Configurar un dominio personalizado

La configuración de un dominio personalizado para su espacio de trabajo le permite utilizar un dominio de su elección para acceder a su almacén de Citrix Workspace. A continuación, puede utilizar este dominio, en lugar del dominio de cloud.com asignado, para acceder desde un explorador web y desde las aplicaciones de Citrix Workspace.

Un dominio personalizado no se puede compartir con otros clientes de Citrix Workspace. Cada dominio personalizado debe ser exclusivo de ese cliente. Asegúrese de elegir un dominio personalizado que no quiera asignar a otro cliente, a menos que piense eliminar el dominio personalizado más adelante.

Al inhabilitar la URL de Workspace en Citrix Cloud, no se inhabilita el acceso a Citrix Workspace a través del dominio personalizado. Para inhabilitar el acceso a Citrix Workspace cuando utilice un dominio personalizado, inhabilite también el dominio personalizado.

Casos compatibles

¿En qué se diferencia de la URL de Workspace personalizada actual?

Si ya tiene habilitada una URL de Workspace personalizada para su cliente, aparecerá la siguiente vista.

Puede utilizar esta URL por el momento y continuar con los pasos descritos en este documento para incorporar una URL de Workspace personalizada diferente. Quedará obsoleta en el futuro.

Si quiere usar la misma URL, elimine la URL de Workspace personalizada anterior y todos los registros de DNS para continuar.

Requisitos previos

• Puede elegir un dominio recién registrado o uno que ya posea. El dominio debe tener formato de subdominio (su.empresa.com). Citrix no admite el uso únicamente de un dominio raíz (empresa.com).

• Citrix recomienda utilizar un dominio dedicado como dominio personalizado para el acceso a Citrix Workspace, de modo que pueda cambiarlo fácilmente si es necesario.

• Los dominios personalizados no pueden contener ninguna marca comercial de Citrix. Consulte la lista completa de marcas comerciales de Citrix aquí.
• El dominio que elija debe estar configurado en un DNS público. Citrix debe ser capaz de resolver todos los nombres y valores de los registros CNAME incluidos en la configuración de su dominio.

Nota:

No se admiten las configuraciones de DNS privadas.

• La longitud del nombre de dominio no debe superar los 64 caracteres.

Configurar un dominio personalizado

Una vez establecido un dominio personalizado, no puede cambiar la URL ni el tipo de certificado. Solo puede eliminarlo. Asegúrese de que el dominio que elija no esté ya configurado en DNS. Quite todos los registros CNAME existentes antes de intentar configurar el dominio personalizado.

Si utiliza SAML para conectarse a su proveedor de identidades, debe seguir un paso adicional para completar la configuración de SAML. Para obtener más información, consulte SAML.

Agregar un dominio personalizado

1. Inicie sesión en Citrix Cloud, en https://citrix.cloud.com.

2. En el menú de Citrix Cloud, seleccione Configuración de Workspace y, luego, Acceso.

3. En la ficha Acceso, en URL de espacio de trabajo personalizada, seleccione + Agregue su propio dominio.

   

4. Lea la información que aparece en la página de Vista general y seleccione Siguiente.

5. Introduzca el dominio que haya elegido en la página Proporcione una URL. Confirme que es el propietario del dominio especificado; para ello, seleccione Confirme que usted o su empresa son propietarios de la URL proporcionada y elija la opción de administración de certificados TLS que prefiera. Citrix recomienda “Administrado”, ya que las renovaciones de los certificados se gestionan por usted. Para obtener más información, consulte Proporcionar un certificado renovado. Haga clic en Siguiente.

   Si aparece alguna advertencia en esta página, corrija el problema resaltado para continuar.

   Si ha decidido proporcionar su propio certificado, hay un paso adicional que debe completar en las instrucciones.

   El aprovisionamiento del dominio elegido lleva algún tiempo. Puede esperar con la página abierta o cerrarla mientras tiene lugar el aprovisionamiento.

   

6. Si tiene abierta la página Proporcione una URL mientras se completa el aprovisionamiento, la página Configure su DNS se abre automáticamente. Si ha cerrado la página, seleccione el botón Continuar para su dominio personalizado en la ficha Acceso.

   

7. Siga este paso en el portal de administración proporcionado por su registrador de DNS. Agregue un registro CNAME para el dominio personalizado elegido que apunte al administrador de tráfico de Azure (Azure Traffic Manager) que se le ha asignado.

