Arquitectura de referencia: Servicio de autenticación federada

Introducción

La industria de TI ya ha comenzado a ir más allá de la autenticación de factor único heredada para aumentar la seguridad a través de mejores métodos de credenciales para permitir el acceso remoto a los recursos internos. Las organizaciones están adoptando enfoques modernos de autenticación, principalmente basados en SAML (Security Assertion Markup Language), para permitir el acceso seguro a los servicios internos.

La autenticación moderna es un marco de administración de identidades que ofrece autenticación y autorización de usuarios más seguras. La administración de identidades de usuario con autenticación moderna ofrece a los administradores muchas herramientas diferentes que ofrecen sistemas más seguros de administración de identidades. Estos métodos de autenticación incluyen servicios como ADFS, Azure Active Directory, Okta, Google, Ping-Federate y otros. Estos métodos ofrecen una gama más amplia de opciones multifactor (texto, llamada, pin) que la contraseña tradicional y el token de seguridad.

Además de erradicar la debilidad de la contraseña cuando se utiliza la autenticación de un solo factor heredado, la autenticación SAML permite a los administradores administrar un único conjunto de credenciales por usuario para todas las aplicaciones a las que necesitan acceder. Cuando un usuario abandona la organización, los administradores de TI deben revocar un solo conjunto de credenciales. Las credenciales se pueden revocar sin iniciar sesión en cada aplicación independiente.

¿Qué es SAML

SAML es un marco estándar de la industria basado en XML para intercambiar datos de autenticación y autorización entre un proveedor de identidades y un proveedor de servicios.

Federated-Authentication-Service-Image-1

Para reconocer a los proveedores SAML:

  • Un proveedor de servicios (SP) es una entidad que proporciona el servicio, normalmente en forma de aplicación
  • Un proveedor de identidades (IdP) es una entidad que proporciona las identidades de usuario, incluida la capacidad de autenticar y autorizar a un usuario.

Laautenticación es el proceso de verificación de la identidad y las credenciales del usuario (contraseña, autenticación de dos factores y multifactor).

Laautorización es el proceso que indica al proveedor de servicios qué acceso conceder al usuario autenticado.

Afirmación SAML

Una aserción SAML es un documento XML firmado criptográficamente emitido por el proveedor de identidad envía al proveedor de servicios que contiene la autorización del usuario. Hay tres tipos diferentes de aserciones SAML:

  • Autenticación: Las aserciones de autenticación prueban la identificación del usuario y proporcionan el tiempo en que el usuario inició sesión y qué método de autenticación usó (Kerberos, multifactor, y más).

  • Atributo: La aserción de atribución pasa los atributos de usuario SAML (datos específicos que proporcionan información sobre el usuario, como UPN).

  • Decisión de autorización - Una afirmación de decisión de autorización indica si el usuario está autorizado a utilizar el servicio o si el proveedor de identidad denegó su solicitud debido a una falla de contraseña o falta de derechos sobre el servicio.

SAML cambia completamente el método de autenticación mediante el cual un usuario inicie sesión para acceder a un servicio. Una vez que una aplicación o servicio configurado para autenticarse mediante SAML, se produce el intercambio de autenticación entre el proveedor de servicios y el proveedor de identidades configurado. El proceso de autenticación verifica la identidad y los permisos del usuario y, a continuación, concede o deniega el acceso de ese usuario a los servicios. Cada proveedor de identidades y proveedor de servicios deben acordar una configuración similar y exacta para que la autenticación SAML funcione correctamente.

Es esencial destacar que SAML no admite el envío de la contraseña del usuario entre el proveedor de identidad y el proveedor de servicios. SAML funciona pasando información sobre usuarios, aserciones de inicio de sesión y atributos entre el proveedor de identidad y los proveedores de servicios. Un usuario inicie sesión una vez con el proveedor de identidades. A continuación, el proveedor de identidades pasa la aserción SAML al proveedor de servicios cuando el usuario intenta acceder a esos servicios de aplicación internos.

Servicio de autenticación federada

El marco de autenticación moderno supone un desafío técnico para el entorno Citrix. Citrix Workspace que tiene varios proveedores de identidades entre los que elegir y, al mismo tiempo, los VDA de Windows no admiten SAML de forma nativa. Virtual Delivery Agents (VDA) acepta el nombre de usuario/contraseña, Kerberos y certificados como métodos de autenticación para el inicio de sesión.

Con la autenticación SAML, Citrix Gateway y StoreFront no tienen acceso a la contraseña del usuario. Solo tiene aserción SAML, por lo tanto, no puede realizar el inicio de sesión único en el VDA durante el inicio de la sesión. Con el token SAML, rompe el inicio de sesión único (SSO) en el VDA y solicita de nuevo a los usuarios sus credenciales.

Citrix introdujo el Servicio de autenticación federada (FAS) para lograr el inicio de sesión único durante el inicio de la sesión cuando se utiliza la autenticación SAML mediante la emisión de certificados de usuario de tarjeta inteligente virtual para iniciar sesión en el VDA. Citrix FAS se integra con Microsoft Active Directory y Servicios de Certificate Server para emitir certificados de clase de tarjeta inteligente automáticamente en nombre de los usuarios de Active Directory. Citrix FAS utiliza API similares que permiten a los administradores aprovisionar tarjetas inteligentes físicas para emitir certificados de usuario de clase de tarjeta inteligente virtual.

Federated-Authentication-Service-Image-2

Citrix FAS debe integrarse con Workspace/StoreFront y el VDA para intercambiar eficazmente la aserción SAML por un certificado de usuario. Ese certificado emitido se insertó como parte del proceso de inicio de sesión, logrando así el inicio de sesión único en el VDA y evitando solicitudes de autenticación adicionales presentadas al usuario. La implementación de Citrix FAS es compatible con las cargas de trabajo de Windows y Linux VDA.

Instalación de FAS y consideraciones

Citrix Cloud Connectors

Para las implementaciones de Citrix Cloud, Cloud Connector permite la comunicación entre la ubicación de recursos (donde reside el servidor FAS) y Citrix Cloud. Se recomienda tener dos o más Cloud Connectors para cada ubicación de recursos. Asegúrese de que los conectores de nube pueden comunicarse con los controladores de dominio de Active Directory y los agentes de entrega virtual en la ubicación de recursos respectiva.

Servidor de FAS

Citrix FAS es compatible con la instalación en todas las versiones más recientes de Windows Server. Sin embargo, la implementación de Citrix FAS es compatible con las cargas de trabajo de Windows y Linux VDA. Se recomienda instalar los servicios FAS en un servidor dedicado que no contenga ningún otro componente de Citrix. Se deben instalar dos o más servidores de FAS para garantizar una alta disponibilidad. Consulte el documento de instalación y configuración de Citrix FAS.

