Configurar Citrix Gateways
Utilice Citrix Gateways para proporcionar autenticación y acceso remoto a StoreFront y a sus Virtual Delivery Agents (VDA). Los Citrix Gateways se ejecutan en dispositivos NetScaler ADC de hardware o software. El servicio Citrix Gateway es administrado por Citrix y se puede utilizar para el enrutamiento HDX, pero no para la autenticación o el acceso remoto a StoreFront.
Para obtener más información sobre cómo configurar su Gateway, consulte Integrar NetScaler Gateway con StoreFront.
Debe configurar su gateway en StoreFront antes de que StoreFront permita el acceso a través de ese gateway.
Ver Gateways
Para ver los gateways configurados en StoreFront, seleccione el nodo Tiendas en el panel izquierdo de la consola de administración de Citrix StoreFront y el panel, haga clic en Administrar Citrix Gateways. Esto muestra la ventana Administrar Citrix Gateways.

PowerShell
Para obtener una lista de gateways y su configuración, llame a Get-STFRoamingGateway.
Agregar dispositivo Citrix Gateway
-
En la ventana Administrar Citrix Gateways, haga clic en Agregar.
-
En la ficha Configuración general, introduzca la configuración y, a continuación, pulse Siguiente.
-
Especifique un Nombre para mostrar para la implementación de Citrix Gateway que ayudará a los usuarios a identificarla.
Los usuarios ven el nombre para mostrar que especifique en la aplicación Citrix Workspace, así que incluya información relevante en el nombre para ayudar a los usuarios a decidir si usar esa implementación. Por ejemplo, puede incluir la ubicación geográfica en los nombres para mostrar de sus implementaciones de Citrix Gateway para que los usuarios puedan identificar fácilmente la implementación más conveniente para su ubicación.
-
Establezca el Tipo de Gateway en Dispositivo Citrix Gateway.
-
Introduzca la URL de la puerta de enlace.
El nombre de dominio completo (FQDN) de su implementación de StoreFront debe ser único y diferente del FQDN del servidor virtual de Citrix Gateway. No se admite el uso del mismo FQDN para StoreFront y el servidor virtual de Citrix Gateway. La puerta de enlace agrega la URL al encabezado HTTP
X-Citrix-Via. StoreFront utiliza este encabezado para determinar qué puerta de enlace está en uso.Mediante la GUI, solo es posible agregar una única URL de puerta de enlace. Si se puede acceder a una puerta de enlace mediante varias URL, debe agregar la misma puerta de enlace dos veces con una configuración idéntica, excepto la URL. Para simplificar la configuración, puede configurar una URL secundaria utilizada para acceder a la puerta de enlace. Esta opción no está disponible mediante la GUI, por lo que debe configurarla mediante PowerShell. Debe cerrar la consola de administración antes de ejecutar cualquier comando de PowerShell. Por ejemplo, si tiene varias puertas de enlace detrás de un equilibrador de carga de servidor global, normalmente es útil agregar tanto la URL de GSLB como una URL que se pueda usar para acceder a cada puerta de enlace regional específica, por ejemplo, para fines de prueba o solución de problemas. Una vez que haya creado la puerta de enlace, puede agregar una URL adicional mediante
Set-STFRoamingGateway, utilizando el parámetro-GSLBurlpara la URL secundaria. Aunque el parámetro se llamaGSLBurl, se puede usar para cualquier situación en la que desee agregar una segunda URL. Por ejemplo:Set-STFRoamingGateway -Name "Europe Gateway" -GSLBurl "eugateway.example.com" -GatewayUrl "gslb.example.com" <!--NeedCopy-->Nota:
Contraintuitivamente en este ejemplo, el parámetro
GSLBurlcontiene la URL regional, mientras que el parámetroGatewayUrlcontiene la URL de GSLB. Para la mayoría de los propósitos, las URL se tratan de forma idéntica y, si solo se accede a la tienda a través de un explorador web, se pueden configurar de cualquier manera. Sin embargo, al acceder a StoreFront a través de la aplicación Citrix Workspace, lee elGatewayUrlde StoreFront y, posteriormente, lo utiliza para el acceso remoto, y es preferible que se configure para conectarse siempre a la URL de GSLB.Si necesita más de dos URL, deberá configurarlas como una puerta de enlace independiente.
-
Seleccione el uso o el rol:
Uso o rol Descripción Autenticación y enrutamiento HDX Utilice la puerta de enlace tanto para proporcionar acceso remoto a StoreFront como para acceder a los VDA. Solo autenticación Seleccione esta opción si la puerta de enlace se utiliza solo para el acceso remoto a StoreFront. Esta opción impide que Citrix Workspace launcher funcione. Por lo tanto, si necesita utilizar inicios híbridos, elija Autenticación y enrutamiento HDX incluso cuando la puerta de enlace solo se utilice para la autenticación. Solo enrutamiento HDX Seleccione esta opción si la puerta de enlace se utiliza solo para proporcionar acceso HDX a los VDA, por ejemplo, en un sitio que no tiene una instancia de StoreFront.

