Habilitar Single Sign-On para espacios de trabajo con Citrix Federated Authentication Service

Citrix Federated Authentication Service (FAS) admite Single Sign-On para iniciar sesión en aplicaciones y escritorios virtuales presentes en Citrix Workspace. En cada ubicación de recursos, se pueden conectar varios servidores de FAS a Citrix Cloud para el equilibrio de carga y la conmutación por error. Puede utilizar el mismo servidor FAS tanto de forma local como en Citrix Cloud con la configuración de reglas adecuada.

Flujo de solicitudes de servidor FAS con Citrix Cloud

Los suscriptores que inicien sesión en sus espacios de trabajo a través de proveedores de identidades federados (como Azure AD, Okta, SAML, etc.) introducen sus credenciales una sola vez para acceder a sus aplicaciones y escritorios. Cuando los suscriptores inician una aplicación o un escritorio virtual en su espacio de trabajo, Citrix Cloud selecciona un servidor FAS que se encuentre en la misma ubicación de recursos que el VDA que se inicia. Citrix Cloud contacta con el servidor FAS seleccionado para obtener un tíquet que conceda acceso a un certificado de usuario almacenado en el servidor FAS. Para autenticar al suscriptor, el VDA se conecta a FAS y presenta el tíquet.

Importante:

  • Cuando se habilita Single Sign-On a través del portal de administración en la nube, el inicio de sesión único solo se activa en las ubicaciones de recursos a las que se hayan conectado servidores FAS. Si no hay servidores FAS en una ubicación de recursos, Single Sign-On no estará activo para los recursos de dicha ubicación.
  • Al habilitar FAS en su ubicación de recursos, el servicio de autenticación federada se activa para todos los inicios de aplicaciones virtuales y escritorios de Citrix Workspace.

Para obtener información general sobre el servicio de autenticación federada (FAS) para Citrix Workspace, consulte este vídeo de Tech Insight:

Servicio de autenticación federada de Citrix para Citrix Workspace

Requisitos

Requisitos de conectividad

Para conectar un servidor de FAS con Citrix Cloud, utilice la consola de administración de FAS. Esta consola sirve para configurar un servidor FAS local o remoto. Para habilitar Single Sign-On para espacios de trabajo con FAS, la consola de administración FAS y el servicio FAS acceden a las siguientes direcciones con la cuenta del usuario de la consola y la cuenta del servicio de red, respectivamente.

  • Consola de administración de FAS, usando la cuenta del usuario de la consola
    • *.cloud.com
    • *.citrixworkspaceapi.net
    • Direcciones requeridas por un proveedor de identidades tercero, si se utiliza uno en su entorno
  • Servicio FAS, usando la cuenta del servicio de red: *.citrixworkspaceapi.net

Si su entorno incluye servidores proxy, configure el proxy de usuario con las direcciones de la consola de administración FAS. Además, asegúrese de que la dirección de la cuenta de servicio de red esté configurada como apropiada para su entorno.

Servidor de FAS

Todos los requisitos del servidor FAS se describen en la sección Requisitos del sistema de la documentación de producto de FAS.

Los servidores FAS de su entorno Virtual Apps and Desktops local deben tener instalado Servicio de autenticación federada 2003 (versión 10.1) o posterior. Para actualizar un servidor FAS, consulte la documentación de Instalación y configuración de FAS. Se puede utilizar el mismo servidor FAS para las implementaciones locales y Workspace.

Citrix Workspace

Debe tener Virtual Apps and Desktops Service aprovisionado y habilitado en Workspace. De forma predeterminada, Virtual Apps and Desktops Service está habilitado en la configuración de Workspace después de suscribirse al servicio. Sin embargo, el servicio requiere que se implemente Citrix Cloud Connectors para permitir que Citrix Cloud se comunique con el entorno local.

Cloud Connectors

Citrix Cloud Connector posibilita la comunicación entre la ubicación de recursos (donde residen los VDA) y Citrix Cloud. Para garantizar una alta disponibilidad, necesita al menos dos servidores donde instalar el software Citrix Cloud Connector. Estos servidores deben cumplir los siguientes requisitos:

  • Cumplir con los requisitos del sistema descritos en Detalles técnicos de Citrix Cloud Connector.
  • No tener ningún otro componente de Citrix instalado, no ser un controlador de dominio de Active Directory ni ser cualquier otra máquina de importancia crítica para la infraestructura de la ubicación de recursos.
  • Estar unido al dominio donde reside el servidor FAS.

