Guía de implementación: Arquitectura de FAS multidominio: Registros médicos electrónicos externos

Los registros médicos electrónicos (EHR) son esenciales para que los profesionales de la salud realicen tareas de cuidados intensivos a los pacientes. Casi 9 de cada 10 médicos utilizan un EHR en 2021. Debido al esfuerzo de trabajo necesario para alojar e implementar los EHR, muchas empresas de atención médica utilizan soluciones alojadas de terceros. Epic informa que 97 clientes utilizan la propia nube privada de Epic.

Además de estas implementaciones externas, muchas empresas de atención médica están optando por la autenticación basada en SAML para mejorar la seguridad, ya que proporciona más flexibilidad y directivas detalladas en torno a la autenticación. SAML supone un desafío para las implementaciones que utilizan entornos Citrix internos y alojados por terceros: ¿cómo habilitar un SSO coherente en los VDA sin autenticación LDAP? Este desafío se puede resolver implementando el Servicio de autenticación federada (FAS) de Citrix con el proveedor externo mediante confianzas bidireccionales de Active Directory (AD). La confianza puede ser una confianza forestal bidireccional o una confianza externa bidireccional entre los dominios específicos.

Nuestra documentación anterior cubre la configuración cuando los usuarios y los objetos de la computadora están en dos dominios separados. Esta guía de implementación cubre la configuración cuando la infraestructura de Citrix se divide en dos dominios, lo que es común en los EHR alojados por terceros. Está prevista una guía de implementación futura para configuraciones de dominio alternativas.

Active Directory Trusts Refresher

La mayoría de los usuarios finales necesitan acceder a varios dominios para compartir recursos, y las confianzas permiten a los usuarios acceder a esos dominios. Cuando hay confianza entre los dominios, los procesos de autenticación de cada dominio confían en la autenticación que proviene del otro dominio. Las confianzas pueden ser unidireccionales, ya que proporcionan acceso a los recursos de un dominio de confianza a los usuarios del dominio de confianza. La confianza también puede ser bidireccional: proporcionan acceso desde cada dominio a los recursos del otro.

También hay que tener en cuenta el ámbito del fideicomiso. La confianza tiene dos opciones: autenticación en todo el bosque o autenticación selectiva. La autenticación en todo el bosque permite a los usuarios del dominio de confianza autenticarse con todos los recursos del dominio de confianza. La autenticación selectiva no permite a los usuarios acceder automáticamente a los recursos del dominio de confianza. Los administradores deben conceder acceso individual a los recursos específicos que desean que utilicen los usuarios finales. Se prefieren los fideicomisos forestales cuando ambos bosques pertenecen a la misma organización. Se prefieren las confianzas de autenticación selectiva si los bosques pertenecen a diferentes organizaciones. Las organizaciones también pueden tener ambos tipos de ámbitos en direcciones distintas (de salida selectiva y de entrada completa o al revés).

Para configurar FAS con VDA alojados por terceros, se requiere una confianza bidireccional. El bosque hospedado de terceros debe confiar en el bosque del cliente para que una cuenta de cliente inicie sesión en un VDA de ese bosque hospedado.

El bosque del cliente también debe confiar en el bosque alojado, ya que los VDA alojados deben comunicarse con los servidores FAS del cliente y las autoridades de certificación. Por motivos de seguridad, dado que en este caso una organización de terceros aloja los VDA, Citrix recomienda configurar la autenticación selectiva en lugar de la autenticación de todo el bosque.

Arquitectura Conceptual

Diagrama de arquitectura

Resumen de configuración de alto nivel

Para que una organización habilite la autenticación SAML de FAS contra recursos externos, es necesario habilitar una confianza bidireccional por los motivos descritos en la sección anterior. Los usuarios del cliente deben poder autenticarse con los recursos de Citrix del dominio alojado. Esto incluye tanto los Delivery Controllers o Cloud Connectors como los objetos informáticos de VDA. Para autenticarse con FAS, los VDA alojados deben poder autenticarse con el servidor FAS y el controlador de dominio del cliente.

Además, para permitir que los VDA alojados se autentiquen ante la entidad de certificación del cliente, todos los certificados raíz/intermedios del dominio del cliente deben agregarse al VDA. Los certificados se deben agregar a los almacenes NTAuth y Trusted Root Certificate Authorities en los VDA. El VDA alojado llega al dominio del cliente y, como tal, necesita la cadena de certificados del cliente.

