Arquitecturas de implementación

Introducción

El Servicio de autenticación federada FAS (Federated Authentication Service) es un componente de Citrix que se integra con su entidad de certificación de Active Directory, lo que permite a los usuarios autenticarse de manera imperceptible dentro de un entorno Citrix. Este documento describe diversas arquitecturas de autenticación que pueden ser apropiadas para su implementación.

Cuando está habilitado, FAS delega las decisiones de autenticación de usuarios en servidores de StoreFront de confianza. StoreFront tiene un amplio conjunto de opciones de autenticación integrado con tecnologías Web modernas y es fácilmente ampliable con el SDK de StoreFront o complementos de IIS de terceros. El objetivo básico del diseño es conseguir que cualquier tecnología de autenticación que pueda autenticar a un usuario en un sitio web se pueda usar para iniciar sesión en una implementación de Citrix Virtual Apps o Citrix Virtual Desktops.

Este documento contiene algunos ejemplos de implementación de nivel superior, con una complejidad cada vez mayor.

Se proporcionan enlaces a artículos relativos al servicio FAS. Para todas las arquitecturas, el artículo Instalación y configuración es la referencia principal para la instalación y la configuración de FAS.

Descripción de la arquitectura

FAS tiene autorización para emitir automáticamente certificados de tarjeta inteligente de parte de los usuarios de Active Directory que StoreFront autentica. Esto usa interfaces API similares a las herramientas que permiten a los administradores aprovisionar tarjetas inteligentes físicas. Cuando un broker gestiona el acceso de un usuario a un Virtual Delivery Agent (VDA) de Citrix Virtual Apps o Citrix Virtual Desktops, el certificado se conecta a la máquina, y el dominio de Windows detecta el inicio de sesión como una acción de autenticación con tarjeta inteligente estándar.

Los servidores de StoreFront de confianza contactan con FAS cuando los usuarios solicitan acceso a los entornos Citrix. FAS concede un tíquet que permite que una sola de sesión de Citrix Virtual Apps o Citrix Virtual Desktops se autentique con un certificado para esa sesión. Cuando un agente VDA debe autenticar a un usuario, se conecta a FAS y canjea el tíquet. Solo FAS tiene acceso a la clave privada del certificado del usuario; el VDA debe enviar a FAS cada operación de firma y descifrado que necesita llevar a cabo con el certificado.

El siguiente diagrama muestra FAS integrado con una entidad de certificación de Microsoft y que ofrece servicios de compatibilidad con StoreFront y los agentes Virtual Delivery Agent (VDA) de Citrix Virtual Apps and Desktops.

Imagen localizada

Implementación interna

FAS permite que los usuarios se autentiquen de forma segura en StoreFront con una gran variedad de opciones de autenticación (incluido el inicio de sesión Single Sign-On de Kerberos) y se conecten con una sesión de Citrix HDX con autenticación completa.

Esto permite la autenticación de Windows sin diálogos para introducir las credenciales de usuario o el PIN de tarjeta inteligente, y sin tener que usar la función del tipo “administración de contraseñas guardadas”, tales como Single Sign-On Service. Puede utilizarse para reemplazar las funciones de inicio de sesión que ofrezca la Delegación limitada de Kerberos, disponible en versiones anteriores de Citrix Virtual Apps.

Todos los usuarios tienen acceso a certificados de infraestructura de clave pública (PKI) dentro de su sesión, independientemente de si inician sesión en los dispositivos de punto final con una tarjeta inteligente o no. Esto permite una migración sin problemas a modelos de autenticación de dos factores, incluso desde dispositivos como smartphones y tabletas que no tienen un lector de tarjeta inteligente.

Esta implementación agrega un nuevo servidor en el que se ejecuta FAS, que tiene autorización para emitir certificados de clase de tarjeta inteligente en nombre de los usuarios. Estos certificados se utilizan después para conectar con sesiones de usuario en un entorno de Citrix HDX como si se estuviera utilizando un inicio de sesión con tarjeta inteligente.

Imagen localizada

El entorno de Citrix Virtual Apps o Citrix Virtual Desktops debe estar configurado de manera similar al inicio de sesión con tarjeta inteligente, que se describe en CTX206156.

En una implementación existente, esto normalmente solo implica asegurarse de que haya una entidad de certificación de Microsoft disponible y de que los controladores de dominio tengan asignados certificados de controlador de dominio (consulte la sección “Issuing Domain Controller Certificates” en el artículo CTX206156).

