Autenticarse con dominios distintos

Algunas organizaciones han establecido directivas que no permiten conceder a desarrolladores o contratistas externos el acceso a los recursos publicados en un entorno de producción. En este artículo se muestra cómo conceder acceso a los recursos publicados en un entorno de prueba. Para ello, los usuarios deberán autenticarse con un dominio a través de NetScaler Gateway. Luego, puede usar otro dominio para autenticarse en StoreFront y el sitio de Receiver para Web. La autenticación a través de NetScaler Gateway que se describe en este artículo se admite en caso de usuarios que inician sesión a través del sitio de Receiver para Web. Este método de autenticación no se admite en caso de usuarios de Citrix Receiver nativos móviles o de escritorio.

Configurar un entorno de prueba

En este ejemplo se usa un dominio de producción llamado “production.com” y un dominio de prueba llamado “development.com”.

production.com dominio

Configuración del dominio production.com utilizado en este ejemplo:

  • NetScaler Gateway con la directiva de autenticación LDAP configurada para production.com.
  • La autenticación a través de esa puerta de enlace se realiza con la cuenta y la contraseña production\testuser1.

development.com dominio

Configuración del dominio development.com utilizado en este ejemplo:

  • StoreFront, XenApp y XenDesktop 7.0 o posterior y los VDA están en el dominio development.com.
  • La autenticación en el sitio Web de Citrix Receiver se produce con la cuenta y la contraseña development\testuser1.
  • No hay ninguna relación de confianza entre los dos dominios.

Configurar un NetScaler Gateway para la tienda

Para configurar un NetScaler Gateway para la tienda

  1. Seleccione el nodo Tiendas en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar NetScaler Gateway.
  2. En la pantalla “Administrar NetScaler Gateway”, haga clic en el botón Agregar.
  3. Complete los pasos de Configuración general, de Secure Ticket Authority y de Autenticación.

    Imagen localizada

    Imagen localizada

    Imagen localizada

Nota:

Puede que deba agregar reenviadores DNS condicionales para que los servidores DNS en ejecución en ambos dominios puedan resolver los FQDN en el otro dominio. NetScaler debe poder resolver los nombres FQDN del servidor STA en el dominio development.com con su servidor DNS de production.com. StoreFront también debe poder resolver la URL de respuesta en el dominio production.com con su servidor DNS de development.com. De forma alternativa, se puede utilizar un nombre FQDN de development.com que resuelva a la IP virtual (VIP) del servidor virtual de NetScaler Gateway.

Habilitar PassThrough desde NetScaler Gateway

  1. Seleccione Tiendas en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación.
  2. En la pantalla “Administrar métodos de autenticación”, seleccione PassThrough desde NetScaler Gateway.
  3. Haga clic en Aceptar.

Imagen localizada

Configurar la tienda para el acceso remoto a través de Gateway

  1. Seleccione el nodo Tiendas en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione una tienda. En el panel Acciones, haga clic en Configurar parámetros de acceso remoto.
  2. Seleccione Habilitar acceso remoto.
  3. Compruebe que ha registrado el NetScaler Gateway en la tienda. Si no ha registrado el NetScaler Gateway, la generación de tíquets STA no funcionará.

Imagen localizada

Inhabilitar la coherencia de tokens

  1. Seleccione el nodo Tiendas en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione una tienda. En el panel Acciones, haga clic en Configurar parámetros de la tienda.
  2. En la página “Configurar parámetros de la tienda”, seleccione Parámetros avanzados.
  3. Desmarque la casilla Requerir coherencia de token. Para obtener más información, consulte Parámetros avanzados de tiendas.
  4. Haga clic en Aceptar.

    Imagen localizada

Nota

El parámetro “Requerir coherencia de token” está marcado (activado) de forma predeterminada. Si lo inhabilita, las funciones de SmartAccess utilizadas para NetScaler End Point Analysis (EPA) dejan de funcionar. Para obtener más información sobre SmartAccess, consulte CTX138110.

Inhabilitar la autenticación PassThrough desde NetScaler Gateway para el sitio de Receiver para Web

Importante:

Inhabilitar la autenticación PassThrough desde NetScaler Gateway impide que Receiver para Web use las credenciales incorrectas del dominio production.com transferido desde NetScaler. Inhabilitar la autenticación PassThrough desde NetScaler Gateway hace que Receiver para Web solicite al usuario que introduzca las credenciales. Estas no son las credenciales que se utilizan para iniciar sesión a través de NetScaler Gateway.

  1. Seleccione el nodo Tiendas en el panel izquierdo de la consola de administración de Citrix StoreFront.
  2. Seleccione la tienda que quiere modificar.
  3. En el panel Acciones, haga clic en Administrar sitios de Receiver para Web.
  4. En “Métodos de autenticación”, desmarque la casilla “PassThrough desde NetScaler Gateway”.
  5. Haga clic en Aceptar.

    Imagen localizada

Iniciar sesión en Gateway con el usuario y las credenciales de production.com

Para realizar pruebas, inicie sesión en Gateway con un usuario y unas credenciales de production.com.

Imagen localizada

Después de iniciar sesión, se le solicita que introduzca las credenciales de development.com.

Imagen localizada

Agregar una lista desplegable de dominios de confianza en StoreFront (opcional)

Este parámetro es optativo, pero puede contribuir a evitar que el usuario introduzca accidentalmente el dominio incorrecto para autenticarse a través de NetScaler Gateway.

Si el nombre de usuario es el mismo para ambos dominios, introducir el dominio incorrecto es más probable. También es posible que los usuarios nuevos tiendan a dejarse el dominio cuando inicien sesión a través de NetScaler Gateway. Entonces, podrían olvidarse de introducir el dominio y el nombre de usuario para el segundo dominio cuando se les pida iniciar sesión en el sitio de Receiver para Web.

  1. Seleccione Tiendas en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación.
  2. Seleccione la flecha desplegable ubicada junto a Nombre de usuario y contraseña.
  3. Haga clic en Agregar para agregar development.com como dominio de confianza y marque la casilla Mostrar lista de dominios en la página de inicio de sesión.
  4. Haga clic en Aceptar.

Imagen localizada

Imagen localizada

Nota:

En este caso de autenticación, no se recomienda que el explorador Web tenga habilitado el almacenamiento en caché de las contraseñas. Si los usuarios tienen contraseñas diferentes para las dos cuentas de dominios distintos, el almacenamiento en caché de las contraseñas puede dar lugar a una mala experiencia de usuario.

Directiva de acción en la sesión de VPN (CVPN) sin cliente de NetScaler

  • Si se habilita el inicio Single Sign-On a las aplicaciones Web en la directiva de sesiones NetScaler, las credenciales incorrectas que envíe NetScaler a Receiver para Web se ignoran porque se ha inhabilitado el método de autenticación PassThrough desde NetScaler Gateway en el sitio de Receiver para Web. Receiver para Web solicita credenciales independientemente de esta opción.
  • Completar los datos de las entradas Single Sign-On en las fichas de experiencia de cliente y de aplicación publicada en NetScaler no modifica el comportamiento que se describe en este artículo.

    Imagen localizada

    Imagen localizada