Product Documentation

Configuración del servicio de autenticación

Dec 12, 2016

Creación del servicio de autenticación

Utilice la tarea Crear servicio de autenticación para configurar el servicio de autenticación de StoreFront. El servicio de autenticación autentica a los usuarios para Microsoft Active Directory, garantizando que esos usuarios no necesiten iniciar sesión de nuevo para acceder a sus escritorios y aplicaciones.

Para utilizar HTTPS para proteger la comunicación entre StoreFront y los dispositivos de los usuarios, debe configurar Microsoft Internet Information Services (IIS) para HTTPS. Sin una configuración de IIS adecuada, StoreFront utiliza HTTP para las comunicaciones.  

De forma predeterminada, Citrix Receiver requiere conexiones HTTPS para los almacenes. Si StoreFront no está configurado para HTTPS, los usuarios deben llevar a cabo pasos de configuración adicionales para usar conexiones HTTP. Se necesita HTTPS para la autenticación con tarjeta inteligente. Puede cambiar de HTTP a HTTPS en cualquier momento que desee, siempre que tenga la configuración de IIS apropiada. Para obtener más información, consulte Configuración de grupos de servidores.

Importante: En implementaciones con varios servidores, use solo un servidor a la vez para hacer cambios en la configuración del grupo de servidores. Asegúrese de que la consola de administración de Citrix StoreFront no se está ejecutando en ninguno de los otros servidores de la implementación. Una vez completados, propague los cambios de configuración al grupo de servidores de modo que los demás servidores de la implementación se actualicen.
  1. En la pantalla de Inicio o Aplicaciones de Windows, busque el icono de Citrix StoreFront y haga clic en él.
  2. Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación.
  3. Especifique los métodos de acceso que quiere habilitar para los usuarios y haga clic en Aceptar.
    • Seleccione la casilla Nombre de usuario y contraseña para habilitar la autenticación explícita. Los usuarios introducen sus credenciales cuando acceden a sus almacenes.
    • Seleccione la casilla PassThrough de dominio para habilitar la autenticación PassThrough de las credenciales de dominio de Active Directory desde los dispositivos de los usuarios. Los usuarios realizan la autenticación en los equipos unidos a un dominio de Windows y su sesión se inicia automáticamente cuando acceden a los almacenes. Para poder usar esta opción, la autenticación PassThrough debe estar habilitada cuando se instala Citrix Receiver para Windows en los dispositivos de los usuarios.
    • Seleccione la casilla Tarjeta inteligente para habilitar la autenticación con tarjeta inteligente. Los usuarios realizan la autenticación con tarjetas inteligentes y PIN cuando acceden a los almacenes.
    • Seleccione la casilla Básica HTTP para habilitar la autenticación básica HTTP. Los usuarios se autentican con el servidor Web IIS del servidor StoreFront.
    • Seleccione la casilla PassThrough desde NetScaler Gateway para habilitar la autenticación PassThrough desde NetScaler Gateway. Los usuarios se autentican en NetScaler Gateway y su sesión se inicia automáticamente cuando acceden a sus almacenes.

    Para habilitar la autenticación PassThrough para los usuarios de tarjeta inteligente que acceden a los almacenes a través de NetScaler Gateway, use la tarea Configurar autenticación delegada.

El servicio de autenticación autentica a los usuarios para Microsoft Active Directory, garantizando que esos usuarios no necesiten iniciar sesión de nuevo para acceder a sus escritorios y aplicaciones. Solamente es posible configurar un servicio de autenticación por cada implementación de StoreFront.

Las tareas siguientes permiten modificar los parámetros del servicio de autenticación de StoreFront. Algunos de los parámetros avanzados solo pueden cambiarse mediante la edición de los archivos de configuración del servicio de autenticación. Para obtener más información, consulte Configuración de StoreFront mediante archivos de configuración.

Importante: En implementaciones con varios servidores, use solo un servidor a la vez para hacer cambios en la configuración del grupo de servidores. Asegúrese de que la consola de administración de Citrix StoreFront no se está ejecutando en ninguno de los otros servidores de la implementación. Una vez completados, propague los cambios de configuración al grupo de servidores de modo que los demás servidores de la implementación se actualicen.

