Habilitar el inicio de sesión único con Citrix Federated Authentication Service
Citrix Federated Authentication Service (FAS) permite el inicio de sesión único (SSO) en recursos alojados en VDA unidos a Active Directory. Esto garantiza que, una vez que los usuarios hayan iniciado sesión en Citrix Workspace™, puedan iniciar aplicaciones y escritorios virtuales sin que se les pida que vuelvan a introducir sus credenciales.
FAS se suele adoptar si utiliza uno de los siguientes proveedores de identidades para la autenticación de Citrix Workspace:
- Microsoft Entra ID
- Okta
- SAML 2.0
- Citrix Gateway
- Google Cloud Identity
FAS no es necesario para el SSO a recursos si utiliza Active Directory (AD), AD más token o configuraciones específicas de Citrix Gateway. Para obtener más información sobre cómo configurar Citrix Gateway, visite Crear una directiva de IdP de OAuth en Citrix Gateway local.
Para el inicio de sesión único en VDA unidos a Entra, consulte SSO de Entra ID en VDA.
Servidores FAS
Dentro de cada ubicación de recursos, puede conectar varios servidores FAS a Citrix Cloud™ para fines de equilibrio de carga y conmutación por error.
Citrix Cloud admite el uso de servidores FAS en los siguientes escenarios.
En ambos escenarios, los suscriptores que inician sesión en sus espacios de trabajo a través de un proveedor de identidades federado introducen sus credenciales una sola vez para acceder a las aplicaciones y los escritorios.
Servidores FAS conectados con una única ubicación de recursos
Si sus ubicaciones de recursos contienen infraestructura variada (por ejemplo, diferentes ubicaciones de recursos contienen diferentes bosques de AD), implemente servidores FAS en la ubicación de recursos donde se encuentren sus VDA. El SSO solo está activo en las ubicaciones de recursos donde uno o más servidores FAS están conectados.
Servidores FAS conectados con varias ubicaciones de recursos
Si tiene conectividad de red entre sus ubicaciones de recursos y estas contienen una infraestructura similar, puede conectar sus servidores FAS con varias ubicaciones de recursos. El SSO está activo para los suscriptores de Workspace que se conectan a aplicaciones y escritorios en esas ubicaciones de recursos. En este escenario, no es necesario conectar servidores FAS separados a cada ubicación de recursos.
Cuando los suscriptores inician una aplicación o un escritorio virtual, Citrix Cloud selecciona un servidor FAS en la misma ubicación de recursos que la aplicación o el escritorio que se está iniciando. Citrix Cloud se pone en contacto con el servidor FAS seleccionado para obtener un ticket que concede acceso a un certificado de usuario almacenado en el servidor FAS. Para autenticar al suscriptor, el VDA se conecta al servidor FAS y presenta el ticket.
Puede usar el mismo servidor FAS tanto para implementaciones locales como para Citrix Cloud con una configuración de reglas adecuada.

