StoreFront

Autenticarse con dominios distintos

Algunas organizaciones han establecido directivas que no les permiten conceder a desarrolladores o contratistas externos el acceso a los recursos publicados en un entorno de producción. En este artículo se muestra cómo conceder acceso a los recursos publicados en un entorno de prueba. Para ello, los usuarios deberán autenticarse con un dominio a través de Citrix Gateway. Luego, puede usar otro dominio para autenticarse en StoreFront y el sitio de Receiver para Web. La autenticación a través de Citrix Gateway que se describe en este artículo se admite en caso de usuarios que inician sesión a través del sitio de Receiver para Web. Este método de autenticación no se admite en caso de usuarios nativos móviles o de escritorio procedentes de Citrix Receiver o de aplicaciones Citrix Workspace.

Configurar un entorno de prueba

En este ejemplo se usa un dominio de producción llamado “production.com” y un dominio de prueba llamado “development.com”.

Dominio production.com

Configuración del dominio production.com utilizado en este ejemplo:

  • Citrix Gateway con la directiva de autenticación LDAP configurada para production.com.
  • La autenticación a través de esa puerta de enlace se realiza con la cuenta y la contraseña production\testuser1.

Dominio development.com

Configuración del dominio development.com utilizado en este ejemplo:

  • StoreFront, Citrix Virtual Apps and Desktops y VDA se encuentran en el dominio development.com.
  • La autenticación en el sitio web de Citrix Receiver se produce con la cuenta y la contraseña development\testuser1.
  • No hay ninguna relación de confianza entre los dos dominios.

Configurar Citrix Gateway para el almacén

Para configurar Citrix Gateway para el almacén:

  1. Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar Citrix Gateway.
  2. En la pantalla “Administrar Citrix Gateway”, haga clic en Agregar.
  3. Complete los pasos de Parámetros generales, de Secure Ticket Authority y de Autenticación.

    Captura de pantalla de la ventana Agregar Citrix Gateway, sección Parámetros generales

    Captura de pantalla de la ventana Agregar Citrix Gateway, sección Secure Ticket Authority

    Captura de pantalla de la ventana Agregar Citrix Gateway, sección Parámetros de autenticación

Nota:

Puede que deba agregar reenviadores DNS condicionales para que los servidores DNS en ejecución en ambos dominios puedan resolver los FQDN en el otro dominio. El dispositivo Citrix Gateway debe poder resolver los nombres FQDN del servidor STA en el dominio development.com con su servidor DNS de production.com. StoreFront también debe poder resolver la URL de respuesta en el dominio production.com con su servidor DNS de development.com. Si no, también se puede utilizar un nombre FQDN de development.com que recurra a la IP virtual (VIP) del servidor virtual de Citrix Gateway.

Habilitar PassThrough desde Citrix Gateway

  1. Seleccione Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación.
  2. En la pantalla Administrar métodos de autenticación, seleccione PassThrough desde Citrix Gateway.
  3. Haga clic en Aceptar.

Captura de pantalla de la ventana Administrar métodos de autenticación

Configurar el almacén para el acceso remoto a través de Gateway

  1. Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione un almacén. En el panel Acciones, haga clic en Configurar parámetros de acceso remoto.
  2. Seleccione Habilitar acceso remoto.
  3. Compruebe que ha registrado el dispositivo Citrix Gateway en el almacén. Si no lo registra, la generación de tíquets STA no funcionará.

Captura de pantalla de la ventana Configurar parámetros de acceso remoto

Inhabilitar la coherencia de tokens

  1. Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione un almacén. En el panel Acciones, haga clic en Configurar parámetros del almacén.
  2. En la página Configurar parámetros del almacén, seleccione Parámetros avanzados.
  3. Desmarque la casilla Requerir coherencia de token. Para obtener más información, consulte Parámetros avanzados de almacenes.

    Captura de pantalla de parámetros avanzados, parámetro Requerir coherencia de token

  4. Haga clic en Aceptar.

Nota:

El parámetro “Requerir coherencia de token” está marcado (activado) de forma predeterminada. Si lo inhabilita, las funciones de SmartAccess utilizadas para Citrix Gateway End Point Analysis (EPA) dejan de funcionar. Para obtener más información sobre SmartAccess, consulte CTX138110.

Inhabilitar la autenticación PassThrough desde Citrix Gateway para el sitio web

Importante:

Inhabilitar la autenticación PassThrough desde Citrix Gateway impide que el sitio web use las credenciales incorrectas del dominio production.com transferido desde el dispositivo Citrix Gateway. Inhabilitar la autenticación PassThrough desde Citrix Gateway hace que el sitio web solicite al usuario que introduzca las credenciales. Estas no son las credenciales que se utilizan para iniciar sesión a través de Citrix Gateway.

  1. Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront.
  2. Seleccione el almacén que quiere modificar.
  3. En el panel Acciones, haga clic en Administrar sitios de Receiver para Web.
  4. En Métodos de autenticación, desmarque PassThrough desde Citrix Gateway.
  5. Haga clic en Aceptar.

    Captura de pantalla de la ventana Modificar sitio de Receiver para Web, sección Métodos de autenticación

Iniciar sesión en Gateway con el usuario y las credenciales de production.com

Para realizar pruebas, inicie sesión en Gateway con un usuario y unas credenciales de production.com.

Captura de pantalla de inicio de sesión

Después de iniciar sesión, se le solicita que introduzca las credenciales de development.com.

Captura de pantalla de la segunda pantalla de inicio de sesión

Agregar una lista desplegable de dominios de confianza en StoreFront (opcional)

Este parámetro es optativo, pero puede contribuir a evitar que el usuario introduzca accidentalmente el dominio incorrecto para autenticarse a través de Citrix Gateway.

Si el nombre de usuario es el mismo para ambos dominios, introducir el dominio incorrecto es más probable. También es posible que los usuarios nuevos tiendan a dejarse el dominio cuando inicien sesión a través de Citrix Gateway. Entonces, podrían olvidarse de introducir el dominio y el nombre de usuario para el segundo dominio cuando se les pida iniciar sesión en el sitio de Receiver para Web.

  1. Seleccione Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación.
  2. Seleccione la flecha desplegable ubicada junto a Nombre de usuario y contraseña.
  3. Haga clic en Agregar para agregar development.com como dominio de confianza y marque la casilla Mostrar lista de dominios en la página de inicio de sesión.
  4. Haga clic en Aceptar.

Captura de pantalla de la ventana Configurar dominios de confianza

Captura de pantalla del inicio de sesión con un menú desplegable de dominios

Nota:

En este caso de autenticación, no se recomienda que el explorador web tenga habilitado el almacenamiento en caché de las contraseñas. Si los usuarios tienen contraseñas diferentes para las dos cuentas de dominios distintos, el almacenamiento en caché de las contraseñas puede dar lugar a una mala experiencia del usuario.

Directiva de acción en la sesión de NetScaler

  • Si se habilita el inicio Single Sign-On a aplicaciones web en la directiva de sesiones de Citrix Gateway, las credenciales incorrectas que envíe Citrix Gateway al sitio web se ignoran porque se inhabilitó el método de autenticación PassThrough desde Citrix Gateway en el sitio web. El sitio web solicita credenciales, independientemente de esta opción.
  • Completar los datos de las entradas Single Sign-On en las fichas de experiencia de cliente y de aplicación publicada en Citrix Gateway no modifica el comportamiento que se describe en este artículo.

    Captura de pantalla de directivas de Citrix, ficha de experiencia del cliente

    Captura de pantalla de directivas de Citrix, ficha de aplicaciones publicadas