Configuración del Servicio de Autenticación Federada
El Servicio de Autenticación Federada (FAS) proporciona inicio de sesión único a los VDA mediante autenticación por certificado. Esto es útil al usar métodos de autenticación como SAML, donde StoreFront no tiene acceso a las credenciales de Active Directory.
Habilitar FAS para un almacén
Antes de habilitar FAS para un almacén, debes configurar la lista de servidores FAS mediante la directiva de grupo. Para obtener más detalles, consulta la documentación de FAS.
Para habilitar FAS para un almacén, debes usar el cmdlet de PowerShell Set-STFStoreLaunchOptions para establecer el proveedor de inicio de sesión de datos de VDA en FASLogonDataProvider.
De forma predeterminada, StoreFront selecciona el servidor FAS al iniciar. Puedes cambiar esto para que StoreFront seleccione el servidor FAS al iniciar sesión. Esto tiene la ventaja de que evita retrasos que pueden ocurrir al iniciar, especialmente si un servidor FAS no está disponible y tiene que intentar con varios servidores FAS. Sin embargo, tiene la desventaja de que si el servidor FAS deja de estar disponible entre el inicio de sesión y el inicio, entonces el inicio falla o recurre a la autenticación de nombre de usuario y contraseña (consulta Indisponibilidad del servidor FAS). Para configurar el comportamiento, ejecuta el cmdlet de PowerShell Set-STFClaimsFactoryNames con el parámetro ClaimsFactoryName. Para elegir el servidor FAS al iniciar sesión, establécelo en FASClaimsFactory. Para restaurar el comportamiento predeterminado y elegir un servidor FAS al iniciar, establécelo en standardClaimsFactory.
Por ejemplo, para habilitar FAS para un almacén y seleccionar el servidor al iniciar sesión:
$store = Get-STFStoreService -VirtualPath [VirtualPath]
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
<!--NeedCopy-->
Para deshabilitar FAS para un almacén:
$store = Get-STFStoreService -VirtualPath [VirtualPath]
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
<!--NeedCopy-->
Sustituye [VirtualPath] por la ruta virtual adecuada, por ejemplo, /Citrix/Store.
Al usar la autenticación de nombre de usuario y contraseña en un almacén con FAS habilitado, StoreFront siempre usa FAS en lugar de las credenciales proporcionadas para el inicio de sesión único.
Indisponibilidad del servidor FAS
Si el servidor FAS no está disponible, el inicio falla de forma predeterminada. Sin embargo, puedes configurar StoreFront para que, si el servidor FAS no está disponible, los usuarios puedan iniciar sesión en el VDA introduciendo sus credenciales. Para cambiar la configuración, usa el cmdlet de PowerShell Set-STFStoreLaunchOptions con el parámetro FederatedAuthenticationServiceFailover. Por ejemplo, para habilitar la conmutación por error para un almacén:
$storeService = Get-STFStoreService -VirtualPath [VirtualPath]
Set-STFStoreLaunchOptions $storeService -FederatedAuthenticationServiceFailover $True
<!--NeedCopy-->