Habilitar Single Sign-On para espacios de trabajo con Citrix Federated Authentication Service (Technical Preview)

Nota:

El uso de Federation Authentication Service con Citrix Cloud se encuentra actualmente en Technical Preview. Citrix recomienda utilizar funciones de Technical Preview solo en entornos de prueba o entornos de producción limitada.

Citrix Federated Authentication Service (FAS) admite Single Sign-On para iniciar sesión en aplicaciones y escritorios virtuales presentes en Citrix Workspace. En cada ubicación de recursos, se pueden conectar varios servidores FAS a Citrix Cloud para el equilibrio de carga y la conmutación por error. Puede utilizar el mismo servidor FAS tanto de forma local como en Citrix Cloud con la configuración de reglas adecuada.

Flujo de solicitudes de servidor FAS con Citrix Cloud

Los suscriptores que inicien sesión en espacios de trabajo a través de Azure AD introducen sus credenciales una sola vez para acceder a sus aplicaciones y escritorios. Cuando los suscriptores inician una aplicación o un escritorio virtual en su espacio de trabajo, Citrix Cloud selecciona un servidor FAS que se encuentre en la misma ubicación de recursos que el VDA que se inicia. Citrix Cloud contacta con el servidor FAS seleccionado para obtener un tíquet que conceda acceso a un certificado de usuario almacenado en el servidor FAS. Para autenticar al suscriptor, el VDA se conecta a FAS y presenta el tíquet.

Importante:

  • Cuando se habilita Single Sign-On a través de FAS, el inicio de sesión único solo se activa en las ubicaciones de recursos a las que se hayan conectado servidores FAS. Si no hay servidores FAS en una ubicación de recursos, Single Sign-On no estará activo para los recursos de dicha ubicación.
  • Al habilitar FAS en su ubicación de recursos, el servicio de autenticación federada se activa para todos los inicios de aplicaciones virtuales y escritorios de Citrix Workspace.

Para obtener información general sobre el servicio de autenticación federada (FAS) para Citrix Workspace, consulte este vídeo de Tech Insight:

Servicio de autenticación federada de Citrix para Citrix Workspace

Requisitos

Servidor de FAS

Para conocer todos los requisitos del servidor FAS, consulte la sección Requisitos del sistema de la documentación del producto de FAS.

Si aún no tiene servidores FAS en su entorno de Citrix Virtual Apps and Desktops local o si quiere actualizar un servidor FAS existente, consulte Instalar y configurar FAS en este artículo.

Si el servidor FAS existente es de la versión 10.0 o posterior, vaya a Conectar un servidor FAS a Citrix Cloud.

Citrix Workspace

Debe tener Virtual Apps and Desktops Service aprovisionado y habilitado en Workspace. De forma predeterminada, Virtual Apps and Desktops Service está habilitado en la configuración de Workspace después de suscribirse al servicio. Sin embargo, el servicio requiere que se implemente Citrix Cloud Connectors para permitir que Citrix Cloud se comunique con el entorno local.

Cloud Connectors

Citrix Cloud Connector posibilita la comunicación entre la ubicación de recursos (donde reside el servidor FAS) y Citrix Cloud. Para garantizar una alta disponibilidad, necesita al menos dos servidores donde instalar el software Citrix Cloud Connector. Estos servidores deben cumplir los siguientes requisitos:

  • Cumplir con los requisitos del sistema descritos en Detalles técnicos de Citrix Cloud Connector.
  • No tener ningún otro componente de Citrix instalado, no ser un controlador de dominio de Active Directory ni ser cualquier otra máquina de importancia crítica para la infraestructura de la ubicación de recursos.
  • Estar unido al dominio donde reside el servidor FAS.

Para obtener más información sobre cómo implementar Cloud Connectors, consulte los siguientes artículos:

Instalar y configurar FAS

Instale y configure uno o varios servidores FAS si:

  • Todavía no tiene un servidor FAS en su entorno local.
  • Su servidor FAS es anterior a la versión 10.0 y quiere actualizarlo en contexto para poder conectarse a Citrix Cloud.

Si el servidor FAS existente es de la versión 10.0 o posterior, vaya a Conectar un servidor FAS a Citrix Cloud.

Importante:

Cuando se habilita Single Sign-On a través de FAS, el inicio de sesión único solo se activa en las ubicaciones de recursos a las que se hayan conectado servidores FAS. Si no hay servidores FAS en una ubicación de recursos, Single Sign-On no estará activo para los suscriptores del espacio de trabajo que se conecten a través de esa ubicación de recursos.

Instrucciones para instalar y configurar FAS

La instalación y configuración de un servidor FAS sigue el mismo proceso que se describe en la documentación de FAS, con las siguientes excepciones:

  • No se requieren pasos de configuración para StoreFront o el Delivery Controller.
  • La consola de administración de FAS puede tener un aspecto diferente al que se muestra en la documentación del producto FAS. Sin embargo, la funcionalidad es la misma.
  • La consola de administración de FAS no requiere que especifique el servidor FAS que quiere conectar. Se conecta al servicio FAS local de forma predeterminada. Si fuera necesario, puede conectarse a un servicio remoto mediante Connect to another server en la parte superior derecha de la consola.

