Citrix Workspace™

Configurar un dominio personalizado

Puede permitir a los usuarios acceder a su tienda mediante un dominio personalizado en lugar del dominio cloud.com o además de él. Debe ser el propietario del dominio y cada dominio solo se puede utilizar para acceder a una única tienda.

Cada URL de cloud.com puede tener una URL personalizada vinculada.

Requisitos previos

  • Puede elegir un dominio recién registrado o uno que ya posea. El dominio debe tener formato de subdominio (su.empresa.com). Citrix no admite el uso de un dominio raíz (empresa.com) solamente.

  • Se recomienda utilizar un dominio dedicado como dominio personalizado para el acceso a Citrix Workspace. Esto le ayuda a cambiar el dominio fácilmente, si es necesario.

  • Los dominios personalizados no pueden contener ninguna marca comercial de Citrix. Para ver la lista completa, consulte Directrices de marcas comerciales de Cloud Software Group.
  • El dominio que elija debe estar configurado en el DNS público. Cualquier nombre y valor de registro CNAME incluidos en la configuración de su dominio deben ser resolubles por Citrix. Las configuraciones de DNS privado no son compatibles.

Configuración de su dominio personalizado

Una vez configurado un dominio personalizado, no puede cambiar la URL ni el tipo de certificado. Solo puede eliminarlo. Asegúrese de que el dominio que elija no esté ya configurado en el DNS. Elimine cualquier registro CNAME existente antes de intentar configurar su dominio personalizado.

Nota:

Al agregar la URL personalizada y configurar SAML, Citrix Cloud™ requiere 24 horas para el aprovisionamiento.

Agregar un dominio personalizado

  1. Inicie sesión en Citrix Cloud.

  2. En el menú de Citrix Cloud, seleccione Configuración de Workspace y, a continuación, seleccione Acceso.

  3. En la pestaña Acceso, en la tabla Almacenes, seleccione Agregar dominio personalizado para la URL de la nube a la que desea agregar una URL personalizada (la primera URL personalizada que cree debe estar asociada a su URL de nube principal).

    Agregue su dominio

  4. Lea la información que aparece en la página Información general y seleccione Siguiente.

  5. Introduzca el dominio elegido en la página Proporcionar una URL. Confirme que es el propietario del dominio especificado seleccionando Confirmar que usted o su empresa son los propietarios de la URL proporcionada y elija su preferencia de administración de certificados TLS. Se recomienda seleccionar administrado, ya que las renovaciones de certificados se gestionan automáticamente. Para obtener más información, consulte Proporcionar un certificado renovado. Haga clic en Siguiente.

    Si aparece alguna advertencia en esta página, corrija el problema resaltado para continuar.

    Si ha elegido proporcionar su propio certificado, hay un paso adicional que debe completar en las instrucciones.

    El aprovisionamiento del dominio elegido lleva algún tiempo. Puede esperar con la página abierta o cerrarla mientras el aprovisionamiento está en curso.

    verificar su dominio

  6. Si tiene la página Proporcionar una URL abierta mientras finaliza el aprovisionamiento, la página Configurar su DNS se abrirá automáticamente. Si ha cerrado la página, seleccione el botón Continuar para su dominio personalizado desde la pestaña Acceso.

    Completar configuración

  7. Realice este paso en el portal de administración proporcionado por su registrador de DNS. Agregue un registro CNAME para el dominio personalizado elegido que apunte al Azure Traffic Manager que se le ha asignado.

    Copie la dirección del administrador de tráfico de la página Configurar su DNS. La dirección del ejemplo es la siguiente:

    wsp-cd-eastus2-production-traffic-manager-profile-1-123456.trafficmanager.net

    Si tiene algún registro de Autorización de Autoridad de Certificación (CAA) configurado en su DNS, agregue uno que permita a Let’s Encrypt generar certificados para su dominio. Let’s Encrypt es la Autoridad de Certificación (CA) que Citrix utiliza para generar un certificado para su dominio personalizado. El valor para el registro CAA debe ser el siguiente: 0 issue “letsencrypt.org”

    Configurar DNS

  8. Una vez que configure el registro CNAME con su proveedor de DNS, seleccione Detectar registro CNAME para verificar que su configuración de DNS es correcta. Si el registro CNAME se ha configurado correctamente, aparecerá una marca de verificación verde junto a la sección Configuración de CNAME.

