Configuración del servicio de autenticación federada
El Servicio de autenticación federada (FAS) proporciona inicio de sesión único a los VDA mediante autenticación de certificado. Esto es útil cuando se utilizan métodos de autenticación como SAML, donde StoreFront no tiene acceso a las credenciales de Active Directory.
Habilitar FAS para un almacén
Antes de habilitar FAS para un almacén, debe configurar la lista de servidores FAS mediante la directiva de grupo. Para obtener más información, consulte la documentación de FAS.
Para habilitar FAS para un almacén, debe usar el cmdlet de PowerShell Set-STFStoreLaunchOptions para establecer el proveedor de inicio de sesión de datos de inicio de sesión de VDA en FASLogonDataProvider.
De forma predeterminada, StoreFront selecciona el servidor FAS en el lanzamiento. Puede cambiar esto para que StoreFront seleccione el servidor FAS al iniciar sesión. Esto tiene la ventaja de que evita retrasos que pueden ocurrir en el lanzamiento, especialmente si un servidor FAS no está disponible y tiene que intentar con varios servidores FAS. Sin embargo, tiene la desventaja de que si el servidor FAS deja de estar disponible entre el inicio de sesión y el lanzamiento, el lanzamiento falla o recurre a la autenticación de nombre de usuario y contraseña (consulte FAS server unavailability). Para configurar el comportamiento, ejecute el cmdlet de PowerShell Set-STFClaimsFactoryNames con el parámetro ClaimsFactoryName. Para elegir el servidor FAS al iniciar sesión, establézcalo en FASClaimsFactory. Para restaurar el comportamiento predeterminado y elegir un servidor FAS en el lanzamiento, establézcalo en standardClaimsFactory.
Por ejemplo, para habilitar FAS para un almacén y seleccionar el servidor al iniciar sesión:
$store = Get-STFStoreService -VirtualPath [VirtualPath]
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
<!--NeedCopy-->
Para inhabilitar FAS para un almacén:
$store = Get-STFStoreService -VirtualPath [VirtualPath]
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
<!--NeedCopy-->
Sustituya [VirtualPath] por la ruta virtual adecuada, por ejemplo, /Citrix/Store.
Al usar la autenticación de nombre de usuario y contraseña en un almacén con FAS habilitado, StoreFront siempre usa FAS en lugar de las credenciales proporcionadas para el inicio de sesión único.
Servidor FAS no disponible
Si el servidor FAS no está disponible, el lanzamiento falla de forma predeterminada. Sin embargo, puede configurar StoreFront de modo que, si el servidor FAS no está disponible, los usuarios puedan iniciar sesión en el VDA introduciendo sus credenciales. Para cambiar la configuración, use el cmdlet de PowerShell Set-STFStoreLaunchOptions con el parámetro FederatedAuthenticationServiceFailover. Por ejemplo, para habilitar la conmutación por error para un almacén:
$storeService = Get-STFStoreService -VirtualPath [VirtualPath]
Set-STFStoreLaunchOptions $storeService -FederatedAuthenticationServiceFailover $True
<!--NeedCopy-->