Paso a través desde Citrix Gateway
Cuando se utiliza un Citrix Gateway para el acceso remoto a un almacén, normalmente se configura para que los usuarios deban autenticarse primero en el gateway. Para evitar que StoreFront tenga que volver a autenticar al usuario, puede habilitar la autenticación de Paso a través desde Citrix Gateway. Esto tiene tres variantes:
- El gateway pasa el nombre de usuario y la contraseña de Active Directory a StoreFront, y StoreFront los utiliza para autenticar al usuario.
- El gateway pasa el nombre de usuario de Active Directory, pero no la contraseña, a StoreFront. StoreFront está configurado para confiar en el gateway y no autentica al usuario.
- El gateway pasa un token de acceso de Entra ID a StoreFront. StoreFront está configurado para confiar en el gateway y no autentica al usuario. StoreFront busca la información del usuario mediante la API de Microsoft Graph.
El método de autenticación de Paso a través desde Citrix Gateway se habilita automáticamente la primera vez que configura el acceso remoto a un almacén. Para obtener más información sobre cómo configurar StoreFront para el acceso a través de un Citrix Gateway, consulte Configurar un Citrix Gateway.
Métodos de autenticación de Citrix Gateway compatibles
StoreFront admite el paso a través con los siguientes métodos de autenticación de Citrix Gateway:
- Dominio Los usuarios inician sesión con su nombre de usuario y contraseña de Active Directory.
- RSA Los usuarios inician sesión mediante códigos de acceso derivados de códigos de token generados por tokens de seguridad combinados, a veces, con números de identificación personal. Si habilita la autenticación de paso a través solo mediante token de seguridad, asegúrese de que los recursos que pone a disposición no requieran formas de autenticación adicionales o alternativas, como las credenciales de dominio de Microsoft Active Directory de los usuarios.
- Tarjeta inteligente Los usuarios inician sesión con una tarjeta inteligente vinculada a su cuenta de Active Directory.
- RSA + Dominio Los usuarios inician sesión utilizando tanto sus credenciales de dominio como los códigos de acceso del token de seguridad.
-
SAML Los usuarios son redirigidos a un IdP de terceros para iniciar sesión a través de SAML. La aserción SAML debe incluir el UPN de la cuenta de Active Directory del usuario. Para obtener más información, consulte NetScaler como SP de SAML.
- Para configurar SAML con Entra ID, consulte Configurar Microsoft Entra ID como IdP de SAML y NetScaler como SP de SAML. El usuario debe tener una identidad híbrida. StoreFront no admite identidades puras de Entra ID cuando se utiliza SAML.
- OIDC con Entra ID Los usuarios son redirigidos a Microsoft Entra ID para la autenticación. El usuario puede ser una identidad pura de Entra ID o tener una identidad híbrida. Para obtener más información, consulte Autenticación de Entra ID mediante OIDC.
Para lograr el paso a través, en el perfil de sesión debe seleccionar Inicio de sesión único en la aplicación web. Si ha deshabilitado esta configuración o no está utilizando la puerta de enlace para la autenticación, la autenticación de Paso a través de Citrix Gateway no se utiliza y debe configurar uno de los otros métodos de autenticación de StoreFront.
Autenticación de doble origen
Si configura la autenticación de doble origen para Citrix Gateway para usuarios remotos que acceden a almacenes desde la aplicación Citrix Workspace, debe crear dos directivas de autenticación en Citrix Gateway. Configure RADIUS (Remote Authentication Dial-In User Service) como método de autenticación principal y LDAP (Lightweight Directory Access Protocol) como método secundario. Modifique el índice de credenciales para usar el método de autenticación secundario en el perfil de sesión, de modo que las credenciales LDAP se pasen a StoreFront. Cuando agregue el dispositivo Citrix Gateway a su configuración de StoreFront, establezca el tipo de inicio de sesión en Dominio y token de seguridad. Para obtener más información, consulte http://support.citrix.com/article/CTX125364
Autenticación de varios dominios
Para habilitar la autenticación de varios dominios a través de Citrix Gateway a StoreFront, establezca el atributo de nombre SSO en userPrincipalName en la directiva de autenticación LDAP de Citrix Gateway para cada dominio. Puede exigir a los usuarios que especifiquen un dominio en la página de inicio de sesión de Citrix Gateway para que se pueda determinar la directiva LDAP adecuada a utilizar. Al configurar los perfiles de sesión de Citrix Gateway para las conexiones a StoreFront, no especifique un dominio de inicio de sesión único. Debe configurar relaciones de confianza entre cada uno de los dominios. Asegúrese de permitir que los usuarios inicien sesión en StoreFront desde cualquier dominio, sin restringir el acceso solo a dominios explícitamente de confianza.
