Configurar el servicio de autenticación

Administrar métodos de autenticación

Para habilitar o inhabilitar la configuración de los métodos de autenticación de usuarios al crear el servicio de autenticación, seleccione un método de autenticación en el panel de resultados de la consola de administración de Citrix StoreFront y en el panel Acciones, haga clic en Administrar métodos de autenticación.

  1. En la pantalla Inicio o Aplicaciones de Windows, busque el icono de Citrix StoreFront y haga clic en él.
  2. Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación.
  3. Especifique los métodos de acceso que desea habilitar para los usuarios.

Imagen localizada

  • Marque la casilla Nombre de usuario y contraseña para habilitar la autenticación explícita. Los usuarios introducen sus credenciales cuando acceden a sus almacenes.
  • Marque la casilla Autenticación SAML para permitir la integración en proveedores de identidades SAML. Los usuarios se autentican en un proveedor de identidades y su sesión se inicia automáticamente cuando acceden a sus almacenes. Desde el menú desplegable Parámetros:
    • Seleccione Proveedor de identidades para configurar la confianza en el proveedor de identidades.
    • Seleccione Proveedor de servicios para configurar la confianza con el proveedor de servicios. El proveedor de identidades necesita esta información.
  • Marque la casilla PassThrough de dominio para habilitar la autenticación PassThrough de las credenciales de dominio de Active Directory desde los dispositivos de los usuarios. Los usuarios realizan la autenticación en los equipos unidos a un dominio de Windows y su sesión se inicia automáticamente cuando acceden a los almacenes. Para poder usar esta opción, la autenticación PassThrough debe estar habilitada cuando se instalan Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows en los dispositivos de los usuarios.
  • Marque Tarjeta inteligente para habilitar la autenticación con tarjeta inteligente. Los usuarios realizan la autenticación con tarjetas inteligentes y PIN cuando acceden a los almacenes.
  • Marque Básica HTTP para habilitar la autenticación básica HTTP. Los usuarios se autentican en el servidor web IIS del servidor de StoreFront.
  • Marque PassThrough desde Citrix Gateway para habilitar la autenticación PassThrough desde Citrix Gateway. Los usuarios se autentican en Citrix Gateway y su sesión se inicia automáticamente cuando acceden a sus almacenes.

Si quiere habilitar la autenticación PassThrough para los usuarios de tarjeta inteligente que acceden a los almacenes a través de Citrix Gateway, use la tarea Configurar autenticación delegada.

Configurar dominios de usuarios de confianza

Utilice la tarea Dominios de confianza para restringir el acceso a los almacenes por parte de usuarios que inician sesión con credenciales de dominio explícitas, ya sea directamente o a través de la autenticación PassThrough desde Citrix Gateway.

  1. En la pantalla Inicio o Aplicaciones de Windows, busque el icono de Citrix StoreFront y haga clic en él.

  2. Seleccione el nodo “Almacenes” en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione el método de autenticación apropiado. En el panel Acciones, haga clic en Administrar métodos de autenticación.

  3. En la lista Nombre de usuario y contraseña > Parámetros, seleccione Configurar dominios de confianza.

  4. Seleccione Solo dominios de confianza y haga clic en Agregar para introducir el nombre de un dominio de confianza. Los usuarios con cuentas en ese dominio podrán iniciar sesiones en todos los almacenes que usen el servicio de autenticación. Para modificar un nombre de dominio, seleccione la entrada correspondiente en Dominios de confianza y haga clic en Modificar. Para interrumpir el acceso a los almacenes para las cuentas de usuario en ese dominio, seleccione un dominio de la lista y haga clic en Quitar.