Para obtener información sobre escalabilidad y alta disponibilidad, consulte el documento Escalabilidad del servicio de autenticación federada de Citrix y el artículo CTX225721de la base de conocimientos de Citrix Al migrar de las instalaciones locales a Citrix Cloud, los servidores de FAS existentes implementados en el entorno local se pueden utilizar y configurar para comunicarse con Citrix Cloud a través del acceso a Internet. Consulte el documento Puertos de comunicación de Citrix para conocer los puertos necesarios para este acceso.

Los servidores FAS deben instalarse dentro del segmento de red interna protegida, ya que necesita tener acceso a controladores de dominio de Active Directory, Certificate Services y certificado de autoridad de registro y clave privada. Consulte la documentación de configuración avanzada para revisar el certificado, la red y otras consideraciones de seguridad.

Servicios de certificados

Si aún no está implementado, debe diseñar e implementar uno de los servicios de entidad certificadora compatibles con FAS, en modo empresarial, según las normas de seguridad de su organización. Para evitar problemas de interoperabilidad con otro software, FAS proporciona tres plantillas de certificado Citrix FAS para su propio uso. Una de las plantillas de certificado es para iniciar sesión con tarjeta inteligente en Citrix VDA. Las otras dos plantillas de certificado deben autorizar a FAS como autoridad de registro de certificados. Estas plantillas deben implementarse y registrarse con Active Directory con la ayuda de una cuenta de administrador que tenga permisos para administrar el bosque de empresa.

Active Directory

Se recomienda tener el nivel funcional de Server 2012 para Active Directory. Los controladores de dominio deben instalarse con plantillas y certificados de autenticación de controladores de dominio (CTX218941). Los certificados de los controladores de dominio deben admitir la autenticación con tarjeta inteligente.

Cada implementación de Active Directory es diferente de otra implementación, por lo que es posible que se requieran pasos adicionales para que la solución FAS funcione en su entorno. Consulte el blog de Citrix para obtener información sobre la autenticación selectiva de bosques múltiples para elegir la arquitectura adecuada para la implementación. Se recomienda probar cuidadosamente su solución en un entorno de laboratorio antes de implementarla en un entorno de producción.

Cargue las tres plantillas de certificado FAS en Active Directory y configure un servidor de CA para emitir certificados mediante las nuevas plantillas. Una de las plantillas de certificado es para iniciar sesión con tarjeta inteligente en Citrix VDA. Las otras dos plantillas de certificado deben autorizar a FAS como autoridad de registro de certificados.

Instale las plantillas ADMX de directiva de grupo de Citrix FAS en la carpeta Definiciones de directivas del controlador de dominio. Cree un objeto de directiva de grupo (GPO) y configure el GPO con las direcciones DNS de los servidores FAS. Este GPO debe aplicarse a servidores FAS, servidores StoreFront y todos los VDA con el dominio respectivo. Asegúrese de que la configuración de directiva de grupo FAS se haya aplicado correctamente a StoreFront y a los agentes VDA antes de crear el catálogo de máquinas y los grupos de entrega.

El orden de las direcciones DNS de los servidores FAS en la lista de GPO debe ser coherente para todos los VDA, servidores StoreFront (si están presentes) y servidores FAS. El VDA utiliza la lista de GPO para localizar el servidor FAS elegido para iniciar una aplicación virtual o un escritorio.

Funcionalidad de certificados en la sesión

De forma predeterminada, los VDA no permiten el acceso a los certificados después de iniciar la sesión. Si es necesario, utilice la plantilla Directiva de grupo para configurar el sistema para certificados de sesión. La opción de certificados de sesión del GPO controla si se puede utilizar un certificado después de iniciar sesión en el VDA. Seleccione esta opción solo si los usuarios necesitan tener acceso al certificado después de autenticarse.

Si elige la opción de la sesión, coloque el certificado en el almacén de certificados personal del usuario después del inicio de sesión para utilizarlo con la aplicación. Por ejemplo, autenticación TLS a servidores web dentro de la sesión de VDA, el explorador utiliza el certificado. Si no se selecciona esta opción, el certificado solo se utiliza para iniciar sesión o reconectarse, y los usuarios no tienen acceso al certificado después de autenticarse.

Citrix Delivery Controller

Los Citrix Delivery Controllers deben tener una versión 1912 como mínimo y los VDA deben tener una versión 1912 como mínimo. Es esencial habilitar la confianza entre Delivery Controller y los servidores StoreFront mediante la ejecución del cmdlet de Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true PowerShell en los Delivery Controllers.

Citrix StoreFront

Citrix recomienda instalar la versión más reciente del servidor StoreFront para implementaciones locales. El servidor StoreFront debe tener como mínimo la versión 3.12. Asegúrese de que los servidores de StoreFront que solicitan tíquets y los Virtual Delivery Agents (VDA) que procesan los tíquets tengan la misma configuración de direcciones DNS FAS.

Arquitectura conceptual de Citrix FAS

El Servicio de autenticación federada (FAS) es un componente de Citrix que se integra con Microsoft Active Directory y Certificate Authority (CA), lo que permite a los usuarios autenticarse sin problemas dentro de un entorno Citrix. Ofrece métodos de inicio de sesión alternativos más cómodos; por lo tanto, los usuarios ya no tienen que proporcionar credenciales durante el inicio de la sesión de VDA, logrando así el inicio de sesión único.

Para el entorno local, a partir de StoreFront 3.6, es posible utilizar la autenticación SAML junto con varios proveedores de identidades externos y que se integra con Citrix FAS, lo que permite a los usuarios autenticarse desde Citrix Gateway o bien directamente a través de StoreFront.

Citrix logró la versión pública de GA del Servicio de autenticación federada con Citrix Cloud en junio de 2020. Citrix FAS ahora es totalmente compatible con Citrix Workspace para lograr el inicio de sesión único en los VDA cuando se utiliza un proveedor de identidades federado como Azure AD y Okta Identity Providers.

Citrix FAS para implementación local

La arquitectura conceptual para la implementación de Citrix FAS con el entorno local es la siguiente. Revisemos el marco de diseño de cada capa de esta implementación para comprender cómo ofrece una solución completa para su organización.

Federated-Authentication-Service-Image-3

Capa de usuario: los usuarios acceden al entorno Citrix a través de Citrix Gateway mediante la aplicación Citrix Workspace o el explorador. La aplicación Citrix Workspace está disponible para Windows, Mac, Android e iOS. Los usuarios externos también pueden utilizar la versión HTML5 de la aplicación Workspace a través de exploradores web, donde no pueden instalar la aplicación Workspace en los dispositivos.

Capa de acceso: esta capa explica la implementación de Citrix Gateway y StoreFront. Citrix Gateway se implementa en la red DMZ para permitir el acceso a usuarios remotos, y los servidores StoreFront se implementan dentro de la red corporativa para los usuarios internos. El administrador de Citrix ha configurado las directivas de autenticación SAML en Citrix Gateway.

