ya de confianza, debes agregarla como un sitio de intranet local o un sitio de confianza. Puedes hacerlo a través de la política local o GPO.
- Ve a la página
Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security. -
Habilita la configuración Site to Zone Assignment List y agrega las URL apropiadas y la asignación de zona correspondiente.
-
Habilita la configuración Logon options y establécela en Automatic logon con el nombre de usuario y la contraseña actuales.
