StoreFront

PassThrough desde Citrix Gateway

Los usuarios se autentican en Citrix Gateway y su sesión se inicia automáticamente cuando acceden a sus almacenes. La autenticación PassThrough desde Citrix Gateway está habilitada de forma predeterminada al configurar el acceso remoto a un almacén. Los usuarios pueden conectarse a través de Citrix Gateway a almacenes mediante la aplicación Citrix Workspace o un explorador web. Para obtener más información acerca de la configuración de StoreFront para Citrix Gateway, consulte Agregar un dispositivo Citrix Gateway.

StoreFront admite la autenticación PassThrough con los siguientes métodos de autenticación de Citrix Gateway.

  • Los usuarios de dominio inician sesión con su nombre de usuario y su contraseña de Active Directory.
  • Los usuarios de RSA inician sesión en Citrix Gateway mediante códigos de acceso derivados de tokencodes generados por tokens de seguridad combinados, en algunos casos, con códigos PIN. Si habilita la autenticación PassThrough con token de seguridad solamente, asegúrese de que los recursos disponibles no requieren formas de autenticación adicionales o alternativas, como credenciales de dominio de Microsoft Active Directory.
  • Los usuarios con tarjeta inteligente inician sesión con tarjetas inteligentes
  • Los usuarios de RSA y dominio que inician sesión en Citrix Gateway deben introducir sus credenciales de dominio y los códigos de acceso de tokens de seguridad.

Si en el dispositivo Citrix Gateway inhabilitó la autenticación o Single Sign-On, no se utiliza PassThrough, y debe configurar uno de los otros métodos de autenticación.

Si quiere configurar la autenticación de doble origen en Citrix Gateway para usuarios remotos que accedan a los almacenes desde la aplicación Citrix Workspace, debe crear dos directivas de autenticación en Citrix Gateway. Configure RADIUS (Servicio de autenticación remota telefónica de usuario) como el método principal de autenticación y LDAP (Protocolo ligero de acceso a directorios) como el método secundario. Modifique el índice de credenciales para usar el método secundario de autenticación en el perfil de sesión, de manera que las credenciales de LDAP se transfieran a StoreFront. Cuando agregue el dispositivo Citrix Gateway a su configuración de StoreFront, configure el tipo de inicio de sesión en Dominio y token de seguridad. Para obtener más información, consulte http://support.citrix.com/article/CTX125364

Para habilitar la autenticación multidominio a través de Citrix Gateway en StoreFront, configure el atributo de nombre del SSO en userPrincipalName en la directiva de autenticación LDAP de Citrix Gateway para cada dominio. Es posible que deba especificar un dominio a los usuarios en la página de inicio de sesión de Citrix Gateway para que se pueda determinar la directiva de LDAP correspondiente. Al configurar los perfiles de sesión de Citrix Gateway para las conexiones con StoreFront, no especifique un dominio Single Sign-On. Debe configurar las relaciones de confianza entre cada uno de los dominios. Asegúrese de permitir que los usuarios inicien sesión en StoreFront desde cualquier dominio al no restringir el acceso a solo aquellos dominios que sean explícitamente de confianza.

Cuando la implementación de Citrix Gateway lo admita, puede utilizar SmartAccess para controlar el acceso de los usuarios a los recursos de Citrix Virtual Apps and Desktops sobre la base de las directivas de sesión de Citrix Gateway. Para obtener más información acerca de SmartAccess, consulte How SmartAccess works for Citrix Virtual Apps and Desktops.

Habilitar PassThrough con Gateway

Para habilitar o inhabilitar la autenticación de PassThrough con Gateway para un almacén cuando se conecta a través de aplicaciones Workspace, en la ventana Métodos de autenticación, marque o desmarque la opción PassThrough desde Citrix Gateway.

Al habilitar la autenticación PassThrough con Citrix Gateway para un almacén de forma predeterminada, también se habilita para todos los sitios web de ese almacén. Puede inhabilitar la autenticación con nombre de usuario y contraseña para un sitio web específico en la ficha Métodos de autenticación.

Permitir a los usuarios cambiar contraseñas caducadas al iniciar sesión

Si su dispositivo Citrix Gateway está configurado para usar la autenticación LDAP (nombre de usuario y contraseña), puede configurar NetScaler para que permita cambiar las contraseñas caducadas al iniciar sesión.

  1. Iniciar sesión en el sitio web de administración de NetScaler
  2. En el menú lateral, vaya a Authentication > Dashboard.
  3. Haga clic en el servidor de autenticación.
  4. En Other Settings, marque Allow Password Change.

Permitir a los usuarios cambiar las contraseñas después de iniciar sesión

Con PassThrough desde Citrix Gateway, el dispositivo Citrix Gateway es el que gestiona la autenticación. Puede configurar StoreFront para permitir a los usuarios cambiar sus contraseñas después de iniciar sesión. Esta funcionalidad solo está disponible al acceder a almacenes de StoreFront a través de un explorador web, no desde las aplicaciones Workspace.

La configuración predeterminada de StoreFront impide que los usuarios cambien sus contraseñas aunque estas hayan caducado. Si decide habilitar esta función, asegúrese de que las directivas para los dominios que contengan los servidores no impidan a los usuarios cambiar sus contraseñas. Cuando se permite a los usuarios cambiar las contraseñas, algunas funciones importantes de seguridad se dejan a merced de cualquier persona que pueda acceder a los almacenes a través del servicio de autenticación. Si su organización cuenta con una directiva de seguridad que solo permite utilizar las funciones de cambio de contraseñas de los usuarios para uso interno, asegúrese de que no se pueda acceder a los almacenes desde fuera de la red corporativa.

  1. En la ventana Administrar métodos de autenticación, en el menú desplegable PassThrough desde Citrix Gateway > Parámetros, seleccione Administrar opciones de contraseña.

  2. Para permitir que los usuarios cambien las contraseñas, marque Allow users to change passwords.

Captura de pantalla de las opciones de administración de contraseñas

Delegar la validación de credenciales a Citrix Gateway

De forma predeterminada, StoreFront valida el nombre de usuario y la contraseña que recibe de Gateway. Si el dispositivo Gateway está configurado para usar métodos de autenticación sin contraseña, como tarjetas inteligentes, debe configurar StoreFront para que no valide las credenciales y dependa de la autenticación de Gateway. En este caso, se recomienda introducir una URL de respuesta al configurar el dispositivo Gateway para que StoreFront pueda verificar que la solicitud proviene de dicho dispositivo. Consulte Administrar dispositivos Citrix Gateway.

  1. En la ventana Administrar métodos de autenticación, en el menú desplegable PassThrough desde Citrix Gateway > Parámetros, seleccione Configurar autenticación delegada.

  2. Marque Fully delegate credential validation to Citrix Gateway.

Captura de pantalla de la ventana Configure Delegated Authentication.

Single Sign-On mediante Servicio de autenticación federada

Cuando la puerta de enlace se configura con la autenticación LDAP, pasa las credenciales a StoreFront para que pueda iniciar sesión con Single Sign-On en los VDA. Para otros métodos de autenticación, no tiene acceso a las credenciales, por lo que Single Sign-On no está disponible de forma predeterminada. Puede usar el Servicio de autenticación federada para proporcionar Single Sign-On.

PassThrough desde Citrix Gateway