Habilitar Single Sign-On para espacios de trabajo con Citrix Federated Authentication Service

Servicio de autenticación federada (FAS) de Citrix para proporcionar Single Sign-On (SSO) a DaaS en Citrix Workspace. Por lo general, se adopta FAS si se utiliza uno de los siguientes proveedores de identidades para la autenticación de Citrix Workspace:

  • Azure Active Directory
  • Okta
  • SAML 2.0
  • Citrix Gateway
  • Google Cloud Identity

Con FAS, los suscriptores introducen sus credenciales solo una vez para acceder a sus aplicaciones y escritorios de DaaS.

FAS no es necesario para SSO en DaaS si utiliza Active Directory (AD), AD y token o configuraciones específicas de Citrix Gateway. Para obtener más información sobre cómo configurar Citrix Gateway, consulte Crear una directiva de IdP de OAuth en Citrix Gateway local.

Servidores FAS

En cada ubicación de recursos, se pueden conectar varios servidores de FAS a Citrix Cloud para el equilibrio de carga y la conmutación por error.

Citrix Cloud admite el uso de servidores FAS en los siguientes casos.

En ambos supuestos, los suscriptores que inician sesión en sus espacios de trabajo a través de un proveedor de identidades federado introducen sus credenciales una sola vez para acceder a sus aplicaciones y escritorios.

Servidores FAS conectados con una única ubicación de recursos

Si las ubicaciones de recursos contienen una infraestructura variada (por ejemplo, las distintas ubicaciones de recursos contienen bosques de AD diferentes), implementará los servidores FAS en la misma ubicación de recursos en la que se encuentran los VDA. Single Sign-On solo está activo en las ubicaciones de recursos donde están conectados uno o varios servidores FAS.

Servidores FAS conectados con varias ubicaciones de recursos

Si tiene conectividad de red entre sus ubicaciones de recursos y estos contienen una infraestructura similar, puede conectar los servidores de FAS con varias ubicaciones de recursos. SSO está activo para los suscriptores del espacio de trabajo que se conectan a aplicaciones y escritorios en esas ubicaciones de recursos. En este caso, no es necesario conectar servidores FAS distintos a cada ubicación de recursos.

Cuando los suscriptores inician una aplicación o un escritorio virtual, Citrix Cloud selecciona un servidor de FAS que se encuentre en la misma ubicación de recursos que la aplicación o el escritorio que se inician. Citrix Cloud contacta con el servidor FAS seleccionado para obtener un tíquet que conceda acceso a un certificado de usuario almacenado en el servidor FAS. Para autenticar al suscriptor, el VDA se conecta al servidor de FAS y presenta el tíquet.

Puede utilizar el mismo servidor FAS tanto de forma local como en Citrix Cloud con la configuración de reglas adecuada.

Flujo de solicitudes del servidor FAS con Citrix Cloud

Prioridad de conmutación por error para varias ubicaciones de recursos

Cuando se utilizan servidores FAS con varias ubicaciones de recursos, los servidores FAS de una ubicación de recursos pueden proporcionar la funcionalidad de conmutación por error a los servidores FAS de otras ubicaciones de recursos. Cuando agrega servidores FAS a otras ubicaciones de recursos, designa cada servidor como principal o secundario. Cuando los suscriptores inician una aplicación o un escritorio virtual, Citrix Cloud utiliza esta designación de la siguiente manera para seleccionar un servidor FAS:

  • Se consideran en primer lugar los servidores de FAS designados como principales en la ubicación de recursos dada.
  • Si no hay servidores principales disponibles, se consideran los servidores de FAS designados como secundarios.
  • Si no hay servidores secundarios disponibles, el proceso de inicio continúa, pero sin Single Sign-On.

Resumen del vídeo

Para obtener información general sobre el servicio de autenticación federada (FAS) para Citrix Workspace, consulte este vídeo de Tech Insight:

Servicio de autenticación federada de Citrix para Citrix Workspace

Requisitos

Requisitos de conectividad

Para conectar un servidor de FAS con Citrix Cloud, utilice la consola de administración de FAS. Esta consola sirve para configurar un servidor FAS local o remoto. Para habilitar Single Sign-On para espacios de trabajo con FAS, la consola de administración FAS y el servicio FAS acceden a las siguientes direcciones con la cuenta del usuario de la consola y la cuenta del servicio de red, respectivamente.

  • Consola de administración de FAS mediante la cuenta del usuario de la consola:
    • *.cloud.com
    • *.citrixworkspacesapi.net
    • Direcciones requeridas por un proveedor de identidades tercero, si se utiliza uno en su entorno
  • Servicio FAS mediante la cuenta del servicio de red:
    • *.citrixworkspacesapi.net
    • https://*.citrixnetworkapi.net/

Si su entorno incluye servidores proxy, configure el proxy de usuario con las direcciones de la consola de administración FAS. Además, asegúrese de que la dirección de la cuenta de servicio de red esté configurada como apropiada para su entorno.

