Habilitar Single Sign-On para espacios de trabajo con Citrix Federated Authentication Service

Citrix Federated Authentication Service (FAS) admite Single Sign-On para iniciar sesión en aplicaciones y escritorios virtuales presentes en Citrix Workspace. En cada ubicación de recursos, se pueden conectar varios servidores de FAS a Citrix Cloud para el equilibrio de carga y la conmutación por error.

Citrix Cloud admite el uso de servidores FAS en los siguientes casos:

  • Servidores FAS conectados con una única ubicación de recursos: Si las ubicaciones de recursos contienen una infraestructura variada (por ejemplo, las distintas ubicaciones de recursos contienen bosques de Active Directory (bosques de AD) diferentes, implementará los servidores FAS en la misma ubicación de recursos en la que residen los agentes VDA. Single Sign-On solo está activo en las ubicaciones de recursos donde están conectados uno o varios servidores FAS.
  • Servidores FAS conectados con varias ubicaciones de recursos: Si tiene conectividad de red entre sus ubicaciones de recursos y estos contienen una infraestructura similar (por ejemplo, residen en un único bosque de AD), puede conectar los servidores FAS con varias ubicaciones de recursos. Single Sign-On está activo para los suscriptores del espacio de trabajo que se conectan a aplicaciones y escritorios virtuales en esas ubicaciones de recursos. En este caso, no es necesario conectar servidores FAS distintos a cada ubicación de recursos.

    Nota:

    El uso de FAS con múltiples ubicaciones de recursos está disponible actualmente como funcionalidad de vista previa. Citrix recomienda utilizar funciones de previsualización solo en entornos de prueba o entornos de producción limitada.

En ambos supuestos, los suscriptores que inician sesión en sus espacios de trabajo a través de un proveedor de identidades federado (como Azure AD, Okta, SAML, etc.) introducen sus credenciales una sola vez para acceder a sus aplicaciones y escritorios.

Cuando los suscriptores inician una aplicación o un escritorio virtual, Citrix Cloud selecciona un servidor de FAS que se encuentre en la misma ubicación de recursos que la aplicación o el escritorio que se inician. Citrix Cloud contacta con el servidor FAS seleccionado para obtener un tíquet que conceda acceso a un certificado de usuario almacenado en el servidor FAS. Para autenticar al suscriptor, el VDA se conecta al servidor de FAS y presenta el tíquet.

Puede utilizar el mismo servidor FAS tanto de forma local como en Citrix Cloud con la configuración de reglas adecuada.

Flujo de solicitudes de servidor FAS con Citrix Cloud

Para obtener información general sobre el servicio de autenticación federada (FAS) para Citrix Workspace, consulte este vídeo de Tech Insight:

Servicio de autenticación federada de Citrix para Citrix Workspace

Requisitos

Requisitos de conectividad

Para conectar un servidor de FAS con Citrix Cloud, utilice la consola de administración de FAS. Esta consola sirve para configurar un servidor FAS local o remoto. Para habilitar Single Sign-On para espacios de trabajo con FAS, la consola de administración FAS y el servicio FAS acceden a las siguientes direcciones con la cuenta del usuario de la consola y la cuenta del servicio de red, respectivamente.

  • Consola de administración de FAS mediante la cuenta del usuario de la consola
    • *.cloud.com
    • *.citrixworkspacesapi.net
    • Direcciones requeridas por un proveedor de identidades tercero, si se utiliza uno en su entorno
  • Servicio FAS mediante la cuenta del servicio de red: *.citrixworkspacesapi.net

Si su entorno incluye servidores proxy, configure el proxy de usuario con las direcciones de la consola de administración FAS. Además, asegúrese de que la dirección de la cuenta de servicio de red esté configurada como apropiada para su entorno.

Requisitos de sistema de FAS

Los requisitos de esta sección se aplican a todos los servidores FAS a los que piense conectar con Citrix Cloud.

Todos los requisitos de sistema del servidor FAS se describen en la sección Requisitos del sistema de la documentación de producto de FAS.

Los servidores FAS de su entorno Citrix Virtual Apps and Desktops local deben tener instalado Servicio de autenticación federada 2003 (versión 10.1) o posterior. Para obtener más información sobre la actualización de un servidor FAS existente, consulte Instalación y configuración en la documentación del producto FAS. Se puede utilizar el mismo servidor FAS para las implementaciones locales y Workspace.

