Documentación de productos
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
Ver PDF

Paso a través desde Citrix Gateway

March 9, 2026
Contribución de: 
C

Los usuarios se autentican en Citrix Gateway e inician sesión automáticamente cuando acceden a sus almacenes. La autenticación de paso a través de Citrix Gateway está habilitada de forma predeterminada cuando configuras por primera vez el acceso remoto a un almacén. Los usuarios pueden conectarse a los almacenes a través de Citrix Gateway usando la aplicación Citrix Workspace instalada localmente o un navegador web. Para obtener más información sobre cómo configurar StoreFront para Citrix Gateway, consulta Configurar un Citrix Gateway.

StoreFront admite el paso a través con los siguientes métodos de autenticación de Citrix Gateway.

  • Dominio Los usuarios inician sesión usando su nombre de usuario y contraseña de Active Directory.
  • RSA Los usuarios inician sesión usando códigos de acceso derivados de códigos de token generados por tokens de seguridad combinados, a veces, con números de identificación personal. Si habilitas la autenticación de paso a través solo por token de seguridad, asegúrate de que los recursos que pones a disposición no requieran formas de autenticación adicionales o alternativas, como las credenciales de dominio de Microsoft Active Directory de los usuarios.
  • Tarjeta inteligente Los usuarios inician sesión usando una tarjeta inteligente vinculada a su cuenta de Active Directory.
  • RSA + Dominio Los usuarios inician sesión usando tanto sus credenciales de dominio como los códigos de acceso de token de seguridad.
  • SAML Los usuarios son redirigidos a un IdP de terceros para iniciar sesión a través de SAML. La aserción SAML debe incluir el UPN de la cuenta de Active Directory del usuario.
  • Entra ID a través de OIDC Los usuarios son redirigidos a Microsoft Entra ID para la autenticación. El usuario puede ser un Entra ID puro o tener una identidad híbrida. Para obtener más información, consulta Autenticación de Entra ID usando OIDC.

Si en Citrix Gateway has deshabilitado la autenticación o el inicio de sesión único, el paso a través no se utiliza y debes configurar uno de los otros métodos de autenticación.

Si configuras la autenticación de doble origen en Citrix Gateway para usuarios remotos que acceden a los almacenes desde la aplicación Citrix Workspace, debes crear dos políticas de autenticación en Citrix Gateway. Configura RADIUS (Servicio de usuario de acceso telefónico de autenticación remota) como método de autenticación principal y LDAP (Protocolo ligero de acceso a directorios) como método secundario. Modifica el índice de credenciales para usar el método de autenticación secundario en el perfil de sesión, de modo que las credenciales LDAP se pasen a StoreFront. Cuando agregues el dispositivo Citrix Gateway a tu configuración de StoreFront, establece el tipo de inicio de sesión en Dominio y token de seguridad. Para obtener más información, consulta http://support.citrix.com/article/CTX125364

Para habilitar la autenticación multidominio a través de Citrix Gateway en StoreFront, establece el atributo de nombre SSO en userPrincipalName en la política de autenticación LDAP de Citrix Gateway para cada dominio. Puedes requerir que los usuarios especifiquen un dominio en la página de inicio de sesión de Citrix Gateway para que se pueda determinar la política LDAP adecuada a utilizar. Cuando configures los perfiles de sesión de Citrix Gateway para las conexiones a StoreFront, no especifiques un dominio de inicio de sesión único. Debes configurar relaciones de confianza entre cada uno de los dominios. Asegúrate de permitir que los usuarios inicien sesión en StoreFront desde cualquier dominio, sin restringir el acceso solo a dominios explícitamente confiables.

Cuando tu implementación de Citrix Gateway lo admita, puedes usar SmartAccess para controlar el acceso de los usuarios a los recursos de Citrix Virtual Apps and Desktops basándose en las políticas de sesión de Citrix Gateway.

