Configurar Citrix Gateways
Utilice Citrix Gateways para proporcionar autenticación y acceso remoto a StoreFront y a sus Virtual Delivery Agents (VDA). Los Citrix Gateways se ejecutan en un hardware o software NetScaler ADC. El servicio Citrix Gateway lo gestiona Citrix y se puede utilizar para el enrutamiento HDX, pero no para la autenticación o el acceso remoto a StoreFront.
Para obtener más información sobre cómo configurar su Gateway, consulte Integrar NetScaler Gateway con StoreFront.
Debe configurar su gateway en StoreFront antes de que StoreFront permita el acceso a través de ese gateway.
Ver Gateways
Para ver los gateways configurados en StoreFront, seleccione el nodo Stores en el panel izquierdo de la consola de administración de Citrix StoreFront y, a continuación, haga clic en Administrar Citrix Gateways. Esto muestra la ventana Administrar Citrix Gateways.

PowerShell
Para obtener una lista de gateways y su configuración, ejecute Get-STFRoamingGateway.
Agregar dispositivo Citrix Gateway
-
En la ventana Administrar Citrix Gateways, haga clic en Agregar.
-
En la ficha Configuración general, introduzca la configuración y, a continuación, pulse Siguiente.
-
Especifique un Nombre para mostrar para la implementación de Citrix Gateway que ayudará a los usuarios a identificarla.
Los usuarios ven el nombre para mostrar que especifique en la aplicación Citrix Workspace, así que incluya información relevante en el nombre para ayudar a los usuarios a decidir si usar esa implementación. Por ejemplo, puede incluir la ubicación geográfica en los nombres para mostrar de sus implementaciones de Citrix Gateway para que los usuarios puedan identificar fácilmente la implementación más conveniente para su ubicación.
-
Establezca el Tipo de Gateway en Dispositivo Citrix Gateway.
-
Introduzca la URL de la puerta de enlace.
El nombre de dominio completo (FQDN) de su implementación de StoreFront debe ser único y diferente del FQDN del servidor virtual de Citrix Gateway. No se admite el uso del mismo FQDN para StoreFront y el servidor virtual de Citrix Gateway. La puerta de enlace añade la URL al encabezado HTTP
X-Citrix-Via. StoreFront utiliza este encabezado para determinar qué puerta de enlace está en uso.Mediante la GUI, solo es posible añadir una única URL de puerta de enlace. Si se puede acceder a una puerta de enlace mediante varias URL, debe añadir la misma puerta de enlace dos veces con una configuración idéntica, excepto la URL. Para simplificar la configuración, puede configurar una URL secundaria utilizada para acceder a la puerta de enlace. Esta opción no está disponible mediante la GUI, por lo que debe configurarla mediante PowerShell. Debe cerrar la consola de administración antes de ejecutar cualquier comando de PowerShell. Por ejemplo, si tiene varias puertas de enlace detrás de un equilibrador de carga de servidor global (GSLB), normalmente es útil añadir tanto la URL de GSLB como una URL que se pueda utilizar para acceder a cada puerta de enlace regional específica, por ejemplo, con fines de prueba o solución de problemas. Una vez que haya creado la puerta de enlace, puede añadir una URL adicional mediante
Set-STFRoamingGateway, utilizando el parámetro-GSLBurlpara la URL secundaria. Aunque el parámetro se llamaGSLBurl, se puede utilizar para cualquier situación en la que desee añadir una segunda URL. Por ejemplo:Set-STFRoamingGateway -Name "Europe Gateway" -GSLBurl "eugateway.example.com" -GatewayUrl "gslb.example.com" <!--NeedCopy-->Nota:
Contrariamente a la intuición en este ejemplo, el parámetro
GSLBurlcontiene la URL regional, mientras que el parámetroGatewayUrlcontiene la URL de GSLB. Para la mayoría de los propósitos, las URL se tratan de forma idéntica y, si se accede a la tienda solo a través de un navegador web, se pueden configurar de cualquier manera. Sin embargo, al acceder a StoreFront a través de la aplicación Citrix Workspace, esta lee elGatewayUrlde StoreFront y, posteriormente, lo utiliza para el acceso remoto, y es preferible que se configure para conectarse siempre a la URL de GSLB.Si necesita más de dos URL, deberá configurarlas como una puerta de enlace independiente.
-
Seleccione el uso o rol:
Uso o rol Descripción Autenticación y enrutamiento HDX Utilice la puerta de enlace tanto para proporcionar acceso remoto a StoreFront como para acceder a los VDA. Solo autenticación Seleccione esta opción si la puerta de enlace se utiliza solo para el acceso remoto a StoreFront. Esta opción impide que funcione Citrix Workspace launcher. Por lo tanto, si necesita utilizar lanzamientos híbridos, elija Autenticación y enrutamiento HDX incluso cuando la puerta de enlace solo se utilice para la autenticación. Solo enrutamiento HDX Seleccione esta opción si la puerta de enlace se utiliza solo para proporcionar acceso HDX a los VDA, por ejemplo, en un sitio que no tiene una instancia de StoreFront.

