Espacios de trabajo seguros

Como administrador, puede elegir que sus suscriptores (usuarios finales) se autentiquen en sus espacios de trabajo mediante uno de los siguientes métodos de autenticación:

  • Active Directory
  • Active Directory y token
  • Azure Active Directory
  • Citrix Gateway
  • Okta

Estas opciones de autenticación están disponibles para cualquier servicio de Citrix Cloud, incluido el control de acceso.

El control de acceso es una función que ofrece acceso a los usuarios finales a aplicaciones virtuales, SaaS y web con una experiencia de inicio de sesión único (SSO).

Cambiar métodos de autenticación

Puede cambiar la forma en que se autentican los suscriptores en su espacio de trabajo desde Configuración de Workspace > Autenticación > Autenticación del espacio de trabajo.

Parámetros de autenticación del espacio de trabajo

Importante:

El cambio de un modo de autenticación a otro puede tomar hasta cinco minutos y provoca una interrupción de servicio para los suscriptores durante ese tiempo. Citrix recomienda limitar los cambios en los métodos de autenticación a períodos de poca actividad. Si tiene suscriptores que han iniciado sesión en Citrix Workspace mediante un explorador web o una aplicación de Citrix Workspace, recomiéndeles que cierren el explorador o salgan de la aplicación. Después de esperar aproximadamente cinco minutos, pueden volver a iniciar sesión mediante el nuevo método de autenticación.

Active Directory

De forma predeterminada, Citrix Cloud usa Active Directory para administrar la autenticación de los suscriptores en sus espacios de trabajo. El uso de Active Directory requiere que tenga instalado al menos dos Citrix Cloud Connectors en el dominio de Active Directory local. Para obtener más información acerca de la instalación de Cloud Connector, consulte Instalación de Cloud Connector.

Active Directory y token

Para disponer de una mayor seguridad, Citrix Workspace admite tokens como segundo factor de autenticación además del inicio de sesión en Active Directory.

Cuando utiliza la autenticación con Active Directory y token, Workspace solicita a todos los suscriptores durante cada inicio de sesión que introduzcan un token desde su dispositivo inscrito. Los suscriptores pueden inscribir sus dispositivos; para ello, deben seguir los pasos descritos en Registrar dispositivos para la autenticación de dos factores. Por ahora, los suscriptores solo pueden inscribir dispositivos de uno en uno.

La autenticación con Active Directory y token necesita lo siguiente:

  • Una conexión entre Active Directory y Citrix Cloud con al menos dos Cloud Connectors instalados en su entorno local. Para obtener información sobre los requisitos y las instrucciones, consulte Conectar Active Directory con Citrix Cloud.
  • En la consola de Citrix Cloud, la autenticación Active Directory + Token está habilitada en la página Administración de acceso e identidad. Para obtener más información, consulte Para habilitar la autenticación con Active Directory y token.
  • Los suscriptores necesitan acceso al correo electrónico para inscribir dispositivos.
  • Durante el primer inicio de sesión en Workspace, los suscriptores siguen las instrucciones para descargar la aplicación Citrix SSO, que genera cada 30 segundos una contraseña única de un solo uso en un dispositivo inscrito.

Para volver a inscribir dispositivos

Si un suscriptor ya no tiene su dispositivo inscrito o necesita volver a inscribirlo (por ejemplo, después de borrar todo el contenido del dispositivo), Workspace ofrece las siguientes opciones:

  • Los suscriptores pueden volver a inscribir sus dispositivos mediante el mismo proceso de inscripción descrito en Registrar dispositivos para la autenticación de dos factores. Como los suscriptores solo pueden inscribir dispositivos de uno en uno, inscribir un dispositivo nuevo o volver a inscribir un dispositivo existente elimina el registro del dispositivo anterior. Mensaje de dispositivo eliminado

  • Los administradores pueden buscar suscriptores por nombre de Active Directory y restablecer su dispositivo. Para ello, vaya a Administración de acceso e identidad > Recuperación. Ficha Recuperación Durante el siguiente inicio de sesión en Workspace, el suscriptor sigue los pasos de la primera inscripción descritos en Registrar dispositivos para la autenticación de dos factores.

Azure Active Directory

El uso de Azure Active Directory (AD) para administrar la autenticación de suscriptores en los espacios de trabajo presenta los siguientes requisitos:

  • Azure AD con un usuario que tiene permisos de administrador global.
  • Un Citrix Cloud Connector instalado en el dominio de Active Directory local. La máquina también debe estar unida al dominio que se sincroniza con Azure AD.
  • VDA 7.15.2000 LTSR CU o la versión actual 7.18 de VDA o posterior.
  • Una conexión entre Azure AD y Citrix Cloud. Para obtener información, consulte Conectar Azure Active Directory a Citrix Cloud. Al sincronizar su Active Directory con Azure AD, las entradas de UPN y SID deben incluirse en la sincronización. Si estas entradas no están sincronizadas, ciertos flujos de trabajo en Citrix Workspace fallarán.