   Copie la dirección del administrador de tráfico de la página Configure su DNS. La dirección del ejemplo es la siguiente:

   wsp-cd-eastus2-production-traffic-manager-profile-1-52183.trafficmanager.net

   Si tiene algún registro de “autorización de entidad de certificación” (CAA) configurado en su DNS, agregue uno que permita a Let’s Encrypt generar certificados para su dominio. Let’s Encrypt es la entidad de certificación (CA) que Citrix utiliza para generar un certificado para su dominio personalizado. El valor del registro CAA debe ser el siguiente: 0 issue “letsencrypt.org”

   

8. Una vez que haya configurado el registro CNAME con su proveedor de DNS, seleccione Detectar registro CNAME para comprobar que la configuración de DNS es correcta. Si el registro CNAME se ha configurado correctamente, aparecerá una marca verde junto a la sección Configuración de CNAME.

   Si aparece alguna advertencia en esta página, corrija el problema resaltado para continuar.

   Si tiene algún registro CAA configurado con su proveedor de DNS, aparecerá una configuración de CAA aparte. Seleccione Detectar registro CAA para comprobar que la configuración de DNS es correcta. Si la configuración del registro CAA es correcta, aparecerá una marca verde junto a la sección Configuración de CAA.

   Cuando se verifique la configuración de DNS, haga clic en Siguiente.

   

9. Este es un paso opcional. Si opta por agregar su propio certificado, complete la información requerida en la página Agregar su propio certificado .

   Si aparece alguna advertencia en esta página, corrija el problema resaltado para continuar. Asegúrese de que el certificado cumpla las siguientes condiciones.

   • Debe estar codificado en PEM.
   • Debe seguir siendo válido durante, al menos, los próximos 30 días.
   • Debe usarse exclusivamente para la URL de Workspace personalizada; no se aceptan certificados comodín.
   • El nombre común del certificado debe coincidir con el dominio personalizado.
   • Los SAN del certificado deben ser para el dominio personalizado; no se permite ningún SAN adicional.
   • La duración de la validez del certificado no debe superar los 10 años.

   

   Nota:

   Citrix recomienda usar un certificado que utilice una función hash criptográfica segura (SHA 256 o > superior). Usted es responsable de renovar el certificado. Si el certificado ha caducado o está a punto de caducar, consulte la sección Proporcionar un certificado renovado.

10. Este es un paso opcional. Si utiliza SAML como proveedor de identidades, proporcione la configuración correspondiente. Complete la información requerida en la página Configurar para SAML.

    Utilice los detalles siguientes al configurar la aplicación en su proveedor de identidades:

    Propiedad	Valor
    Audiencia	https://saml.cloud.com
    Destinatario	https://<your custom domain>/saml/acs
    Validador de URL de ACS	https://<your custom domain>/saml/acs
    URL de consumidor de ACS	https://<your custom domain>/saml/acs
    URL de cierre de sesión único	https://<your custom domain>/saml/logout/callback

11. Lea la información que aparece en la página Aprovisione su dominio y confirme las instrucciones proporcionadas. Cuando esté listo para continuar, seleccione Aceptar y continuar.

    Este último paso de aprovisionamiento puede tardar algún tiempo en completarse. Puede esperar con la página abierta mientras se completa la operación o cerrar la página.

    

Eliminar un dominio personalizado

Al eliminar un dominio personalizado del cliente, se elimina la posibilidad de acceder a Citrix Workspace mediante un dominio personalizado. Tras eliminar el dominio personalizado, solo podrá acceder a Citrix Workspace utilizando la dirección cloud.com.

Cuando elimine un dominio personalizado, asegúrese de eliminar el registro CNAME de su proveedor de DNS.

Para eliminar un dominio personalizado:

1. Inicie sesión en Citrix Cloud, en https://citrix.cloud.com.

2. En el menú de Citrix Cloud, seleccione Configuración de Workspace > Acceso.

3. Expanda el menú contextual (…) del dominio personalizado en la ficha Acceso y seleccione Eliminar.

   

4. Lea la información que aparece en la página Eliminar dominio personalizado y confirme las instrucciones proporcionadas. Cuando esté listo para continuar, seleccione Eliminar.

   La eliminación de un dominio personalizado tarda algún tiempo en completarse. Puede esperar con la página abierta mientras se completa la operación o cerrar la página.

   

Proporcionar un certificado renovado

1. Inicie sesión en Citrix Cloud.

2. En el menú de Citrix Cloud, seleccione Configuración de Workspace > Acceso.

3. La fecha de caducidad del certificado se mostrará junto al dominio personalizado al que está asignado.

   

   Cuando su certificado caduque en un plazo de 30 días o menos, su dominio personalizado mostrará una advertencia.

   

4. Expanda el menú contextual (…) del dominio personalizado en la ficha Acceso. Seleccione Actualizar certificado.

   

5. Introduzca la información requerida en la página Actualizar certificado y haga clic en Guardar.

Si aparece alguna advertencia en esta página, corrija el problema resaltado para continuar.