Prioridad de conmutación por error para varias ubicaciones de recursos
Cuando se utilizan servidores FAS con varias ubicaciones de recursos, los servidores FAS de una ubicación de recursos pueden proporcionar conmutación por error a los servidores FAS de otras ubicaciones de recursos. Al agregar servidores FAS a otras ubicaciones de recursos, se designa cada servidor como principal o secundario. Cuando los suscriptores inician una aplicación o un escritorio virtual, Citrix Cloud utiliza esta designación de la siguiente manera para seleccionar un servidor FAS:
- Se consideran primero los servidores FAS designados como principales en la ubicación de recursos dada.
- Si no hay servidores principales disponibles, se consideran los servidores FAS designados como secundarios.
- Si no hay servidores secundarios disponibles, el inicio continúa, pero no se produce el inicio de sesión único.
Descripción general en vídeo
Para obtener una descripción general del Servicio de autenticación federada para Citrix Workspace, vea este vídeo de Tech Insight:
Requisitos
Requisitos de conectividad
Utilice la consola de administración de FAS para conectar un servidor FAS a Citrix Cloud. Puede usar esta consola para configurar un servidor FAS local o remoto. Para habilitar el SSO para espacios de trabajo con FAS, la consola de administración de FAS y el servicio FAS acceden a las siguientes direcciones utilizando la cuenta de usuario de la consola y la cuenta de servicio de red, respectivamente.
- Consola de administración de FAS, utilizando la cuenta de usuario de la consola:
*.cloud.com*.citrixworkspacesapi.net- Direcciones requeridas por un proveedor de identidades de terceros, si se utiliza uno en su entorno
- Servicio FAS, utilizando la cuenta de servicio de red:
*.citrixworkspacesapi.nethttps://*.citrixnetworkapi.net/
Si su entorno incluye servidores proxy, configure el proxy de usuario con las direcciones para la consola de administración de FAS. Además, asegúrese de que la dirección para la cuenta de servicio de red esté configurada según corresponda para su entorno.
Requisitos del sistema FAS
Debe implementar Federated Authentication Service 2003 (versión 10.1) o posterior en cada una de las ubicaciones de recursos donde desee habilitar el inicio de sesión único. Los requisitos completos del sistema para el servidor FAS se describen en la sección Requisitos del sistema de la documentación del producto FAS.
Citrix Workspace
Debe tener Citrix DaaS™ aprovisionado y habilitado en Workspace. De forma predeterminada, DaaS está habilitado en la Configuración de Workspace después de suscribirse al servicio. Sin embargo, el servicio requiere que implemente Citrix Cloud Connectors para permitir que Citrix Cloud se comunique con su entorno local.
Cloud Connectors
Los Citrix Cloud Connectors permiten la comunicación entre la ubicación de recursos (donde se encuentran los VDA) y Citrix Cloud. Implemente al menos dos Cloud Connectors para garantizar una alta disponibilidad. Los servidores en los que instale el software de Cloud Connector deben cumplir los siguientes requisitos:
- Requisitos del sistema, tal como se describen en Detalles técnicos de Cloud Connector
- No hay otros componentes de Citrix instalados, el servidor no es un controlador de dominio de Active Directory y no es una máquina crítica para la infraestructura de su ubicación de recursos.
- Unido al dominio donde se encuentran sus VDA.
Para obtener más información sobre la implementación de Cloud Connectors, consulte los siguientes artículos:
Resumen de configuración
- Si va a implementar nuevos servidores FAS, revise los Requisitos y siga las instrucciones de Instalar y configurar FAS en este artículo.
- Conecte su servidor FAS a Citrix Cloud como se describe en Conectar un servidor FAS a Citrix Cloud en este artículo. Al completar esta tarea, su servidor FAS se conecta a una única ubicación de recursos.
- Si tiene previsto conectar su servidor FAS a varias ubicaciones de recursos, siga las instrucciones de Agregar un servidor FAS a varias ubicaciones de recursos en este artículo.
Instalar y configurar FAS
Siga el proceso de instalación y configuración de FAS descrito en la documentación del producto FAS. Los pasos de configuración para StoreFront y Delivery Controller no son necesarios.
Consejo:
También puede descargar el instalador de Federated Authentication Service desde la consola de Citrix Cloud:
- Desde el menú de Citrix Cloud, seleccione Ubicaciones de recursos.
- Seleccione el mosaico de Servidores FAS y, a continuación, haga clic en Descargar.
Conectar servidores FAS a Citrix Cloud
Utilice la consola de administración de FAS para conectar su servidor FAS a Citrix Cloud, tal como se describe en Instalar y configurar en la documentación del producto FAS.
Una vez que complete el paso de configuración de Conectar a Citrix Cloud, Citrix Cloud registrará el servidor FAS y lo mostrará en la página Ubicaciones de recursos de su cuenta de Citrix Cloud.

Si ya tiene la página Ubicaciones de recursos cargada en su explorador, actualice la página para mostrar el servidor FAS registrado.
Compatibilidad con las notificaciones de la nube
FAS ahora es compatible con las notificaciones de la nube. Con las nuevas notificaciones de la nube para los servidores FAS, recibirá notificaciones en los siguientes casos:
- Un servidor FAS está inactivo o no disponible.
- El certificado de la Autoridad de registro (RA) de un servidor FAS ha caducado o está a punto de caducar.
- Hay una nueva versión de FAS disponible para descargar.
Generación de notificaciones
Se realiza una comprobación periódica de nuevas notificaciones y se generan en la consola de administración de Citrix Cloud. Las notificaciones aparecen debajo del icono de campana en la esquina superior derecha de la consola de administración de Citrix Cloud. Seleccione Ver todo en el icono de notificación para ver todas las notificaciones. Para obtener más información, consulte Notificaciones.

