Product Documentation

Configuración del servicio de autenticación

Jun 29, 2017

Administración de los métodos de autenticación

Para habilitar o inhabilitar la configuración de los métodos de autenticación de usuarios al crear el servicio de autenticación, seleccione un método de autenticación en el panel de resultados de la consola de administración de Citrix StoreFront y en el panel Acciones, haga clic en Administrar métodos de autenticación. 

  1. En la pantalla Inicio o Aplicaciones de Windows, busque el icono de Citrix StoreFront y haga clic en él.
  2. Seleccione el nodo Tiendas en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación.
  3. Especifique los métodos de acceso que desea habilitar para los usuarios.
localized image
  • Marque la casilla Nombre de usuario y contraseña para habilitar la autenticación explícita. Los usuarios introducen sus credenciales cuando acceden a sus tiendas.
  • Marque la casilla Autenticación SAML para habilitar la integración con proveedores de identidades SAML. Los usuarios se autentican en un proveedor de identidades y su sesión se inicia automáticamente cuando acceden a sus tiendas.Desde el menú desplegable Parámetros:
    • Seleccione Proveedor de identidades para configurar la confianza con el proveedor de identidades.
    • Seleccione Proveedor de servicios para configurar la confianza con el proveedor de servicios. El proveedor de identidades necesita esta información.
  • Marque la casilla PassThrough de dominio para habilitar la autenticación PassThrough de las credenciales de dominio de Active Directory desde los dispositivos de los usuarios. Los usuarios realizan la autenticación en los equipos unidos a un dominio de Windows y su sesión se inicia automáticamente cuando acceden a las tiendas. Para poder usar esta opción, la autenticación PassThrough debe estar habilitada cuando se instala Citrix Receiver para Windows en los dispositivos de los usuarios.
  • Marque la casilla Tarjeta inteligente para habilitar la autenticación con tarjeta inteligente. Los usuarios realizan la autenticación con tarjetas inteligentes y PIN cuando acceden a las tiendas.
  • Marque la casilla Básica HTTP para habilitar la autenticación básica HTTP. Los usuarios se autentican con el servidor Web IIS del servidor StoreFront.
  • Marque la casilla PassThrough desde NetScaler Gateway para habilitar la autenticación PassThrough desde NetScaler Gateway. Los usuarios se autentican en NetScaler Gateway y su sesión se inicia automáticamente cuando acceden a sus tiendas.

Para habilitar la autenticación PassThrough para los usuarios de tarjeta inteligente que acceden a las tiendas a través de NetScaler Gateway, use la tarea Configurar autenticación delegada.

Configuración de dominios de usuarios de confianza

Utilice la tarea Dominios de confianza para restringir el acceso a las tiendas de cara a los usuarios que inician sesión con credenciales de dominio explícitas, ya sea directamente o a través de la autenticación PassThrough desde NetScaler Gateway.

  1. En la pantalla de Inicio o Aplicaciones de Windows, busque el icono de Citrix StoreFront y haga clic en él.
  2. Seleccione el nodo Tiendas en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione el método de autenticación apropiado. En el panel Acciones, haga clic en Administrar métodos de autenticación.
  3. En el menú desplegable Nombre de usuario y contraseña (explícita) > Parámetros, seleccione Configurar dominios de confianza.
  4. Seleccione Solo dominios de confianza y haga clic en Agregar para introducir el nombre de un dominio de confianza. Los usuarios con cuentas en ese dominio podrán iniciar sesiones en todas las tiendas que usen el servicio de autenticación. Para modificar un nombre de dominio, seleccione la entrada correspondiente en Dominios de confianza y haga clic en Modificar. Seleccione un dominio de la lista y haga clic en Quitar para interrumpir el acceso a las tiendas para las cuentas de usuario en ese dominio.

    La manera en que se especifica el nombre del dominio determina el formato en el que los usuarios deben introducir sus credenciales. Si desea que los usuarios introduzcan sus credenciales en un formato de nombre de usuario de dominio, agregue el nombre NetBIOS a la lista. Para exigir que los usuarios introduzcan sus credenciales en el formato de nombre principal de usuario, agregue el FQDN a la lista. Si desea permitir que los usuarios introduzcan sus credenciales en el formato de nombre de usuario de dominio y en el formato de nombre principal de usuario, debe agregar el nombre NetBIOS y el FQDN a la lista.

  5. Si configura varios dominios de confianza, seleccione de la lista Dominio predeterminado el dominio que aparece seleccionado de forma predeterminada cuando los usuarios inician sesión en StoreFront.
  6. Si quiere ver una lista de los dominios de confianza en la página de inicio de sesión, marque la casilla Mostrar lista de dominios en la página de inicio de sesión.