Habilitar el paso a través de Gateway
Para habilitar o deshabilitar la autenticación de paso a través de la puerta de enlace para un almacén al conectarse a través de las aplicaciones de Workspace, en la ventana Métodos de autenticación marque o desmarque Paso a través de Citrix Gateway.
Habilitar la autenticación de paso a través de Citrix Gateway para un almacén también la habilita de forma predeterminada para todos los sitios web de ese almacén. Puede deshabilitar la autenticación de nombre de usuario y contraseña para un sitio web específico en la ficha Métodos de autenticación.
Configurar dominios de usuario de confianza
Si su Citrix Gateway está configurado para usar la autenticación LDAP, puede restringir el acceso a dominios específicos.
-
En la ventana “Administrar métodos de autenticación”, en el menú desplegable Paso a través de Citrix Gateway > Configuración, seleccione Configurar dominios de confianza.
-
Seleccione Solo dominios de confianza y haga clic en Agregar para introducir el nombre de un dominio de confianza. Los usuarios con cuentas en ese dominio pueden iniciar sesión en todos los almacenes que utilizan el servicio de autenticación. Para modificar un nombre de dominio, seleccione la entrada en la lista Dominios de confianza y haga clic en Modificar. Para interrumpir el acceso a los almacenes para las cuentas de usuario de un dominio, seleccione el dominio en la lista y haga clic en Quitar.
La forma en que especifique el nombre de dominio determina el formato en que los usuarios deben introducir sus credenciales. Si desea que los usuarios introduzcan sus credenciales en formato de nombre de usuario de dominio, agregue el nombre NetBIOS a la lista. Para exigir que los usuarios introduzcan sus credenciales en formato de nombre principal de usuario, agregue el nombre de dominio completo a la lista. Si desea permitir que los usuarios introduzcan sus credenciales tanto en formato de nombre de usuario de dominio como en formato de nombre principal de usuario, debe agregar tanto el nombre NetBIOS como el nombre de dominio completo a la lista.
-
Si configura varios dominios de confianza, seleccione de la lista Dominio predeterminado el dominio que se selecciona de forma predeterminada cuando los usuarios inician sesión.
-
Si desea enumerar los dominios de confianza en la página de inicio de sesión, marque la casilla de verificación Mostrar lista de dominios en la página de inicio de sesión.

Autenticación delegada
De forma predeterminada, StoreFront valida el nombre de usuario y la contraseña que recibe de Citrix Gateway. Si su Citrix Gateway no utiliza credenciales de Active Directory a través de LDAP como factor, por ejemplo, al usar SAML o tarjetas inteligentes, debe configurar StoreFront para que confíe en la validación realizada por el gateway. En este caso, es importante que introduzca una URL de devolución de llamada al configurar el gateway para que StoreFront pueda verificar que la solicitud proviene de Citrix Gateway. Consulte Administrar Citrix Gateways.
-
En la ventana Administrar métodos de autenticación, en el menú desplegable Paso a través desde Citrix Gateway > Configuración, seleccione Configurar autenticación delegada.
-
Seleccione Delegar completamente la validación de credenciales a Citrix Gateway.
.
PowerShell
Para configurar el almacén para delegar la autenticación en Citrix Gateway mediante PowerShell, ejecute el cmdlet Set-STFCitrixAGBasicOptions.
- Para delegar la autenticación en el gateway, establezca
CredentialValidationModeenAuto. - Para que StoreFront valide las credenciales, establezca
CredentialValidationModeenPassword.
Validación de contraseña
Puede elegir si StoreFront valida las credenciales por sí mismo o si le pide al Delivery Controller que las valide. Para obtener más información, consulte Autenticación de nombre de usuario y contraseña: validación de contraseña.
Si se selecciona Delegar completamente la validación de credenciales a Citrix Gateway, la configuración para validar contraseñas mediante el Delivery Controller no tiene efecto. En este caso, StoreFront debe poder buscar al usuario en Active Directory, por lo que el dominio del servidor StoreFront siempre debe tener una relación de confianza con el dominio del usuario.
Permitir a los usuarios cambiar contraseñas caducadas al iniciar sesión
Si su Citrix Gateway está configurado para usar autenticación LDAP (nombre de usuario y contraseña), puede configurar NetScaler para permitir el cambio de contraseñas caducadas al iniciar sesión.
- Inicie sesión en el sitio web de administración de NetScaler®
- En el menú lateral, vaya a Authentication > Dashboard.
- Haga clic en el servidor de autenticación.
- En Other Settings, marque Allow Password Change.
