Autenticación de nombre de usuario y contraseña de Active Directory
Se pide a los usuarios que introduzcan su nombre de usuario y contraseña de Active Directory.
.
Si la contraseña del usuario ha caducado o está a punto de caducar, y según la configuración, es posible que se le dé al usuario la opción de cambiar su contraseña.
Para habilitar o inhabilitar la autenticación de nombre de usuario y contraseña para un almacén al usar la aplicación Citrix Workspace, en la ventana (/es-es/storefront/2507-ltsr/stores/authentication/) marque o desmarque Nombre de usuario y contraseña de Active Directory.
Al habilitar la autenticación de nombre de usuario y contraseña para un almacén, también se habilita de forma predeterminada para todos los sitios web de ese almacén para los usuarios que utilizan un explorador web. Puede inhabilitar la autenticación de nombre de usuario y contraseña para un sitio web específico en la (/es-es/storefront/2507-ltsr/stores/websites/authentication-methods.html).
Configurar dominios de usuario de confianza
Puede restringir el acceso a los almacenes para los usuarios que inician sesión con credenciales de dominio explícitas, ya sea directamente o mediante la autenticación de paso a través de Citrix Gateway.
-
Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione el método de autenticación adecuado. En el panel Acciones, haga clic en Administrar métodos de autenticación.
-
En la lista Nombre de usuario y contraseña > Configuración, seleccione Configurar dominios de confianza.
-
Seleccione Solo dominios de confianza y haga clic en Agregar para introducir el nombre de un dominio de confianza. Los usuarios con cuentas en ese dominio pueden iniciar sesión en todos los almacenes que utilizan el servicio de autenticación. Para modificar un nombre de dominio, seleccione la entrada en la lista Dominios de confianza y haga clic en Modificar. Para interrumpir el acceso a los almacenes para las cuentas de usuario de un dominio, seleccione el dominio en la lista y haga clic en Quitar.
La forma en que especifique el nombre de dominio determina el formato en que los usuarios deben introducir sus credenciales. Si desea que los usuarios introduzcan sus credenciales en formato de nombre de usuario de dominio, agregue el nombre NetBIOS a la lista. Para exigir que los usuarios introduzcan sus credenciales en formato de nombre principal de usuario, agregue el nombre de dominio completo a la lista. Si desea permitir que los usuarios introduzcan sus credenciales tanto en formato de nombre de usuario de dominio como en formato de nombre principal de usuario, debe agregar tanto el nombre NetBIOS como el nombre de dominio completo a la lista.
-
Si configura varios dominios de confianza, seleccione de la lista Dominio predeterminado el dominio que se selecciona de forma predeterminada cuando los usuarios inician sesión.
-
Si desea que los dominios de confianza aparezcan en la página de inicio de sesión, marque la casilla de verificación Mostrar lista de dominios en la página de inicio de sesión.