    La manera en que se especifica el nombre del dominio determina el formato en el que los usuarios deben introducir sus credenciales. Si desea que los usuarios introduzcan sus credenciales en un formato de nombre de usuario de dominio, agregue el nombre NetBIOS a la lista. Para exigir que los usuarios introduzcan sus credenciales en el formato de nombre principal de usuario, agregue el FQDN a la lista. Si desea permitir que los usuarios introduzcan sus credenciales en el formato de nombre de usuario de dominio y en el formato de nombre principal de usuario, debe agregar el nombre NetBIOS y el FQDN a la lista.

  5. Si configura varios dominios de confianza, seleccione de la lista Dominio predeterminado el dominio que aparece seleccionado de forma predeterminada cuando los usuarios inician sesión en StoreFront.

  6. Si quiere ver una lista de los dominios de confianza en la página de inicio de sesión, marque la casilla Mostrar lista de dominios en la página de inicio de sesión.

Permitir que los usuarios cambien sus contraseñas

Utilice la tarea Administrar opciones de contraseña para permitir que los usuarios de la aplicación Citrix Workspace y de sitios de Receiver para Web que inicien sesión con credenciales de dominio puedan cambiar sus contraseñas. Al crear el servicio de autenticación, la configuración predeterminada impide que los usuarios de la aplicación Citrix Workspace y de los sitios de Citrix Receiver para Web cambien sus contraseñas, incluso aunque estas hayan caducado. Si decide habilitar esta función, asegúrese de que las directivas para los dominios que contengan los servidores no impidan a los usuarios cambiar sus contraseñas. Cuando se permite a los usuarios cambiar las contraseñas, algunas funciones importantes de seguridad se dejan a merced de cualquier persona que pueda acceder a los almacenes a través del servicio de autenticación. Si su organización cuenta con una directiva de seguridad que solo permite utilizar las funciones de cambio de contraseñas de los usuarios para uso interno, asegúrese de que no se pueda acceder a los almacenes desde fuera de la red corporativa.

  1. Citrix Receiver para Web admite cambios de contraseña por caducidad, así como cambios de contraseña a demanda. Todas las aplicaciones de escritorio de Citrix Workspace admiten el cambio de contraseña a través de Citrix Gateway solo si estas caducan. En la pantalla Inicio o Aplicaciones de Windows, busque el icono de Citrix StoreFront y haga clic en él.

  2. En el panel “Acciones” del panel izquierdo de la consola de administración de Citrix StoreFront, seleccione el nodo Almacenes y haga clic en Administrar métodos de autenticación.

  3. En el menú desplegable Nombre de usuario y contraseña > Parámetros, seleccione Administrar opciones de contraseña y especifique las circunstancias en las que los usuarios de los sitios de Citrix Receiver para Web que inician sesión con credenciales de dominio pueden cambiar sus contraseñas.

    • Para permitir que los usuarios cambien sus contraseñas cuando lo deseen, seleccione En cualquier momento. Cuando los usuarios locales cuyas contraseñas están a punto de caducar inicien sesión, aparecerá una advertencia al respecto. Las advertencias de caducidad de contraseña solo se muestran a los usuarios que se conectan desde la red interna. De forma predeterminada, el período de notificación para un usuario se determina mediante la configuración de directiva de Windows correspondiente. Para obtener más información sobre la configuración de períodos de notificación personalizados, consulte Configurar el período de notificación sobre caducidad de contraseñas. Solo se admite en Citrix Receiver para Web.
    • Para permitir que los usuarios cambien sus contraseñas solo cuando las contraseñas ya hayan caducado, seleccione Solo cuando caduquen. Los usuarios que no pueden iniciar sesión porque sus contraseñas han caducado se redirigen al cuadro de diálogo Cambiar contraseña. Este comportamiento se admite en las aplicaciones Citrix Workspace y Citrix Receiver para Web.

      Nota:

      Asegúrese de que haya suficiente espacio en disco en los servidores de StoreFront para almacenar los perfiles de todos los usuarios. Para comprobar si la contraseña de un usuario está a punto de caducar, StoreFront crea un perfil local para ese usuario en el servidor. StoreFront debe poder ponerse en contacto con el controlador de dominio para cambiar las contraseñas de los usuarios.