Por el lado de FAS, el GPO de FAS debe configurarse en ambos dominios para dirigir los VDA alojados y el StoreFront del cliente hacia el servidor FAS. Si los usuarios se autentican directamente en StoreFront, los almacenes de StoreFront correspondientes deben estar configurados para gestionar la autenticación SAML. Si se utiliza un NetScaler, no es necesario que se realice este paso. NetScaler gestiona la autenticación SAML y pasa el usuario a StoreFront.

Además, de forma predeterminada, la regla predeterminada de FAS solo incluye los VDA del dominio del cliente; la regla debe actualizarse para incluir los VDA alojados.

Consideraciones sobre Citrix Cloud

En este artículo se detallan las configuraciones necesarias cuando los entornos de cliente y de alojamiento son completamente locales. En la tabla se enumeran los cambios de configuración necesarios para implementar la solución con las distintas soluciones de Citrix Cloud.

Cliente\ Alojamiento CVAD DaaS
CVAD + StoreFront Cubierto en este artículo. No es necesario realizar ningún cambio de configuración. Todo lo que haga referencia a los Delivery Controllers alojados debe aplicarse a los Cloud Connectors alojados.
DaaS + StoreFront No es necesario realizar ningún cambio de configuración. Todo lo que haga referencia a los Delivery Controllers alojados debe aplicarse a los Cloud Connectors alojados. No es necesario realizar ningún cambio de configuración. Todo lo que haga referencia a los Delivery Controllers alojados debe aplicarse a los Cloud Connectors alojados.
Espacio de trabajo DaaS + Requiere [mapear el sitio CVAD de alojamiento local a la interfaz de usuario de Workspace].(/en-us/citrix-workspace/optimize-cvad/add-on-premises-site.html) Actualmente, no es posible asignar varios arrendatarios de DaaS a la interfaz de usuario de Workspace. Esta función se encuentra en una versión preliminar de tecnología pública. Contacte con su especialista en tecnología de cuentas si quiere activar esta función.

Requisitos previos

Esta guía de implementación asume que los usuarios finales ya están accediendo a los VDA alojados externamente. Los únicos cambios de configuración necesarios son habilitar la autenticación SAML con FAS. En este escenario, ya existe una confianza unidireccional entre el cliente y el dominio de alojamiento para permitir que los usuarios se autentiquen. Los usuarios del cliente se configuraron para autenticarse en los Delivery Controllers y VDA alojados. La configuración del sitio de CVAD de -TrustRequestsSentToTheXmlServicePort está establecida en true. Si usa DaaS, las instrucciones para configurar este ajuste se encuentran aquí.

#run these commands on the Delivery Controller
#add Citrix snap-in
asnp Citrix*
#see brokersite information
get-brokersite
#set XML trust requests to true
set-brokersite -TrustRequestsSentToTheXmlServicePort $true
<!--NeedCopy-->

Si el entorno no está configurado actualmente para los VDA alojados externamente, no es necesario configurar una confianza unidireccional. Se puede implementar una confianza bidireccional desde el principio. Los requisitos previos adicionales deben configurarse para acceder correctamente a los recursos.

Pasos de implementación

Configuración de confianza de AD

  1. Actualice la confianza unidireccional existente a una confianza bidireccional, ya sea mediante la GUI o PowerShell.

Grupos locales de dominio y autenticación selectiva

Nota:

Si utiliza la autenticación en todo el bosque (en lugar de la autenticación selectiva recomendada), puede omitir estos pasos, ya que los permisos no tienen que estar definidos de forma explícita.

  1. Citrix recomienda crear un grupo de Active Directory local de dominio para los VDA alojados en el dominio del cliente. Estos grupos facilitan la aplicación de los permisos de autenticación. En este ejemplo, el grupo local del dominio se denomina “Hosted-AllowedAuth”. Todos los VDA del dominio hospedado deben agregarse a este grupo. En este ejemplo, se utiliza un grupo de seguridad de todos los VDA.

    Imagen 01

  2. Si ya existe una confianza unidireccional, los usuarios del cliente ya deberían tener un grupo local de dominio con permiso para autenticarse en el Delivery Controller y los VDA alojados. Si esta configuración no se utilizó anteriormente, cree un grupo local de dominios con los usuarios de Citrix del cliente en el dominio hospedado.

    Imagen 02

  3. En el dominio del cliente, los VDA alojados necesitan permisos para autenticarse en los servidores FAS y los controladores de dominio.

    Nota:

    Si no ha realizado una implementación externa anteriormente, debe permitir que los usuarios del cliente se autentiquen en los Delivery Controllers y los VDA alojados. El mismo proceso que se muestra también se aplica a esos permisos.

  4. En “Usuarios y equipos de Active Directory”, vaya a la unidad organizativa que contiene los servidores de FAS. Haga clic con el botón secundario en el servidor y seleccione “Propiedades”.

