Documentación de productos
StoreFront™ 2507 LTSR
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
Ver PDF

Paso a través desde Citrix Gateway

March 9, 2026
Contribución de: 
C

Los usuarios se autentican en Citrix Gateway e inician sesión automáticamente cuando acceden a sus almacenes. La autenticación de paso a través desde Citrix Gateway está habilitada de forma predeterminada cuando configuras por primera vez el acceso remoto a un almacén. Los usuarios pueden conectarse a través de Citrix Gateway a los almacenes mediante la aplicación Citrix Workspace instalada localmente o un navegador web. Para obtener más información sobre cómo configurar StoreFront para Citrix Gateway, consulta Configurar un Citrix Gateway.

StoreFront admite el paso a través con los siguientes métodos de autenticación de Citrix Gateway.

  • Dominio Los usuarios inician sesión con su nombre de usuario y contraseña de Active Directory.
  • RSA Los usuarios inician sesión con códigos de acceso que se derivan de códigos de token generados por tokens de seguridad combinados, a veces, con números de identificación personal. Si habilitas la autenticación de paso a través solo mediante tokens de seguridad, asegúrate de que los recursos que pones a disposición no requieran formas de autenticación adicionales o alternativas, como las credenciales de dominio de Microsoft Active Directory de los usuarios.
  • Tarjeta inteligente Los usuarios inician sesión con una tarjeta inteligente vinculada a su cuenta de Active Directory.
  • RSA + Dominio Los usuarios inician sesión con sus credenciales de dominio y códigos de acceso de tokens de seguridad.
  • SAML Los usuarios se redirigen a un IdP de terceros para iniciar sesión mediante SAML. La aserción SAML debe incluir el UPN de la cuenta de Active Directory del usuario.
  • Entra ID mediante OIDC (CU1 y versiones posteriores) Los usuarios se redirigen a Microsoft Entra ID para la autenticación. El usuario puede tener una identidad puramente de Entra ID o una identidad híbrida. Para obtener más información, consulta Autenticación de Entra ID mediante OIDC.

Si en Citrix Gateway has deshabilitado la autenticación o el inicio de sesión único, el paso a través no se utiliza y debes configurar uno de los otros métodos de autenticación.

Si configuras la autenticación de doble origen en Citrix Gateway para usuarios remotos que acceden a los almacenes desde la aplicación Citrix Workspace, debes crear dos directivas de autenticación en Citrix Gateway. Configura RADIUS (Remote Authentication Dial-In User Service) como método de autenticación principal y LDAP (Lightweight Directory Access Protocol) como método secundario. Modifica el índice de credenciales para usar el método de autenticación secundario en el perfil de sesión, de modo que las credenciales LDAP se pasen a StoreFront. Cuando agregues el dispositivo Citrix Gateway a tu configuración de StoreFront, establece el Tipo de inicio de sesión en Dominio y token de seguridad. Para obtener más información, consulta http://support.citrix.com/article/CTX125364

Para habilitar la autenticación multidominio a través de Citrix Gateway en StoreFront, establece el Atributo de nombre de SSO en userPrincipalName en la directiva de autenticación LDAP de Citrix Gateway para cada dominio. Puedes exigir a los usuarios que especifiquen un dominio en la página de inicio de sesión de Citrix Gateway para que se pueda determinar la directiva LDAP adecuada a utilizar. Cuando configures los perfiles de sesión de Citrix Gateway para las conexiones a StoreFront, no especifiques un dominio de inicio de sesión único. Debes configurar relaciones de confianza entre cada uno de los dominios. Asegúrate de permitir que los usuarios inicien sesión en StoreFront desde cualquier dominio, sin restringir el acceso solo a dominios explícitamente de confianza.

Cuando tu implementación de Citrix Gateway lo admita, puedes usar SmartAccess para controlar el acceso de los usuarios a los recursos de Citrix Virtual Apps and Desktops en función de las directivas de sesión de Citrix Gateway.