Advertencia:

  • Si utiliza Azure Active Directory, no haga el cambio en el Registro que se describe en el artículo CTX225819. Si hace ese cambio, pueden producirse fallos al iniciar sesiones para los usuarios de Azure AD.
  • En la autenticación federada con Azure Active Directory, no se admite el anidado de grupos, es decir, incluir un grupo como miembro de otro grupo. Si asigna un grupo anidado a un catálogo, los miembros de ese grupo no podrán acceder a las aplicaciones del catálogo.

Después de habilitar la autenticación de Azure AD:

  • Administrar usuarios y grupos de usuarios mediante Citrix Cloud Library: Use solo la biblioteca de Citrix Cloud para administrar usuarios y grupos de usuarios. (No especifique usuarios ni grupos de usuarios cuando cree o modifique grupos de entrega.)
  • Para mayor seguridad: Se solicita a los usuarios que inicien sesión nuevamente al iniciar una aplicación o un escritorio. Se trata de un procedimiento intencionado que proporciona mayor seguridad, porque la información de la contraseña se transmite directamente desde el dispositivo del usuario al VDA que aloja la sesión.
  • Experiencia de inicio de sesión: Los usuarios tienen una experiencia de inicio de sesión diferente en Azure AD. La selección de la autenticación de Azure AD proporciona un inicio de sesión federado, no un inicio de sesión único. Los usuarios inician sesión en el espacio de trabajo desde una página de inicio de sesión de Azure. Sin embargo, puede que deban autenticarse una segunda vez al abrir una aplicación o escritorio desde el servicio Citrix Virtual Apps and Desktops. Para poder usar Single Sign-On y evitar un segundo mensaje de inicio de sesión, debe habilitar el Servicio de autenticación federada de Citrix en Citrix Cloud. Consulte Habilitar Single Sign-On para espacios de trabajo con Citrix Federated Authentication Service para obtener más información.

    Puede personalizar la experiencia de inicio de sesión para Azure AD. Para obtener información, consulte la documentación de Microsoft. Cualquier personalización de inicio de sesión (el logotipo) realizada en la Configuración de Workspace no afecta a la experiencia de inicio de sesión de Azure AD.

En el siguiente diagrama se muestra la secuencia de la autenticación de Azure AD.

Diagrama de la secuencia de autenticación de Azure AD

Citrix Gateway

Citrix Workspace admite el uso de dispositivos Citrix Gateway locales como proveedores de identidades para administrar la autenticación de suscriptores en los espacios de trabajo.

La autenticación de Citrix Gateway tiene los siguientes requisitos:

  • Una conexión entre Active Directory y Citrix Cloud. Para obtener información sobre los requisitos y las instrucciones, consulte Conectar Active Directory con Citrix Cloud.
  • Los suscriptores deben ser usuarios de Active Directory para poder iniciar sesión en sus espacios de trabajo.
  • Si lleva a cabo la federación, los usuarios de AD deben estar sincronizados con el proveedor de la federación. Citrix Cloud requiere los atributos de AD para permitir que los usuarios inicien sesión correctamente.
  • Un dispositivo Citrix Gateway local:
    • Citrix Gateway 12.1 54.13 Advanced Edition o posterior
    • Citrix Gateway 13.0 41.20 Advanced Edition o posterior
  • La autenticación de Citrix Gateway se habilita en la página Administración de acceso e identidad. Esta acción genera el ID de cliente, el secreto y la URL de redirección necesarios para crear la conexión entre Citrix Cloud y el dispositivo Gateway local.
  • En el dispositivo Gateway, se configura una directiva de autenticación de IdP de OAuth mediante el ID de cliente, el secreto y la URL de redirección que se han generado.

Para obtener más información, consulte Conectar un dispositivo Citrix Gateway local como proveedor de identidades con Citrix Cloud.

Experiencia de los suscriptores con Citrix Gateway

Cuando la autenticación con Citrix Gateway está habilitada, los suscriptores siguen este flujo de trabajo:

  1. El suscriptor va a la URL del espacio de trabajo en el explorador o inicia la aplicación Workspace.
  2. Se redirige al suscriptor a la página de inicio de sesión de Citrix Gateway y se le autentica con cualquier método configurado en el dispositivo Gateway (por ejemplo, la autenticación de varios factores RADIUS, por tarjeta inteligente, por federación, mediante directivas de acceso condicional…). Para personalizar la página de inicio de sesión de Gateway de modo que tenga el mismo aspecto que la página de inicio de sesión de Workspace, siga los pasos descritos en CTX258331.
  3. Una vez que la autenticación se haya realizado correctamente, aparece el espacio de trabajo del suscriptor.