El certificado debe cumplir los mismos requisitos que cuando se creó el dominio personalizado y pueden consultarse aquí Agregar un dominio personalizado.

Configurar un proveedor de identidades

Configurar Okta

Siga estos pasos si utiliza Okta como proveedor de identidades para acceder a Citrix Workspace.

1. Inicie sesión en el portal de administrador de su instancia de Okta. Esta instancia contiene la aplicación que utiliza Citrix Cloud.

2. Expanda Applications y, a continuación, seleccione Applications en el menú.

   

3. Abra la aplicación vinculada a Citrix Cloud.

4. Seleccione Edit en la sección General Settings.

   

5. En la sección LOGIN de General settings, agregue un nuevo valor para Sign-in redirect URIs. Agregue el nuevo valor a los valores existentes; no los sustituya. El nuevo valor debe tener el siguiente formato: https://your.company.com/core/login-okta

6. En la misma sección, agregue un nuevo valor para Sign-out redirect URIs. Agregue el nuevo valor a los valores existentes; no los sustituya. El nuevo valor debe tener el siguiente formato: https://your.company.com

   

7. Haga clic en Save para guardar la nueva configuración.

Configuración de directivas y perfiles de OAuth

Importante

La directiva y el perfil de OAuth existentes que vinculan Citrix Cloud al par HA de autenticación adaptable o Citrix Gateway solo deben actualizarse si se pierden las credenciales de OAuth. Si se modifica esta directiva, se corre el riesgo de romper el enlace entre Citrix Cloud y los espacios de trabajo, lo que afectará a su capacidad para iniciar sesión en tales espacios de trabajo.

Configurar Citrix Gateway

El administrador de Citrix Cloud tiene acceso al secreto del cliente no cifrado. Citrix Cloud proporciona estas credenciales durante el proceso de enlace de Citrix Gateway en Administración de acceso e identidad > Autenticación. El administrador de Citrix crea manualmente el perfil y la directiva de OAuth en Citrix Gateway durante el proceso de conexión.

Se necesitan el ID de cliente y el secreto de cliente sin cifrar que se proporcionaron durante el proceso de conexión a Citrix Gateway. Citrix Cloud proporciona estas credenciales, que se habrán guardado de forma segura. El secreto sin cifrar es necesario cuando se utiliza la interfaz de Citrix ADC o la interfaz de línea de comandos (CLI) a fin de crear una directiva y un perfil de OAuth.

Este es un ejemplo de la interfaz de usuario en la que se proporcionan el ID y el secreto del cliente al administrador de Citrix. Si el administrador de Citrix no guarda las credenciales durante el proceso de conexión, no podrá obtener una copia del secreto sin cifrar una vez que se haya conectado a Citrix Gateway.

Uso de Citrix Cloud

Siga estos pasos para agregar un perfil y una directiva de OAuth adicionales a través de la interfaz de Citrix Gateway:

1. En el menú, seleccione Security > AAA - Application Traffic > OAuth IDP. Seleccione la directiva de OAuth existente y haga clic en Add.

   

2. Cuando se le indique, modifique el nombre de la nueva directiva de OAuth, de manera que sea distinto del nombre de la directiva seleccionada en el paso anterior. Citrix sugiere agregar la cadena custom-url al nombre.

   

3. En la GUI de Citrix Gateway, cree su perfil de OAuth.

4. En el mismo menú de la GUI, junto a Action, haga clic en Add.

   

5. En la GUI de Citrix Gateway, enlace la nueva directiva de OAuth a su servidor virtual de autenticación, autorización y auditoría existente.

6. Vaya a Security > Virtual Servers > Edit.

   

Uso de la interfaz de línea de comandos

Importante

Si no tiene una copia de las credenciales de OAuth guardadas de forma segura, debe desconectar y volver a conectar su instancia de Citrix Gateway y actualizar el perfil de OAuth existente con las nuevas credenciales de OAuth proporcionadas por Administración de acceso e identidad en Citrix Cloud. Actualice únicamente su perfil de OAuth con credenciales nuevas si no puede recuperar las credenciales antiguas. No se recomienda hacer esto, a menos que no tenga otra opción.

1. Utilice una herramienta SSH, como PuTTY, para conectarse a su instancia de Citrix Gateway.

2. Cree OAuthProfile y OAuthPolicy. Agregue la autenticación OAuthIDPProfile.

   "CustomDomain-OAuthProfile" -clientID "<clientID>" -clientSecret "<unencrypted client secret>" -redirectURL "https://hostname.domain.com/core/login-cip" -audience "<clientID>" -sendPassword ON

   add authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile"

3. Enlace la directiva de OAuth al servidor virtual de autenticación, autorización y auditoría correcto con una prioridad inferior a la de la directiva existente. Esta instancia asume que la directiva existente tiene una prioridad 10, por lo que se utiliza 20 para la nueva directiva. Enlace el servidor virtual de autenticación.