Requisitos de sistema de FAS

Los requisitos de esta sección se aplican a todos los servidores FAS a los que piense conectar con Citrix Cloud.

Todos los requisitos de sistema del servidor FAS se describen en la sección Requisitos del sistema de la documentación de producto de FAS.

Los servidores FAS de su entorno Citrix Virtual Apps and Desktops local deben tener instalado Servicio de autenticación federada 2003 (versión 10.1) o posterior.

Si su servidor FAS existente es anterior a la versión 10, puede descargar el software de FAS más reciente de Citrix y actualizar el servidor in situ antes de crear esta conexión. Al crear la conexión, seleccione la ubicación de recursos de su servidor FAS. Single Sign-On solo está activo para los suscriptores en las ubicaciones de recursos donde están presentes los servidores FAS.

Para obtener más información sobre la actualización de un servidor FAS existente, consulte Instalar y configurar en la documentación del producto FAS. Se puede utilizar el mismo servidor FAS para las implementaciones locales y Workspace.

Citrix Workspace

Debe tener Citrix DaaS aprovisionado y habilitado en Workspace. De forma predeterminada, DaaS está habilitado en la configuración de Workspace después de suscribirse al servicio. Sin embargo, el servicio requiere que se implemente Citrix Cloud Connectors para permitir que Citrix Cloud se comunique con el entorno local.

Cloud Connectors

Los Cloud Connectors de Citrix posibilitan la comunicación entre la ubicación de recursos (donde están los VDA) y Citrix Cloud. Implemente al menos dos Cloud Connectors para garantizar una alta disponibilidad. Los servidores en los que instale el software Cloud Connector deberán cumplir los siguientes requisitos:

  • Requisitos del sistema descritos en los Detalles técnicos de Cloud Connector.
  • No haber ningún otro componente de Citrix instalado, el servidor no es un controlador de dominio de Active Directory ni ser cualquier otra máquina de importancia crítica para la infraestructura de la ubicación de recursos.
  • Estar unidos al dominio en el que se encuentran los VDA.

Para obtener más información sobre cómo implementar Cloud Connectors, consulte los siguientes artículos:

Introducción a la configuración

  1. Si va a implementar nuevos servidores FAS, revise los Requisitos y siga las instrucciones que se indican en Instalar y configurar FAS, en este artículo.
  2. Conecte el servidor FAS a Citrix Cloud como se describe en Conectar un servidor FAS a Citrix Cloud, en este artículo. Al completar esta tarea, el servidor FAS se conecta a una única ubicación de recursos.
  3. Si piensa conectar el servidor FAS a varias ubicaciones de recursos, siga las instrucciones que se indican en Agregar un servidor FAS a varias ubicaciones de recursos, en este artículo.

Instalar y configurar FAS

Siga el proceso de instalación y configuración de FAS descrito en la documentación del producto FAS. No se requieren los pasos de configuración para StoreFront y el Delivery Controller.

Sugerencia:

También puede descargar el instalador del Servicio de autenticación federada desde la consola de Citrix Cloud:

  1. En el menú de Citrix Cloud, seleccione Ubicaciones de recursos.
  2. Seleccione el icono Servidores FAS y, a continuación, haga clic en Descargar.

Conectar servidores FAS a Citrix Cloud

Utilice la consola de administración FAS para conectar el servidor FAS a Citrix Cloud, tal y como se describe en Instalar y configurar, en la documentación del producto FAS.

Después de completar el paso de configuración para conectar con Citrix Cloud, Citrix Cloud registra el servidor FAS y lo muestra en la página Ubicaciones de recursos de su cuenta de Citrix Cloud.

Página Ubicaciones de recursos con servidor FAS agregado

Si ya tiene la página Ubicaciones de recursos cargada en su explorador, actualice la página para mostrar el servidor FAS registrado.

Función de notificaciones de Cloud

Ahora, FAS ofrece notificaciones de Cloud. Con las nuevas notificaciones de Cloud para servidores de FAS, recibirá notificaciones en estos casos:

  • Un servidor de FAS no funciona o no está disponible.
  • El certificado de la autoridad de Registro (RA) de un servidor de FAS ha caducado o está a punto de caducar.
  • Hay una nueva versión de FAS disponible para descargarse.

Generar notificaciones

Se realiza una comprobación periódica de nuevas notificaciones en la consola de administración de Citrix Cloud. Las notificaciones aparecen en el icono de la campana de la esquina superior derecha de la consola de administración de Citrix Cloud. Seleccione Ver todo en el icono de notificaciones para ver todas las notificaciones. Para obtener más información, consulte Notificaciones.

Notificaciones de Cloud de FAS

Nota:

Cuando se genera una notificación, se generará de nuevo periódicamente solamente si el problema no se ha resuelto.

Todas las notificaciones contienen el FQDN del servidor de FAS afectado. La notificación de caducidad del certificado de la autoridad de registro solo se muestra para los servidores de FAS con la versión 10.10.0.14 o una posterior.