Administración de los métodos de autenticación

Para habilitar o inhabilitar la configuración de los métodos de autenticación de usuarios al crear el servicio de autenticación, seleccione un método de autenticación en el panel de resultados de la consola de administración de Citrix StoreFront y en el panel Acciones, haga clic en Administrar métodos de autenticación

  1. En la pantalla de Inicio o Aplicaciones de Windows, busque el icono de Citrix StoreFront y haga clic en él.
  2. Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación.
  3. Especifique los métodos de acceso que desea habilitar para los usuarios.
    • Seleccione la casilla Nombre de usuario y contraseña para habilitar la autenticación explícita. Los usuarios introducen sus credenciales cuando acceden a sus almacenes.
    • Seleccione la casilla PassThrough de dominio para habilitar la autenticación PassThrough de las credenciales de dominio de Active Directory desde los dispositivos de los usuarios. Los usuarios realizan la autenticación en los equipos unidos a un dominio de Windows y su sesión se inicia automáticamente cuando acceden a los almacenes. Para poder usar esta opción, la autenticación PassThrough debe estar habilitada cuando se instala Citrix Receiver para Windows en los dispositivos de los usuarios.
    • Seleccione la casilla Tarjeta inteligente para habilitar la autenticación con tarjeta inteligente. Los usuarios realizan la autenticación con tarjetas inteligentes y PIN cuando acceden a los almacenes.
    • Seleccione la casilla HTTP básica para habilitar la autenticación básica HTTP. Los usuarios se autentican con el servidor Web IIS del servidor StoreFront.
    • Seleccione la casilla PassThrough desde NetScaler Gateway para habilitar la autenticación PassThrough desde NetScaler Gateway. Los usuarios se autentican en NetScaler Gateway y su sesión se inicia automáticamente cuando acceden a sus almacenes.

    Para habilitar la autenticación PassThrough para los usuarios de tarjeta inteligente que acceden a los almacenes a través de NetScaler Gateway, use la tarea Configurar autenticación delegada.

Configuración de dominios de usuarios de confianza

Utilice la tarea Dominios de confianza para restringir el acceso a los almacenes de cara a los usuarios que inician sesión con credenciales de dominio explícitas, ya sea directamente o a través de la autenticación PassThrough desde NetScaler Gateway.

  1. En la pantalla de Inicio o Aplicaciones de Windows, busque el icono de Citrix StoreFront y haga clic en él.
  2. Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione el método de autenticación apropiado. En el panel Acciones, haga clic en Administrar métodos de autenticación.
  3. En el menú desplegable Nombre de usuario y contraseña (explícita) > Parámetros, seleccione Configurar dominios de confianza
  4. Seleccione Solo dominios de confianza y haga clic en Agregar para introducir el nombre de un dominio de confianza. Los usuarios con cuentas en ese dominio podrán iniciar sesiones en todos los almacenes que usen el servicio de autenticación. Para modificar un nombre de dominio, seleccione la entrada correspondiente en Dominios de confianza y haga clic en Modificar. Seleccione un dominio de la lista y haga clic en Quitar para interrumpir el acceso a los almacenes para las cuentas de usuario en ese dominio.

    La manera en que se especifica el nombre del dominio determina el formato en el que los usuarios deben introducir sus credenciales. Si desea que los usuarios introduzcan sus credenciales en un formato de nombre de usuario de dominio, agregue el nombre NetBIOS a la lista. Para exigir que los usuarios introduzcan sus credenciales en el formato de nombre principal de usuario, agregue el FQDN a la lista. Si desea permitir que los usuarios introduzcan sus credenciales en el formato de nombre de usuario de dominio y en el formato de nombre principal de usuario, debe agregar el nombre NetBIOS y el FQDN a la lista.

  5. Si configura varios dominios de confianza, seleccione de la lista Dominio predeterminado el dominio que aparece seleccionado de forma predeterminada cuando los usuarios inician sesión en StoreFront.
  6. Si quiere ver una lista de los dominios de confianza en la página de inicio de sesión, marque la casilla Mostrar lista de dominios en la página de inicio de sesión.

Cómo permitir que los usuarios cambien sus contraseñas

Utilice la tarea Administrar opciones de contraseña para permitir que los usuarios de Receivers de escritorio y de sitios de Receiver para Web inicien sesión con credenciales de dominio para cambiar sus contraseñas. Al crear el servicio de autenticación, la configuración predeterminada impide que los usuarios de Citrix Receiver y de los sitios de Citrix Receiver para Web cambien sus contraseñas, incluso aunque hayan caducado. Si decide habilitar esta función, asegúrese de que las directivas para los dominios que contengan los servidores no impidan a los usuarios cambiar sus contraseñas. Cuando se permite a los usuarios que cambien sus contraseñas, funciones importantes de seguridad se dejan a merced de cualquier persona que pueda acceder a los almacenes mediante el servicio de autenticación. Si su organización cuenta con una directiva de seguridad que solo permite utilizar las funciones de cambio de contraseñas de los usuarios para uso interno, asegúrese de que no se pueda acceder a los almacenes desde fuera de la red corporativa.