    • Para evitar que los usuarios cambien sus contraseñas, no seleccione Permitir a los usuarios cambiar contraseñas. Si no selecciona esta opción, deberá organizar cómo dar respaldo a los usuarios que no puedan acceder a los escritorios y aplicaciones porque sus contraseñas hayan caducado.

    • Para evitar que los usuarios cambien sus contraseñas, no seleccione Permitir a los usuarios cambiar contraseñas. Si no selecciona esta opción, deberá organizar cómo dar respaldo a los usuarios que no puedan acceder a los escritorios y aplicaciones porque sus contraseñas hayan caducado.
    Aplicaciones Citrix Workspace El usuario puede cambiar una contraseña caducada si esta función está habilitada en StoreFront Se notifica al usuario que la contraseña va a caducar El usuario puede cambiar la contraseña antes de que caduque si esta función está habilitada en StoreFront
    Windows    
    Mac    
    Android      
    iOS      
    Linux    
    Web

Preguntas sobre la seguridad del Autoservicio de restablecimiento de contraseñas

El Autoservicio de restablecimiento de contraseñas o SSPR (Self-service Password Reset) permite que los usuarios finales tengan un mayor control sobre sus cuentas. Cuando el Autoservicio de restablecimiento de contraseñas está configurado, si los usuarios finales tienen problemas para iniciar sesión en sus sistemas, pueden desbloquear sus cuentas o restablecer sus contraseñas respondiendo correctamente a varias preguntas de seguridad.

Al configurar el Autoservicio de restablecimiento de contraseñas, usted especifica los usuarios que podrán restablecer contraseñas y desbloquear sus cuentas, usando la consola de administración. Aunque habilite esta funcionalidad para StoreFront, es posible que a los usuarios se les siga denegando el permiso para realizar estas tareas según cómo se hayan definido los parámetros en la consola de configuración del Autoservicio de restablecimiento de contraseñas.

El Autoservicio de restablecimiento de contraseñas solo está disponible para los usuarios que acceden a StoreFront mediante conexiones HTTPS. Si acceden a StoreFront mediante una conexión HTTP, el Autoservicio de restablecimiento de contraseñas no estará disponible para ellos. El Autoservicio de restablecimiento de contraseñas solo está disponible cuando la autenticación se realiza directamente con StoreFront usando un nombre de usuario y una contraseña.

El Autoservicio de restablecimiento de contraseñas no admite el uso de credenciales UPN para el inicio de sesión, tales como username@domain.com.

Antes de configurar el Autoservicio de restablecimiento de contraseñas para un almacén, compruebe lo siguiente:

  • El almacén está configurado para usar la autenticación con nombre de usuario y contraseña.
  • El almacén está configurado para usar solo una instancia de Autoservicio de restablecimiento de contraseñas. Si StoreFront está configurado para utilizar varias comunidades en el mismo dominio o en dominios de confianza, el Autoservicio de restablecimiento de contraseñas debe configurarse para que acepte credenciales de todos esos dominios.
  • El sitio debe configurarse para permitir que los usuarios cambien sus contraseñas en cualquier momento si se desea habilitar la funcionalidad de restablecimiento de contraseñas.
  • Debe asociar un almacén de StoreFront a un sitio de Receiver para Web.

Para poder usar el Autoservicio de restablecimiento de contraseñas, hay que instalarlo y configurarlo. Está disponible en los medios de instalación de Citrix Virtual Apps and Desktops. Para obtener información, consulte la documentación de Autoservicio de restablecimiento de contraseñas.