Para habilitar la integración del Servicio de autenticación federada en un almacén de StoreFront, ejecute los cmdlets de PowerShell como una cuenta de administrador en un nuevo almacén creado y este paso es necesario si los usuarios tienen acceso a través de StoreFront y no hay ninguna puerta de enlace involucrada. Consulte Citrix Docs para obtener más información sobre los cmdlets de PowerShell. La configuración del proveedor de inicio de sesión de VDA indica a StoreFront que solicite un certificado de FAS y el VDA para recuperarlo durante el inicio de la sesión para la autenticación en el VDA. Una vez configurada, esta configuración se aplica a todos los inicios de sesión en ese almacén.

Cuando utilice Citrix Gateway, configure StoreFront con los detalles de Citrix Gateway y Callback URL, ya que las pruebas de inicio de sesión se transmiten a través de la devolución de llamada. La configuración del tipo de inicio de sesión como “Tarjeta inteligente” ayuda a los clientes nativos a realizar la autenticación SAML. La configuración “Delegar completamente la validación de credenciales en Gateway” permite a los servidores StoreFront delegar la autenticación de usuario en la puerta de enlace, lo que permite la autenticación SAML de paso a través desde Citrix Gateway. El administrador de TI ha creado el objeto de directiva de grupo FAS que contiene la lista de servidores FAS de confianza y se ha aplicado a la unidad organizativa donde los servidores FAS, agentes VDA y servidores StoreFront residen en el dominio AD.

Cuando se utiliza la autenticación SAML, la autenticación real se lleva a cabo en el proveedor de identidades. SAML Identity Provider puede ser cualquier cosa como ADFS, Azure AD, Okta, Google o Ping Identity. Consideremos los Servicios de federación de Active Directory (ADFS) como proveedor de identidades para que esta arquitectura conceptual avance.

ADFS proporciona capacidades simplificadas y seguras de federación de identidades e inicio de sesión único (SSO) para los usuarios finales que desean acceder a aplicaciones dentro de las organizaciones asociadas de empresas y federaciones seguras. El ADFS está estrechamente integrado con el dominio de Active Directory y los servicios de certificados de la organización.

A partir de ahora, se indica que el proveedor de servicios SAML es Citrix Gateway o StoreFront. El proveedor de identidades SAML es el ADFS de Microsoft que existe en el dominio y configurado para tener acceso a él desde redes internas y externas para la autenticación.

Vamos a discutir sobre la enumeración de recursos y los procesos de inicio de sesión junto con el flujo de trabajo de autenticación FAS al final de todas las capas.

Capa de control: Delivery Controllers, SQL Database, Studio y Licensing son los componentes principales implementados y administrados en la capa de control. El administrador ha configurado conexiones de alojamiento para comunicarse con hipervisores para aprovisionar y administrar las máquinas virtuales. Los grupos de catálogo de máquinas y entrega se crean y habilitan el acceso a los grupos de usuarios necesarios mediante Citrix Studio. Citrix Director ayuda a los administradores a supervisar todo el entorno Citrix.

Para la implementación de Citrix FAS, en Delivery Controller, establezca TrustRequestsSentToTheXmlServicePort en “true”, que confía en las solicitudes XML enviadas por los servidores StoreFront. Permite la compatibilidad con la autenticación “PassThrough” y las conexiones enrutadas a través de Citrix Gateway. StoreFront Server se comunica con Delivery Controller mediante XML y enumera los recursos para el usuario autenticado. Al usuario se le presenta la página de StoreFront que enumera las aplicaciones y escritorios, a los que tiene derecho.

Capa de recursos: la capa de recursos es donde residen todas las cargas de trabajo de usuario (VDA) en el entorno Citrix. Con la ayuda de Citrix Studio y mediante las plantillas de imagen maestra, el administrador ha implementado servidores de aplicaciones virtuales con SO Windows Server. Mediante Citrix Provisioning (PVS), el administrador ha creado servidores VDA para los trabajadores de tareas. Mediante Machine Create Services (MCS), el administrador ha implementado escritorios virtuales con Windows 10 para trabajadores de energía y escritorios Linux virtuales con distribución de Red Hat Enterprise para usuarios de Linux en los hipervisores.

Los agentes de entrega virtuales instalados con estas máquinas virtuales se registran con Delivery Controllers; el administrador creó catálogos de máquinas y grupos de entrega con los escritorios y las aplicaciones para permitir el acceso de los usuarios que utilizan un grupo de seguridad de AD. Las directivas de Citrix HDX se crean y asignan mediante Citrix Studio para que los grupos de entrega optimicen y protejan las conexiones HDX.

Para la implementación de Citrix FAS, el administrador de red ha configurado las reglas de firewall para que los VDA se comuniquen con los servidores Citrix FAS para obtener los certificados de usuario durante el inicio de la sesión. El administrador de Citrix validó la directiva de grupo que contiene los servidores FAS de confianza están vinculados y habilitados con las OU de Active Directory donde los servidores VDA y StoreFront residen en AD.

Capa de plataforma: esta capa describe la plataforma de hardware necesaria para alojar los componentes de la capa Control y las cargas de trabajo de usuario para la implementación local. El administrador de Citrix ha instalado el software del hipervisor en el hardware del servidor e implementado las máquinas virtuales necesarias para la infraestructura de control y las cargas de trabajo de los usuarios. El administrador de red ha habilitado reglas de firewall para que todos los componentes de Citrix se comuniquen entre sí en el entorno. El administrador de almacenamiento ayudó a configurar y asignar el almacenamiento adecuado al entorno Citrix.

Capa de Operaciones: Para esta implementación conceptual, centrémonos en la implementación del servidor FAS bajo la capa de operaciones.

Para la implementación de Citrix FAS Server, el administrador de Citrix ha implementado dos máquinas virtuales de Windows nuevas en el hipervisor y ha instalado los componentes FAS. La consola de administración de FAS se instala como parte de la instalación de FAS. La primera vez que se utiliza la consola de administración, se le guiará a través de un proceso que implementa las plantillas de certificado, establece la entidad de certificación y autoriza a FAS para usar la entidad de certificación.

Al ir junto a la entidad emisora de certificados, FAS utiliza llamadas DCOM específicas de las Autoridades de certificación de Windows. No se pueden utilizar Autoridades de certificación públicas o de terceros. Se pueden especificar varios detalles de CA en la consola FAS para obtener una alta disponibilidad. Una entidad de certificación central puede admitir varios dominios mediante la inscripción entre bosques. En la misma línea, StoreFront, FAS y los agentes VDA se autentican mutuamente a través de Kerberos y, por lo tanto, deben estar en el mismo dominio o dominios que tengan una confianza bidireccional entre ellos.