Habilitar el paso a través de Gateway

Para habilitar o deshabilitar la autenticación de paso a través de Gateway para un almacén al conectarse a través de las aplicaciones Workspace, en la ventana Métodos de autenticación marca o desmarca Paso a través desde Citrix Gateway.

Habilitar la autenticación de paso a través de Citrix Gateway para un almacén también la habilita de forma predeterminada para todos los sitios web de ese almacén. Puedes deshabilitar la autenticación de nombre de usuario y contraseña para un sitio web específico en la ficha Métodos de autenticación.

Configurar dominios de usuario de confianza

Si tu Citrix Gateway está configurado para usar la autenticación LDAP, puedes restringir el acceso a dominios específicos.

  1. En la ventana “Administrar métodos de autenticación”, en el menú desplegable Paso a través desde Citrix Gateway > Configuración, selecciona Configurar dominios de confianza.

  2. Selecciona Solo dominios de confianza y haz clic en Agregar para introducir el nombre de un dominio de confianza. Los usuarios con cuentas en ese dominio podrán iniciar sesión en todos los almacenes que utilicen el servicio de autenticación. Para modificar un nombre de dominio, selecciona la entrada en la lista Dominios de confianza y haz clic en Modificar. Para interrumpir el acceso a los almacenes para las cuentas de usuario de un dominio, selecciona el dominio en la lista y haz clic en Quitar.

    La forma en que especifiques el nombre de dominio determina el formato en que los usuarios deben introducir sus credenciales. Si quieres que los usuarios introduzcan sus credenciales en formato de nombre de usuario de dominio, agrega el nombre NetBIOS a la lista. Para exigir que los usuarios introduzcan sus credenciales en formato de nombre principal de usuario, agrega el nombre de dominio completo a la lista. Si quieres permitir que los usuarios introduzcan sus credenciales tanto en formato de nombre de usuario de dominio como en formato de nombre principal de usuario, debes agregar tanto el nombre NetBIOS como el nombre de dominio completo a la lista.

  3. Si configuras varios dominios de confianza, selecciona de la lista de dominios predeterminados el dominio que se selecciona de forma predeterminada cuando los usuarios inician sesión.

  4. Si quieres que los dominios de confianza aparezcan en la página de inicio de sesión, selecciona la casilla de verificación Mostrar lista de dominios en la página de inicio de sesión.

Captura de pantalla de la pantalla de dominios de confianza

Autenticación delegada

De forma predeterminada, StoreFront valida el nombre de usuario y la contraseña que recibe de Citrix Gateway. Si tu Citrix Gateway no utiliza credenciales de Active Directory a través de LDAP como factor, por ejemplo, al usar SAML o tarjetas inteligentes, debes configurar StoreFront para que confíe en la validación realizada por el gateway. En este caso, es importante que introduzcas una URL de devolución de llamada al configurar el gateway para que StoreFront pueda verificar que la solicitud proviene de Citrix Gateway; consulta Administrar Citrix Gateways.

  1. En la ventana Administrar métodos de autenticación, en el menú desplegable Paso a través desde Citrix Gateway > Configuración, selecciona Configurar autenticación delegada.

  2. Selecciona Delegar completamente la validación de credenciales a Citrix Gateway.

Captura de pantalla de la ventana Configurar autenticación delegada.

PowerShell

Para configurar el almacén para delegar la autenticación a Citrix Gateway mediante PowerShell, ejecuta el cmdlet Set-STFCitrixAGBasicOptions.

  • Para delegar la autenticación al gateway, establece CredentialValidationMode en Auto.
  • Para que StoreFront valide las credenciales, establece CredentialValidationMode en Password.

Validación de contraseña

Puedes elegir si StoreFront valida las credenciales por sí mismo o si le pide al Delivery Controller que las valide. Para obtener más información, consulta Autenticación de nombre de usuario y contraseña: validación de contraseña.

Si se selecciona Delegar completamente la validación de credenciales a Citrix Gateway, la configuración para validar contraseñas mediante el Delivery Controller no tiene efecto. En este caso, StoreFront debe poder buscar al usuario en Active Directory, por lo que el dominio del servidor StoreFront siempre debe tener una relación de confianza con el dominio del usuario.