  1. Para que se pueda usar el Autoservicio de restablecimiento de contraseñas en StoreFront, seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación > Nombre de usuario y contraseña y elija Administrar opciones de contraseña en el menú desplegable.
  2. Elija cuándo quiere dejar que los usuarios cambien las contraseñas y haga clic en Aceptar.
  3. En el menú desplegable Nombre de usuario y contraseña, elija Configurar autoservicio de cuentas, seleccione Citrix SSPR en el menú desplegable, y haga clic en Aceptar.
  4. Especifique si se permite a los usuarios restablecer sus contraseñas y desbloquear sus cuentas con el Autoservicio de restablecimiento de contraseñas, agregue la dirección URL del servicio de restablecimiento de contraseñas, haga clic en Aceptar y de nuevo en Aceptar.

Imagen localizada

Esta opción solo está disponible cuando la URL base de StoreFront es HTTPS (no HTTP) y la opción Habilitar el restablecimiento de contraseñas solo está disponible después de usar Administrar opciones de contraseña para permitir a los usuarios cambiar sus contraseñas siempre que quieran.

Imagen localizada

La próxima vez que el usuario inicie sesión en la aplicación Citrix Workspace o Citrix Receiver para Web, la inscripción de seguridad estará disponible. Después de hacer clic en Iniciar, el usuario verá preguntas a las que tiene que responder.

Imagen localizada

Una vez configurados en StoreFront, los usuarios ven el enlace Autoservicio de cuentas en la pantalla de inicio de sesión de Citrix Receiver para Web (se muestra como un botón en otras aplicaciones Citrix Workspace).

Al hacer clic en este enlace, el usuario pasa por una serie de formularios para seleccionar entre Desbloquear cuenta y Restablecer contraseña (si ambos están disponibles).

Después de elegir un botón de radio y hacer clic en Siguiente, la pantalla siguiente solicita el dominio y el nombre de usuario (dominio\usuario) si dicha información no se especificó antes en el formulario de inicio de sesión. Tenga en cuenta que el autoservicio de cuentas no admite el uso de credenciales UPN para el inicio de sesión, tales como username@domain.com.

Imagen localizada

Los usuarios tienen que responder a las preguntas de seguridad. Si todas las respuestas coinciden con las respuestas que el usuario suministró, la operación solicitada (desbloqueo o restablecimiento) se lleva a cabo y el usuario recibe una notificación al respecto.

Parámetros del servicio de autenticación compartido

Utilice la tarea Shared Authentication Service Settings para especificar los almacenes que compartirán el servicio de autenticación al habilitar el inicio sesión Single Sign-On.

  1. En la pantalla de Inicio o Aplicaciones de Windows, busque el icono de Citrix StoreFront y haga clic en él.
  2. Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione un almacén. En el panel Acciones, haga clic en Administrar métodos de autenticación.
  3. En el menú desplegable Avanzado, seleccione Parámetros del servicio de autenticación compartido.
  4. Marque la casilla Usar un servicio de autenticación compartido y seleccione un almacén en el menú desplegable Almacén.

Nota:

No hay ninguna diferencia funcional entre un servicio de autenticación compartido y uno dedicado. Un servicio de autenticación compartido entre dos o varios almacenes se trata como uno solo y los cambios que se hagan en su configuración afectarán a todos los almacenes que lo comparten.

Delegar la validación de credenciales a Citrix Gateway

Si quiere habilitar la autenticación PassThrough para los usuarios de tarjeta inteligente que acceden a los almacenes a través de Citrix Gateway, use la tarea Configurar autenticación delegada. Esta tarea solo está disponible cuando la opción “PassThrough desde Citrix Gateway” está habilitada y seleccionada en el panel de resultados.

Cuando la validación de credenciales se delega a Citrix Gateway, los usuarios se autentican en Citrix Gateway con sus tarjetas inteligentes e inician sesión automáticamente cuando acceden a los almacenes. De forma predeterminada, este parámetro se inhabilita cuando se habilita la autenticación PassThrough desde Citrix Gateway. Por tanto, la autenticación PassThrough solo ocurre cuando los usuarios inician sesión en Citrix Gateway con una contraseña.