  1. Citrix Receiver para Web admite cambios de contraseña por caducidad, así como cambios de contraseña a petición. Los Citrix Receivers de escritorio admiten el cambio de contraseña a través de NetScaler Gateway solo por caducidad. En la pantalla de Inicio o Aplicaciones de Windows, busque el icono de Citrix StoreFront y haga clic en él.
  2. Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación.
  3. En el menú desplegable Nombre de usuario y contraseña > Parámetros, seleccione Administrar opciones de contraseña y especifique las circunstancias en las que los usuarios de los sitios de Citrix Receiver para Web que inician sesión con credenciales de dominio pueden cambiar sus contraseñas.
    • Para permitir que los usuarios cambien sus contraseñas cuando lo deseen, seleccione En cualquier momento. Cuando los usuarios locales cuyas contraseñas están a punto de caducar inicien sesión, aparecerá una advertencia al respecto. Las advertencias de caducidad de contraseña solo se muestran a los usuarios que se conectan desde la red interna. De forma predeterminada, el período de notificación para un usuario se determina mediante la configuración de directiva de Windows correspondiente. Para obtener más información sobre la configuración de períodos de notificación personalizados, consulte Configuración del período de notificación de caducidad de contraseñas. Solo respaldado con Citrix Receiver para Web.
    • Para permitir que los usuarios cambien sus contraseñas solamente cuando las contraseñas han caducado, seleccione Cuando caduquen. Los usuarios que no pueden iniciar sesión porque sus contraseñas han caducado se redirigen al cuadro de diálogo Cambiar contraseña. Respaldado en Citrix Receivers de escritorio y Citrix Receiver para Web.
    • Para impedir que los usuarios cambien sus contraseñas, no seleccione Permitir a los usuarios cambiar sus contraseñas. Si no selecciona esta opción, deberá organizar cómo dar respaldo a los usuarios que no puedan acceder a los escritorios y aplicaciones porque sus contraseñas hayan caducado.

    Si desea permitir que los usuarios de los sitios de Citrix Receiver para Web cambien sus contraseñas en cualquier momento, asegúrese de que haya suficiente espacio en disco en los servidores StoreFront para almacenar los perfiles de todos los usuarios. Para comprobar si la contraseña de un usuario está a punto de caducar, StoreFront crea un perfil local para ese usuario en el servidor. StoreFront debe poder ponerse en contacto con el controlador de dominio para cambiar las contraseñas de los usuarios.

    Citrix ReceiversEl usuario puede cambiar una contraseña caducada si está habilitada en StoreFrontSe notifica al usuario de que la contraseña va a caducarEl usuario puede cambiar la contraseña antes de que caduque si está habilitada en StoreFront
    Windows  
    Mac  
    Android   
    iOS   
    Linux  
    Web

Preguntas de seguridad del Autoservicio de restablecimiento de contraseñas

El Autoservicio de restablecimiento de contraseñas o SSPR (Self-service Password Reset) permite que los usuarios finales tengan un mayor control sobre sus cuentas. Cuando el Autoservicio de restablecimiento de contraseñas está configurado, si los usuarios finales tienen problemas para iniciar sesión en sus sistemas, pueden desbloquear sus cuentas o restablecer sus contraseñas respondiendo correctamente a varias preguntas de seguridad.

Al configurar el Autoservicio de restablecimiento de contraseñas, usted especifica los usuarios que podrán restablecer contraseñas y desbloquear sus cuentas, usando la consola de administración. Aunque habilite esta funcionalidad para StoreFront, es posible que a los usuarios se les siga denegando el permiso para realizar estas tareas según cómo se hayan definido los parámetros en la consola de configuración del Autoservicio de restablecimiento de contraseñas.

El Autoservicio de restablecimiento de contraseñas solo está disponible para los usuarios que acceden a StoreFront mediante conexiones HTTPS. Si acceden a StoreFront mediante una conexión HTTP, el Autoservicio de restablecimiento de contraseñas no estará disponible para ellos. El Autoservicio de restablecimiento de contraseñas solo está disponible cuando la autenticación se realiza directamente con StoreFront usando un nombre de usuario y una contraseña.

El Autoservicio de restablecimiento de contraseñas no admite el uso de credenciales UPN para el inicio de sesión, tales como NombreDeUsuario@dominio.com.

Antes de configurar el Autoservicio de restablecimiento de contraseñas para un almacén, debe asegurarse de lo siguiente:

  • El almacén está configurado para usar autenticación con nombre de usuario y contraseña.
  • El almacén está configurado para usar solo una instancia de Autoservicio de restablecimiento de contraseñas. Si StoreFront está configurado para utilizar varias comunidades en el mismo dominio o en dominios de confianza, el Autoservicio de restablecimiento de contraseñas debe configurarse para que acepte credenciales de todos esos dominios.
  • El sitio debe configurarse para permitir que los usuarios cambien sus contraseñas en cualquier momento si se desea habilitar la funcionalidad de restablecimiento de contraseñas.
  • Debe asociar un almacén de StoreFront a un sitio de Receiver para Web y debe configurar ese sitio para usar la experiencia unificada.

