Configuración del Servicio de Autenticación Federada
El Servicio de Autenticación Federada (FAS) proporciona inicio de sesión único a los VDA mediante autenticación por certificado. Este enfoque es útil cuando has habilitado métodos de autenticación como SAML, donde StoreFront no tiene las credenciales de Active Directory del usuario. Una vez que habilitas FAS, siempre gestiona el inicio de sesión único, incluso cuando se utilizan métodos de autenticación en los que StoreFront tiene el nombre de usuario y la contraseña de Active Directory.
Configura FAS mediante la consola de administración
Nota:
Desde StoreFront, puedes configurar FAS mediante la consola de administración. Para versiones anteriores a la 2511, la consola de administración no expone estas opciones, por lo que debes configurar FAS mediante PowerShell.
Para configurar FAS:
-
Configura la lista de servidores FAS mediante la directiva de grupo. Para obtener más detalles, consulta la documentación de FAS.
-
Selecciona el nodo Stores en el panel izquierdo de la consola de administración de Citrix StoreFront, y luego selecciona un almacén en el panel central.
-
En el panel Action, selecciona Configure Store Settings.
-
En la página Configure Store Settings, selecciona la ficha Federated Authentication Service.
-
Para habilitar el inicio de sesión único mediante FAS, selecciona Enable Federated Authentication Service for this store.
-
Si el servidor FAS no está disponible, el inicio falla por defecto. Sin embargo, puedes configurar StoreFront para que, si el servidor FAS no está disponible, los usuarios puedan iniciar sesión en el VDA introduciendo sus credenciales. Para habilitar esto, marca Fallback to username/password if no FAS servers are available.
-
Por defecto, StoreFront selecciona el servidor FAS al iniciar. Puedes cambiar FAS server selection a Select at logon. Esto no suele ser necesario, pero puedes habilitarlo si la selección de FAS es lenta para evitar retrasos al iniciar. Esta configuración afecta a todos los almacenes que comparten el mismo servicio de autenticación.
-
Haz clic en OK para guardar los cambios.
Configura FAS mediante PowerShell
Para habilitar FAS mediante PowerShell, ejecuta el cmdlet Set-STFStoreLaunchOptions para establecer el proveedor de inicio de sesión de datos de VDA en FASLogonDataProvider.
Por ejemplo, para habilitar FAS para un almacén:
$store = Get-STFStoreService -VirtualPath [VirtualPath]
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->
Para deshabilitar FAS para un almacén:
$store = Get-STFStoreService -VirtualPath [VirtualPath]
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->
Sustituye [VirtualPath] por la ruta virtual adecuada, por ejemplo, /Citrix/Store.
Por defecto, el servidor FAS se selecciona al iniciar sesión. Para configurar esto, ejecuta el cmdlet Set-STFClaimsFactoryNames con el parámetro ClaimsFactoryName. Para elegir el servidor FAS al iniciar sesión, establécelo en FASClaimsFactory. Para restaurar el comportamiento predeterminado y elegir un servidor FAS al iniciar, establécelo en standardClaimsFactory.
Por ejemplo, para elegir un servidor FAS al iniciar sesión:
$store = Get-STFStoreService -VirtualPath [VirtualPath]
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
<!--NeedCopy-->
Para habilitar la opción de recurrir a la autenticación de nombre de usuario y contraseña, ejecuta el cmdlet Set-STFStoreLaunchOptions con el parámetro FederatedAuthenticationServiceFailover. Por ejemplo:
$storeService = Get-STFStoreService -VirtualPath [VirtualPath]
Set-STFStoreLaunchOptions $storeService -FederatedAuthenticationServiceFailover $True
<!--NeedCopy-->