Además, es necesario configurar la regla de usuario, que autoriza la emisión de certificados para el inicio de sesión de VDA y el uso en sesión, según lo indicado por StoreFront. Cada regla especifica los servidores de StoreFront que son de confianza para solicitar certificados, el conjunto de usuarios para los que pueden ser solicitados y el conjunto de máquinas VDA a las que se les permite usarlos. Consulte Citrix Docs, donde se explica el proceso con más detalle.

FAS tiene un certificado de autorización de registro que le permite emitir certificados de forma autónoma en nombre de los usuarios de dominio. Como tal, es vital desarrollar e implementar una directiva de seguridad para proteger los servidores FAS y restringir sus permisos.

Durante el lanzamiento de la sesión, la generación de certificados de usuario es la parte más costosa del proceso. El FAS debe generar un nuevo certificado para un usuario dinámicamente. Puede extender el proceso de inicio de sesión ligeramente y agregar a la carga de CPU en el servidor FAS. Sin embargo, los servidores FAS pueden almacenar en caché certificados que permiten a un usuario iniciar sesión casi tan rápido como mediante autenticación de contraseña explícita. El tiempo de inicio de sesión de los usuarios mejora significativamente cuando los certificados de usuario se generan previamente en el servidor FAS. Consulte la documentación de Citrix para ver los pasos detallados que se deben seguir.

Proceso de inicio de sesión con Citrix FAS

Analicemos el flujo de autenticación al usar FAS con Citrix Gateway y StoreFront a VDA:

Federated-Authentication-Service-Image-4

Cuando un usuario inicie sesión en Citrix Gateway (Service Provider), responde generando una solicitud de inicio de sesión SAML y redirige a la página de inicio de sesión de ADFS (Identity Provider). Los usuarios introducen las credenciales en la página Inicio de sesión único de ADFS. ADFS autentica al usuario con Active Directory y analiza la solicitud SAML como una respuesta SAML. La respuesta SAML codificada con el token firmado entregado al proveedor de servicios (Citrix Gateway).

Citrix Gateway valida la respuesta SAML mediante el certificado IdP. Extrae la aserción SAML para buscar la identidad del usuario (Nombre Principal de Usuario) y la autorización para otorgarles acceso. Luego pasa a StoreFront para validación y enumeración de recursos. Los servidores StoreFront vuelven a validar y verificar la aserción con una puerta de enlace de confianza, que utiliza la configuración de URL de devolución de llamada. La función de corroboración de inicio de sesión de FAS proporciona pruebas de inicio de sesión transmitidas a FAS por Citrix Gateway y StoreFront. FAS puede validar la evidencia para asegurarse de que el token fue emitido por un proveedor de identidades (IdP) de confianza. Para obtener información más detallada sobre las pruebas de inicio de sesión, consulte la documentación de Citrix.

Ahora, el servicio Proveedor de datos de inicio de sesión de StoreFront se pone en contacto con el Servicio de autenticación federada y solicita generar un certificado para el usuario autenticado. El FAS se conecta a Active Directory para verificar el usuario y, a continuación, habla con Servicios de certificados de Active Directory (ADCS) y envía una solicitud de certificado para el usuario.

La entidad emisora de certificados emite un certificado válido para el usuario autenticado. El FAS contiene el certificado de usuario y sus atributos. Este certificado no se comparte con StoreFront. Sin embargo, StoreFront tiene conocimiento de que el usuario es válido y FAS ha inscrito un certificado para este usuario autenticador.

Ahora, StoreFront Server se comunica con Delivery Controller mediante XML y enumera los recursos para el usuario autenticado. Al usuario se le presenta la página de StoreFront que enumera todas las aplicaciones y escritorios, a los que tiene derecho.

Cuando un usuario inicie una aplicación virtual o un escritorio en su aplicación de espacio de trabajo, la solicitud se envía a StoreFront para obtener el archivo ICA. StoreFront se pone en contacto con el controlador de entrega y solicita los detalles del VDA para esta sesión. El controlador de entrega valida la solicitud y selecciona el VDA, que puede tomar esta sesión de usuario y compartir los detalles de VDA y Secure Tíquet Authority (STA) con StoreFront para generar el archivo ICA. Además, el servidor StoreFront selecciona un servidor FAS de la lista de GPO y se pone en contacto con el servidor FAS seleccionado para obtener un tíquet que concede acceso a un certificado de usuario, que ahora se almacena en el servidor FAS. StoreFront agrega este token FAS al archivo ICA y se envía de nuevo a la aplicación de espacio de trabajo.

Federated-Authentication-Service-Image-5

La aplicación Workspace establece la sesión de inicio con Citrix Gateway al proporcionar el tíquet STA para validar y conceder la comunicación con VDA. El tíquet STA se valida con Delivery Controllers y, a continuación, se pasa al VDA para el inicio de la sesión. El tíquet FAS se presenta con VDA durante este tiempo para validar con los servidores FAS. El complemento de credenciales VDA se pone en contacto con el servidor FAS seleccionado en la lista de GPO. El servidor FAS valida el token y emite el certificado de usuario válido. Una vez validado correctamente el certificado de usuario, se logra el inicio de sesión único y la sesión de VDA se inicie y se presenta al usuario.

Implementación de Citrix FAS para Citrix Cloud

A continuación se muestra la arquitectura conceptual para la implementación de FAS con el entorno Citrix Cloud. Revisemos el marco de diseño de cada capa y el flujo de trabajo FAS de esta implementación para comprender cómo ofrece una solución completa para una organización.

Federated-Authentication-Service-Image-6

Capa de usuario: Los usuarios, también llamados suscriptores de Citrix Cloud, pueden acceder al entorno Citrix mediante la URL de Cloud Workspace. Los usuarios reciben la URL de Workspace desde Citrix Cloud para conectarse desde el explorador o la aplicación de espacio de trabajo instalada en sus endpoints.

Capa de acceso: Citrix Workspace o Gateway Service es el front-end o punto de entrada para que los usuarios accedan al entorno Citrix. El administrador puede cambiar la URL del espacio de trabajo y las opciones de autenticación mediante el portal en la nube. La instalación de Cloud Connectors permite ampliar el dominio de Active Directory del cliente a Citrix Cloud. La configuración de autenticación en Workspace permite al administrador seleccionar el origen de autenticación para que los usuarios inicien sesión y tengan acceso a los recursos de Citrix.

Consideremos Microsoft Azure Active Directory (AAD) como un origen de autenticación para que esta arquitectura conceptual avance. Citrix Cloud incluye una aplicación Azure AD que permite a los clientes conectar su suscripción de Citrix Cloud con Azure AD. Para obtener más información sobre cómo conectar Azure Active Directory con Citrix Cloud, consulte la documentación de Citrix. Una vez habilitada la autenticación de Azure AD, proporcionar acceso a usuarios y grupos debe administrarse mediante Bibliotecas en Citrix Cloud.