Para instalar y configurar un servidor FAS, realice las siguientes tareas:

  1. Descargue e instale la versión más reciente del software del servidor FAS de Citrix.
  2. Configure las reglas de FAS. Cuadro de diálogo de reglas del servidor FAS

    Al configurar una regla de FAS, puede especificar qué servidores de StoreFront tienen permiso para usar dicha regla. Sin embargo, cuando se usa una regla con Citrix Cloud, se ignoran los permisos de acceso de StoreFront. Puede usar la misma regla con Citrix Cloud y con una implementación local de StoreFront. Los permisos de acceso de StoreFront se siguen aplicando cuando una implementación local de StoreFront utiliza esta regla. Si utiliza el servidor FAS solamente con Citrix Cloud, no tiene que realizar esta tarea.

  3. Configure la directiva de grupo, incluso si utiliza la implementación de FAS únicamente con Citrix Cloud. Cuadro de diálogo Directiva de grupo del servidor FAS con dirección DNS

    El orden de las direcciones DNS de los servidores FAS de la lista debe ser coherente según lo observado por:

    • VDA
    • Servidores de StoreFront (si están presentes)
    • Servidores FAS

    Esto se debe a que los VDA utiliza un índice (número entero) de la lista para localizar el servidor FAS elegido para el inicio de una aplicación virtual o un escritorio.

Descargar el software de FAS

La versión más reciente del software FAS está disponible en el sitio web de descargas de Citrix, en https://www.citrix.com/downloads/citrix-cloud/betas-and-tech-previews/federated-authentication-service–fas-.html.

Para acceder a la página de descargas del Servicio de autenticación federada desde la consola de Citrix Cloud:

  1. En el menú de Citrix Cloud, seleccione Ubicaciones de recursos.
  2. Seleccione el icono Servidores FAS y, a continuación, haga clic en Descargar. Página Ubicaciones de recursos con el mosaico del servidor FAS resaltado Pantalla de descarga de FAS

Después de la descarga, puede iniciar el instalador y seguir los pasos del asistente para configurar las directivas de grupo y las reglas de FAS y conectarse a Citrix Cloud.

Conectar un servidor FAS a Citrix Cloud

En esta sección se supone que el servidor FAS existente está instalado y configurado como se describe en la documentación de FAS.

  1. En el instalador de FAS, compruebe que la ficha Initial Setup está seleccionada. Instalador FAS con el botón Connect resaltado
  2. En Connect to Citrix Cloud, seleccione Connect.
  3. Cuando se le solicite, inicie sesión en Citrix Cloud y, si procede, seleccione la cuenta del cliente y la ubicación de recursos donde quiere conectar el servidor FAS.

Después de completar la instalación, Citrix Cloud registra el servidor FAS y lo muestra en la página Ubicaciones de recursos de su cuenta de Citrix Cloud.

Página Ubicaciones de recursos con servidor FAS agregado

Si ya tiene la página Ubicaciones de recursos cargada en su explorador, actualice la página para mostrar el servidor FAS registrado.

Habilitar la autenticación federada para espacios de trabajo

  1. En el menú de Citrix Cloud, seleccione Configuración de Workspace y, luego, Autenticación.
  2. Haga clic en Habilitar FAS. Este cambio puede tardar hasta cinco minutos en aplicarse a las sesiones de los suscriptores.

Página Configuración de Workspace con el botón Habilitar FAS resaltado

Posteriormente, el Servicio de autenticación federada (FAS) se activa para todos los inicios de aplicaciones virtuales y escritorios de Citrix Workspace.

Página Configuración de Workspace con FAS habilitado

Cuando los suscriptores inician sesión en su espacio de trabajo e inician una aplicación virtual o un escritorio en la misma ubicación de recursos que el servidor FAS, la aplicación o el escritorio se inician sin solicitar credenciales.

Nota:

Si un servidor FAS está inactivo o se halla en modo de mantenimiento, la aplicación se inicia correctamente, pero Single Sign-On no está activo. Se solicita a los suscriptores sus credenciales de AD para acceder a cada aplicación o escritorio.

Quitar un servidor de FAS

  1. En el menú de Citrix Cloud, seleccione Ubicaciones de recursos.
  2. Busque la ubicación de recursos que quiere administrar y, a continuación, seleccione el icono Servidores de FAS.
  3. Busque el servidor FAS que desea quitar, haga clic en el botón de puntos suspensivos y, a continuación, seleccione Quitar servidor de FAS. Comando de menú Quitar servidor de FAS
  4. En la consola de administración de FAS (en el servidor FAS local), en Conectarse a Citrix Cloud, seleccione Inhabilitar. Si lo prefiere, puede desinstalar FAS. Consola de administración de FAS con el comando Inhabilitar resaltado

Solucionar problemas

Si el servidor FAS no está disponible, aparecerá un mensaje de advertencia en la página Servidores de FAS.

Página de la consola Servidores de FAS

Para diagnosticar el problema, abra la consola de administración de FAS en el servidor FAS local e inspeccione el estado. Por ejemplo, el servidor FAS no está presente en el objeto de directiva de grupo (GPO) del servidor FAS:

Servidor FAS no disponible en la consola del administrador del servidor FAS

Si la consola de administración de FAS indica que el servidor está funcionando correctamente, pero sigue habiendo problemas de inicio de sesión con el agente VDA, consulte la Guía de solución de problemas FAS.

Asistencia y ayuda adicional

Para obtener ayuda sobre cómo solucionar problemas, si tiene preguntas o si quiere enviar comentarios sobre la autenticación federada para espacios de trabajo, vaya al foro de asistencia del Servicio de autenticación federada para vista previa del espacio de trabajo para hablar con expertos de Citrix y otros miembros de la comunidad de Citrix Cloud.