Nota:
Una vez que se genera una notificación, se volverá a generar periódicamente solo si el problema no se resuelve.
Todas las notificaciones contienen el FQDN del servidor FAS afectado. La notificación de caducidad del certificado RA se muestra solo para los servidores FAS con la versión 10.10.0.14 y posteriores.
Agregar un servidor FAS a varias ubicaciones de recursos
- En el menú de Citrix Cloud, seleccione Ubicaciones de recursos y, a continuación, seleccione la ficha Servidores FAS.
- Busque el servidor FAS que quiere administrar, haga clic en los puntos suspensivos (…) a la derecha de la entrada y, a continuación, seleccione Administrar servidor.
- Seleccione Agregar a una ubicación de recursos y, a continuación, seleccione las ubicaciones de recursos que desee.
- Seleccione Principal o Secundario para la prioridad de conmutación por error del servidor FAS en cada ubicación de recursos seleccionada.
- Seleccione Guardar cambios.
Para ver el servidor FAS agregado, seleccione Ubicaciones de recursos en el menú de Citrix Cloud y, a continuación, seleccione la ficha Servidores FAS. Aparece una lista de todos los servidores FAS para todas las ubicaciones de recursos conectadas. Para mostrar los servidores FAS de una ubicación de recursos específica, seleccione la ubicación de recursos en la lista desplegable.
Cambiar la prioridad de conmutación por error de un servidor FAS
- En la página Ubicaciones de recursos, seleccione el mosaico Servidores FAS de la ubicación de recursos que quiere administrar.
- Seleccione la ficha Servidores FAS.
- Busque el servidor FAS que quiere administrar, haga clic en los puntos suspensivos a la derecha de la entrada y, a continuación, seleccione Administrar servidor.
- Busque la ubicación de recursos cuya prioridad quiere cambiar y seleccione la nueva prioridad en la lista desplegable.
- Seleccione Guardar cambios.
Habilitar la autenticación federada para espacios de trabajo
- En el menú de Citrix Cloud, seleccione Configuración de Workspace y, a continuación, seleccione Autenticación.
- Haga clic en Habilitar FAS. Este cambio puede tardar hasta cinco minutos en aplicarse a las sesiones de los suscriptores.

Posteriormente, el Servicio de autenticación federada estará activo para todos los inicios de aplicaciones y escritorios virtuales desde Citrix Workspace.

Cuando los suscriptores inician sesión en su espacio de trabajo e inician una aplicación o un escritorio virtual en la misma ubicación de recursos que el servidor FAS, la aplicación o el escritorio se inician sin solicitar credenciales.
Nota:
Si todos los servidores FAS de una ubicación de recursos están inactivos o en modo de mantenimiento, los inicios de aplicaciones se realizan correctamente, pero el inicio de sesión único no está activo. Se solicitarán a los suscriptores sus credenciales de AD para acceder a cada aplicación o escritorio.
Eliminar un servidor FAS
Para eliminar un servidor FAS de una única ubicación de recursos:
- En la página Ubicaciones de recursos, seleccione el mosaico Servidores FAS de la ubicación de recursos que quiera administrar.
- Seleccione la ficha Servidores FAS.
- Localice el servidor FAS que quiera administrar, haga clic en los puntos suspensivos situados a la derecha de la entrada y, a continuación, seleccione Administrar servidor.
- Localice la ubicación de recursos que desea eliminar y, a continuación, haga clic en el icono X.
Para eliminar un servidor FAS de todas las ubicaciones de recursos conectadas:
- En el menú de Citrix Cloud, seleccione Ubicaciones de recursos.
- Localice la ubicación de recursos que desea administrar y, a continuación, seleccione el mosaico Servidores FAS.
- Localice el servidor FAS que desea eliminar, haga clic en los puntos suspensivos del lado derecho de la entrada y, a continuación, seleccione Eliminar servidor FAS.
- En la consola de administración de FAS (en su servidor FAS local), en Conectar a Citrix Cloud, seleccione desconectar. Alternativamente, puede desinstalar FAS.
Solución de problemas
Si el servidor FAS no está disponible, aparece un mensaje de advertencia en la página Servidores FAS.

Para diagnosticar el problema, abra la consola de administración de FAS en su servidor FAS local e inspeccione el estado. Por ejemplo, el servidor FAS no está presente en la GPO del servidor FAS:

Si la consola de administración de FAS indica que el servidor funciona correctamente, pero sigue habiendo problemas de inicio de sesión de VDA, consulte la Guía de solución de problemas de FAS.
Más información
Configuración del inicio de sesión único en la aplicación Workspace
En este artículo
- Servidores FAS
- Prioridad de conmutación por error para varias ubicaciones de recursos
- Descripción general en vídeo
- Requisitos
- Resumen de configuración
- Instalar y configurar FAS
- Conectar servidores FAS a Citrix Cloud
- Compatibilidad con las notificaciones de la nube
- Agregar un servidor FAS a varias ubicaciones de recursos
- Cambiar la prioridad de conmutación por error de un servidor FAS
- Habilitar la autenticación federada para espacios de trabajo
- Eliminar un servidor FAS
- Solución de problemas
- Más información