Habilitar el paso a través de la puerta de enlace

Para habilitar o deshabilitar la autenticación de paso a través de la puerta de enlace para un almacén al conectarse a través de las aplicaciones Workspace, en la ventana Métodos de autenticación marca o desmarca Paso a través de Citrix Gateway.

Habilitar la autenticación de paso a través de Citrix Gateway para un almacén también la habilita de forma predeterminada para todos los sitios web de ese almacén. Puedes deshabilitar la autenticación de nombre de usuario y contraseña para un sitio web específico en la ficha Métodos de autenticación.

Configurar dominios de usuario de confianza

Si tu Citrix Gateway está configurado para usar la autenticación LDAP, puedes restringir el acceso a dominios específicos.

  1. En la ventana “Administrar métodos de autenticación”, en el menú desplegable Paso a través de Citrix Gateway > Configuración, selecciona Configurar dominios de confianza.

  2. Selecciona Solo dominios de confianza y haz clic en Agregar para introducir el nombre de un dominio de confianza. Los usuarios con cuentas en ese dominio pueden iniciar sesión en todos los almacenes que utilizan el servicio de autenticación. Para modificar un nombre de dominio, selecciona la entrada en la lista Dominios de confianza y haz clic en Modificar. Para descontinuar el acceso a los almacenes para las cuentas de usuario en un dominio, selecciona el dominio en la lista y haz clic en Quitar.

    La forma en que especifiques el nombre de dominio determina el formato en el que los usuarios deben introducir sus credenciales. Si quieres que los usuarios introduzcan sus credenciales en formato de nombre de usuario de dominio, agrega el nombre NetBIOS a la lista. Para requerir que los usuarios introduzcan sus credenciales en formato de nombre principal de usuario, agrega el nombre de dominio completo a la lista. Si quieres permitir que los usuarios introduzcan sus credenciales tanto en formato de nombre de usuario de dominio como en formato de nombre principal de usuario, debes agregar tanto el nombre NetBIOS como el nombre de dominio completo a la lista.

  3. Si configuras varios dominios de confianza, selecciona de la lista Dominio predeterminado el dominio que se selecciona por defecto cuando los usuarios inician sesión.

  4. Si quieres listar los dominios de confianza en la página de inicio de sesión, selecciona la casilla de verificación Mostrar lista de dominios en la página de inicio de sesión.

Captura de pantalla de la pantalla de dominios de confianza

Autenticación delegada

De forma predeterminada, StoreFront valida el nombre de usuario y la contraseña que recibe de Citrix Gateway. Si tu Citrix Gateway no utiliza credenciales de Active Directory a través de LDAP como factor, por ejemplo, al usar SAML o tarjetas inteligentes, debes configurar StoreFront para que confíe en la validación realizada por la puerta de enlace. En este caso, es importante que introduzcas una URL de devolución de llamada al configurar la puerta de enlace para que StoreFront pueda verificar que la solicitud proviene de Citrix Gateway; consulta Administrar Citrix Gateways.

  1. En la ventana Administrar métodos de autenticación, en el menú desplegable Paso a través de Citrix Gateway > Configuración, selecciona Configurar autenticación delegada.

  2. Selecciona Delegar completamente la validación de credenciales a Citrix Gateway.

Captura de pantalla de la ventana Configurar autenticación delegada.

PowerShell

Para configurar el almacén para delegar la autenticación en Citrix Gateway usando PowerShell, ejecuta el cmdlet Set-STFCitrixAGBasicOptions.

  • Para delegar la autenticación en la puerta de enlace, establece CredentialValidationMode en Auto.
  • Para que StoreFront valide las credenciales, establece CredentialValidationMode en Password.

Validación de contraseña

Puedes elegir si StoreFront valida las credenciales por sí mismo o si le pide al controlador de entrega que las valide. Para obtener más información, consulta Autenticación de nombre de usuario y contraseña - validación de contraseña.

Si se selecciona Delegar completamente la validación de credenciales a Citrix Gateway, la configuración para validar contraseñas usando el Delivery Controller no tiene efecto. En este caso, StoreFront debe poder buscar al usuario en Active Directory, por lo que el dominio del servidor de StoreFront siempre debe tener una relación de confianza con el dominio del usuario.

