StoreFront

Configurar el servicio de autenticación

Administrar métodos de autenticación

Para habilitar o inhabilitar la configuración de los métodos de autenticación de usuarios al crear el servicio de autenticación, seleccione un método de autenticación en el panel de resultados de la consola de administración de Citrix StoreFront y en el panel Acciones, haga clic en Administrar métodos de autenticación.

  1. En la pantalla de Inicio o Aplicaciones de Windows, busque el mosaico de Citrix StoreFront y haga clic en él.
  2. Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación.
  3. Especifique los métodos de acceso que quiere habilitar para los usuarios.

Imagen traducida

  • Marque la casilla Nombre de usuario y contraseña para habilitar la autenticación explícita. Los usuarios introducen sus credenciales cuando acceden a sus almacenes.
  • Marque la casilla Autenticación SAML para permitir la integración en proveedores de identidades SAML. Los usuarios se autentican en un proveedor de identidades y su sesión se inicia automáticamente cuando acceden a sus almacenes. Desde el menú desplegable Parámetros:
    • Seleccione Proveedor de identidades para configurar la confianza en el proveedor de identidades.
    • Seleccione Proveedor de servicios para configurar la confianza con el proveedor de servicios. El proveedor de identidades necesita esta información.
  • Marque la casilla PassThrough de dominio para habilitar la autenticación PassThrough de las credenciales de dominio de Active Directory desde los dispositivos de los usuarios. Los usuarios realizan la autenticación en los equipos unidos a un dominio de Windows y su sesión se inicia automáticamente cuando acceden a los almacenes. Para poder usar esta opción, la autenticación PassThrough debe estar habilitada cuando se instalan Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows en los dispositivos de los usuarios.

    Nota:

    La autenticación PassThrough de dominios en Citrix Receiver para Web está limitada a sistemas operativos Windows que utilicen Internet Explorer, Microsoft Edge, Mozilla Firefox o Google Chrome, y los exploradores web se basan en la detección correcta de clientes para comunicarse con las aplicaciones nativas de Citrix Workspace. Se trata de un requisito previo para que la autenticación PassThrough de dominios funcione.

  • Marque Tarjeta inteligente para habilitar la autenticación con tarjeta inteligente. Los usuarios realizan la autenticación con tarjetas inteligentes y PIN cuando acceden a los almacenes.
  • Marque Básica HTTP para habilitar la autenticación básica HTTP. Los usuarios se autentican en el servidor web IIS del servidor de StoreFront.
  • Marque PassThrough desde Citrix Gateway para habilitar la autenticación PassThrough desde Citrix Gateway. Los usuarios se autentican en Citrix Gateway y su sesión se inicia automáticamente cuando acceden a sus almacenes.

Si quiere habilitar la autenticación PassThrough para los usuarios de tarjeta inteligente que acceden a los almacenes a través de Citrix Gateway, use la tarea Configurar autenticación delegada.

Configurar dominios de usuarios de confianza

Utilice la tarea Dominios de confianza para restringir el acceso a los almacenes por parte de usuarios que inician sesión con credenciales de dominio explícitas, ya sea directamente o a través de la autenticación PassThrough desde Citrix Gateway.

  1. En la pantalla de Inicio o Aplicaciones de Windows, busque el mosaico de Citrix StoreFront y haga clic en él.

  2. Seleccione el nodo “Almacenes” en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione el método de autenticación apropiado. En el panel Acciones, haga clic en Administrar métodos de autenticación.

  3. En la lista Nombre de usuario y contraseña > Parámetros, seleccione Configurar dominios de confianza.

  4. Seleccione Solo dominios de confianza y haga clic en Agregar para introducir el nombre de un dominio de confianza. Los usuarios con cuentas en ese dominio podrán iniciar sesiones en todos los almacenes que usen el servicio de autenticación. Para modificar un nombre de dominio, seleccione la entrada correspondiente en Dominios de confianza y haga clic en Modificar. Para interrumpir el acceso a los almacenes para las cuentas de usuario en ese dominio, seleccione un dominio de la lista y haga clic en Quitar.

    La manera en que se especifica el nombre del dominio determina el formato en el que los usuarios deben introducir sus credenciales. Si quiere que los usuarios introduzcan sus credenciales en un formato de nombre de usuario de dominio, agregue el nombre NetBIOS a la lista. Para que los usuarios introduzcan sus credenciales en el formato de nombre principal de usuario, agregue el FQDN a la lista. Si quiere permitir que los usuarios introduzcan sus credenciales en el formato de nombre de usuario de dominio y en el formato de nombre principal de usuario, debe agregar el nombre NetBIOS y el FQDN a la lista.

  5. Si configura varios dominios de confianza, seleccione de la lista Dominio predeterminado el dominio que aparece seleccionado de forma predeterminada cuando los usuarios inician sesión en StoreFront.

  6. Si quiere ver una lista de los dominios de confianza en la página de inicio de sesión, marque la casilla Mostrar lista de dominios en la página de inicio de sesión.