    Imagen 03

  5. Haga clic en la ficha “Seguridad” para ver los permisos. Tenga en cuenta que si no ve la ficha “Seguridad”, debe habilitar las “Funciones avanzadas”, que se encuentra en el menú “Ver”.

    Imagen 04

    Imagen 05

  6. Haga clic en el botón “Avanzado” y seleccione “Agregar”.

    Imagen 06

  7. Para el principal, seleccione el grupo Hosted-AllowedAuth creado anteriormente. Este permiso debería aplicarse a los “objetos de equipo descendientes”. Otorgue los permisos “Se permite autenticarse”. Los permisos de “lectura” se agregan automáticamente. Haga clic en “Aceptar”.

    Imagen 07

  8. Repita los pasos 5 a 8 para la unidad organizativa de controladores de dominio.

Certificados VDA

  1. Distribuya los certificados raíz e intermedio del cliente a las imágenes doradas del VDA alojadas mediante GPO. Los VDA alojados necesitan que se instale toda la cadena de certificados del cliente.
  2. Compruebe que los certificados raíz/intermedios aparezcan en la carpeta Entidad emisora de certificados raíz de confianza > Certificados del VDA.

    Imagen 08

  3. Esta guía explica cómo agregar certificados al contenedor NTAuth AD. Este método envía la CA raíz del cliente a todos los ordenadores que NTAuth almacena en el dominio. Si solo quiere instalar los certificados en los VDA, vaya al paso 6. En el entorno alojado, vaya a la entidad de certificación alojada y abra una consola de MMC > Agregar o quitar un complemento > PKI empresarial.

    Imagen 09

  4. Haga clic con el botón secundario en la “PKI empresarial” y seleccione “Administrar contenedores de AD…”.

    Imagen 10

  5. Vaya a la ficha “NTAuthContainers” y haga clic en “Agregar” para agregar el certificado raíz del cliente desde una ubicación de la máquina local.

    Imagen 11

  6. En PowerShell, en la imagen dorada del VDA, utilice el comando. certutil -viewstore -enterprise NTAuth Valide que los certificados de los clientes se hayan instalado en el almacén de NTAuth.

    Imagen 12

    Nota:

    Los comandos de PowerShell se pueden usar para agregar el certificado al almacén NTAuth de forma local en la imagen del VDA.

    #add certificate:
    certutil -addstore- enterprise NTAuth “C:\filepath\certname.cer”
    #delete certificate:
    certutil -viewdelstore -enterprise NTAuth
    #view NTAuth Store:
    certutil -viewstore -enterprise NTAuth
    <!--NeedCopy-->
    

Configuración FAS

Esta configuración requiere pequeñas modificaciones con respecto a la configuración FAS normal.

  1. Al crear la regla FAS predeterminada, en los permisos para los VDA se incluye el grupo Hosted-AllowedAuth para permitir que los VDA hospedados también usen FAS.

    Imagen 13

  2. Instale las plantillas .admx y .adml de FAS en los controladores de dominio alojados y del cliente.
  3. En el dominio del cliente, implemente la configuración de directiva del Servicio de autenticación federada en Plantillas administrativas > Componentes de Citrix > OU de autenticación. Esta directiva debe apuntar al servidor de FAS y aplicarse a la carpeta que contiene los servidores de StoreFront.

    Nota:

    Si prefiere usar claves de registro para implementar esta configuración, la clave de registro está en HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\Addresses. El nombre de la clave es Address1 y el valor es el FQDN del servidor FAS. Si usa varios servidores FAS, puede agregar más claves con el nombre Address2, Address3, etc.

    Imagen 14

  4. En el dominio alojado, implemente la configuración de directiva del Servicio de autenticación federada en Plantillas administrativas > Componentes de Citrix > OU de autenticación. Esta directiva debe apuntar al servidor de FAS y aplicarse a la carpeta que contiene los VDA.

    Imagen 15

  5. Considere la posibilidad de implementar recomendaciones de refuerzo del FAS para mejorar la seguridad del FAS.
  6. Valide que el lanzamiento de la aplicación esté funcionando y que los usuarios puedan iniciar sesión única en sus recursos.

Consulte este blog para solucionar problemas de FAS.

Referencias

Documentación del producto FAS

Blog multidominio de FAS

Blog de solución de problemas de FAS

La autenticación FAS falla y aparece el error “El nombre de usuario o la contraseña son incorrectos”

Blog sobre automatización de FAS

Conceptos de autenticación de Windows

Guía de implementación: Arquitectura de FAS multidominio: Registros médicos electrónicos externos