    Si aparece alguna advertencia en esta página, corrija el problema resaltado para continuar.

    Si tiene algún registro CAA configurado con su proveedor de DNS, aparecerá una configuración de CAA independiente. Seleccione Detectar registro CAA para verificar que su configuración de DNS es correcta. Si la configuración de su registro CAA es correcta, aparecerá una marca de verificación verde junto a la sección Configuración de CAA.

    Cuando se verifique su configuración de DNS, haga clic en Siguiente.

    Configuración de CNAME

  9. Este es un paso opcional. Si eligió añadir su propio certificado, complete la información requerida en la página Añadir su propio certificado.

    Nota:

    Los certificados protegidos con contraseña no son compatibles.

    Si aparece alguna advertencia en esta página, corrija el problema resaltado para continuar. Asegúrese de que el certificado cumple las siguientes condiciones.

    • Debe estar codificado en PEM.
    • Debe seguir siendo válido durante al menos los próximos 30 días.
    • Debe utilizarse exclusivamente para la URL de Workspace personalizada. Los certificados comodín no son aceptables.
    • El nombre común del certificado debe coincidir con el dominio personalizado.
    • Los SAN del certificado deben ser para el dominio personalizado. No se permiten SAN adicionales.
    • La duración de validez del certificado no debe superar los 10 años.

    Añada su propio certificado

    Nota:

    Se recomienda utilizar un certificado con una función hash criptográfica segura (SHA-256 o superior). Usted es responsable de renovar el certificado. Si su certificado ha caducado o está a punto de caducar, consulte la sección Proporcionar un certificado renovado.

  10. Lea la información que aparece en la página Aprovisionar su dominio y acepte las instrucciones dadas. Cuando esté listo para continuar, seleccione Aceptar y continuar.

    Este paso final de aprovisionamiento puede tardar algún tiempo en completarse. Puede esperar con la página abierta mientras la operación finaliza, o puede cerrar la página.

    Aprovisionar su dominio

Eliminar un dominio personalizado

La eliminación de un dominio personalizado de su cliente elimina la capacidad de acceder a Citrix Workspace mediante un dominio personalizado. Después de eliminar el dominio personalizado, solo podrá acceder a Citrix Workspace mediante la dirección de cloud.com.

Cuando elimine un dominio personalizado, asegúrese de que el registro CNAME se elimine de su proveedor de DNS.

Para eliminar un dominio personalizado,

  1. Inicie sesión en Citrix Cloud.

  2. En el menú de Citrix Cloud, seleccione Configuración de Workspace > Acceso.

  3. Expanda el menú contextual (…) del dominio personalizado en la ficha Acceso y seleccione Eliminar dominio personalizado.

    Eliminar su dominio

  4. Lea la información que aparece en la página Eliminar dominio personalizado y acepte las instrucciones dadas. Cuando esté listo para continuar, seleccione Eliminar.

    La eliminación de un dominio personalizado tarda un tiempo en completarse. Puede esperar con la página abierta mientras finaliza la operación, o puede cerrar la página.

    Si ha incorporado varios dominios personalizados, no puede eliminar el dominio personalizado asociado a la URL de la nube predeterminada hasta que se hayan eliminado todos los demás dominios personalizados.

    Confirmar eliminación(/es-es/citrix-workspace/media/delete-multi-custom-domain-confirm.png)

Proporcionar un certificado renovado

  1. Inicie sesión en Citrix Cloud.

  2. En el menú de Citrix Cloud, seleccione Configuración de Workspace > Acceso.

  3. Cuando su certificado esté a punto de caducar en 30 días o menos, su dominio personalizado mostrará una advertencia.

    Certificado caducado(/es-es/citrix-workspace/media/renew-certificate-warning-multi-custom-domain.png)

  4. Haga clic en la advertencia para abrir el asistente de actualización de certificados.

    Actualización de certificado(/es-es/citrix-workspace/media/update-your-own-certificate-multi-custom-domain.png)

  5. Introduzca la información necesaria en la página Actualizar certificado y haga clic en Guardar.

Si aparece alguna advertencia en esta página, corrija el problema resaltado para continuar.

El certificado debe cumplir los mismos requisitos que cuando se creó el dominio personalizado. Para obtener más información, consulte Agregar un dominio personalizado.

Configurar su proveedor de identidades

Configurar Okta

Realice los siguientes pasos si utiliza Okta como proveedor de identidades para el acceso a Citrix Workspace.