PowerShell
Para obtener la lista de dominios configurados, use el cmdlet Get-STFExplicitCommonOptions.
Para actualizar los dominios de confianza, use el cmdlet Set-STFExplicitCommonOptions.
Permitir a los usuarios cambiar sus contraseñas
Puede permitir a los usuarios cambiar sus contraseñas en cualquier momento. Alternativamente, puede restringir los cambios de contraseña a los usuarios cuyas contraseñas hayan caducado. Esto significa que puede asegurarse de que los usuarios nunca se vean impedidos de acceder a sus escritorios y aplicaciones por una contraseña caducada.
La funcionalidad de cambio de contraseña está disponible en los siguientes clientes:
| Aplicaciones de Citrix Workspace | El usuario puede cambiar una contraseña caducada si está habilitado en StoreFront | Se notifica al usuario que la contraseña caducará | El usuario puede cambiar la contraseña antes de que caduque si está habilitado en StoreFront |
|---|---|---|---|
| Windows | Sí | ||
| Mac | Sí | ||
| Android | |||
| iOS | |||
| Linux | Sí | ||
| Web | Sí | Sí | Sí |
La configuración predeterminada impide que los usuarios de la aplicación Citrix Workspace y del navegador web cambien sus contraseñas, incluso si estas han caducado. Si decide habilitar esta función, asegúrese de que las directivas de los dominios que contienen sus servidores no impidan a los usuarios cambiar sus contraseñas. Permitir a los usuarios cambiar sus contraseñas expone funciones de seguridad confidenciales a cualquiera que pueda acceder a cualquiera de los almacenes que utilizan el servicio de autenticación. Si su organización tiene una directiva de seguridad que reserva las funciones de cambio de contraseña de usuario solo para uso interno, asegúrese de que ninguno de los almacenes sea accesible desde fuera de su red corporativa.
Si permite a los usuarios cambiar sus contraseñas en cualquier momento, los usuarios locales cuyas contraseñas están a punto de caducar verán una advertencia al iniciar sesión. De forma predeterminada, el período de notificación para un usuario viene determinado por la configuración de la directiva de Windows aplicable. Alternativamente, puede configurar un período de notificación personalizado.
-
En la ventana Administrar métodos de autenticación, en el menú desplegable Nombre de usuario y contraseña de Active Directory > Configuración, seleccione Administrar opciones de contraseña
-
Para permitir a los usuarios cambiar las contraseñas, marque la casilla Permitir a los usuarios cambiar las contraseñas.
Nota:
Si no selecciona esta opción, debe tomar sus propias medidas para dar soporte a los usuarios que no pueden acceder a sus escritorios y aplicaciones porque sus contraseñas han caducado.
-
Elija si desea permitir a los usuarios cambiar las contraseñas Solo cuando caduquen o En cualquier momento.
-
Elija si desea recordar a los usuarios antes de que caduquen sus contraseñas. Puede elegir entre las siguientes opciones:
-
No recordar - La interfaz de usuario no muestra recordatorios de caducidad de contraseña. Solo notifica a los usuarios en el momento en que la contraseña ha caducado.
-
Usar la configuración de recordatorio de la política de grupo de Active Directory - Después de iniciar sesión, la interfaz de usuario notifica si su contraseña va a caducar en el número de días configurado en la política de grupo. Se le da al usuario la opción de cambiar su contraseña.
Nota:
StoreFront no tiene en cuenta las políticas de contraseña de grano fino. Por lo tanto, si está utilizando políticas de contraseña de grano fino, no debe seleccionar esta opción.
-
Usar configuración de recordatorio personalizada - Después de iniciar sesión, la interfaz de usuario notifica al usuario si su contraseña va a caducar en el número de días especificado. Se le da al usuario la opción de cambiar su contraseña.
-

Notas
Nota 1:
Asegúrese de que haya suficiente espacio en disco en sus servidores StoreFront para almacenar los perfiles de todos sus usuarios. Para comprobar si la contraseña de un usuario está a punto de caducar, StoreFront crea un perfil local para ese usuario en el servidor. StoreFront debe poder ponerse en contacto con el controlador de dominio para cambiar las contraseñas de los usuarios.
Nota 2:
Si habilita la política de seguridad Acceso a la red: Restringir los clientes autorizados a realizar llamadas remotas a SAM, debe incluir a todos los usuarios que necesiten cambiar sus contraseñas.
Nota 3:
Si habilita o deshabilita el cambio de contraseñas en cualquier momento, esto también afecta a la configuración en Opciones de administración de contraseñas para la autenticación Pass-through desde Citrix Gateway.
PowerShell
Para obtener la lista de dominios de confianza, utilice el cmdlet Get-STFExplicitCommonOptions.
Para actualizar los dominios de confianza, utilice el cmdlet Set-STFExplicitCommonOptions.
Validación de contraseñas
Normalmente, StoreFront pide a Windows que valide las credenciales en Active Directory. Esto requiere que el servidor de Windows esté en el mismo dominio que el usuario, o que exista una relación de confianza entre los dos dominios. Cuando no es posible establecer confianzas de Active Directory, puede configurar StoreFront para que utilice los controladores de entrega de Citrix Virtual Apps and Desktops para autenticar las credenciales. Esto también afecta a la autenticación HTTP Basic y Gateway Pass-through.
Para configurar cómo StoreFront valida las contraseñas:
-
En la ventana Administrar métodos de autenticación, en el menú desplegable nombre de usuario y contraseña > Configuración, seleccione Configurar validación de contraseña.

-
En el menú desplegable Validar contraseña mediante, elija:
- Active Directory - Pide a Windows que valide las credenciales en Active Directory
- Controladores de entrega - Pide al Delivery Controller™ configurado que valide las credenciales.

-
Si seleccionó Controladores de entrega, seleccione Configurar. En las pantallas Configurar controladores de entrega, agregue uno o varios Controladores de entrega para validar las credenciales de usuario y haga clic en Aceptar.