Cómo permitir que los usuarios cambien sus contraseñas

Utilice la tarea Administrar opciones de contraseña para permitir que los usuarios de Receivers de escritorio y de sitios de Receiver para Web inicien sesión con credenciales de dominio para cambiar sus contraseñas. Al crear el servicio de autenticación, la configuración predeterminada impide que los usuarios de Citrix Receiver y de los sitios de Citrix Receiver para Web cambien sus contraseñas, incluso aunque hayan caducado. Si decide habilitar esta función, asegúrese de que las directivas para los dominios que contengan los servidores no impidan a los usuarios cambiar sus contraseñas. Cuando se permite a los usuarios que cambien sus contraseñas, funciones importantes de seguridad se dejan a merced de cualquier persona que pueda acceder a las tiendas mediante el servicio de autenticación. Si su organización cuenta con una directiva de seguridad que solo permite utilizar las funciones de cambio de contraseñas de los usuarios para uso interno, asegúrese de que no se pueda acceder a las tiendas desde fuera de la red corporativa.

  1. Citrix Receiver para Web admite cambios de contraseña por caducidad, así como cambios de contraseña a demanda. Los Citrix Receivers de escritorio admiten el cambio de contraseña a través de NetScaler Gateway solo por caducidad. En la pantalla de Inicio o Aplicaciones de Windows, busque el icono de Citrix StoreFront y haga clic en él.
  2. Seleccione el nodo Tiendas en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación.
  3. En el menú desplegable Nombre de usuario y contraseña > Parámetros, seleccione Administrar opciones de contraseña y especifique las circunstancias en las que los usuarios de los sitios de Citrix Receiver para Web que inician sesión con credenciales de dominio pueden cambiar sus contraseñas.
    • Para permitir que los usuarios cambien sus contraseñas cuando quieran, seleccione En cualquier momento. Cuando los usuarios locales cuyas contraseñas están a punto de caducar inicien sesión, aparecerá una advertencia al respecto. Las advertencias de caducidad de contraseña solo se muestran a los usuarios que se conectan desde la red interna. De forma predeterminada, el período de notificación para un usuario se determina mediante la configuración de directiva de Windows correspondiente. Para obtener más información sobre la configuración de períodos de notificación personalizados, consulte Configuración del período de notificación de caducidad de contraseñas. Solo respaldado con Citrix Receiver para Web.
    • Para permitir que los usuarios cambien sus contraseñas solamente cuando las contraseñas han caducado, seleccione Cuando caduquen. Los usuarios que no pueden iniciar sesión porque sus contraseñas han caducado se redirigen al cuadro de diálogo Cambiar contraseña. Respaldado en Citrix Receivers de escritorio y Citrix Receiver para Web.
    • Para impedir que los usuarios cambien sus contraseñas, no seleccione Permitir a los usuarios cambiar sus contraseñas. Si no selecciona esta opción, deberá organizar cómo dar respaldo a los usuarios que no puedan acceder a los escritorios y aplicaciones porque sus contraseñas hayan caducado.

    Si desea permitir que los usuarios de los sitios de Citrix Receiver para Web cambien sus contraseñas en cualquier momento, asegúrese de que haya suficiente espacio en disco en los servidores StoreFront para almacenar los perfiles de todos los usuarios. Para comprobar si la contraseña de un usuario está a punto de caducar, StoreFront crea un perfil local para ese usuario en el servidor. StoreFront debe poder ponerse en contacto con el controlador de dominio para cambiar las contraseñas de los usuarios.

    Citrix Receivers El usuario puede cambiar una contraseña caducada si está habilitada en StoreFront Se notifica al usuario de que la contraseña va a caducar El usuario puede cambiar la contraseña antes de que caduque si está habilitada en StoreFront
    Windows    
    Mac    
    Android      
    iOS      
    Linux    
    Web

Preguntas de seguridad del Autoservicio de restablecimiento de contraseñas

El Autoservicio de restablecimiento de contraseñas o SSPR (Self-service Password Reset) permite que los usuarios finales tengan un mayor control sobre sus cuentas. Cuando el Autoservicio de restablecimiento de contraseñas está configurado, si los usuarios finales tienen problemas para iniciar sesión en sus sistemas, pueden desbloquear sus cuentas o restablecer sus contraseñas respondiendo correctamente a varias preguntas de seguridad.

Al configurar el Autoservicio de restablecimiento de contraseñas, usted especifica los usuarios que podrán restablecer contraseñas y desbloquear sus cuentas, usando la consola de administración. Aunque habilite esta funcionalidad para StoreFront, es posible que a los usuarios se les siga denegando el permiso para realizar estas tareas según cómo se hayan definido los parámetros en la consola de configuración del Autoservicio de restablecimiento de contraseñas.

El Autoservicio de restablecimiento de contraseñas solo está disponible para los usuarios que acceden a StoreFront mediante conexiones HTTPS. Si acceden a StoreFront mediante una conexión HTTP, el Autoservicio de restablecimiento de contraseñas no estará disponible para ellos. El Autoservicio de restablecimiento de contraseñas solo está disponible cuando la autenticación se realiza directamente con StoreFront usando un nombre de usuario y una contraseña.

El Autoservicio de restablecimiento de contraseñas no admite el uso de credenciales UPN para el inicio de sesión, tales como NombreDeUsuario@dominio.com.