  1. Inicie sesión en el portal de administrador de su instancia de Okta. Esta instancia contiene la aplicación que utiliza Citrix Cloud.

  2. Expanda Aplicaciones y, a continuación, seleccione Aplicaciones en el menú.

    Configurar Okta

  3. Abra la aplicación vinculada a Citrix Cloud.
  4. Seleccione Editar en la sección Configuración general.

    Configuración general

  5. En la sección INICIO DE SESIÓN de Configuración general, añada un valor para URI de redireccionamiento de inicio de sesión. Añada el nuevo valor sin reemplazar ningún valor existente. El nuevo valor debe tener el siguiente formato: <https://your.company.com/core/login-okta>

  6. En la misma sección, añada otro valor para URI de redireccionamiento de cierre de sesión. Añada el nuevo valor sin reemplazar ningún valor existente. El nuevo valor debe tener el siguiente formato: <https://your.company.com>

    Añadir nuevo valor

  7. Haga clic en Guardar para almacenar la nueva configuración.

Nota:

Para configurar SAML con su dominio personalizado, siga el procedimiento mencionado en Configuración de SAML.

Configuración de políticas y perfiles de OAuth

Importante

La política y el perfil de OAuth existentes que vinculan Citrix Cloud y Citrix Gateway o su par de alta disponibilidad de autenticación adaptativa deben actualizarse solo si se pierden las credenciales de OAuth. Alterar esta política conlleva el riesgo de romper el vínculo entre Citrix Cloud y Workspaces y afecta su capacidad para iniciar sesión en Workspaces.

Configuración de Citrix Gateway

El administrador de Citrix Cloud tiene acceso al secreto de cliente sin cifrar. Estas credenciales las proporciona Citrix Cloud durante el proceso de vinculación de Citrix Gateway en Administración de identidades y accesos > Autenticación. El perfil y la política de OAuth los crea el administrador de Citrix. Se crean manualmente en Citrix Gateway durante el proceso de conexión.

Necesita el ID de cliente y el secreto de cliente sin cifrar que se proporcionaron durante el proceso de conexión de Citrix Gateway. Estas credenciales las proporciona Citrix Cloud y se han guardado de forma segura. El secreto sin cifrar es necesario para usar la interfaz de Citrix ADC o la interfaz de línea de comandos (CLI) para crear una política y un perfil de OAuth.

Aquí tiene un ejemplo de la interfaz de usuario cuando se proporcionan el ID de cliente y el secreto al administrador de Citrix.

Nota:

El administrador no puede obtener una copia del secreto sin cifrar después de que se haya conectado Citrix Gateway. Debe guardar las credenciales durante el proceso de conexión.

Crear una conexión

Uso de Citrix Cloud

Siga estos pasos para agregar otro perfil y política de OAuth mediante la interfaz de Citrix Gateway:

  1. En el menú, seleccione Seguridad > AAA - Tráfico de aplicaciones > OAuth IDP. Seleccione la política de OAuth existente y haga clic en Agregar.

    Agregar política de OAuth

  2. Cuando se le solicite, modifique el nombre de la nueva política de OAuth para que sea diferente de la política existente seleccionada en el paso anterior. Citrix sugiere agregar una custom-URL a su nombre.

    Modificar nombre de la política de OAuth

  3. En la GUI de Citrix Gateway, cree su perfil de OAuth existente.
  4. En el mismo menú de la GUI, haga clic en Add.

    Agregar directiva

  5. En la GUI de Citrix Gateway, vincule la nueva directiva OAuth a su servidor virtual de autenticación, autorización y auditoría existente.

  6. Vaya a Security > Virtual Servers > Edit.

    Crear directiva

Uso de la interfaz de línea de comandos (CLI)

Importante

Si no tiene una copia de las credenciales de OAuth guardada de forma segura, debe desconectar y volver a conectar su Citrix Gateway. Actualice su perfil de OAuth existente con las nuevas credenciales de OAuth proporcionadas por Citrix Cloud Identity and Access Management. Este procedimiento no se recomienda y solo debe usarse si las credenciales antiguas no se pueden recuperar.