-
Seleccione Aceptar.
PowerShell
Para saber cómo se validan las contraseñas, utilice el cmdlet Get-STFExplicitAuthenticator.
Para realizar la validación de contraseñas a través de los controladores de entrega, utilice el cmdlet Set-STFExplicitAuthenticator para establecer el validador en xmlServiceAuthenticator. Para establecer qué controlador de entrega utilizar para autenticar las credenciales, utilice el cmdlet Enable-STFXmlServiceAuthentication
Inicio de sesión único en los VDA
Cuando los usuarios inician un recurso, StoreFront transfiere las credenciales que el usuario utilizó para iniciar sesión en el almacén para el inicio de sesión único en los VDA.
Si Federated Authentication Service (FAS) está habilitado para el almacén, StoreFront se pone en contacto con un servidor FAS para proporcionar un certificado para el inicio de sesión único en el almacén. Este certificado se transfiere al VDA en lugar de las credenciales. Si StoreFront no puede ponerse en contacto con un servidor FAS, no hay inicio de sesión único en el VDA.
Personalizar la pantalla de inicio de sesión
La pantalla de inicio de sesión se genera a partir de una plantilla, normalmente ubicada en C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrm. La plantilla se define utilizando Forms Template Language.
Los siguientes ejemplos añaden un título y evitan que la aplicación Citrix Workspace para Windows almacene contraseñas en caché:
Texto del título
Cuando los usuarios inician sesión en un almacén, de forma predeterminada, no se muestra ningún texto de título en el cuadro de diálogo de inicio de sesión. Puede mostrar el texto “Inicie sesión” o redactar su propio mensaje personalizado:
-
Utilice un editor de texto para abrir el archivo
UsernamePassword.tfrmpara el servicio de autenticación. -
Localice las siguientes líneas en el archivo.
@* @Heading("ExplicitAuth:AuthenticateHeadingText") *@ <!--NeedCopy--> -
Quite el comentario de la instrucción eliminando el
@*inicial y el*@final.@Heading("ExplicitAuth:AuthenticateHeadingText") <!--NeedCopy-->Los usuarios de la aplicación Citrix Workspace ven el texto de título predeterminado “Inicie sesión”, o la versión localizada adecuada de este texto, cuando inician sesión en almacenes que utilizan este servicio de autenticación.
-
Para modificar el texto del título, utilice un editor de texto para abrir el archivo
ExplicitFormsCommon.xx.resxdel servicio de autenticación, que normalmente se encuentra en el directorioC:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\resources\. -
Localice los siguientes elementos en el archivo. Edite el texto incluido en el elemento
<value>para modificar el texto del título que los usuarios ven en el cuadro de diálogo de inicio de sesión cuando acceden a almacenes que utilizan este servicio de autenticación.<data name="AuthenticateHeadingText" xml:space="preserve"> <value>My Company Name</value> </data> <!--NeedCopy-->Para modificar el texto del título del cuadro de diálogo de inicio de sesión para usuarios de otras configuraciones regionales, edite los archivos localizados ExplicitAuth.languagecode.resx, donde languagecode es el identificador de la configuración regional.
Evitar que la aplicación Citrix Workspace para Windows almacene en caché contraseñas y nombres de usuario
De forma predeterminada, la aplicación Citrix Workspace para Windows almacena las contraseñas de los usuarios cuando inician sesión en los almacenes de StoreFront. Para evitar que la aplicación Citrix Workspace para Windows almacene en caché las contraseñas de los usuarios, edite los archivos del servicio de autenticación.
-
Utilice un editor de texto para abrir el archivo inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrm.
-
Localice la siguiente línea en el archivo.
@SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) <!--NeedCopy--> -
Comente la instrucción como se muestra a continuación.
<!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) --> <!--NeedCopy-->Los usuarios deben introducir sus contraseñas cada vez que inician sesión en los almacenes que utilizan este servicio de autenticación.
De forma predeterminada, la aplicación Citrix Workspace para Windows rellena automáticamente el último nombre de usuario introducido. Para suprimir el relleno del campo de nombre de usuario, o para un mecanismo alternativo para suprimir el almacenamiento en caché de contraseñas, consulte Evitar que la aplicación Citrix Workspace para Windows almacene en caché contraseñas y nombres de usuario.
Acceso remoto a través de Citrix Gateway
Puede configurar su Citrix Gateway para que los usuarios inicien sesión en el gateway utilizando su nombre de usuario y contraseña de dominio, y opcionalmente un segundo factor. Estas credenciales se transfieren a StoreFront para iniciar sesión en el almacén. Para configurar su Citrix Gateway para la autenticación de nombre de usuario y contraseña LDAP, consulte Documentación de NetScaler - Autenticación LDAP. Para configurar StoreFront, consulte Transferencia desde Citrix Gateway.
En este artículo
- Configurar dominios de usuario de confianza
- Permitir a los usuarios cambiar sus contraseñas
- Validación de contraseñas
- Inicio de sesión único en los VDA
- Personalizar la pantalla de inicio de sesión
- Evitar que la aplicación Citrix Workspace para Windows almacene en caché contraseñas y nombres de usuario
- Acceso remoto a través de Citrix Gateway