-
-
Rellene la configuración en la pestaña Secure Ticketing Authority.
La autoridad de emisión de tickets seguros emite tickets de sesión en respuesta a las solicitudes de conexión. Estos tickets de sesión constituyen la base de la autenticación y autorización para la detección de Citrix Workspace app y el acceso a los VDA.
-
Introduzca una o varias URL de servidor de Secure Ticket Authority.
- Si utiliza Citrix Virtual Apps and Desktops™, puede usar los Delivery Controllers como servidores STA.
- Si utiliza Citrix Desktop as a Service, puede usar sus Cloud Connectors como servidores STA. Estos actúan como proxy para las solicitudes a la Citrix Cloud™ Ticketing Authority, o bien, en modo LHC, generan sus propios tickets. En el futuro, esto cambiará para que siempre generen sus propios tickets, lo que mejorará la resiliencia.
- Se recomienda utilizar al menos 2 servidores STA para la redundancia.
- Cuando se utilizan Cloud Connectors como servidores STA, se recomienda incluir todos los Cloud Connectors en al menos una ubicación de recursos. En primer lugar, dentro de una ubicación de recursos, Citrix Cloud garantiza que solo se actualice un Cloud Connector a la vez, por lo que incluir todos los conectores garantiza que siempre haya al menos un conector que no se esté actualizando. En segundo lugar, si la ubicación de recursos entra en modo LHC, solo el Cloud Connector designado como “agente elegido” puede emitir tickets STA. Como no se puede saber de antemano qué conector será, incluya todos los Cloud Connectors en la ubicación de recursos.
- Asegúrese de que todos los servidores STA enumerados en StoreFront también estén enumerados como servidores STA en el servidor virtual de Citrix Gateway. Si falta algún servidor en Citrix Gateway, esto puede provocar que los lanzamientos fallen. Actualmente, cuando se utilizan Cloud Connectors como STA, esto puede no ser evidente en el uso normal, ya que cualquier conector puede utilizarse para canjear tickets de la Citrix Cloud Ticking Authority. Sin embargo, en el modo de caché de host local, el conector genera sus propios tickets y, en el futuro, este será el comportamiento predeterminado.
- El Delivery Controller o Cloud Connector se puede configurar para que StoreFront deba incluir una clave de seguridad. No es posible añadir claves de seguridad mediante la GUI; consulte el paso posterior para añadirlas mediante PowerShell.
-
Seleccione Equilibrar la carga de varios servidores STA para distribuir las solicitudes entre los servidores STA. Si se desactiva, StoreFront intentará usar los servidores en el orden en que aparecen.
-
Si StoreFront no puede llegar a un servidor STA, evita usar ese servidor durante un período de tiempo. De forma predeterminada, es 1 hora, pero puede personalizar este valor.
-
Si desea que Citrix Virtual Apps and Desktops mantenga las sesiones desconectadas abiertas mientras Citrix Workspace app intenta volver a conectarse automáticamente, seleccione Habilitar fiabilidad de la sesión.
-
Si ha configurado varias STA, opcionalmente seleccione Solicitar tickets de dos STA, si están disponibles.
Cuando se selecciona Solicitar tickets de dos STA, si están disponibles, StoreFront obtiene tickets de sesión de dos STA diferentes para que las sesiones de usuario no se interrumpan si una STA deja de estar disponible durante el transcurso de la sesión. Si, por alguna razón, StoreFront no puede ponerse en contacto con dos STA, recurre al uso de una sola STA.
Captura de pantalla de la pestaña Secure Ticket Authority de la pantalla Añadir dispositivo Gateway(/es-es/storefront/current-release/media/integrate-with-citrix-gateway-and-citrix-adc/gateway-sta.png)
Una vez que haya terminado de rellenar la configuración, pulse Siguiente
-
-
Rellene la configuración en la pestaña Configuración de autenticación.
-
Elija la versión de NetScaler®.
-
Si hay varias puertas de enlace con la misma URL (normalmente al usar un equilibrador de carga de servidor global), y ha introducido una URL de devolución de llamada, entonces debe introducir el VIP de la puerta de enlace. Esto permite a StoreFront determinar de qué puerta de enlace proviene la solicitud y, por lo tanto, a qué servidor contactar utilizando la URL de devolución de llamada. De lo contrario, puede dejar este campo en blanco.
-
Seleccione de la lista Tipo de inicio de sesión el método de autenticación que configuró en el dispositivo para los usuarios de la aplicación Citrix Workspace.
La información que proporcione sobre la configuración de su dispositivo Citrix Gateway se añade al archivo de aprovisionamiento para el almacén. Esto permite a la aplicación Citrix Workspace enviar la solicitud de conexión adecuada al contactar con el dispositivo por primera vez.
- Para la autenticación LDAP, seleccione Dominio.
- Para la autenticación OTP nativa, seleccione Token de seguridad.
- Para la autenticación LDAP más OTP, seleccione Dominio y token de seguridad.
- Para OTP mediante mensaje de texto, seleccione Autenticación SMS.
- Para la autenticación con certificado, seleccione Tarjeta inteligente.
- Para la autenticación SAML, seleccione Dominio.
- Para la autenticación OIDC, seleccione Dominio.
Si configura la autenticación con tarjeta inteligente con un método de autenticación secundario al que los usuarios pueden recurrir si experimentan algún problema con sus tarjetas inteligentes, seleccione el método de autenticación secundario de la lista de reserva de tarjeta inteligente.
- Opcionalmente, introduzca la URL accesible internamente de la puerta de enlace en el cuadro URL de devolución de llamada. Esto permite a StoreFront ponerse en contacto con el servicio de autenticación de Citrix Gateway para verificar que las solicitudes recibidas de Citrix Gateway se originan en ese dispositivo. Es necesario para el acceso inteligente y para escenarios de autenticación sin contraseña, como Smart Card o SAML; de lo contrario, puede dejarlo en blanco. Si tiene varias puertas de enlace de Citrix con la misma URL, esta URL debe ser para el servidor de puerta de enlace específico.