-
-
Rellene la configuración en la pestaña Secure Ticketing Authority.
La autoridad de emisión de tickets seguros emite tickets de sesión en respuesta a las solicitudes de conexión. Estos tickets de sesión constituyen la base de la autenticación y autorización para la detección de la aplicación Citrix Workspace y el acceso a los VDA.
-
Introduzca una o varias URL de servidor de Secure Ticket Authority.
- Si utiliza Citrix Virtual Apps and Desktops™, puede usar los controladores de entrega como servidores STA.
- Si utiliza Citrix Desktop as a Service, puede usar sus conectores de nube como servidores STA. Estos actúan como proxy para las solicitudes a la autoridad de emisión de tickets de Citrix Cloud™ o, cuando están en modo LHC, generan sus propios tickets. En el futuro, esto cambiará para que siempre generen sus propios tickets para mejorar la resiliencia.
- Se recomienda utilizar al menos 2 servidores STA para la redundancia.
- Cuando se utilizan Cloud Connectors como servidores STA, se recomienda incluir todos los conectores de nube en al menos una ubicación de recursos. En primer lugar, dentro de una ubicación de recursos, Citrix Cloud garantiza que solo se actualice un conector de nube a la vez, por lo que incluir todos los conectores garantiza que siempre haya al menos un conector que no se esté actualizando. En segundo lugar, si la ubicación de recursos entra en modo LHC, solo el Cloud Connector único designado como el “agente elegido” puede emitir tickets STA. Como no se puede saber de antemano qué conector será, incluya todos los Cloud Connectors en la ubicación de recursos.
- Asegúrese de que todos los servidores STA enumerados en StoreFront también estén enumerados como servidores STA en el servidor virtual de Citrix Gateway. Si falta algún servidor en Citrix Gateway, esto puede provocar que los lanzamientos fallen. Hoy en día, al usar Cloud Connectors como STA, esto puede no ser aparente en el uso normal, ya que cualquier conector puede usarse para canjear tickets de la autoridad de emisión de tickets de Citrix Cloud. Sin embargo, en el modo de caché de host local, el conector genera sus propios tickets y, en el futuro, este será el comportamiento predeterminado.
- El Delivery Controller o Cloud Connector puede configurarse para que StoreFront deba incluir una clave de seguridad. No es posible añadir claves de seguridad mediante la GUI; consulte el paso posterior para añadirlas mediante PowerShell.
-
Seleccione Equilibrar la carga de varios servidores STA para distribuir las solicitudes entre los servidores STA. Si se desactiva, StoreFront intentará con los servidores en el orden en que aparecen.
-
Si StoreFront no puede comunicarse con un servidor STA, evita usar ese servidor durante un período de tiempo. Por defecto, este período es de 1 hora, pero puede personalizar este valor.
-
Si desea que Citrix Virtual Apps and Desktops mantenga las sesiones desconectadas abiertas mientras la aplicación Citrix Workspace intenta reconectarse automáticamente, seleccione Habilitar fiabilidad de sesión.
-
Si configuró varias STA, seleccione opcionalmente Solicitar tickets de dos STA, si están disponibles.
Cuando se selecciona Solicitar tickets de dos STA, si están disponibles, StoreFront obtiene tickets de sesión de dos STA diferentes para que las sesiones de usuario no se interrumpan si una STA deja de estar disponible durante el transcurso de la sesión. Si, por alguna razón, StoreFront no puede contactar con dos STA, recurre al uso de una única STA.