Antes de poder usar el Autoservicio de restablecimiento de contraseñas, hay que instalarlo y configurarlo. Este componente está disponible en los medios de instalación de XenApp 7.12 y XenDesktop 7.12. Para más información, consulte la documentación del Autoservicio de restablecimiento de contraseñas.  

  1. Para habilitar el respaldo para el Autoservicio de restablecimiento de contraseñas en StoreFront, seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación > Nombre de usuario y contraseña y elija Administrar opciones de contraseña en el menú desplegable.
  2. Elija cuándo quiere dejar que los usuarios cambien las contraseñas y haga clic en Aceptar.
  3. En el menú desplegable Nombre de usuario y contraseña, elija Configurar autoservicio de cuentas, seleccione Citrix SSPR en el menú desplegable, y haga clic en Aceptar.
  4. Especifique si se permite a los usuarios restablecer sus contraseñas y desbloquear sus cuentas con el Autoservicio de restablecimiento de contraseñas, agregue la dirección URL del servicio de restablecimiento de contraseñas, haga clic en Aceptar y de nuevo en Aceptar.
localized image

Esta opción solo está disponible cuando la URL base de StoreFront es HTTPS (no HTTP) y la opción Habilitar el restablecimiento de contraseñas solo está disponible después de usar Administrar opciones de contraseña para permitir a los usuarios cambiar sus contraseñas siempre que quieran. 

localized image

La próxima vez que el usuario inicie sesión en Citrix Receiver o Citrix Receiver para Web, la inscripción de seguridad estará disponible. Después de hacer clic en Iniciar, el usuario verá preguntas a las que tiene que responder.

localized image

Una vez configurado en StoreFront, los usuarios verán el enlace de Autoservicio de cuentas en la pantalla de inicio de sesión de Citrix Receiver para Web (se muestra como un botón en otras versiones de Citrix Receiver).

Al hacer clic en este enlace, el usuario ve una serie de formularios para seleccionar primero entre Desbloquear cuenta y Restablecer contraseña (si ambos están disponibles). 

Después de elegir un botón de radio y hacer clic en Siguiente, la pantalla siguiente solicita el dominio y el nombre de usuario (dominio\usuario) si dicha información no se especificó antes en el formulario de inicio de sesión. Tenga en cuenta que el autoservicio de cuentas no admite el uso de credenciales UPN para el inicio de sesión, tales como NombreDeUsuario@dominio.com.

localized image

Los usuarios tienen que responder a las preguntas de seguridad. Si todas las respuestas coinciden con las respuestas que el usuario suministró, la operación solicitada (desbloqueo o restablecimiento) se lleva a cabo y el usuario recibe una notificación al respecto.

Parámetros del servicio de autenticación compartido

Utilice la tarea Parámetros del servicio de autenticación compartido para especificar los almacenes que compartirán el servicio de autenticación habilitando el inicio sesión Single Sign-on entre ellos.

  1. En la pantalla de Inicio o Aplicaciones de Windows, busque el icono de Citrix StoreFront y haga clic en él.
  2. Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione un almacén. En el panel Acciones, haga clic en Administrar métodos de autenticación.
  3. En el menú desplegable Avanzado, seleccione Parámetros del servicio de autenticación compartido
  4. Marque la casilla Usar un servicio de autenticación compartido y seleccione un almacén en el menú desplegable Almacén.

Nota: No hay ninguna diferencia funcional entre un servicio de autenticación compartido y uno dedicado. Un servicio de autenticación compartido entre dos o más almacenes se trata como uno solo y los cambios que se hagan en su configuración afectarán a todos los almacenes que lo comparten.

Delegar la validación de credenciales en NetScaler Gateway

Utilice la tarea Configurar autenticación delegada para habilitar la autenticación PassThrough para los usuarios de tarjeta inteligente que acceden a los almacenes a través de NetScaler Gateway. Esta tarea solo está disponible cuando la opción PassThrough desde NetScaler Gateway está habilitada y seleccionada en el panel de resultados.

Cuando la validación de credenciales se delega en NetScaler Gateway, los usuarios se autentican en NetScaler Gateway con sus tarjetas inteligentes e inician sesión automáticamente cuando acceden a los almacenes. De forma predeterminada, este parámetro está inhabilitado cuando habilita la autenticación PassThrough desde NetScaler Gateway. Por tanto, la autenticación PassThrough solo ocurre cuando los usuarios inician sesión en NetScaler Gateway con una contraseña.