Antes de configurar el Autoservicio de restablecimiento de contraseñas para una tienda, debe asegurarse de lo siguiente:

  • La tienda está configurada para usar autenticación con nombre de usuario y contraseña.
  • La tienda está configurada para usar solo una instancia de Autoservicio de restablecimiento de contraseñas. Si StoreFront está configurado para utilizar varias comunidades en el mismo dominio o en dominios de confianza, el Autoservicio de restablecimiento de contraseñas debe configurarse para que acepte credenciales de todos esos dominios.
  • El sitio debe configurarse para permitir que los usuarios cambien sus contraseñas en cualquier momento si se desea habilitar la funcionalidad de restablecimiento de contraseñas.
  • Debe asociar una tienda de StoreFront a un sitio de Receiver para Web y debe configurar ese sitio para usar la experiencia unificada.

Antes de poder usar el Autoservicio de restablecimiento de contraseñas, hay que instalarlo y configurarlo. Está disponible en los medios de instalación de XenApp y XenDesktop.Para más información, consulte la documentación del Autoservicio de restablecimiento de contraseñas.  

  1. Para habilitar el respaldo para el Autoservicio de restablecimiento de contraseñas en StoreFront, seleccione el nodo Tiendas en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación > Nombre de usuario y contraseña y elija Administrar opciones de contraseña en el menú desplegable.
  2. Elija cuándo quiere dejar que los usuarios cambien las contraseñas y haga clic en Aceptar.
  3. En el menú desplegable Nombre de usuario y contraseña, elija Configurar autoservicio de cuentas, seleccione Citrix SSPR en el menú desplegable, y haga clic en Aceptar.
  4. Especifique si se permite a los usuarios restablecer sus contraseñas y desbloquear sus cuentas con el Autoservicio de restablecimiento de contraseñas, agregue la dirección URL del servicio de restablecimiento de contraseñas, haga clic en Aceptar y de nuevo en Aceptar.
localized image

Esta opción solo está disponible cuando la URL base de StoreFront es HTTPS (no HTTP) y la opción Habilitar el restablecimiento de contraseñas solo está disponible después de usar Administrar opciones de contraseña para permitir a los usuarios cambiar sus contraseñas siempre que quieran. 

localized image

La próxima vez que el usuario inicie sesión en Citrix Receiver o Citrix Receiver para Web, la inscripción de seguridad estará disponible. Después de hacer clic en Iniciar, el usuario verá preguntas a las que tiene que responder.

localized image

Una vez configurado en StoreFront, los usuarios verán el enlace de Autoservicio de cuentas en la pantalla de inicio de sesión de Citrix Receiver para Web (se muestra como un botón en otras versiones de Citrix Receiver.

Al hacer clic en este enlace, el usuario ve una serie de formularios para seleccionar primero entre Desbloquear cuenta y Restablecer contraseña (si ambos están disponibles). 

Después de elegir un botón de radio y hacer clic en Siguiente, la pantalla siguiente solicita el dominio y el nombre de usuario (dominio\usuario) si dicha información no se especificó antes en el formulario de inicio de sesión. Tenga en cuenta que el autoservicio de cuentas no admite el uso de credenciales UPN para el inicio de sesión, tales como NombreDeUsuario@dominio.com.

localized image

Los usuarios tienen que responder a las preguntas de seguridad. Si todas las respuestas coinciden con las respuestas que el usuario suministró, la operación solicitada (desbloqueo o restablecimiento) se lleva a cabo y el usuario recibe una notificación al respecto.

Parámetros del servicio de autenticación compartido

Utilice la tarea Parámetros del servicio de autenticación compartido para especificar las tiendas que compartirán el servicio de autenticación habilitando el inicio sesión Single Sign-on entre ellas.

  1. En la pantalla Inicio o Aplicaciones de Windows, busque el icono de Citrix StoreFront y haga clic en él.
  2. Seleccione el nodo Tiendas en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione una tienda. En el panel Acciones, haga clic en Administrar métodos de autenticación.
  3. En el menú desplegable Avanzado, seleccione Parámetros del servicio de autenticación compartido
  4. Marque la casilla Usar un servicio de autenticación compartido y seleccione una tienda en el menú desplegable Tienda.

Nota: No hay ninguna diferencia funcional entre un servicio de autenticación compartido y uno dedicado. Un servicio de autenticación compartido entre dos o más tiendas se trata como uno solo y los cambios que se hagan en su configuración afectarán a todos las tiendas que lo comparten.

Delegar la validación de credenciales en NetScaler Gateway

Utilice la tarea Configurar autenticación delegada para habilitar la autenticación PassThrough para los usuarios de tarjeta inteligente que acceden a los almacenes a través de NetScaler Gateway. Esta tarea solo está disponible cuando la opción PassThrough desde NetScaler Gateway está habilitada y seleccionada en el panel de resultados.

Cuando la validación de credenciales se delega en NetScaler Gateway, los usuarios se autentican en NetScaler Gateway con sus tarjetas inteligentes e inician sesión automáticamente cuando acceden a las tiendas. De forma predeterminada, este parámetro está inhabilitado cuando habilita la autenticación PassThrough desde NetScaler Gateway. Por tanto, la autenticación PassThrough solo ocurre cuando los usuarios inician sesión en NetScaler Gateway con una contraseña.