La página de configuración de Autenticación de Workspace habilitada con la nueva opción “Configurar autenticación con el Servicio de autenticación federada”. El FAS está inhabilitado de forma predeterminada. El administrador habilita la autenticación FAS mediante el botón “Habilitar FAS”.

Federated-Authentication-Service-Image-7

Cuando los usuarios empiezan a acceder al entorno mediante la URL de Workspace, los usuarios se redirigen a los proveedores de identidad correspondientes según la configuración. En este caso, se redirige al usuario a la página de inicio de sesión proporcionada por Azure. El usuario introduce credenciales válidas de Azure AD y, a continuación, el explorador se redirige de nuevo a Citrix Workspace y se le presenta la página de recursos en la que se muestran las aplicaciones y escritorios, que se asignan al usuario.

Los procesos de inicio de sesión, junto con el flujo de trabajo de autenticación FAS, se analizan al final de todas las capas.

Capa de control: para el entorno de Citrix Cloud, los Delivery Controllers, la base de datos SQL, Studio, Director y Licensing son los componentes principales de la capa de control que Citrix implementa en la nube durante la activación de Citrix DaaS. El administrador ha configurado las ubicaciones de recursos y las conexiones de alojamiento para comunicarse con los hipervisores locales. Los catálogos de máquinas se crean mediante Cloud Studio Portal y Citrix Director ayuda a supervisar el entorno.

Cuando el administrador habilita la autenticación de FAS en Citrix Workspace, permite que los microservicios de FAS adicionales en Citrix Cloud se comuniquen con los servidores de FAS locales. Los servidores de FAS se implementaron en la ubicación de recursos que conectan los microservicios de FAS en la nube a través de la conexión SSL de salida.

Capa de recursos: esta capa hace referencia a una ubicación de recursos en la que residen todas las cargas de trabajo del usuario en esta implementación. Como punto de partida para integrar las cargas de trabajo de los usuarios locales con Citrix Cloud, el administrador instaló Citrix Cloud Connectors, lo que permite la comunicación entre los componentes locales y los servicios de Citrix Cloud.

Los agentes VDA instalados en las ubicaciones de recursos se registran con Cloud Delivery Controllers. El administrador crea catálogos de máquinas y grupos de entrega. Las directivas de Citrix HDX se crean y asignan mediante Citrix Studio para que los grupos de entrega optimicen y protejan las conexiones HDX.

Capa de plataforma: esta capa describe la plataforma de hardware necesaria para alojar las cargas de trabajo del usuario y otros componentes necesarios para la ubicación de recursos. El administrador de Citrix ha instalado el software del hipervisor en el hardware del servidor e implementado las máquinas virtuales necesarias para las cargas de trabajo de los usuarios y otros componentes, como los servidores FAS. El administrador de red ha habilitado reglas de firewall para que todos los componentes de Citrix se comuniquen entre sí en el entorno. El administrador de almacenamiento ayudó a configurar y asignar el almacenamiento adecuado al entorno Citrix.

Capa de operaciones: las herramientas y componentes como File Servers, Citrix WEM Servers, RDS License Servers, Citrix App Layering Servers y FAS Servers, que son necesarios para administrar las cargas de trabajo de los usuarios, están cubiertos por la capa de operaciones.

El administrador ha implementado un clúster de servidores de archivos y Workspace Environment Manager Service para configurar los perfiles de usuario para los VDA. El administrador de TI ha creado recursos compartidos de archivos dedicados y recursos compartidos NFS para los perfiles de usuario y la redirección de carpetas. El administrador de Citrix también aplicó directivas de administración de recursos para optimizar la utilización de la CPU y la memoria en los agentes de VDA. El administrador de TI ha configurado el servidor de licencias de acceso de cliente de Servicios de Escritorio remoto (RDS) para emitir las licencias de RDS para cargas de trabajo de aplicaciones virtuales.

Para sincronizar los usuarios y grupos de Active Directory con Azure AD, el administrador ha instalado el número necesario de servidores de Azure AD Connect y configurado con su suscripción de Azure. Para la implementación de Citrix FAS, el administrador de Citrix ha implementado dos nuevas máquinas virtuales de Windows y ha seguido el proceso de instalación para instalar y configurar los servicios de Citrix FAS.

Mediante la consola de administración de FAS con los permisos elevados, el administrador ha configurado Servidores FAS mediante un proceso que implementa plantillas de certificados, configura la entidad emisora de certificados y autoriza a FAS a utilizar la entidad emisora de certificados. Para ver los pasos detallados, consulte la documentación de Citrix.

Federated-Authentication-Service-Image-8

Además, es necesario configurar la regla de usuario, que autoriza la emisión de certificados para el inicio de sesión de VDA. Cada regla especifica los servidores de StoreFront que son de confianza para solicitar certificados, el conjunto de usuarios para los que pueden ser solicitados y el conjunto de máquinas VDA a las que se les permite usarlos. Sin embargo, cuando se usa una regla con Citrix Cloud, se ignoran los permisos de acceso de StoreFront. Cuando estamos mediante los servidores FAS existentes, el instalador de FAS detecta la configuración existente y marca verde junto a estas opciones.

La misma regla se puede usar con Citrix Cloud y la implementación local de StoreFront. Los permisos de acceso a StoreFront se siguen aplicando cuando un StoreFront local utiliza la regla. Consulte Citrix Docs, donde se explica el proceso con más detalle.

Instale las plantillas ADMX de directiva de grupo de Citrix FAS en la carpeta Definiciones de directivas del controlador de dominio. Cree y configure el GPO con las direcciones DNS de los servidores FAS. Este GPO debe aplicarse a servidores FAS, servidores StoreFront y todos los VDA con el dominio respectivo. Asegúrese de que la configuración de directiva de grupo FAS se haya aplicado correctamente a StoreFront y a los agentes VDA antes de crear el catálogo de máquinas y los grupos de entrega.

Como último paso para configurar los servidores FAS en Citrix Cloud y conectar los servidores FAS locales con Citrix Cloud, el administrador ha elegido la opción “Conectarse a Citrix Cloud”. Una vez iniciado sesión con Citrix Cloud, los administradores seleccionan la cuenta del cliente y la ubicación del recurso. Ahora, Citrix Cloud registra el servidor FAS y lo muestra en la página Ubicaciones de recursos.

Federated-Authentication-Service-Image-9

Proceso de inicio de sesión cuando se utiliza Citrix FAS con Citrix Cloud

Cuando un usuario comienza a acceder al entorno mediante la URL de Workspace, se redirige al usuario a la página de inicio de sesión basada en Azure. El usuario introduce credenciales válidas de Azure en la página Azure Single Sign-On. Azure autentica al usuario y lo redirige a la página Citrix Workspace. Citrix Workspace enumeró los recursos y los presentó en la página de recursos al usuario.