Permitir a los usuarios cambiar contraseñas caducadas al iniciar sesión

Si tu Citrix Gateway está configurado para usar la autenticación LDAP (nombre de usuario y contraseña), puedes configurar NetScaler para permitir el cambio de contraseñas caducadas al iniciar sesión.

  1. Inicia sesión en el sitio web de administración de NetScaler®.
  2. En el menú lateral, ve a Autenticación > Panel.
  3. Haz clic en el servidor de autenticación.
  4. En Otras configuraciones, marca Permitir cambio de contraseña.

Permitir a los usuarios cambiar contraseñas después de iniciar sesión

Puedes configurar StoreFront para permitir a los usuarios cambiar sus contraseñas después de iniciar sesión. Esta funcionalidad solo está disponible cuando el gateway utiliza autenticación LDAP y cuando el usuario accede al almacén a través de un navegador, no mediante la aplicación Citrix Workspace instalada localmente.

La configuración predeterminada de StoreFront impide que los usuarios cambien sus contraseñas, incluso si estas han caducado. Si decides habilitar esta función, asegúrate de que las directivas de los dominios que contienen tus servidores no impidan que los usuarios cambien sus contraseñas. Habilitar a los usuarios para que cambien sus contraseñas expone funciones de seguridad sensibles a cualquiera que pueda acceder a cualquiera de los almacenes que utilizan el servicio de autenticación. Si tu organización tiene una directiva de seguridad que reserva las funciones de cambio de contraseña de usuario solo para uso interno, asegúrate de que ninguno de los almacenes sea accesible desde fuera de tu red corporativa.

  1. En la ventana Administrar métodos de autenticación, en el menú desplegable Paso a través desde Citrix Gateway > Configuración, selecciona Administrar opciones de contraseña.

  2. Para permitir a los usuarios cambiar contraseñas, selecciona la casilla de verificación Permitir a los usuarios cambiar contraseñas.

Captura de pantalla de Administrar opciones de contraseña

Nota:

Si seleccionas o deseleccionas Permitir a los usuarios cambiar contraseñas, esto también afecta a la configuración en Administrar opciones de contraseña para la autenticación de nombre de usuario y contraseña.

PowerShell

Para modificar las opciones de cambio de contraseña mediante PowerShell, ejecuta el cmdlet Set-STFExplicitCommonOptions.

Configurar Delivery Controller™ para que confíe en StoreFront

Cuando Citrix Gateway está configurado con autenticación LDAP, pasa las credenciales a StoreFront. Para otros métodos de autenticación, StoreFront no tiene acceso a las credenciales, por lo que el inicio de sesión único no está disponible de forma predeterminada. Por lo tanto, debes configurar el Delivery Controller para que confíe en las solicitudes de StoreFront; consulta Consideraciones de seguridad y prácticas recomendadas de Citrix Virtual Apps and Desktops.

Inicio de sesión único en VDA

Uso de credenciales de Active Directory

Cuando el gateway está configurado con autenticación LDAP, pasa las credenciales a StoreFront para que pueda realizar el inicio de sesión único en los VDA. No se requiere ninguna configuración adicional.

Uso del Servicio de autenticación federada

Para los métodos de autenticación de gateway distintos de LDAP, StoreFront no tiene acceso a las credenciales del usuario, por lo que el inicio de sesión único no está disponible de forma predeterminada. Puedes usar el Servicio de autenticación federada para proporcionar el inicio de sesión único.

Uso de Entra ID

Cuando el gateway está configurado para usar la autenticación de Entra ID mediante OIDC, puedes habilitar el inicio de sesión único de Entra ID. Esto requiere CU1 o una versión posterior. Para obtener más información, consulta Configurar el inicio de sesión único de VDA Entra ID.

Paso a través desde Citrix Gateway
March 9, 2026
Contribución de: 
C
March 9, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.