Citrix Workspace

Debe tener Citrix Virtual Apps and Desktops Service aprovisionado y habilitado en Workspace. De forma predeterminada, Virtual Apps and Desktops Service está habilitado en la configuración de Workspace después de suscribirse al servicio. Sin embargo, el servicio requiere que se implemente Citrix Cloud Connectors para permitir que Citrix Cloud se comunique con el entorno local.

Cloud Connectors

Los Cloud Connectors de Citrix posibilitan la comunicación entre la ubicación de recursos (donde residen los VDA) y Citrix Cloud. Implemente al menos dos Cloud Connectors para garantizar una alta disponibilidad. Los servidores en los que instale el software Cloud Connector deberán cumplir los siguientes requisitos:

  • Requisitos del sistema descritos en Detalles técnicos de Citrix Cloud Connector
  • No haber ningún otro componente de Citrix instalado, el servidor no es un controlador de dominio de Active Directory ni ser cualquier otra máquina de importancia crítica para la infraestructura de la ubicación de recursos.
  • Estar unidos al dominio en el que residen los VDA.

Para obtener más información sobre cómo implementar Cloud Connectors, consulte los siguientes artículos:

Introducción a la configuración

  1. Si va a implementar nuevos servidores FAS, revise Requisitos y siga las instrucciones que se indican en Instalar y configurar FAS, en este artículo.
  2. Conecte el servidor FAS a Citrix Cloud como se describe en Conectar un servidor FAS a Citrix Cloud, en este artículo. Al completar esta tarea, el servidor FAS se conecta a una única ubicación de recursos.
  3. Si piensa conectar el servidor FAS a varias ubicaciones de recursos, agregue el servidor FAS tal y como se describe en Agregar un servidor FAS a varias ubicaciones de recursos, en este artículo.

Instalar y configurar FAS

Siga el proceso de instalación y configuración de FAS descrito en la documentación del producto FAS. No se requieren los pasos de configuración para StoreFront y el Delivery Controller.

Sugerencia:

También puede descargar el instalador del Servicio de autenticación federada desde la consola de Citrix Cloud:

  1. En el menú de Citrix Cloud, seleccione Ubicaciones de recursos.
  2. Seleccione el icono Servidores FAS y, a continuación, haga clic en Descargar.

Conectar servidores FAS a Citrix Cloud

Utilice la consola de administración FAS para conectar el servidor FAS a Citrix Cloud, tal y como se describe en Instalación y configuración en la documentación del producto FAS.

Después de completar el paso de configuración para conectar con Citrix Cloud, Citrix Cloud registra el servidor FAS y lo muestra en la página Ubicaciones de recursos de su cuenta de Citrix Cloud.

Página Ubicaciones de recursos con servidor FAS agregado

Si ya tiene la página Ubicaciones de recursos cargada en su explorador, actualice la página para mostrar el servidor FAS registrado.

Agregar un servidor FAS a varias ubicaciones de recursos

Esta funcionalidad está disponible como vista previa. Citrix recomienda utilizar funciones de previsualización solo en entornos de prueba o entornos de producción limitada.

  1. En el menú de Citrix Cloud, seleccione Ubicaciones de recursos y, a continuación, seleccione la ficha Servidores de FAS .
  2. Busque el servidor de FAS que quiere administrar, haga clic en los puntos suspensivos (…) en la sección derecha de la entrada y, a continuación, seleccione Administrar servidor. Ficha Servidores de FAS con la opción de menú Administrar servidor resaltada
  3. Seleccione Agregar a una ubicación de recursos y, a continuación, seleccione las ubicaciones de recursos. Cuadro de diálogo Administrar servidores con la opción Agregar a ubicación de recursos resaltada
  4. Seleccione Principal o Secundario para la prioridad de conmutación por error del servidor FAS en cada ubicación de recursos seleccionada.
  5. Seleccione Guardar cambios.

Para ver el servidor FAS agregado, seleccione Ubicaciones de recursos en el menú de Citrix Cloud y, a continuación, seleccione la ficha Servidores de FAS. Aparecerá una lista de todos los servidores de FAS de todas las ubicaciones de recursos conectadas. Para mostrar los servidores de FAS de una ubicación de recursos específica, seleccione la ubicación de recursos en la lista desplegable.