Cuando un usuario inicie una aplicación virtual o un escritorio en su área de trabajo, se envía la solicitud para obtener el archivo ICA. Los controladores seleccionan el VDA disponible desde la ubicación del recurso. Citrix Cloud selecciona un servidor FAS en la misma ubicación de recursos que el VDA para obtener un tíquet que concede acceso al VDA mediante un certificado de usuario proporcionado por la entidad de certificación, que ahora se almacena en el servidor FAS. Citrix Workspace agrega este token FAS al archivo ICA y se envía de nuevo al sistema de usuario.

Federated-Authentication-Service-Image-10

La aplicación Workspace establece la conexión mediante el archivo ICA con el VDA, y para autenticar al suscriptor, el VDA se conecta a FAS y presenta el tíquet. El complemento de credenciales VDA se pone en contacto con el servidor FAS y valida el token. Ahora, el servidor FAS proporciona un certificado de usuario válido para el VDA. Una vez validado correctamente el certificado de usuario, se logra el inicio de sesión único y se inicie la sesión de VDA para el usuario.

Caso de uso #1

Citrix Service Provider (CSP) que diseña un entorno híbrido de Citrix Virtual Apps and Desktops que permitiría acceder a varios clientes. Teniendo en cuenta el crecimiento futuro, CSP también debe considerar la incorporación de más clientes nuevos. La especificación de diseño sugiere proporcionar un proveedor de identidad diferente para cada cliente y evita la creación de confianzas de dominio.

Citrix Service Provider incluye a los clientes a su entorno Citrix Virtual Apps and Desktops con frecuencia, y la solución requería que Citrix Gateway proporcionara de forma selectiva un proveedor de identidades SAML diferente basado en el sufijo UPN. Por ejemplo, el cliente A está configurado para usar Azure AD y el cliente B está configurado para usar Servicios de federación de Active Directory (ADFS), etc. Al configurar diferentes proveedores de identidades para cada cliente, el entorno necesario para proporcionar inicio de sesión único a los VDA de Citrix mediante Citrix FAS.

Federated-Authentication-Service-Image-11

Consulte el blog de Citrix, que contiene pasos detallados para configurar el entorno. Vamos a discutir el flujo de trabajo y el proceso de inicio de sesión para cada cliente. La configuración significativa se produce en Citrix Gateway con la utilización de las directivas de sesión de Citrix ADC AAA, nFactor y Citrix Gateway para dar cabida a varias solicitudes de usuarios de clientes.

  1. Cuando un usuario inicie sesión en Citrix Gateway (Service Provider), el usuario se identifica en función del sufijo UPN y redirige a la página de inicio de sesión del proveedor de identidades correspondiente. Los usuarios introducen las credenciales y ahora el proveedor de identidad autentica al usuario y responde con el token SAML como respuesta. La respuesta SAML codificada con el token firmado entregado de vuelta al proveedor de servicios Citrix Gateway, donde se instalaron los certificados de CA raíz de los proveedores de identidad para validar los tokens.

  2. Citrix Gateway valida la respuesta SAML mediante el certificado IdP. Extrae la aserción SAML para buscar la identidad del usuario (Nombre Principal de Usuario) y la autorización para otorgarles acceso. Luego pasa a StoreFront para validación y enumeración de recursos.

  3. Ahora, el servicio Proveedor de datos de inicio de sesión de StoreFront se pone en contacto con el Servicio de autenticación federada y solicita generar un certificado para el usuario autenticado. El FAS se conecta a Active Directory para verificar el usuario y sus cuentas de sombra. A continuación, habla con Servicios de certificados de Active Directory (AD CS) y envía una solicitud de certificado para el usuario. La entidad emisora de certificados emite un certificado válido para el usuario autenticado.

  4. Cuando un usuario inicie una aplicación virtual o un escritorio en su aplicación de espacio de trabajo, la solicitud se envía a StoreFront para obtener el archivo ICA. StoreFront valida la solicitud y se pone en contacto con el controlador de entrega solicitando detalles de VDA para esta sesión. El controlador de entrega valida la solicitud y comparte los detalles de VDA y Secure Tíquet Authority (STA) con StoreFront para generar el archivo ICA. Además, el servidor StoreFront selecciona un servidor FAS de la lista de GPO y se pone en contacto con el servidor FAS seleccionado para obtener un tíquet que concede acceso a un certificado de usuario, que ahora se almacena en el servidor FAS. StoreFront agrega este token FAS al archivo ICA y se envía de nuevo a la aplicación de espacio de trabajo.

  5. La aplicación de espacio de trabajo inicie una conexión para iniciar la sesión con Citrix Gateway proporcionando el tíquet STA para validar y conceder la comunicación. Tras la validación, la conexión se pasa al VDA para el inicio de la sesión. El tíquet FAS se presenta con VDA durante el tiempo de autenticación para validar con los servidores FAS. El complemento de credenciales VDA se pone en contacto con el servidor FAS seleccionado en la lista de GPO. El servidor FAS valida el token y emite el certificado de usuario válido. Una vez validado correctamente el certificado de usuario, se logra el inicio de sesión único y se inicie la sesión de VDA.

Caso de uso #2

Compañía-A adquirió recientemente la Compañía-B. Por lo tanto, Company-A quería conceder acceso a los empleados de Company-B en su entorno existente de Citrix Virtual Apps and Desktops. Para simplificar la autenticación entre ambos dominios de la empresa, los administradores establecieron una conexión federada entre los dominios mediante la implementación de la solución Proveedores de identidades SAML externos como Azure Active Directory. La autenticación SAML permite a los usuarios iniciar sesión sin problemas en el entorno AD de la otra empresa para acceder a los recursos. En ambas empresas, los usuarios pueden usar sus credenciales específicas de la empresa, en las que se utiliza una cuenta instantánea y se asigna en la Compañía A para acceder a los recursos.

Federated-Authentication-Service-Image-12

Para iniciar sesión en Citrix VDA, cada usuario debe tener una cuenta de Active Directory en un dominio en el que confíe el VDA. Para los usuarios federados, necesitamos crear cuentas de sombra para (Company-B) cada usuario federado en el dominio Compañía-A. Estas cuentas de sombra necesitan un UPN que coincida con el atributo SAML (normalmente la dirección de correo electrónico) proporcionado por el IdP de SAML. Si la dirección de correo electrónico proporcionada por el IdP de SAML no coincide con el sufijo UPN del dominio de la empresa, debemos agregar el sufijo UPN que coincida con el sufijo de correo electrónico proporcionado por el IdP SAML en el complemento Dominios y confianzas de Active Directory.

  1. El usuario Company-B accede a la URL de la puerta de enlace y el usuario es redirigido al proveedor de identidades SAML. En este caso, es un Azure Active Directory. Los dominios Company-A y Company-B se sincronizaron con un único arrendatario de Azure AD.