Información relacionada:

  • Las claves se pueden almacenar en un módulo de seguridad de hardware (HSM) o en un módulo de plataforma de confianza (TPM) integrado. Para obtener más información, consulte el artículo Protección de claves privadas.
  • En el artículo Instalación y configuración se describe cómo instalar y configurar el servicio FAS.

Implementación de Citrix Gateway

La implementación de Citrix Gateway es similar a la implementación interna, pero agrega Citrix Gateway emparejado con StoreFront, moviendo el punto principal de autenticación a Citrix Gateway. Citrix Gateway incluye opciones muy sofisticadas de autenticación y autorización que se pueden usar para el acceso remoto seguro a los sitios web de una empresa.

Esta implementación se puede utilizar para evitar la aparición de varias solicitudes de PIN que ocurren al autenticarse primero en Citrix Gateway y, a continuación, iniciar sesión en una sesión de usuario. También permite el uso de las tecnologías avanzadas de autenticación de Citrix Gateway, sin necesidad de pedir adicionalmente contraseñas de Active Directory o tarjetas inteligentes.

Imagen localizada

El entorno de Citrix Virtual Apps o Citrix Virtual Desktops debe estar configurado de manera similar al inicio de sesión con tarjeta inteligente, que se describe en CTX206156.

En una implementación existente, esto normalmente solo implica asegurarse de que haya una entidad de certificación de Microsoft disponible y de que los controladores de dominio tengan asignados certificados de controlador de dominio (consulte la sección “Issuing Domain Controller Certificates” del artículo CTX206156).

Al configurar Citrix Gateway como el sistema de autenticación principal, compruebe que todas las conexiones entre Citrix Gateway y StoreFront estén protegidas con TLS. En concreto, compruebe que la URL de respuesta está configurada para que apunte al servidor Citrix Gateway, ya que puede usarse para autenticar el servidor Citrix Gateway en esta implementación.

Imagen localizada

Información relacionada:

Implementación de SAML de ADFS

Una tecnología de autenticación clave de Citrix Gateway permite la integración en Microsoft ADFS, que puede funcionar como un proveedor de identidades (IdP) SAML. Una aserción SAML es un bloque XML firmado criptográficamente, emitido por un IdP de confianza, que autoriza a un usuario a iniciar sesión en un sistema informático. Eso significa que el servidor de FAS permite delegar la autenticación de un usuario al servidor de ADFS de Microsoft (o a otro IdP habilitado para SAML).

Imagen localizada

ADFS se usa normalmente para autenticar a los usuarios con seguridad de forma remota en los recursos de la empresa a través de Internet, por ejemplo, se usa para la integración de Office 365.

Información relacionada:

Asignación de cuentas B2B

Si dos empresas desean usar los sistemas informáticos de la otra, una opción común es configurar un servidor de ADFS (Servicio de federación de Active Directory) con una relación de confianza. Eso permite que los usuarios de una empresa se autentiquen en el entorno de Active Directory (AD) de la otra, de manera imperceptible. Al iniciar sesión, cada usuario utiliza las credenciales de su propia empresa; ADFS las asigna automáticamente a una “cuenta sombra” en el entorno de AD de la otra empresa.

Imagen localizada

Información relacionada:

Unión a Azure AD de Windows 10

Windows 10 introdujo el concepto de “Unión a Azure AD”, que es conceptualmente similar a la unión a un dominio Windows tradicional, solo que destinado a casos a través de Internet. Este sistema funciona bien con equipos portátiles y tabletas. Al igual que al unirse a un dominio de Windows tradicional, Azure AD tiene funciones para permitir modelos de inicio de sesión Single Sign-On en recursos y sitios Web de la empresa. Estos pueden funcionar con Internet, por lo que funcionarán desde cualquier ubicación que esté conectada a Internet, no solo la red LAN de la oficina.

Imagen localizada

Esta implementación es un ejemplo donde no existe el concepto de “usuarios finales en la oficina”. Los equipos portátiles se inscriben y se autentican totalmente en Internet con las funciones modernas de Azure AD.

Tenga en cuenta que la infraestructura de esta implementación se puede ejecutar en cualquier lugar en que haya disponible una dirección IP: local, proveedor alojado, Azure u otro proveedor de la nube. El sincronizador de Azure AD Connect se conectará automáticamente a Azure AD. El gráfico de ejemplo utiliza máquinas virtuales de Azure para simplificar la tarea.

Información relacionada:

Arquitecturas de implementación