  1. Utilice una herramienta SSH como PuTTY para conectarse a su instancia de Citrix Gateway.

  2. Cree OAuthProfile y OAuthPolicy. Agregue authentication OAuthIDPProfile.

    "CustomDomain-OAuthProfile" -clientID "<clientID>" -clientSecret "<unencrypted client secret>" -redirectURL "https://hostname.domain.com/core/login-cip" -audience "<clientID>" -sendPassword ON

    add authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile"

  3. Vincule la OAuthPolicy al servidor virtual de autenticación, autorización y auditoría correcto con una prioridad inferior a la de la directiva existente. Esta instancia asume que la directiva existente tiene una prioridad de 10, por lo que se usa 20 para la nueva directiva. Vincule el servidor virtual de autenticación.

    "CitrixGatewayAAAvServer" -policy "CustomDomain-OAuthPol" -priority 20

Configuración de la autenticación adaptativa

Importante

El secreto cifrado y los parámetros de cifrado para el perfil de OAuth son diferentes en las puertas de enlace HA principales y secundarias de Adaptive Authentication. Asegúrese de obtener el secreto cifrado de la puerta de enlace HA principal y de ejecutar también estos comandos en la puerta de enlace HA principal.

El administrador de Citrix Cloud no tiene acceso al secreto de cliente sin cifrar. La política y el perfil de OAuth son creados por el servicio de autenticación adaptativa de Citrix durante la fase de aprovisionamiento. Es necesario utilizar el secreto cifrado y los comandos de la CLI obtenidos del archivo ns.conf para crear perfiles de OAuth. Esto no se puede realizar mediante la interfaz de usuario de Citrix ADC. Vincule la nueva política de OAuth de URL personalizada a su servidor virtual de autenticación, autorización y auditoría existente utilizando un número de prioridad más alto que la política existente que está vinculada a su servidor virtual de autenticación, autorización y auditoría existente. Los números de prioridad más bajos se evalúan primero. Establezca la política existente en prioridad 10 y la nueva política en prioridad 20 para asegurarse de que se evalúan en el orden correcto.

  1. Conéctese a su nodo principal de Adaptive Authentication mediante una herramienta SSH como PuTTY.

    show ha node

    Autenticación adaptativa

  2. Localice la línea dentro de la configuración en ejecución de la puerta de enlace HA principal que contiene su perfil de OAuth existente.

    sh runn | grep oauth

  3. Copie la salida de la CLI de Citrix ADC, incluidos todos los parámetros de cifrado.

    Copiar salida

  4. Modifique la línea que copió del paso anterior. Úsela para construir un nuevo comando de CLI que le permita crear un perfil de OAuth utilizando la versión cifrada del ID de cliente. Deben incluirse todos los parámetros de cifrado.

    El siguiente ejemplo cubre ambas actualizaciones.

    add authentication OAuthIDPProfile "CustomDomain-OAuthProfile" -clientID b1656835-20d1-4f6b-addd-1a531fd253f6 -clientSecret <long encrypted client Secret> -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_04_19_09_12_25 -redirectURL "https://hostname.domain.com/core/login-cip" -audience b1656835-20d1-4f6b-addd-1a531fd253f6 -sendPassword ON

    add authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile"

  5. Vincule la OAuthPolicy al servidor virtual de autenticación, autorización y auditoría correcto con una prioridad inferior a la de la política existente. El nombre del servidor virtual de autenticación, autorización y auditoría para todas las implementaciones de autenticación adaptativa es auth_vs. Esta instancia asume que la política existente tiene una prioridad de 10, por lo que se utiliza 20 para la nueva política.

    bind authentication vserver "auth_vs" -policy "CustomDomain-OAuthPol" -priority 20

Limitaciones conocidas

Algunas limitaciones conocidas de la solución de dominio personalizado son las siguientes:

  • El primer dominio personalizado que cree debe estar vinculado a la URL de la nube predeterminada. Los dominios personalizados se pueden agregar a otras URL de la nube añadidas a través de la función de múltiples URL después de que se haya creado un dominio personalizado para la URL de la nube predeterminada.
  • Si ha incorporado varios dominios personalizados, no puede eliminar el dominio personalizado asociado a la URL de la nube predeterminada hasta que se hayan eliminado todos los demás dominios personalizados.
  • Esta función no es compatible con la aplicación Citrix Workspace para Windows versiones 2305 y 2307. Actualice a la última versión compatible.
  • No se admite el inicio de sesión mediante un dominio personalizado con autenticación de Google.
Configurar un dominio personalizado