  2. El usuario introduce las credenciales de la Compañía B para autenticarse en el AAD y redirigido de nuevo a la puerta de enlace con el token SAML.

  3. Gateway analiza el token SAML y, a continuación, utiliza este token SAML para verificar la identidad del usuario mediante la cuenta de sombra. Luego pasa a StoreFront para la enumeración de recursos.

  4. Ahora, el servicio Proveedor de datos de inicio de sesión de StoreFront se pone en contacto con el Servicio de autenticación federada y solicita que genere un certificado para el usuario de la cuenta de sombra autenticada. El FAS se conecta a Active Directory para verificar el usuario (cuenta de sombra). A continuación, habla con Servicios de certificados de Active Directory (AD CS) y envía una solicitud de certificado para el usuario. La entidad emisora de certificados emite un certificado válido para el usuario autenticado.

  5. StoreFront creó la página de recursos, enviada de vuelta al usuario.

  6. Cuando un usuario inicie una aplicación virtual o un escritorio en su aplicación de espacio de trabajo, la solicitud se envía a StoreFront para obtener el archivo ICA. StoreFront valida la solicitud y se pone en contacto con el controlador de entrega solicitando detalles de VDA para esta sesión. El controlador de entrega valida la solicitud y comparte los detalles de VDA y Secure Tíquet Authority (STA) con StoreFront para generar el archivo ICA. Además, el servidor StoreFront selecciona un servidor FAS de la lista de GPO y se pone en contacto con el servidor FAS seleccionado para obtener un tíquet que concede acceso a un certificado de usuario, que ahora se almacena en el servidor FAS. StoreFront agrega este token FAS al archivo ICA y se envía de nuevo a la aplicación de espacio de trabajo.

  7. La aplicación de espacio de trabajo inicie una conexión para iniciar la sesión con Citrix Gateway proporcionando el tíquet STA para validar y conceder la comunicación. Tras la validación, la conexión se pasa al VDA para el inicio de la sesión. El tíquet FAS se presenta con VDA durante el tiempo de autenticación para validar con los servidores FAS. El complemento de credenciales VDA se pone en contacto con el servidor FAS seleccionado en la lista de GPO. El servidor FAS valida el token y emite el certificado de usuario válido. Una vez validado correctamente el certificado de usuario, se logra el inicio de sesión único y se inicie la sesión de VDA.

Caso de uso #3

Un cliente de Citrix empresarial existente desea migrar su entorno Citrix heredado existente como parte de un plan de actualización y actualización de tecnología. El plan de migración dicta que la infraestructura de control de un entorno Citrix debe trasladarse a Citrix Cloud. Para implementar cargas de trabajo de usuarios, planearon utilizar el hardware existente disponible en el centro de datos regional y Azure Cloud, lo que les ayuda a mejorar la administración de usuarios y la asignación de recursos. Además, el cliente eligió utilizar el Citrix Gateway existente implementado en cada centro de datos regional para una conexión HDX óptima. Por último, para la autenticación, el cliente optó por ir con Azure Active Directory cuando planeaba migrar los controladores de dominio a los Servicios de dominio de Azure Active Directory.

Según el plan de migración, el Administrador de dominio ha instalado y configurado AD Connect para sincronizar los usuarios y grupos con Azure Active Directory y, a continuación, con los Servicios de dominio de Azure AD. El cliente adquirió la suscripción a Citrix Cloud. Por lo tanto, Citrix implementa y administra los componentes de la infraestructura de control. Citrix Admin ha configurado Azure AD como método de autenticación para los usuarios y ha creado ubicaciones de recursos instalando Cloud Connectors en cada centro de datos de región.

Para utilizar los Citrix Gateways existentes instalados en cada región, el administrador ha configurado la opción “Gateway” en Citrix Cloud, apuntando a una puerta de enlace local, lo que ayuda a iniciar la conexión HDX del usuario a través de la puerta de enlace local. Los administradores implementaron las cargas de trabajo de usuario necesarias en el hardware existente en el centro de datos respectivo, y los VDA ahora están registrados con los controladores de Citrix Cloud. El administrador del dominio ha creado grupos de seguridad de AD para la región para el aprovisionamiento de usuarios a los recursos de Citrix. El administrador de Citrix habilitó el acceso a los recursos de la página de la biblioteca en el portal de Citrix Cloud mediante grupos de seguridad de AD específicos de la región, lo que permite a los usuarios acceder a sus escritorios y aplicaciones publicados desde la misma región.

Para lograr el inicio de sesión único en el VDA al usar Azure AD para la autenticación con Citrix Workspace, el cliente decidió utilizar la solución Citrix FAS. El administrador de Citrix ha instalado el número necesario de servidores FAS y los ha configurado para comunicarse con los servicios FAS de Citrix Cloud en cada ubicación de recursos de Citrix Cloud. La directiva de grupo que contiene la lista de servidores FAS a la región respectiva está vinculada en el nivel de unidad organizativa; por lo tanto, el VDA obtiene la lista de servidores FAS del mismo centro de datos.

Federated-Authentication-Service-Image-13

Ahora, vamos a revisar el flujo de trabajo de inicio de sesión para los usuarios:

  1. Cuando un usuario comienza a acceder al entorno mediante la URL de Workspace, se redirige al usuario a la página de inicio de sesión basada en Azure. El usuario introduce credenciales válidas de Azure en la página Azure Single Sign-On. Azure autentica al usuario y lo redirige a Citrix Workspace.

  2. Citrix Workspace se conecta con los controladores en la nube y enumera los recursos asignados al usuario y los presenta al usuario.

  3. El usuario inicie una aplicación virtual o un escritorio en su área de trabajo y se envía la solicitud para obtener el archivo ICA. Cloud Controllers seleccionan el VDA disponible desde la ubicación de recursos donde se asignan los recursos para este usuario. Citrix Cloud selecciona un servidor FAS en la misma ubicación de recursos para obtener un tíquet que concede acceso al VDA. El servidor FAS solicita un certificado de usuario a la entidad emisora de certificados, que ahora se almacena en el servidor FAS. Citrix Workspace agrega este token FAS y Cloud Connector como STA al archivo ICA y se envía de nuevo al sistema de usuario.

  4. La aplicación Workspace analiza el archivo ICA y establece la conexión con la puerta de enlace local para la conexión HDX a VDA.

  5. Citrix Gateway valida la conexión mediante el tíquet STA con Cloud Connector y pasa la conexión al VDA.

  6. Para autenticar al usuario, el VDA se conecta al servidor FAS desde la lista de GPO. El complemento de credenciales VDA se pone en contacto con el servidor FAS y valida el token. Ahora, el servidor FAS proporciona un certificado de usuario válido para el VDA.

