Autenticarse con dominios distintos

Algunas organizaciones han establecido directivas que no les permiten conceder a desarrolladores o contratistas externos el acceso a los recursos publicados en un entorno de producción. En este artículo se muestra cómo conceder acceso a los recursos publicados en un entorno de prueba. Para ello, los usuarios deberán autenticarse con un dominio a través de Citrix Gateway. Luego, puede usar otro dominio para autenticarse en StoreFront y el sitio de Receiver para Web. La autenticación a través de Citrix Gateway que se describe en este artículo se admite en caso de usuarios que inician sesión a través del sitio de Receiver para Web. Este método de autenticación no se admite en caso de usuarios nativos móviles o de escritorio procedentes de Citrix Receiver o de aplicaciones Citrix Workspace.

Configurar un entorno de prueba

En este ejemplo se usa un dominio de producción llamado “production.com” y un dominio de prueba llamado “development.com”.

Dominio production.com

Configuración del dominio production.com utilizado en este ejemplo:

  • Citrix Gateway con la directiva de autenticación LDAP configurada para production.com.
  • La autenticación a través de esa puerta de enlace se realiza con la cuenta y la contraseña production\testuser1.

Dominio development.com

Configuración del dominio development.com utilizado en este ejemplo:

  • StoreFront, Citrix Virtual Apps and Desktops y VDA se encuentran en el dominio development.com.
  • La autenticación en el sitio web de Citrix Receiver se produce con la cuenta y la contraseña development\testuser1.
  • No hay ninguna relación de confianza entre los dos dominios.

Configurar Citrix Gateway para el almacén

Para configurar Citrix Gateway para el almacén:

  1. Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar Citrix Gateway.
  2. En la pantalla “Administrar Citrix Gateway”, haga clic en Agregar.
  3. Complete los pasos de Configuración general, de Secure Ticket Authority y de Autenticación.

    Imagen localizada

    Imagen localizada

    Imagen localizada

Nota:

Puede que deba agregar reenviadores DNS condicionales para que los servidores DNS en ejecución en ambos dominios puedan resolver los FQDN en el otro dominio. El dispositivo Citrix ADC debe poder resolver los nombres FQDN del servidor STA en el dominio development.com con su servidor DNS de production.com. StoreFront también debe poder resolver la URL de respuesta en el dominio production.com con su servidor DNS de development.com. Si no, también se puede utilizar un nombre FQDN de development.com que recurra a la IP virtual (VIP) del servidor virtual de Citrix Gateway.

Habilitar PassThrough desde Citrix Gateway

  1. Seleccione Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación.
  2. En la pantalla Administrar métodos de autenticación, seleccione PassThrough desde Citrix Gateway.
  3. Haga clic en Aceptar.

Imagen localizada

Configurar el almacén para el acceso remoto a través de Gateway

  1. Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione un almacén. En el panel Acciones, haga clic en Configurar parámetros de acceso remoto.
  2. Seleccione Habilitar acceso remoto.
  3. Compruebe que ha registrado el dispositivo Citrix Gateway en el almacén. Si no lo registra, la generación de tíquets STA no funcionará.

Imagen localizada

Inhabilitar la coherencia de tokens

  1. Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione un almacén. En el panel Acciones, haga clic en Configurar parámetros del almacén.
  2. En la página Configurar parámetros del almacén, seleccione Parámetros avanzados.
  3. Desmarque la casilla Requerir coherencia de token. Para obtener más información, consulte Parámetros avanzados de los almacenes.
  4. Haga clic en Aceptar.

    Imagen localizada

Nota:

El parámetro “Requerir coherencia de token” está marcado (activado) de forma predeterminada. Si lo inhabilita, las funciones de SmartAccess utilizadas para Citrix ADC End Point Analysis (EPA) dejan de funcionar. Para obtener más información sobre SmartAccess, consulte CTX138110.

Inhabilitar la autenticación PassThrough desde Citrix Gateway para el sitio de Receiver para Web

Importante:

Inhabilitar la autenticación PassThrough desde Citrix Gateway impide que Receiver para Web use las credenciales incorrectas del dominio production.com transferido desde el dispositivo Citrix ADC. Inhabilitar la autenticación PassThrough desde Citrix Gateway hace que Receiver para Web solicite al usuario que introduzca las credenciales. Estas no son las credenciales que se utilizan para iniciar sesión a través de Citrix Gateway.

  1. Seleccione el nodo Almacenes del panel izquierdo de la consola de administración de Citrix StoreFront.
  2. Seleccione el almacén que quiere modificar.
  3. En el panel Acciones, haga clic en Administrar sitios de Receiver para Web.
  4. En Métodos de autenticación, desmarque PassThrough desde Citrix Gateway.
  5. Haga clic en Aceptar.

    Imagen localizada

Iniciar sesión en Gateway con el usuario y las credenciales de production.com

Para realizar pruebas, inicie sesión en Gateway con un usuario y unas credenciales de production.com.

Imagen localizada

Después de iniciar sesión, se le solicita que introduzca las credenciales de development.com.

Imagen localizada

Agregar una lista desplegable de dominios de confianza en StoreFront (opcional)

Este parámetro es optativo, pero puede contribuir a evitar que el usuario introduzca accidentalmente el dominio incorrecto para autenticarse a través de Citrix Gateway.

Si el nombre de usuario es el mismo para ambos dominios, introducir el dominio incorrecto es más probable. También es posible que los usuarios nuevos tiendan a dejarse el dominio cuando inicien sesión a través de Citrix Gateway. Entonces, podrían olvidarse de introducir el dominio y el nombre de usuario para el segundo dominio cuando se les pida iniciar sesión en el sitio de Receiver para Web.

  1. Seleccione Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación.
  2. Seleccione la flecha desplegable ubicada junto a Nombre de usuario y contraseña.
  3. Haga clic en Agregar para agregar development.com como dominio de confianza y marque la casilla Mostrar lista de dominios en la página de inicio de sesión.
  4. Haga clic en Aceptar.

Imagen localizada

Imagen localizada

Nota:

En este caso de autenticación, no se recomienda que el explorador web tenga habilitado el almacenamiento en caché de las contraseñas. Si los usuarios tienen contraseñas diferentes para las dos cuentas de dominios distintos, el almacenamiento en caché de las contraseñas puede dar lugar a una mala experiencia de usuario.

Directiva de acción en la sesión de VPN (CVPN) sin cliente de Citrix Gateway

  • Si se habilita el inicio Single Sign-On a las aplicaciones web en la directiva de sesiones de Citrix Gateway, las credenciales incorrectas que envíe el dispositivo Citrix ADC a Receiver para Web se ignoran porque se ha inhabilitado el método de autenticación PassThrough desde Citrix Gateway en el sitio de Receiver para Web. Receiver para Web solicita credenciales independientemente de esta opción.
  • Completar los datos de las entradas Single Sign-On en las fichas de experiencia de cliente y de aplicación publicada en el dispositivo Citrix ADC no modifica el comportamiento que se describe en este artículo.

    Imagen localizada

    Imagen localizada