Permitir a los usuarios cambiar contraseñas caducadas al iniciar sesión

Si tu Citrix Gateway está configurado para usar la autenticación LDAP (nombre de usuario y contraseña), puedes configurar NetScaler para permitir el cambio de contraseñas caducadas al iniciar sesión.

  1. Inicia sesión en el sitio web de administración de NetScaler®
  2. En el menú lateral, ve a Autenticación > Panel de control.
  3. Haz clic en el servidor de autenticación.
  4. En Otras configuraciones, marca Permitir cambio de contraseña.

Permitir a los usuarios cambiar contraseñas después de iniciar sesión

Puedes configurar StoreFront para permitir que los usuarios cambien sus contraseñas después de iniciar sesión. Esta funcionalidad solo está disponible cuando la puerta de enlace utiliza la autenticación LDAP y cuando el usuario accede al almacén a través de un navegador, no a través de la aplicación Citrix Workspace instalada localmente.

La configuración predeterminada de StoreFront impide que los usuarios cambien sus contraseñas, incluso si han caducado. Si decides habilitar esta función, asegúrate de que las políticas de los dominios que contienen tus servidores no impidan que los usuarios cambien sus contraseñas. Permitir que los usuarios cambien sus contraseñas expone funciones de seguridad sensibles a cualquiera que pueda acceder a cualquiera de los almacenes que utilizan el servicio de autenticación. Si tu organización tiene una política de seguridad que reserva las funciones de cambio de contraseña de usuario solo para uso interno, asegúrate de que ninguno de los almacenes sea accesible desde fuera de tu red corporativa.

  1. En la ventana Administrar métodos de autenticación, en el menú desplegable Paso a través de Citrix Gateway > Configuración, selecciona Administrar opciones de contraseña.

  2. Para permitir que los usuarios cambien contraseñas, selecciona la casilla de verificación Permitir que los usuarios cambien contraseñas.

Captura de pantalla de Administrar opciones de contraseña

Nota:

Si seleccionas o deseleccionas Permitir que los usuarios cambien contraseñas, esto también afecta a la configuración en Administrar opciones de contraseña para la autenticación de Nombre de usuario y contraseña.

PowerShell

Para modificar las opciones de cambio de contraseña usando PowerShell, ejecuta el cmdlet Set-STFExplicitCommonOptions.

Configurar Delivery Controller™ para que confíe en StoreFront

Cuando Citrix Gateway está configurado con autenticación LDAP, pasa las credenciales a StoreFront. Para otros métodos de autenticación, StoreFront no tiene acceso a las credenciales, por lo que no puede autenticarse en Citrix Virtual Apps and Desktops. Por lo tanto, debes configurar el Delivery Controller para que confíe en las solicitudes de StoreFront; consulta Consideraciones de seguridad y mejores prácticas de Citrix Virtual Apps and Desktops.

Inicio de sesión único en VDAs

Usando credenciales de Active Directory

Cuando un usuario se autentica en la puerta de enlace usando la autenticación LDAP, la puerta de enlace pasa las credenciales a StoreFront para la autenticación en VDA, proporcionando inicio de sesión único. Esto no requiere configuración adicional.

Usando el Servicio de autenticación federada

Cuando un usuario se autentica en la puerta de enlace usando métodos de autenticación distintos de LDAP, StoreFront no tiene acceso a las credenciales del usuario, por lo que el inicio de sesión único no está disponible de forma predeterminada. Puedes configurar el Servicio de autenticación federada para proporcionar inicio de sesión único.

Usando Entra ID

Cuando configuras la puerta de enlace para usar la autenticación de Entra ID a través de OIDC, puedes habilitar el inicio de sesión único de Entra ID. Esta función requiere CU1 o superior. Para obtener más información, consulta Configurar el inicio de sesión único de Entra ID para VDA.

Paso a través desde Citrix Gateway
March 9, 2026
Contribución de: 
C
March 9, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.