Permitir a los usuarios cambiar las contraseñas después de iniciar sesión
Puede configurar StoreFront para permitir a los usuarios cambiar sus contraseñas después de iniciar sesión. Esta funcionalidad solo está disponible cuando la puerta de enlace utiliza autenticación LDAP y cuando el usuario accede al almacén a través de un explorador, no mediante la aplicación Citrix Workspace instalada localmente.
La configuración predeterminada de StoreFront impide que los usuarios cambien sus contraseñas, incluso si estas han caducado. Si decide habilitar esta función, asegúrese de que las directivas de los dominios que contienen sus servidores no impidan a los usuarios cambiar sus contraseñas. Habilitar a los usuarios para que cambien sus contraseñas expone funciones de seguridad confidenciales a cualquiera que pueda acceder a cualquiera de los almacenes que utilizan el servicio de autenticación. Si su organización tiene una política de seguridad que reserva las funciones de cambio de contraseña de usuario solo para uso interno, asegúrese de que ninguno de los almacenes sea accesible desde fuera de su red corporativa.
-
En la ventana Manage Authentication Methods, en el menú desplegable Pass-through from Citrix Gateway > Settings, seleccione Manage Password Options
-
Para permitir a los usuarios cambiar las contraseñas, marque la casilla Allow users to change passwords.

Nota:
Si selecciona o desactiva Allow users to change passwords, esto también afecta a la configuración en Manage Password Options para la autenticación Username and password.
PowerShell
Para modificar las opciones de cambio de contraseña mediante PowerShell, ejecute el cmdlet Set-STFExplicitCommonOptions.
Configurar Delivery Controller™ para que confíe en StoreFront
Cuando Citrix Gateway está configurado con autenticación LDAP, pasa las credenciales a StoreFront. Para otros métodos de autenticación, StoreFront no tiene acceso a las credenciales, por lo que no puede autenticarse en Citrix Virtual Apps and Desktops. Por lo tanto, debe configurar el Delivery Controller para que confíe en las solicitudes de StoreFront; consulte Consideraciones de seguridad y mejores prácticas de Citrix Virtual Apps and Desktops.
Entra ID mediante OIDC
Si ha configurado la puerta de enlace para la autenticación de Entra ID mediante OIDC, debe configurar StoreFront para que lea el token de acceso proporcionado por la puerta de enlace de NetScaler y busque la información del usuario en la API de Microsoft Graph.
- En la ventana Administrar métodos de autenticación, en el menú desplegable Pass-through desde Citrix Gateway > Configuración, seleccione Administrar opciones de contraseña.
- Seleccione Habilitado.
- Introduzca el ID de inquilino de Entra.
- Opcionalmente, introduzca la URL de la API de Graph. Si no se especifica, utiliza
https://graph.microsoft.com/v1.0.

PowerShell
Ejecute el siguiente PowerShell, reemplazando el ID de inquilino por el ID de su inquilino de Entra ID y /Citrix/EntraStore por la ruta del almacén.
$store = Get-STFStoreService /Citrix/EntraStore
$authenticationService = Get-STFAuthenticationService -Store $store
Set-STFEntraIdSettings -AuthenticationService $authenticationService -TenantId "<Your tenant id>" -Enabled $true
<!--NeedCopy-->
Inicio de sesión único en VDA
Uso de credenciales de Active Directory
Cuando un usuario se autentica en la puerta de enlace mediante autenticación LDAP, la puerta de enlace pasa las credenciales a StoreFront para la autenticación en VDA, lo que proporciona inicio de sesión único. Esto no requiere ninguna configuración adicional.
Uso del servicio de autenticación federada
Cuando un usuario se autentica en la puerta de enlace utilizando métodos de autenticación distintos de LDAP, StoreFront no tiene acceso a las credenciales del usuario, por lo que el inicio de sesión único no está disponible de forma predeterminada. Puede configurar Federated Authentication Service para proporcionar inicio de sesión único.
Uso de Entra ID
Si ha configurado Citrix Gateway para usar la autenticación de Entra ID, puede habilitar el inicio de sesión único de Entra ID. Esta función requiere StoreFront 2603 o una versión posterior. Para obtener más información, consulte Configurar el inicio de sesión único de Entra ID para VDA.
En este artículo
- Métodos de autenticación de Citrix Gateway compatibles
- Habilitar el paso a través de Gateway
- Configurar dominios de usuario de confianza
- Autenticación delegada
- Validación de contraseña
- Permitir a los usuarios cambiar contraseñas caducadas al iniciar sesión
- Permitir a los usuarios cambiar las contraseñas después de iniciar sesión
- Configurar Delivery Controller™ para que confíe en StoreFront
- Entra ID mediante OIDC
- Inicio de sesión único en VDA