  7. Una vez validado correctamente el certificado de usuario, se logra el inicio de sesión único y se inicie la sesión de VDA para el usuario.

Caso de uso #4

Un nuevo cliente de Citrix desea implementar el entorno de Citrix Virtual Apps para permitir el acceso a recursos internos que no están expuestos a través de Internet, como el portal de Intranet y los buzones de Exchange. Para garantizar que el entorno esté altamente disponible, el cliente ha optado por implementar el entorno en dos ubicaciones con diseño activo/activo. Los servidores críticos están disponibles como redundantes en cada ubicación para evitar fallas en el nivel de componente. El cliente desea utilizar Microsoft 365 para la autenticación multifactor y el acceso condicional con el entorno Citrix para la autenticación. El objetivo principal del Cliente es proporcionar acceso a un usuario que pueda acceder a las aplicaciones virtuales desde cualquier centro de datos.

Según el diseño, el cliente ha implementado un sitio dedicado de Virtual Apps and Desktops en cada ubicación, que consta de 3 servidores StoreFront, 3 Delivery Controllers, servidores SQL siempre activos, 3 servidores PVS, licencias y servidores Director. Cada ubicación tiene un par de configuración de Citrix ADC para GSLB, Gateway y Equilibrador de carga. Dado que el cliente desea utilizar la autenticación de Azure AD, es necesario implementar un par de servidores Citrix FAS en cada ubicación.

El entorno se configuró según el diseño y el requisito del cliente.

  1. El equilibrio de carga global del servidor (GSLB) se ha configurado entre los sitios para equilibrar la carga y redirigir a los usuarios al sitio disponible.

  2. Los servidores de StoreFront se equilibran la carga mediante Citrix ADC Gateway.

  3. Los servidores StoreFront están configurados para comunicarse con los controladores de entrega de ambas ubicaciones; por lo tanto, los usuarios pueden acceder a los recursos de Data Center 1 o 2.

  4. Se recomienda configurar el GPO para que los servidores StoreFront apunten solo a los servidores FAS del centro de datos local para optimizar el proceso de solicitud de certificado.

En este entorno de cliente, donde StoreFront enumera recursos de ambos centros de datos, es necesario configurar los VDA para que tengan en cuenta todos los servidores FAS de ambos centros de datos. El VDA puede recuperar el certificado del servidor FAS que recibió la solicitud de StoreFront (que puede estar en un centro de datos diferente). Los servidores StoreFront solo se comunicarían con los dos servidores FAS del mismo centro de datos. Las directivas de GPO que enumeran los servidores FAS utilizarían espacios en blanco para asegurarse de que el servidor StoreFront obtiene la lista de servidores FAS en el índice derecho, como se muestra en la imagen siguiente.

Federated-Authentication-Service-Image-14

Al configurar esto, se debe tener en cuenta la alineación “Índice” del GPO. Las listas de servidores FAS en StoreFront y los agentes VDA deben alinearse, al igual que la lista de Delivery Controllers, un VDA no acepta una solicitud de inicio de un Delivery Controller que no es consciente.

Con Citrix FAS, el VDA puede recuperar un certificado del servidor FAS que aparece en la lista. La consideración adicional es el hecho de que el orden de los servidores FAS en los registros de StoreFront y VDA debe coincidir porque a los servidores FAS se les asigna un número de índice basado en el orden en que aparecen en el Registro. A veces, es necesario dejar entradas en blanco en el registro/directiva aplicada a los grupos de servidores StoreFront para asegurarse de que el índice coincide entre StoreFront y VDA.

Federated-Authentication-Service-Image-15

Ahora, vamos a revisar el flujo de trabajo de inicio de sesión para los usuarios:

  1. Cuando un usuario comienza a acceder al entorno, la solicitud de usuario cae en Datacenter-1 o Datacenter-2 en función del ADNS de GSLB.

  2. La puerta de enlace redirige al usuario a la página de inicio de sesión basada en Azure. El usuario introduce credenciales válidas de Azure en la página Azure Single Sign-On. Azure autentica al usuario y lo redirige de nuevo a la puerta de enlace.

  3. Citrix Gateway se conecta con los servidores StoreFront y enumera los recursos asignados al usuario y los presenta al usuario.

  4. El usuario inicie una aplicación virtual y se envía la solicitud para obtener el archivo ICA. StoreFront se conecta con el controlador de entrega y selecciona el VDA disponible del grupo de entrega donde el usuario asignó para acceder a los recursos. StoreFront selecciona un servidor FAS en la misma ubicación a través del GPO para obtener un tíquet que concede acceso al VDA. El servidor FAS solicita un certificado de usuario a la entidad emisora de certificados, que ahora se almacena en el servidor FAS. StoreFront agrega este token FAS y Delivery Controller como STA en el archivo ICA y se envía de nuevo al sistema del usuario.

  5. La aplicación de espacio de trabajo analiza el archivo ICA y establece la conexión con la puerta de enlace local para la conexión HDX a VDA.

  6. Citrix Gateway valida la conexión mediante el tíquet STA con el controlador de entrega y pasa la conexión al VDA.

  7. Para autenticar al usuario, el VDA se conecta al servidor FAS desde la lista de GPO. El complemento de credenciales VDA se pone en contacto con el servidor FAS y valida el token. Ahora, el servidor FAS proporciona un certificado de usuario válido para el VDA. Una vez validado correctamente el certificado de usuario, se logra el inicio de sesión único y se inicie la sesión de VDA para el usuario.

Resumen

Citrix Federated Authentication Service ayuda en todas las implementaciones en las que los clientes desean eliminar el método de credenciales de contraseña heredado y avanzar hacia los métodos de autenticación modernos como SAML y otros. Como nota final, Citrix FAS es un servicio vital. Por lo tanto, es algo aprobado por el equipo de seguridad de una empresa antes de ser implementado. Revise e implemente los controles de seguridad necesarios para los Servicios FAS.

Fuentes

El objetivo de esta arquitectura de referencia es ayudarle a planificar su propia implementación. Para facilitar este trabajo, nos gustaría proporcionarle diagramas fuente que puede adaptar en sus propios diseños detallados y guías de implementación: diagramas fuente.

Referencias

Instalación y configuración de Citrix FAS

Documento de alta disponibilidad y escalabilidad de Citrix FAS

Servicio de autenticación federada de alta disponibilidad y escalabilidad - CTX225721

Configuración avanzada de FAS

Plantillas y certificados de autenticación de controlador de dominio

Autenticación selectiva de varios bosques

Cmdlets de PowerShell para Citrix FAS

Reglas de firewall para Citrix FAS

Configuración de reglas de usuario

Generación previa de certificados de usuario

Corroboración de inicio de sesión

Conectar Azure Active Directory con Citrix Cloud

Implementa plantillas de certificado FAS

Arquitectura de referencia: Servicio de autenticación federada