Una vez que haya terminado de rellenar la configuración, pulse Siguiente
-
-
Haga clic en Crear para aplicar la configuración.

-
Una vez aplicada la implementación, haga clic en Finalizar.
-
Si ha configurado claves de seguridad (recomendado), debe cerrar la consola de administración y configurarlas mediante PowerShell. Por ejemplo:
$gateway = Get-STFRoamingGateway -Name [Gateway name] $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret] $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret] Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2 <!--NeedCopy--> -
Para permitir que los usuarios accedan a sus almacenes a través de Gateway, configure el acceso remoto de usuarios.
-
De forma predeterminada, StoreFront utiliza la puerta de enlace que autenticó al usuario para el enrutamiento HDX a sus recursos. Opcionalmente, puede configurar StoreFront para que utilice la puerta de enlace al acceder a recursos específicos mediante el enrutamiento HDX óptimo.
PowerShell
Para agregar una puerta de enlace mediante PowerShell, ejecute el cmdlet New-STFRoamingGateway.
Agregar servicio Citrix Gateway
Si ha habilitado el servicio Citrix Gateway para StoreFront en Citrix Cloud, debe configurarlo como una puerta de enlace dentro de StoreFront.
-
En la ventana Administrar Citrix Gateways, haga clic en Agregar.
-
En la pestaña Configuración general, introduzca la configuración y, a continuación, pulse Siguiente.
-
Especifique un Nombre para mostrar para la implementación de Citrix Gateway que ayudará a los usuarios a identificarla.
Los usuarios ven el nombre para mostrar que especifique en la aplicación Citrix Workspace, así que incluya información relevante en el nombre para ayudar a los usuarios a decidir si usar esa implementación. Por ejemplo, puede incluir la ubicación geográfica en los nombres para mostrar de sus implementaciones de Citrix Gateway para que los usuarios puedan identificar fácilmente la implementación más conveniente para su ubicación.
-
Establezca el Tipo de puerta de enlace en Citrix Gateway Service. Esto hace que el Uso o rol se establezca en Solo enrutamiento HDX™ y deshabilita la URL de Citrix Gateway.
-
Opcionalmente, introduzca una URL de Citrix Gateway Service. Si la URL se deja en blanco, se utiliza la URL comercial predeterminada
https://global.g.nssvc.net, que elige el punto de presencia óptimo para la ubicación del usuario. Si desea utilizar una región de puerta de enlace específica, por ejemplo, para una región en particular, puede introducir su URL aquí. Para obtener una lista de las URL de servicio de puerta de enlace disponibles, consulte documentación de Citrix Gateway Service. -
Si ha introducido una URL de Citrix Gateway Service, también debe introducir la URL de Citrix Gateway Service (modo de conector STA) correspondiente. Esto especifica la URL del servicio de puerta de enlace que se utilizará cuando el conector de la nube no pueda llegar a Citrix Cloud, por lo que emite sus propios tickets STA. Si la URL se deja en blanco, se utiliza la URL predeterminada
https://global-s.g.nssvc.net.