Una vez que haya terminado de rellenar la configuración, pulse Next
-
-
Rellene la configuración en la pestaña Authentication Settings.
-
Elija la Version de NetScaler®.
-
Si hay varias puertas de enlace con la misma URL (normalmente al usar un equilibrador de carga de servidor global) y ha introducido una URL de devolución de llamada, debe introducir la VIP de la puerta de enlace. Esto permite a StoreFront determinar de qué puerta de enlace proviene la solicitud y, por lo tanto, a qué servidor contactar utilizando la URL de devolución de llamada. De lo contrario, puede dejarlo en blanco.
-
Seleccione de la lista Logon type el método de autenticación que configuró en el dispositivo para los usuarios de la aplicación Citrix Workspace.
La información que proporcione sobre la configuración de su dispositivo Citrix Gateway se añade al archivo de aprovisionamiento del almacén. Esto permite a la aplicación Citrix Workspace enviar la solicitud de conexión adecuada al contactar con el dispositivo por primera vez.
- Para la autenticación LDAP, seleccione Domain.
- Para la autenticación OTP nativa, seleccione Security token.
- Para la autenticación LDAP más OTP, seleccione Domain and security token.
- Para OTP mediante mensaje de texto, seleccione SMS authentication.
- Para la autenticación con certificado, seleccione Smart card.
- Para la autenticación SAML, seleccione Domain.
- Para la autenticación OIDC, seleccione Domain.
Si configura la autenticación con tarjeta inteligente con un método de autenticación secundario al que los usuarios puedan recurrir si experimentan algún problema con sus tarjetas inteligentes, seleccione el método de autenticación secundario de la lista de reserva de tarjeta inteligente.
- Opcionalmente, introduzca la URL de acceso interno del gateway en el cuadro URL de devolución de llamada. Esto permite a StoreFront ponerse en contacto con el servicio de autenticación de Citrix Gateway para verificar que las solicitudes recibidas de Citrix Gateway se originan en ese dispositivo. Es necesario para el acceso inteligente y para escenarios de autenticación sin contraseña, como Smart Card o SAML; de lo contrario, puede dejarlo en blanco. Si tiene varios Citrix Gateways con la misma URL, esta URL debe ser para el servidor gateway específico.

Una vez que haya terminado de rellenar la configuración, pulse Siguiente
-
-
Haga clic en Crear para aplicar la configuración.

-
Una vez aplicada la implementación, haga clic en Finalizar.
-
Si ha configurado Claves de seguridad (recomendado), debe cerrar la consola de administración y configurarlas mediante PowerShell. Por ejemplo:
$gateway = Get-STFRoamingGateway -Name [Gateway name] $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret] $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret] Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2 <!--NeedCopy--> -
Para permitir que los usuarios accedan a sus almacenes a través del Gateway, configure el acceso remoto de usuarios.
-
De forma predeterminada, StoreFront utiliza el gateway que autenticó al usuario para el enrutamiento HDX a sus recursos. Opcionalmente, puede configurar StoreFront para que utilice el gateway al acceder a recursos específicos mediante el enrutamiento HDX óptimo.
PowerShell
Para agregar un gateway mediante PowerShell, ejecute el cmdlet New-STFRoamingGateway.
Agregar servicio Citrix Gateway
Si ha habilitado el servicio Citrix Gateway para StoreFront en Citrix Cloud, debe configurarlo como un gateway dentro de StoreFront.
-
En la ventana Administrar Citrix Gateways, haga clic en Agregar.
-
En la pestaña Configuración general, introduzca la configuración y, a continuación, pulse Siguiente.
-
Especifique un Nombre para mostrar para la implementación de Citrix Gateway que ayudará a los usuarios a identificarla.
Los usuarios ven el nombre para mostrar que especifique en la aplicación Citrix Workspace, así que incluya información relevante en el nombre para ayudar a los usuarios a decidir si usar esa implementación. Por ejemplo, puede incluir la ubicación geográfica en los nombres para mostrar de sus implementaciones de Citrix Gateway para que los usuarios puedan identificar fácilmente la implementación más conveniente para su ubicación.
-
Establezca el Tipo de puerta de enlace en Citrix Gateway Service. Esto hace que el Uso o rol se establezca en Solo enrutamiento HDX™ y deshabilita la URL de Citrix Gateway.
-
Opcionalmente, introduzca una URL de Citrix Gateway Service. Si la URL se deja en blanco, se utiliza la URL comercial predeterminada
https://global.g.nssvc.netque elige el punto de presencia óptimo para la ubicación del usuario. Si desea utilizar una región de puerta de enlace específica, por ejemplo, para una región en particular, puede introducir su URL aquí. Para obtener una lista de las URL de servicio de puerta de enlace disponibles, consulte documentación de Citrix Gateway Service. -
Si ha introducido una URL de Citrix Gateway Service, también debe introducir la URL de Citrix Gateway Service (modo de conector STA) correspondiente. Esto especifica la URL del servicio de puerta de enlace que se debe usar cuando el conector de la nube no puede llegar a Citrix Cloud, por lo que emite sus propios tickets STA. Si la URL se deja en blanco, se utiliza la URL predeterminada
https://global-s.g.nssvc.net.