Permitir que los usuarios cambien sus contraseñas

Utilice la tarea Administrar opciones de contraseña para permitir que los usuarios de la aplicación Citrix Workspace y de sitios de Receiver para Web que inicien sesión con credenciales de dominio puedan cambiar sus contraseñas. Al crear el servicio de autenticación, la configuración predeterminada impide que los usuarios de la aplicación Citrix Workspace y de los sitios de Citrix Receiver para Web cambien sus contraseñas, incluso aunque estas hayan caducado. Si decide habilitar esta función, asegúrese de que las directivas para los dominios que contengan los servidores no impidan a los usuarios cambiar sus contraseñas. Cuando se permite a los usuarios cambiar las contraseñas, algunas funciones importantes de seguridad se dejan a merced de cualquier persona que pueda acceder a los almacenes a través del servicio de autenticación. Si su organización cuenta con una directiva de seguridad que solo permite utilizar las funciones de cambio de contraseñas de los usuarios para uso interno, asegúrese de que no se pueda acceder a los almacenes desde fuera de la red corporativa.

  1. Citrix Receiver para Web admite cambios de contraseña por caducidad y a petición. Todas las aplicaciones de escritorio de Citrix Workspace admiten el cambio de contraseña a través de Citrix Gateway solo si estas caducan. En la pantalla de Inicio o Aplicaciones de Windows, busque el mosaico de Citrix StoreFront y haga clic en él.

  2. En el panel “Acciones” del panel izquierdo de la consola de administración de Citrix StoreFront, seleccione el nodo Almacenes y haga clic en Administrar métodos de autenticación.

  3. En el menú desplegable Nombre de usuario y contraseñas > Parámetros, seleccione Administrar opciones de contraseña. Especifique las circunstancias en las que los usuarios de los sitios de Citrix Receiver para Web que inician sesión con credenciales de dominio pueden cambiar sus contraseñas.

    • Para permitir que los usuarios cambien sus contraseñas cuando lo deseen, seleccione En cualquier momento. Cuando los usuarios locales cuyas contraseñas están a punto de caducar inicien sesión, aparecerá una advertencia al respecto. Las advertencias de caducidad de contraseña solo se muestran a los usuarios que se conectan desde la red interna. De forma predeterminada, el período de notificación para un usuario se determina mediante la configuración de directiva de Windows correspondiente. Para obtener más información sobre la configuración de períodos de notificación personalizados, consulte Configurar el período de notificación de caducidad de contraseñas. Solo se admite en Citrix Receiver para Web.
    • Para permitir que los usuarios cambien sus contraseñas solo cuando estas ya hayan caducado, seleccione Solo cuando caduquen. Los usuarios que no pueden iniciar sesión porque sus contraseñas han caducado se redirigen al cuadro de diálogo Cambiar contraseña. Este comportamiento se admite en las aplicaciones Citrix Workspace y Citrix Receiver para Web.

      Nota:

      Asegúrese de que haya suficiente espacio en disco en los servidores de StoreFront para almacenar los perfiles de todos los usuarios. Para comprobar si la contraseña de un usuario está a punto de caducar, StoreFront crea un perfil local para ese usuario en el servidor. StoreFront debe poder ponerse en contacto con el controlador de dominio para cambiar las contraseñas de los usuarios.

    • Para evitar que los usuarios cambien sus contraseñas, no seleccione Permitir a los usuarios cambiar contraseñas. Si no selecciona esta opción, deberá organizar cómo ofrecer asistencia a los usuarios que no puedan acceder a los escritorios y aplicaciones porque sus contraseñas hayan caducado.
    Aplicaciones Citrix Workspace El usuario puede cambiar una contraseña caducada si esta función está habilitada en StoreFront Se notifica al usuario que la contraseña va a caducar El usuario puede cambiar la contraseña antes de que caduque si esta función está habilitada en StoreFront
    Windows    
    Mac    
    Android      
    iOS      
    Linux    
    Web

Parámetros del servicio de autenticación compartido

Utilice la tarea Shared Authentication Service Settings para especificar los almacenes que compartirán el servicio de autenticación al habilitar el inicio sesión Single Sign-On.

  1. En la pantalla de Inicio o Aplicaciones de Windows, busque el mosaico de Citrix StoreFront y haga clic en él.
  2. Seleccione el nodo Almacén en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione un almacén. En el panel Acciones, haga clic en Administrar métodos de autenticación.
  3. En el menú desplegable Avanzado, seleccione Parámetros del servicio de autenticación compartido.
  4. Marque la casilla Usar un servicio de autenticación compartido y seleccione un almacén en el menú desplegable Almacén.

Nota:

No hay ninguna diferencia funcional entre un servicio de autenticación compartido y uno dedicado. Un servicio de autenticación compartido entre dos o más almacenes se trata como uno solo y los cambios que se hagan en su configuración afectarán a todos los almacenes que lo comparten.

Delegar la validación de credenciales a Citrix Gateway

Si quiere habilitar la autenticación PassThrough para los usuarios de tarjeta inteligente que acceden a los almacenes a través de Citrix Gateway, use la tarea Configurar autenticación delegada. Esta tarea solo está disponible cuando la opción “PassThrough desde Citrix Gateway” está habilitada y seleccionada en el panel de resultados.

Cuando la validación de credenciales se delega a Citrix Gateway, los usuarios se autentican en Citrix Gateway con sus tarjetas inteligentes e inician sesión automáticamente cuando acceden a los almacenes. De forma predeterminada, este parámetro se inhabilita cuando se habilita la autenticación PassThrough desde Citrix Gateway. Por tanto, la autenticación PassThrough solo ocurre cuando los usuarios inician sesión en Citrix Gateway con una contraseña.

Configurar el servicio de autenticación