Single Sign-On de Azure Active Directory
El Servicio de autenticación federada (FAS) de Citrix proporciona Single Sign-On (SSO) a Virtual Delivery Agents (VDA) unidos a un dominio. FAS logra el SSO al proporcionar al VDA un certificado de usuario, que el VDA utiliza para autenticar a los usuarios en Active Directory (AD). Una vez que haya iniciado la sesión del VDA, podrá acceder a los recursos de AD sin necesidad de autenticarse de nuevo.
Es habitual implementar Azure Active Directory (AAD) con una sincronización entre AD y AAD, lo que crea identidades híbridas tanto para los usuarios como para los equipos. En este artículo se describe la configuración adicional necesaria para lograr el SSO en AAD desde la sesión de VDA al usar FAS, lo que permite a los usuarios acceder a aplicaciones protegidas por AAD sin necesidad de autenticarse de nuevo.
Nota:
- No necesita ninguna configuración especial para que FAS utilice SSO para AAD.
- No necesita los certificados de sesión de FAS.
- Puede utilizar cualquier versión de FAS.
- Puede utilizar cualquier versión de VDA que sea admita FAS.
Las técnicas de SSO de AAD se resumen en esta tabla:
| Tipo de autenticación de AAD | El VDA está unido a un dominio | El VDA está unido de forma híbrida |
|---|---|---|
| Administrado | Usar SSO integrado de AAD | Usar la autenticación basada en certificados de AAD |
| Federado en los Servicios de federación de Active Directory (ADFS) | Habilitar la autenticación de Windows en ADFS | Asegúrese de que el dispositivo de punto final certificatemixed de WS-Trust esté habilitado |
| Federado en un proveedor de identidades externo | Usar una solución de terceros | Usar una solución de terceros |
-
Un dominio de AAD administrado es aquel en el que la autenticación de usuarios se realiza en AAD, a veces denominada autenticación de AAD nativa.
-
Un dominio de AAD federado es aquel en el que AAD está configurado para redirigir la autenticación a otro lugar. Por ejemplo, a ADFS o a un proveedor de identidades externo.
-
Un VDA unido de forma híbrida es un VDA unido a AD y unido a AAD.
VDA unidos a un dominio
En el caso de los VDA unidos a un dominio, se logra SSO en AAD mediante la autenticación de Windows (denominada tradicionalmente autenticación integrada de Windows o Kerberos). La autenticación en AAD se produce cuando el usuario accede a una aplicación protegida por AAD desde la sesión de VDA. Este diagrama muestra el proceso de autenticación de forma resumida:
Los detalles exactos varían en función de si el dominio de AAD está administrado o federado.
Para obtener información sobre la configuración del dominio de AAD administrado, consulte Inicio de sesión único de conexión directa.
En el caso de dominios de AAD federados en ADFS, habilite la autenticación de Windows en el servidor de ADFS.
En el caso de dominios de AAD federados en un proveedor de identidades externo, existe una solución similar. Contacte con su proveedor de identidades para obtener ayuda.
Nota:
En el caso de VDA unidos de forma híbrida, también puede utilizar las soluciones enumeradas para VDA unidos a un dominio. Sin embargo, no se genera ningún token de actualización principal (PRT) de AAD cuando se usa FAS.
VDA unidos de forma híbrida
Los VDA unidos de forma híbrida están unidos a AD y a AAD al mismo tiempo. Cuando el usuario inicia sesión en el VDA, se crean estos artefactos:
- Un vale de concesión de vales (TGT) de Kerberos para autenticarse en recursos de AD
- Un token de actualización principal (PRT) para autenticarse en recursos de AAD
El token PRT contiene información sobre el usuario y el equipo. Esta información se utiliza en una directiva de acceso condicional de la AAD si fuera necesario.
Como que FAS autentica al usuario mediante el suministro de un certificado al VDA, solo se puede crear un token PRT si se implementa la autenticación basada en certificados para AAD. Este diagrama muestra el proceso de autenticación de forma resumida:
Los detalles exactos varían en función de si el dominio de AAD está administrado o federado.
En el caso de dominios de AAD administrados, configure la autenticación CBA de AAD. Para obtener más información, consulte Información general sobre la autenticación basada en certificados de Azure AD. El VDA usa la autenticación CBA de AAD para autenticar a los usuarios en AAD con el certificado de FAS de los usuarios.
Nota:
La documentación de Microsoft describe el inicio de sesión con un certificado de tarjeta inteligente, pero la técnica subyacente se aplica cuando se inicia sesión con un certificado de usuario de FAS.
En el caso de dominios de AAD federados en ADFS, el VDA emplea el dispositivo de punto final certificatemixed de WS-Trust del servidor de ADFS para autenticar a los usuarios en AAD con el certificado de FAS de los usuarios. Este dispositivo de punto final está habilitado de forma predeterminada.
En el caso de dominios de AAD federados en un proveedor de identidades externo, puede existir una solución similar. El proveedor de identidades debe implementar un dispositivo de punto final certificatemixed de WS-Trust. Contacte con su proveedor de identidades para obtener ayuda.