-
-
Rellene la configuración en la ficha Cloud Connectors.
Los conectores de la nube permiten que StoreFront llegue a Citrix Cloud para buscar la configuración de Gateway y llegar a la autoridad de emisión de tickets de la nube para solicitar tickets de sesión.
-
Introduzca al menos una URL de servidor de Cloud Connector.
StoreFront llama a estos conectores de la nube para recuperar tickets STA que la aplicación Citrix Workspace puede usar para autenticar solicitudes a través de . En funcionamiento normal, los Cloud Connectors actúan como proxy para las solicitudes a la Autoridad de emisión de tickets de Citrix Cloud, o cuando están en modo LHC, generan sus propios tickets. En el futuro, esto cambiará para que siempre generen sus propios tickets para mejorar la resiliencia.
- Se recomienda incluir varios conectores de la nube en la misma ubicación de recursos, ya que solo se actualiza un Cloud Connector a la vez en cada ubicación de recursos, lo que garantiza que al menos un Cloud Connector esté siempre disponible. Para una mayor redundancia, agregue Cloud Connectors en varias ubicaciones de recursos.
- En lugar de enumerar cada Cloud Connector en una ubicación de recursos individualmente, puede agregar un equilibrador de carga que distribuya las solicitudes entre los Cloud Connectors en esa ubicación. Sin embargo, en la configuración de VServer de , debe enumerar cada conector individualmente.
- Citrix DaaS se puede configurar para que StoreFront deba incluir una clave de seguridad. No es posible agregar claves de seguridad mediante la GUI; consulte el paso posterior para agregarlas mediante PowerShell.
-
Seleccione Equilibrar la carga de varios servidores para distribuir las solicitudes entre los servidores. Si se desactiva, StoreFront intentará con los servidores en el orden en que aparecen.
-
Si StoreFront no puede llegar a un servidor, evita usar ese servidor durante un período de tiempo. Por defecto, este período es de 1 hora, pero puede personalizar este valor.
-
Opcionalmente, seleccione Habilitar fiabilidad de sesión.
-
Opcionalmente, seleccione Solicitar tickets de dos conectores de nube, si están disponibles.

Una vez que haya terminado de rellenar la configuración, seleccione Siguiente.
-
-
Seleccione Crear para aplicar la configuración.

-
Una vez aplicada la implementación, seleccione Finalizar.
-
Si ha configurado claves de seguridad (recomendado), debe cerrar la consola de administración y configurarlas mediante PowerShell. Por ejemplo:
$gateway = Get-STFRoamingGateway -Name [Gateway name] $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret] $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret] Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2 <!--NeedCopy--> -
De forma predeterminada, StoreFront utiliza el mismo gateway para acceder a los recursos que se utilizó para la autenticación, por lo que el servicio Citrix Gateway nunca se utiliza. Debe utilizar enrutamiento HDX óptimo para configurar cuándo StoreFront debe utilizar el servicio Citrix Gateway.
PowerShell
Para agregar un gateway mediante PowerShell, ejecute el cmdlet New-STFRoamingGateway, estableciendo -IsCloudGateway $true.
Modificar Citrix Gateway
-
En la ventana Administrar Citrix Gateways, haga clic en el gateway que desea cambiar y pulse Modificar.
Para obtener una descripción de los parámetros, consulte Agregar dispositivo Citrix Gateway
-
Pulse Guardar para guardar los cambios.
PowerShell
Para modificar la configuración de la puerta de enlace usando PowerShell, ejecute el cmdlet Set-STFRoamingGateway.
Eliminar Citrix Gateway
-
En la ventana Administrar Citrix Gateways, haga clic en la puerta de enlace que desea cambiar y pulse Eliminar.
-
En la ventana de confirmación pulse Sí.
PowerShell
Para eliminar la puerta de enlace usando PowerShell, ejecute el cmdlet Remove-STFRoamingGateway.