Agregar un servidor FAS a varias ubicaciones de recursos

  1. En el menú de Citrix Cloud, seleccione Ubicaciones de recursos y, a continuación, seleccione la ficha Servidores de FAS.
  2. Busque el servidor de FAS que quiere administrar, haga clic en los puntos suspensivos (…) en la sección derecha de la entrada y, a continuación, seleccione Administrar servidor. Ficha Servidores de FAS con la opción de menú Administrar servidor resaltada
  3. Seleccione Agregar a una ubicación de recursos y, a continuación, seleccione las ubicaciones de recursos. Cuadro de diálogo Administrar servidores con la opción Agregar a ubicación de recursos resaltada
  4. Seleccione Principal o Secundario para la prioridad de conmutación por error del servidor FAS en cada ubicación de recursos seleccionada.
  5. Seleccione Guardar cambios.

Para ver el servidor FAS agregado, seleccione Ubicaciones de recursos en el menú de Citrix Cloud y, a continuación, seleccione la ficha Servidores de FAS. Aparecerá una lista de todos los servidores de FAS de todas las ubicaciones de recursos conectadas. Para mostrar los servidores de FAS de una ubicación de recursos específica, seleccione la ubicación de recursos en la lista desplegable.

Cambiar la prioridad de conmutación por error de un servidor de FAS

  1. En la página Ubicaciones de recursos, seleccione el mosaico Servidores de FAS correspondiente a la ubicación de recursos que quiere administrar.
  2. Seleccione la ficha Servidores de FAS.
  3. Busque el servidor de FAS que quiere administrar, haga clic en los puntos suspensivos del lado derecho de la entrada y, a continuación, seleccione Administrar servidor.
  4. Busque la ubicación de recursos con la prioridad que quiere cambiar y seleccione la nueva prioridad en la lista desplegable. Administrar servidores de FAS con menú desplegable de prioridad resaltado
  5. Seleccione Guardar cambios.

Habilitar la autenticación federada para espacios de trabajo

  1. En el menú de Citrix Cloud, seleccione Configuración de Workspace y, luego, Autenticación.
  2. Haga clic en Habilitar FAS. Este cambio puede tardar hasta cinco minutos en aplicarse a las sesiones de los suscriptores.

Página Configuración de Workspace con el botón Habilitar FAS resaltado

Posteriormente, el Servicio de autenticación federada (FAS) se activa para todos los inicios de aplicaciones virtuales y escritorios de Citrix Workspace.

Página Configuración de Workspace con FAS habilitado

Cuando los suscriptores inician sesión en su espacio de trabajo e inician una aplicación virtual o un escritorio en la misma ubicación de recursos que el servidor FAS, la aplicación o el escritorio se inician sin solicitar credenciales.

Nota:

Si todos los servidores de FAS de una ubicación de recursos están inactivos o están en modo de mantenimiento, los inicios de aplicación se ejecutan correctamente, pero Single Sign-On no está activo. Se solicita a los suscriptores sus credenciales de AD para acceder a cada aplicación o escritorio.

Quitar un servidor de FAS

Para quitar un servidor de FAS de una sola ubicación de recursos:

  1. En la página Ubicaciones de recursos, seleccione el mosaico Servidores de FAS correspondiente a la ubicación de recursos que quiere administrar.
  2. Seleccione la ficha Servidores de FAS.
  3. Busque el servidor de FAS que quiere administrar, haga clic en los puntos suspensivos del lado derecho de la entrada y, a continuación, seleccione Administrar servidor.
  4. Busque la ubicación de recursos que quiere eliminar y, a continuación, haga clic en el icono X. Administrar servidores de FAS con iconos de eliminación resaltados

Para quitar un servidor de FAS de todas las ubicaciones de recursos conectadas:

  1. En el menú de Citrix Cloud, seleccione Ubicaciones de recursos.
  2. Busque la ubicación de recursos que quiere administrar y, a continuación, seleccione el icono Servidores de FAS.
  3. Busque el servidor de FAS que quiere quitar, haga clic en los puntos suspensivos de la parte derecha de la entrada y, a continuación, seleccione Quitar servidor de FAS. Comando de menú Quitar servidor de FAS
  4. En la consola de administración de FAS (en el servidor FAS local), en Conectarse a Citrix Cloud, seleccione Desconectar. Si lo prefiere, puede desinstalar FAS. Consola de administración de FAS con el comando Inhabilitar resaltado

Solución de problemas

Si el servidor FAS no está disponible, aparecerá un mensaje de advertencia en la página Servidores de FAS.

Página de la consola Servidores de FAS

Para diagnosticar el problema, abra la consola de administración de FAS en el servidor FAS local e inspeccione el estado. Por ejemplo, el servidor FAS no está presente en el objeto de directiva de grupo (GPO) del servidor FAS:

El servidor FAS no está disponible en la consola del administrador del servidor FAS

Si la consola de administración de FAS indica que el servidor está funcionando correctamente, pero sigue habiendo problemas de inicio de sesión con el agente VDA, consulte la Guía de solución de problemas FAS.

Más información

Configurar Single Sign-On en la aplicación Workspace