Documentación de productos
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
Ver PDF

Autenticación de paso a través desde Citrix Gateway

March 9, 2026
Contribución de: 
C C

Los usuarios se autentican en Citrix Gateway y se inician sesión automáticamente cuando acceden a sus almacenes. La autenticación de paso a través desde Citrix Gateway está habilitada de forma predeterminada cuando configuras por primera vez el acceso remoto a un almacén. Los usuarios pueden conectarse a los almacenes a través de Citrix Gateway utilizando la aplicación Citrix Workspace instalada localmente o un navegador web. Para obtener más información sobre cómo configurar StoreFront para Citrix Gateway, consulta Configurar un Citrix Gateway.

StoreFront admite la autenticación de paso a través con los siguientes métodos de autenticación de Citrix Gateway.

  • Dominio Los usuarios inician sesión utilizando su nombre de usuario y contraseña de Active Directory.
  • RSA Los usuarios inician sesión utilizando códigos de acceso derivados de códigos de token generados por tokens de seguridad combinados, a veces, con números de identificación personal. Si habilitas la autenticación de paso a través solo mediante token de seguridad, asegúrate de que los recursos que pones a disposición no requieran formas de autenticación adicionales o alternativas, como las credenciales de dominio de Microsoft Active Directory de los usuarios.
  • Tarjeta inteligente Los usuarios inician sesión utilizando una tarjeta inteligente vinculada a su cuenta de Active Directory.
  • RSA + Dominio Los usuarios inician sesión utilizando tanto sus credenciales de dominio como los códigos de acceso del token de seguridad.
  • SAML Los usuarios son redirigidos a un IdP de terceros para iniciar sesión a través de SAML. La aserción SAML debe incluir el UPN de la cuenta de Active Directory del usuario.

Si en Citrix Gateway has deshabilitado la autenticación o el inicio de sesión único, la autenticación de paso a través no se utiliza y debes configurar uno de los otros métodos de autenticación.

Si configuras la autenticación de doble origen en Citrix Gateway para usuarios remotos que acceden a los almacenes desde la aplicación Citrix Workspace, debes crear dos políticas de autenticación en Citrix Gateway. Configura RADIUS (Remote Authentication Dial-In User Service) como método de autenticación principal y LDAP (Lightweight Directory Access Protocol) como método secundario. Modifica el índice de credenciales para usar el método de autenticación secundario en el perfil de sesión, de modo que las credenciales LDAP se pasen a StoreFront. Cuando agregues el dispositivo Citrix Gateway a tu configuración de StoreFront, establece el tipo de inicio de sesión en Dominio y token de seguridad. Para obtener más información, consulta http://support.citrix.com/article/CTX125364

Para habilitar la autenticación de varios dominios a través de Citrix Gateway en StoreFront, establece el atributo de nombre de SSO en userPrincipalName en la política de autenticación LDAP de Citrix Gateway para cada dominio. Puedes exigir a los usuarios que especifiquen un dominio en la página de inicio de sesión de Citrix Gateway para que se pueda determinar la política LDAP adecuada a utilizar. Cuando configures los perfiles de sesión de Citrix Gateway para las conexiones a StoreFront, no especifiques un dominio de inicio de sesión único. Debes configurar relaciones de confianza entre cada uno de los dominios. Asegúrate de permitir que los usuarios inicien sesión en StoreFront desde cualquier dominio, sin restringir el acceso solo a dominios explícitamente de confianza.

Cuando tu implementación de Citrix Gateway lo admita, puedes usar SmartAccess para controlar el acceso de los usuarios a los recursos de Citrix Virtual Apps and Desktops basándose en las políticas de sesión de Citrix Gateway.

Habilitar la autenticación de paso a través de Gateway

Para habilitar o deshabilitar la autenticación de paso a través de Gateway para un almacén al conectarse a través de las aplicaciones Workspace, en la ventana Métodos de autenticación marca o desmarca Autenticación de paso a través desde Citrix Gateway.

Habilitar la autenticación de paso a través de Citrix Gateway para un almacén también la habilita de forma predeterminada para todos los sitios web de ese almacén. Puedes deshabilitar la autenticación de nombre de usuario y contraseña para un sitio web específico en la ficha Métodos de autenticación.

Configurar dominios de usuario de confianza

Si tu Citrix Gateway está configurado para usar autenticación LDAP, puedes restringir el acceso a dominios específicos.

  1. En la ventana “Administrar métodos de autenticación”, en el menú desplegable Autenticación de paso a través desde Citrix Gateway > Configuración, selecciona Configurar dominios de confianza.

  2. Selecciona Solo dominios de confianza y haz clic en Agregar para introducir el nombre de un dominio de confianza. Los usuarios con cuentas en ese dominio podrán iniciar sesión en todos los almacenes que utilicen el servicio de autenticación. Para modificar un nombre de dominio, selecciona la entrada en la lista Dominios de confianza y haz clic en Modificar. Para interrumpir el acceso a los almacenes para las cuentas de usuario en un dominio, selecciona el dominio en la lista y haz clic en Quitar.

    La forma en que especifiques el nombre de dominio determina el formato en que los usuarios deben introducir sus credenciales. Si quieres que los usuarios introduzcan sus credenciales en formato de nombre de usuario de dominio, agrega el nombre NetBIOS a la lista. Para exigir que los usuarios introduzcan sus credenciales en formato de nombre principal de usuario, agrega el nombre de dominio completo a la lista. Si quieres permitir que los usuarios introduzcan sus credenciales tanto en formato de nombre de usuario de dominio como en formato de nombre principal de usuario, debes agregar tanto el nombre NetBIOS como el nombre de dominio completo a la lista.