-
-
Rellene la configuración de la ficha Cloud Connectors.
Los conectores de la nube permiten a StoreFront llegar a Citrix Cloud para buscar la configuración de Gateway y para llegar a la autoridad de emisión de tickets de la nube para solicitar tickets de sesión.
-
Introduzca al menos una URL de servidor de Cloud Connector.
StoreFront llama a estos conectores de la nube para recuperar los tickets STA que la aplicación Citrix Workspace puede usar para autenticar las solicitudes a través de . En funcionamiento normal, los Cloud Connectors actúan como proxy para las solicitudes a la Autoridad de emisión de tickets de Citrix Cloud, o cuando están en modo LHC, generan sus propios tickets. En el futuro, esto cambiará para que siempre generen sus propios tickets para mejorar la resiliencia.
- Se recomienda incluir varios conectores de la nube en la misma ubicación de recursos, ya que solo se actualiza un Cloud Connector a la vez en cada ubicación de recursos, lo que garantiza que al menos un Cloud Connector esté siempre disponible. Para una mayor redundancia, agregue Cloud Connectors en varias ubicaciones de recursos.
- En lugar de enumerar cada Cloud Connector en una ubicación de recursos individualmente, puede agregar un equilibrador de carga que distribuya las solicitudes entre los Cloud Connectors de esa ubicación. Sin embargo, en la configuración de VServer de , debe enumerar cada conector individualmente.
- Citrix DaaS se puede configurar para que StoreFront deba incluir una clave de seguridad. No es posible agregar claves de seguridad mediante la GUI; consulte el paso posterior para agregarlas mediante PowerShell.
-
Seleccione Equilibrar la carga de varios servidores para distribuir las solicitudes entre los servidores. Si se desactiva, StoreFront intentará con los servidores en el orden en que aparecen.
-
Si StoreFront no puede llegar a un servidor, evita usar ese servidor durante un período de tiempo. De forma predeterminada, es 1 hora, pero puede personalizar este valor.
-
Opcionalmente, seleccione Habilitar fiabilidad de sesión.
-
Opcionalmente, seleccione Solicitar tickets de dos conectores de nube, si están disponibles.

Una vez que haya terminado de rellenar la configuración, seleccione Siguiente.
-
-
Seleccione Crear para aplicar la configuración.

-
Una vez aplicada la implementación, seleccione Finalizar.
-
Si ha configurado claves de seguridad (recomendado), debe cerrar la consola de administración y configurarlas mediante PowerShell. Por ejemplo:
$gateway = Get-STFRoamingGateway -Name [Gateway name] $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret] $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret] Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2 <!--NeedCopy--> -
De forma predeterminada, StoreFront utiliza el mismo gateway para acceder a los recursos que se utilizó para la autenticación, por lo que el servicio Citrix Gateway nunca se utiliza. Debe utilizar enrutamiento HDX óptimo para configurar cuándo StoreFront debe usar el servicio Citrix Gateway.
PowerShell
Para agregar un gateway mediante PowerShell, ejecute el cmdlet New-STFRoamingGateway, estableciendo -IsCloudGateway $true.
Modificar Citrix Gateway
-
En la ventana Administrar Citrix Gateways, haga clic en el gateway que desea cambiar y pulse Modificar.
Para obtener una descripción de los parámetros, consulte Agregar dispositivo Citrix Gateway
-
Pulse Guardar para guardar los cambios.
PowerShell
Para modificar la configuración de la puerta de enlace mediante PowerShell, ejecute el cmdlet Set-STFRoamingGateway.
Eliminar Citrix Gateway
-
En la ventana Administrar Citrix Gateways, haga clic en la puerta de enlace que desea cambiar y pulse Eliminar.
-
En la ventana de confirmación, pulse Sí.
PowerShell
Para eliminar la puerta de enlace mediante PowerShell, ejecute el cmdlet Remove-STFRoamingGateway.