Cambiar la prioridad de conmutación por error de un servidor de FAS

Cuando los suscriptores inician una aplicación o un escritorio virtual, Citrix Cloud utiliza la siguiente secuencia para seleccionar un servidor FAS en la misma ubicación de recursos que la aplicación o el escritorio que se está iniciando:

  • Se consideran en primer lugar los servidores de FAS designados como principales en la ubicación de recursos dada.
  • Si no hay servidores principales disponibles, se consideran los servidores de FAS designados como secundarios.
  • Si no hay servidores secundarios disponibles, el proceso de inicio continúa, pero sin Single Sign-On.
  1. En la página Ubicaciones de recursos, seleccione el mosaico Servidores de FAS correspondiente a la ubicación de recursos que quiere administrar.
  2. Seleccione la ficha Servidores de FAS.
  3. Busque el servidor de FAS que quiere administrar, haga clic en los puntos suspensivos del lado derecho de la entrada y, a continuación, seleccione Administrar servidor.
  4. Busque la ubicación de recursos con la prioridad que quiere cambiar y seleccione la nueva prioridad en la lista desplegable. Administrar servidores de FAS con menú desplegable de prioridad resaltado
  5. Seleccione Guardar cambios.

Habilitar la autenticación federada para espacios de trabajo

  1. En el menú de Citrix Cloud, seleccione Configuración de Workspace y, luego, Autenticación.
  2. Haga clic en Habilitar FAS. Este cambio puede tardar hasta cinco minutos en aplicarse a las sesiones de los suscriptores.

Página Configuración de Workspace con el botón Habilitar FAS resaltado

Posteriormente, el Servicio de autenticación federada (FAS) se activa para todos los inicios de aplicaciones virtuales y escritorios de Citrix Workspace.

Página Configuración de Workspace con FAS habilitado

Cuando los suscriptores inician sesión en su espacio de trabajo e inician una aplicación virtual o un escritorio en la misma ubicación de recursos que el servidor FAS, la aplicación o el escritorio se inician sin solicitar credenciales.

Nota:

Si todos los servidores FAS de una ubicación de recursos están inactivos o están en modo de mantenimiento, los inicios de aplicación se ejecutan correctamente, pero Single Sign-On no está activo. Se solicita a los suscriptores sus credenciales de AD para acceder a cada aplicación o escritorio.

Quitar un servidor de FAS

Para quitar un servidor de FAS de una sola ubicación de recursos:

  1. En la página Ubicaciones de recursos, seleccione el mosaico Servidores de FAS correspondiente a la ubicación de recursos que quiere administrar.
  2. Seleccione la ficha Servidores de FAS.
  3. Busque el servidor de FAS que quiere administrar, haga clic en los puntos suspensivos del lado derecho de la entrada y, a continuación, seleccione Administrar servidor.
  4. Busque la ubicación de recursos que quiere quitar y, a continuación, haga clic en el icono X. Administrar servidores de FAS con iconos de eliminación resaltados

Para quitar un servidor de FAS de todas las ubicaciones de recursos conectadas:

  1. En el menú de Citrix Cloud, seleccione Ubicaciones de recursos.
  2. Busque la ubicación de recursos que quiere administrar y, a continuación, seleccione el icono Servidores de FAS.
  3. Busque el servidor de FAS que quiere quitar, haga clic en los puntos suspensivos de la parte derecha de la entrada y, a continuación, seleccione Quitar servidor de FAS. Comando de menú Quitar servidor de FAS
  4. En la consola de administración de FAS (en el servidor FAS local), en Conectarse a Citrix Cloud, seleccione Desconectar. Si lo prefiere, puede desinstalar FAS. Consola de administración de FAS con el comando Inhabilitar resaltado

Solucionar problemas

Si el servidor FAS no está disponible, aparecerá un mensaje de advertencia en la página Servidores de FAS.

Página de la consola Servidores de FAS

Para diagnosticar el problema, abra la consola de administración de FAS en el servidor FAS local e inspeccione el estado. Por ejemplo, el servidor FAS no está presente en el objeto de directiva de grupo (GPO) del servidor FAS:

Servidor FAS no disponible en la consola del administrador del servidor FAS

Si la consola de administración de FAS indica que el servidor está funcionando correctamente, pero sigue habiendo problemas de inicio de sesión con el agente VDA, consulte la Guía de solución de problemas FAS.

Habilitar Single Sign-On para espacios de trabajo con Citrix Federated Authentication Service