  3. Si configuras varios dominios de confianza, selecciona de la lista de dominios predeterminados el dominio que se selecciona por defecto cuando los usuarios inician sesión.

  4. Si quieres listar los dominios de confianza en la página de inicio de sesión, selecciona la casilla de verificación Mostrar lista de dominios en la página de inicio de sesión.

Captura de pantalla de la pantalla de dominios de confianza

Autenticación delegada

De forma predeterminada, StoreFront valida el nombre de usuario y la contraseña que recibe de Citrix Gateway. Si tu Citrix Gateway no utiliza credenciales de Active Directory a través de LDAP como factor, por ejemplo, cuando se usan SAML o tarjetas inteligentes, debes configurar StoreFront para que confíe en la validación realizada por el gateway. En este caso, es importante que introduzcas una URL de devolución de llamada al configurar el gateway para que StoreFront pueda verificar que la solicitud proviene de Citrix Gateway, consulta Administrar Citrix Gateways.

  1. En la ventana Administrar métodos de autenticación, en el menú desplegable Autenticación de paso a través desde Citrix Gateway > Configuración, selecciona Configurar autenticación delegada.

  2. Selecciona Delegar completamente la validación de credenciales a Citrix Gateway.

Captura de pantalla de la ventana Configurar autenticación delegada.

SDK de PowerShell

Para configurar el almacén para delegar la autenticación en Citrix Gateway utilizando el SDK de PowerShell, usa el cmdlet Set-STFCitrixAGBasicOptions

  • Para delegar la autenticación en el gateway, establece CredentialValidationMode en Auto.
  • Para que StoreFront valide las credenciales, establece CredentialValidationMode en Password.

Validación de contraseñas

Puedes elegir si StoreFront valida las credenciales por sí mismo o si pide al Delivery Controller que las valide. Para obtener más información, consulta Autenticación de nombre de usuario y contraseña - validación de contraseñas.

Si se selecciona Delegar completamente la validación de credenciales a Citrix Gateway, la configuración para validar contraseñas utilizando el Delivery Controller no tiene efecto. En este caso, StoreFront debe poder buscar al usuario en Active Directory, por lo que el dominio del servidor de StoreFront siempre debe tener una relación de confianza con el dominio del usuario.

Permitir a los usuarios cambiar contraseñas caducadas al iniciar sesión

Si tu Citrix Gateway está configurado para usar autenticación LDAP (nombre de usuario y contraseña), puedes configurar NetScaler para permitir el cambio de contraseñas caducadas al iniciar sesión.

  1. Inicia sesión en el sitio web de administración de NetScaler®.
  2. En el menú lateral, ve a Authentication > Dashboard.
  3. Haz clic en el servidor de autenticación.
  4. En Other Settings, marca Allow Password Change.

Permitir a los usuarios cambiar contraseñas después de iniciar sesión

Puedes configurar StoreFront para permitir a los usuarios cambiar sus contraseñas después de iniciar sesión. Esta funcionalidad solo está disponible cuando el gateway utiliza autenticación LDAP y cuando el usuario accede al almacén a través de un navegador, no con la aplicación Citrix Workspace instalada localmente.

La configuración predeterminada de StoreFront impide que los usuarios cambien sus contraseñas, incluso si estas han caducado. Si decides habilitar esta función, asegúrate de que las políticas de los dominios que contienen tus servidores no impidan que los usuarios cambien sus contraseñas. Habilitar a los usuarios para que cambien sus contraseñas expone funciones de seguridad sensibles a cualquiera que pueda acceder a cualquiera de los almacenes que utilizan el servicio de autenticación. Si tu organización tiene una política de seguridad que reserva las funciones de cambio de contraseña de usuario solo para uso interno, asegúrate de que ninguno de los almacenes sea accesible desde fuera de tu red corporativa.

  1. En la ventana Administrar métodos de autenticación, en el menú desplegable Autenticación de paso a través desde Citrix Gateway > Configuración, selecciona Administrar opciones de contraseña.

  2. Para permitir a los usuarios cambiar contraseñas, selecciona la casilla de verificación Permitir a los usuarios cambiar contraseñas.

Captura de pantalla de Administrar opciones de contraseña

Nota:

Si seleccionas o deseleccionas Permitir a los usuarios cambiar contraseñas, esto también afecta a la configuración en Administrar opciones de contraseña para la autenticación de Nombre de usuario y contraseña.

SDK de PowerShell

Para modificar las opciones de cambio de contraseña utilizando el SDK de PowerShell, usa el cmdlet Set-STFExplicitCommonOptions.

Configurar Delivery Controller™ para que confíe en StoreFront

Cuando Citrix Gateway está configurado con autenticación LDAP, pasa las credenciales a StoreFront. Para otros métodos de autenticación, StoreFront no tiene acceso a las credenciales, por lo que no puede autenticarse en Citrix Virtual Apps and Desktops. Por lo tanto, debes configurar el Delivery Controller para que confíe en las solicitudes de StoreFront, consulta Consideraciones de seguridad y mejores prácticas de Citrix Virtual Apps and Desktops.

Inicio de sesión único en VDA mediante Federated Authentication Service

Cuando el gateway está configurado con autenticación LDAP, pasa las credenciales a StoreFront para que pueda realizar un inicio de sesión único en los VDA. Para otros métodos de autenticación, StoreFront no tiene acceso a las credenciales, por lo que el inicio de sesión único no está disponible de forma predeterminada. Puedes usar Federated Authentication Service para proporcionar inicio de sesión único.

Autenticación de paso a través desde Citrix Gateway
March 9, 2026
Contribución de: 
C C
March 9, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.