Okta

Citrix Workspace admite el uso de Okta como proveedor de identidades para administrar la autenticación de suscriptores en los espacios de trabajo.

La autenticación con Okta tiene los siguientes requisitos:

  • Una conexión entre su Active Directory local y su organización en Okta.
  • Una aplicación web OIDC de Okta configurada para usarse con Citrix Cloud. Para conectar Citrix Cloud a su organización de Okta, debe proporcionar el ID del cliente y el secreto del cliente asociados a esta aplicación.
  • Una conexión entre el dominio local de Active Directory y Citrix Cloud, con la autenticación con Okta habilitada en la página Administración de acceso e identidad.

Para obtener más información, consulte Conectar Okta como proveedor de identidades con Citrix Cloud.

Después de habilitar la autenticación con Okta, los suscriptores tienen otra experiencia de inicio de sesión. La selección de la autenticación de Okta ofrece un inicio de sesión federado, no Single Sign-On. Los suscriptores inician sesión en los espacios de trabajo desde una página de inicio de sesión de Okta, pero es posible que deban autenticarse una segunda vez al abrir una aplicación o escritorio desde Citrix Virtual Apps and Desktops Service. Para habilitar Single Sign-On y evitar un segundo mensaje de inicio de sesión, debe usar el Servicio de autenticación federada de Citrix con Citrix Cloud. Consulte Habilitar Single Sign-On para espacios de trabajo con Citrix Federated Authentication Service para obtener más información.

Experiencia de los suscriptores con Okta

Cuando la autenticación con Okta está habilitada, los suscriptores siguen este flujo de trabajo:

  1. El suscriptor va a la URL del espacio de trabajo en el explorador o inicia la aplicación Workspace.
  2. Se redirige al suscriptor a la página de inicio de sesión de Okta y se autentica con el método configurado en Okta (por ejemplo, la autenticación de varios factores, las directivas de acceso condicional…).
  3. Una vez que la autenticación se haya realizado correctamente, aparece el espacio de trabajo del suscriptor.

Nota:

Habilitar la autenticación de Okta ofrece un inicio de sesión federado, no Single Sign-On. Los suscriptores inician sesión en el espacio de trabajo desde una página de inicio de sesión de Okta, pero es posible que deban autenticarse una segunda vez al abrir una aplicación o escritorio desde Citrix Virtual Apps and Desktops Service. Para habilitar Single Sign-On y evitar un segundo mensaje de inicio de sesión, debe usar el Servicio de autenticación federada de Citrix con Citrix Cloud. Consulte Habilitar Single Sign-On para espacios de trabajo con Citrix Federated Authentication Service para obtener más información.

Servicio de autenticación federada de Citrix

Citrix Workspace admite el uso del Servicio de autenticación federada de Citrix (FAS) para ofrecer Single Sign-On en aplicaciones y escritorios virtuales. Los suscriptores que inicien sesión en espacios de trabajo a través de Azure AD introducen sus credenciales una sola vez para acceder a sus aplicaciones y escritorios.

El uso de FAS con Workspace tiene los siguientes requisitos:

  • Servidor FAS configurado como se describe en la sección Requisitos de la documentación de producto de FAS.
  • Una conexión entre el servidor FAS y Citrix Cloud. Esta conexión se crea a través de la opción Connect to Citrix Cloud del instalador de FAS. Si su servidor FAS existente es anterior a la versión 10, puede descargar el software de FAS más reciente de Citrix y actualizar el servidor in situ antes de crear esta conexión. Al crear la conexión, seleccione la ubicación de recursos donde quiere que resida el servidor FAS. Single Sign-On solo está activo para los suscriptores en las ubicaciones de recursos donde están presentes los servidores FAS.
  • Una conexión entre el dominio local de Active Directory y Citrix Cloud, con FAS habilitado en Configuración de Workspace.

Para obtener más información sobre el uso de FAS con Citrix Cloud, consulte Habilitar Single Sign-On para espacios de trabajo con Citrix Federated Authentication Service.

Experiencia de los suscriptores en el cierre de sesión

Importante:

Si Citrix Workspace agota el tiempo de espera en el explorador web debido a la inactividad, la sesión de los suscriptores en Azure AD no se cierra. Esto es una decisión de diseño, para impedir que al agotarse el tiempo de espera en Citrix Workspace también se cierren forzosamente otras aplicaciones de Azure AD.

Para cerrar Citrix Workspace, use la opción Parámetros > Cerrar sesión. Esta opción completa el proceso del cierre de sesión en el espacio de trabajo y Azure AD. Si los suscriptores cierran el explorador web en lugar de utilizar la opción Cerrar sesión, podrían permanecer conectados a Azure AD.

Espacios de trabajo seguros