Inicio de sesión único de Entra ID en VDA (vista previa)
Puede habilitar el inicio de sesión único en los VDA unidos a Entra, de modo que, después de que los usuarios se hayan autenticado en el almacén mediante Entra ID, no necesiten volver a introducir las credenciales cuando inicien una aplicación o un escritorio virtual.
IMPORTANTE:
La autenticación de Entra ID a través de OIDC se encuentra actualmente en vista previa. Esta función se proporciona sin soporte y aún no se recomienda para su uso en entornos de producción.
Requisitos previos
- Tiene recursos unidos a Entra ID alojados por Citrix DaaS™ o Citrix Virtual Apps and Desktops™ 2603 o superior.
- Los usuarios se autentican en su almacén mediante Entra ID. Esto puede hacerse utilizando Citrix Gateway con OIDC, Citrix Gateway con SAML o SAML directo a StoreFront.
- La experiencia de la interfaz de usuario está configurada en Moderno.
- Ha completado toda la configuración descrita en Inicio de sesión único de Microsoft Entra - DaaS o Inicio de sesión único de Microsoft Entra - Citrix Virtual Apps and Desktops. De lo contrario, el inicio de sesión único fallará y los usuarios pueden experimentar retrasos o errores en el inicio.
- Si el almacén utiliza Citrix Gateway para la autenticación y publica recursos de cualquier sitio de Citrix DaaS, entonces configure su NetScaler ADC para permitir llamadas no autenticadas al punto final de canje de tickets. Esto no es necesario si todos los sitios son Citrix Virtual Apps and Desktops, o si se autentica directamente en StoreFront sin una puerta de enlace.
Problemas conocidos
Si el usuario se autentica mediante SAML y ha iniciado sesión en varias cuentas de Entra ID, cuando el usuario inicia un VDA, el navegador web o la aplicación Citrix Workspace pueden pedirle que seleccione qué cuenta usar, o el inicio de sesión único puede fallar. Este problema no ocurre si el usuario se autentica mediante autenticación basada en OIDC.
Configurar mediante la consola de administración
Para configurar el SSO de Entra ID:
-
Abra la ventana Configuración del almacén para el almacén que desea configurar.
-
En el panel de Acciones, seleccione Configurar ajustes del almacén.
-
En la página Configurar ajustes del almacén, seleccione la pestaña Entra SSO.
-
Habilite o deshabilite Entra SSO.

-
Seleccione Aceptar para guardar los cambios.
Esta configuración solo afecta a las máquinas de los grupos de entrega configurados para usar el tipo de inicio de sesión Entra o híbrido. Para los grupos de entrega con el tipo de inicio de sesión Active Directory, es posible que también desee habilitar Servicio de autenticación federada.
Configuración mediante PowerShell
Para configurar el inicio de sesión único mediante PowerShell, llame al cmdlet Set-STFStoreLaunchOptions con el parámetro -EntraIdSsoEnabled.
Configure NetScaler ADC para permitir el acceso no autenticado al punto final de canje de tickets
Citrix DaaS utiliza un cliente de Azure administrado por Citrix para gestionar el SSO a través de una página web de Citrix Entra ID. Para mejorar la seguridad, StoreFront crea un ticket vinculado al cliente. La página web de Citrix Entra ID vuelve a llamar a StoreFront para validar ese ticket. Como la página web de Citrix Entra ID está alojada en un dominio diferente al de StoreFront, no tiene acceso al contexto de autenticación. Por lo tanto, si los usuarios se autentican en su almacén a través de un Citrix Gateway, debe configurar su NetScaler ADC para omitir el Citrix Gateway para las llamadas a /Citrix/<StoreWeb>/Tickets/RedeemStoreTicket.
Nota:
Citrix Virtual Apps and Desktops requiere que cree su propio cliente en Azure en lugar de utilizar el cliente administrado por Citrix. Por lo tanto, el ticket no es necesario y la siguiente configuración no es obligatoria.
El siguiente diagrama muestra cómo puede usar un conmutador de contenido para omitir la autenticación de la URL de canje de tickets.