   "CitrixGatewayAAAvServer" -policy "CustomDomain-OAuthPol" -priority 20

Configurar la autenticación adaptable

Importante

El secreto cifrado y los parámetros de cifrado del perfil de OAuth son diferentes en las puertas de enlace de alta disponibilidad (HA) principales y secundarias de la autenticación adaptable. Asegúrese de obtener el secreto cifrado de la puerta de enlace HA principal y también de ejecutar estos comandos en dicha puerta de enlace.

El administrador de Citrix Cloud no tiene acceso al secreto del cliente no cifrado. El servicio de autenticación adaptable de Citrix crea la directiva y el perfil de OAuth durante la fase de aprovisionamiento. Para crear perfiles de OAuth, es necesario utilizar el secreto cifrado y los comandos de CLI obtenidos del archivo ns.conf. Esto no se puede hacer a través de la interfaz de usuario de Citrix ADC. Enlace la nueva directiva de OAuth con URL personalizada a su servidor virtual de autenticación, autorización y auditoría utilizando un número de prioridad más alto al de la directiva que está vinculada actualmente a dicho servidor. Tenga en cuenta que los números de prioridad más bajos se evalúan primero. Asigne a la directiva existente una prioridad 10 y a la nueva directiva una prioridad 20 para garantizar que se evalúen en el orden correcto.

1. Conéctese a su nodo principal de autenticación adaptable con una herramienta SSH como PuTTY.

   show ha node

   

2. Localice la línea dentro de la configuración en ejecución correspondiente a la puerta de enlace HA principal que contiene su perfil de OAuth.

   sh runn | grep oauth

3. Copie la salida de la CLI de Citrix ADC, incluidos todos los parámetros de cifrado.

   

4. Modifique la línea que copió en el paso anterior y utilícela para crear un nuevo comando de CLI que le permita crear un perfil de OAuth utilizando la versión cifrada del ID de cliente. Para esto, es necesario incluir todos los parámetros de cifrado.

   • Actualice el nombre del perfil de OAuth a CustomDomain-OAuthProfile
   • Actualice la URL de redirección a https://hostname.domain.com/core/login-cip

   Este es un ejemplo después de realizar ambas actualizaciones.

   add authentication OAuthIDPProfile "CustomDomain-OAuthProfile" -clientID b1656835-20d1-4f6b-addd-1a531fd253f6 -clientSecret <long encrypted client Secret> -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_04_19_09_12_25 -redirectURL "https://hostname.domain.com/core/login-cip" -audience b1656835-20d1-4f6b-addd-1a531fd253f6 -sendPassword ON

   add authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile"

5. Enlace la directiva de OAuth al servidor virtual de autenticación, autorización y auditoría correcto con una prioridad inferior a la de la directiva existente. El nombre del servidor virtual de autenticación, autorización y auditoría para todas las implementaciones de autenticación adaptable es auth_vs. Esta instancia asume que la directiva existente tiene una prioridad 10, por lo que se utiliza 20 para la nueva directiva.

   bind authentication vserver "auth_vs" -policy "CustomDomain-OAuthPol" -priority 20

Limitaciones conocidas

Algunas limitaciones conocidas de la solución de dominio personalizado son las siguientes:

Plataforma Workspace

• Actualmente, solo admite un dominio personalizado por cliente.
• Un dominio personalizado solo se puede vincular a la URL predeterminada de Workspace. Las demás URL de Workspace agregadas mediante la función de URL múltiple no pueden tener un dominio personalizado. La función URL múltiple se encuentra actualmente en Private Tech Preview y podría no estar disponible para todos los clientes.
• Si tiene un dominio personalizado configurado en la solución anterior y utiliza SAML o Azure AD para autenticar el acceso a Citrix Workspace, no podrá configurar un dominio personalizado en la nueva solución sin eliminar primero el dominio personalizado existente.

SAML

La compatibilidad con SAML se limita a uno de los siguientes casos de uso:

• SAML se puede usar exclusivamente con los dominios de cloud.com. En este caso, el uso de SAML cubriría el acceso a Citrix Workspace y el acceso de administrador a Citrix Cloud.
• SAML se puede usar exclusivamente con un dominio personalizado.

Aplicación Citrix Workspace para Windows

• Esta función no se admite en las versiones 2305 y 2307 de la aplicación Citrix Workspace para Windows. Actualice a la última versión compatible.