Para obtener más información sobre cómo implementar Cloud Connectors, consulte los siguientes artículos:

Instalar y configurar FAS

Importante:

Cuando se habilita Single Sign-On a través de FAS, el inicio de sesión único solo se activa en las ubicaciones de recursos a las que se hayan conectado servidores FAS. Si no hay servidores FAS en una ubicación de recursos, Single Sign-On no estará activo para los suscriptores del espacio de trabajo que se conecten a través de esa ubicación de recursos.

Siga el proceso de instalación y configuración de FAS descrito en la documentación de FAS, aparte de los pasos de configuración de StoreFront y Delivery Controller, que no son necesarios.

Nota:

Puede descargar el instalador MSI del Servicio de autenticación federada desde la consola de Citrix Cloud:

  1. En el menú de Citrix Cloud, seleccione Ubicaciones de recursos.
  2. Seleccione el icono Servidores FAS y, a continuación, haga clic en Descargar.

Conectar un servidor FAS a Citrix Cloud

Después de instalar y configurar el servidor FAS, utilice la consola de administración de FAS para Conectarse a Citrix Cloud como se describe en la documentación de FAS.

Después de completar el paso de configuración para conectar con Citrix Cloud, Citrix Cloud registra el servidor FAS y lo muestra en la página Ubicaciones de recursos de su cuenta de Citrix Cloud.

Página Ubicaciones de recursos con servidor FAS agregado

Si ya tiene la página Ubicaciones de recursos cargada en su explorador, actualice la página para mostrar el servidor FAS registrado.

Habilitar la autenticación federada para espacios de trabajo

  1. En el menú de Citrix Cloud, seleccione Configuración de Workspace y, luego, Autenticación.
  2. Haga clic en Habilitar FAS. Este cambio puede tardar hasta cinco minutos en aplicarse a las sesiones de los suscriptores.

Página Configuración de Workspace con el botón Habilitar FAS resaltado

Posteriormente, el Servicio de autenticación federada (FAS) se activa para todos los inicios de aplicaciones virtuales y escritorios de Citrix Workspace.

Página Configuración de Workspace con FAS habilitado

Cuando los suscriptores inician sesión en su espacio de trabajo e inician una aplicación virtual o un escritorio en la misma ubicación de recursos que el servidor FAS, la aplicación o el escritorio se inician sin solicitar credenciales.

Nota:

Si todos los servidores FAS de una ubicación de recursos están inactivos o están en modo de mantenimiento, los inicios de aplicación se ejecutan correctamente, pero Single Sign-On no está activo. Se solicita a los suscriptores sus credenciales de AD para acceder a cada aplicación o escritorio.

Quitar un servidor de FAS

  1. En el menú de Citrix Cloud, seleccione Ubicaciones de recursos.
  2. Busque la ubicación de recursos que quiere administrar y, a continuación, seleccione el icono Servidores de FAS.
  3. Busque el servidor FAS que desea quitar, haga clic en el botón de puntos suspensivos y, a continuación, seleccione Quitar servidor de FAS. Comando de menú Quitar servidor de FAS
  4. En la consola de administración de FAS (en el servidor FAS local), en Conectarse a Citrix Cloud, seleccione Inhabilitar. Si lo prefiere, puede desinstalar FAS. Consola de administración de FAS con el comando Inhabilitar resaltado

Solucionar problemas

Si el servidor FAS no está disponible, aparecerá un mensaje de advertencia en la página Servidores de FAS.

Página de la consola Servidores de FAS

Para diagnosticar el problema, abra la consola de administración de FAS en el servidor FAS local e inspeccione el estado. Por ejemplo, el servidor FAS no está presente en el objeto de directiva de grupo (GPO) del servidor FAS:

Servidor FAS no disponible en la consola del administrador del servidor FAS

Si la consola de administración de FAS indica que el servidor está funcionando correctamente, pero sigue habiendo problemas de inicio de sesión con el agente VDA, consulte la Guía de solución de problemas FAS.

Habilitar Single Sign-On para espacios de trabajo con Citrix Federated Authentication Service