Las llamadas a /Citrix/<StoreWeb>/Tickets/RedeemStoreTicket se dirigen a un equilibrador de carga que reenvía las solicitudes a StoreFront, omitiendo el gateway. Tenga en cuenta que el equilibrador de carga es necesario, ya que el conmutador de contenido no se puede configurar para dirigir el tráfico directamente a una URL y requiere un servidor virtual como destino. El equilibrador de carga no realiza ningún equilibrio de carga y simplemente reenvía el tráfico a StoreFront. Si ya tiene un equilibrador de carga de StoreFront adecuado en la misma máquina, puede usarlo en su lugar.
Todas las demás llamadas se dirigen al servidor virtual VPN de la puerta de enlace.
Crear equilibrador de carga para pasar del conmutador de contenido a StoreFront
Si ya tiene un servidor virtual de equilibrador de carga que se encuentra delante de su grupo de servidores de StoreFront y se ejecuta en la misma máquina que la puerta de enlace, puede omitir este paso y configurar el conmutador de contenido para enviar el tráfico directamente a ese servidor virtual. De lo contrario, debe crear un equilibrador de carga para pasar el tráfico a los servidores de StoreFront. Esto se debe a que las acciones del conmutador de contenido deben hacer referencia a un servidor virtual.
Los pasos son ligeramente diferentes según si StoreFront está configurado para HTTPS (recomendado) o HTTP.
StoreFront está configurado para HTTPS
Cree un servicio stf_srv que represente StoreFront utilizando su dirección IP y vincúlelo a un equilibrador de carga SSL sin persistencia.
add service stf_srv <StoreFront Ip Address> SSL 443
add lb vserver lb_vs SSL <lb_vs Ip Address> 443 -persistenceType NONE -cltTimeout 180
bind lb vserver lb_vs stf_srv
<!--NeedCopy-->
StoreFront está configurado para HTTP
Cree un servicio stf_srv que represente StoreFront utilizando su FQDN y vincúlelo a un equilibrador de carga HTTP sin persistencia.
add server storefront1 <storefront fqdn>
add service stf_srv storefront1 HTTP 80
add lb vserver lb_vs HTTP 0.0.0.0 0 -persistenceType NONE -cltTimeout 180
bind lb vserver lb_vs stf_srv
<!--NeedCopy-->
Crear servidor virtual de conmutación de contenido SSL
Cree un servidor virtual de conmutación de contenido SSL para gestionar las solicitudes de los clientes. Este servidor virtual de conmutación de contenido escucha el tráfico HTTPS en el puerto 443 y enruta las solicitudes al servidor virtual VPN de la puerta de enlace o las pasa a StoreFront a través del equilibrador de carga.
De forma predeterminada, la conmutación de contenido está deshabilitada, por lo que debe habilitarla si no lo ha hecho anteriormente.
enable feature CS
add cs vserver cs_vs SSL <cs_vs Ip Address> 443 -cltTimeout 180 -persistenceType NONE
bind ssl vserver cs_vs -certkeyName <Certificate Name>
<!--NeedCopy-->
Crear política de conmutación de contenido para el canje de tickets
Cree una política de conmutación de contenido para el equilibrio de carga basada en una URL que contenga una ruta de canje de tickets de StoreFront.
Esta directiva coincide con las solicitudes cuando la URL contiene /Citrix/<StoreWeb>/Tickets/RedeemStoreTicket y las enruta al equilibrador de carga sin pasar por el servidor virtual VPN.
Reemplace <StoreWeb> por el nombre del sitio web de StoreFront de la política web del servidor virtual de StoreFront. Puede utilizar el equilibrador de carga lb_vs creado en el paso anterior, o un servidor virtual de equilibrador de carga existente que se encuentre delante de sus servidores de StoreFront.
add cs action cs_lb_vs -targetLBVserver lb_vs
add cs policy cs_lb_vs_pol -rule "HTTP.REQ.URL.CONTAINS(\"/Citrix/<StoreWeb>/Tickets/RedeemStoreTicket\")" -action cs_lb_vs
bind cs vserver cs_vs -policyName cs_lb_vs_pol -priority 100
<!--NeedCopy-->
Crear una política de conmutación de contenido para todo el demás tráfico
Cree una política de conmutación de contenido general para enviar todo el demás tráfico de StoreFront a través del servidor virtual VPN para la autenticación.
add cs action cs_vpn_vs -targetVserver <VPN vServer>
add cs policy cs_vpn_pol -rule TRUE -action cs_vpn_vs
bind cs vserver cs_vs -policyName cs_vpn_pol -priority 110
<!--NeedCopy-->