Resumen técnico: Opciones de autenticación integradas en la aplicación Citrix Workspace
Introducción
La aplicación Citrix Workspace (CWA) proporciona a los usuarios una interfaz personalizada que permite el acceso instantáneo a aplicaciones virtuales, escritorios, SaaS y aplicaciones web. Los usuarios obtienen un acceso seguro y sin problemas a todas las aplicaciones necesarias para mantener su productividad, incluidas funciones como la navegación integrada y el inicio de sesión único.
CWA ofrece varias opciones de autenticación que los administradores pueden habilitar de acuerdo con el proveedor de identidad habilitado en su organización en entornos locales y en la nube.
Solicitud de inicio de sesión forzada
Force Login Prompt es una función que permite a los administradores configurar CWA para solicitar a los usuarios sus credenciales de inicio de sesión cada vez que accedan a la aplicación, incluso si ya han iniciado sesión anteriormente y tienen una sesión válida. El IDP almacena las credenciales de usuario mediante cookies persistentes para habilitar el inicio de sesión único (SSO) y ofrecer una experiencia de usuario perfecta. Sin embargo, puede haber situaciones en las que los administradores quieran obligar a los usuarios a introducir sus credenciales de inicio de sesión cada vez que acceden a los recursos de Citrix, por ejemplo, cuando el usuario accede a datos o aplicaciones confidenciales o cuando hay problemas de seguridad.
La configuración Forzar el mensaje de inicio de sesión está habilitada de forma predeterminada. Esta configuración permite a los administradores forzar el inicio de sesión en Citrix Workspace para anular el tiempo de espera del IdP. Si la configuración está inhabilitada, se respetará el tiempo de espera del IdP. Es importante tener en cuenta que habilitar esta función puede afectar a la productividad de los usuarios y aumentar la frecuencia de los problemas relacionados con el inicio de sesión. Por lo tanto, utilice esta configuración con prudencia y solo en los escenarios necesarios por motivos de seguridad o cumplimiento.
La configuración Forzar el mensaje de inicio de sesión debe estar inhabilitada cuando:
- Los administradores desean proporcionar a los usuarios que acceden a la CWA a través de la web (incluidos los clientes HTML5) un inicio de sesión más prolongado. Por ejemplo, si los administradores han configurado Azure Active Directory (AAD) para que tenga un tiempo de espera predeterminado de 14 días, no se volverá a iniciar sesión en el navegador.
- CWA iniciaría sesión automáticamente en los dispositivos cliente unidos a AAD. De lo contrario, la CWA obliga a solicitar un inicio de sesión aunque el SSO esté activado.
| Tipo | SO de CWA | IdP | Asistencia |
|---|---|---|---|
| Solicitud de inicio de sesión forzada | Todas las versiones de CWA | Todas | Sí (activado de forma predeterminada) |
Inicio de sesión persistente en la aplicación Citrix Workspace
El inicio de sesión persistente es una función de CWA que permite a los usuarios permanecer conectados incluso después de cerrar la sesión de su escritorio virtual o aplicación. Esto significa que los usuarios no tienen que introducir sus credenciales cada vez que acceden a Citrix, lo que proporciona una experiencia más sencilla y cómoda.
El inicio de sesión persistente crea un token de autenticación de larga duración que puede configurarse entre 2 y 365 días y almacenarse en el dispositivo del usuario. Este token está cifrado y se puede configurar para que caduque después de un período determinado o cuando el usuario cierre sesión en Citrix. Cuando el usuario regresa a CWA, la aplicación busca el token y, si lo encuentra, vuelve a iniciar sesión automáticamente.
El inicio de sesión persistente es compatible con varios métodos de autenticación, incluidos Active Directory, LDAP y SAML. Esta función ayuda a mejorar la productividad de los usuarios al eliminar la necesidad de que los usuarios introduzcan sus credenciales repetidamente y, al mismo tiempo, mantiene la seguridad del entorno al requerir la autenticación cuando el token caduca o el usuario cierra la sesión. Para cualquier almacén recién configurado, se habilita de forma predeterminada con un valor de 30 días.
Nota
Al momento de escribir este artículo, la opción de tiempo de espera de autenticación está disponible para las aplicaciones cliente de CWA. No se admite el acceso a través del navegador. Se recomienda utilizar el temporizador de inactividad si la autenticación frecuente es un caso de uso en su entorno.
Comportamiento en almacenes de la nube
| Tipo | SO de CWA | IdP | Asistencia |
|---|---|---|---|
| Token de larga duración para la aplicación Workspace (antes del lanzamiento + Cloud Store) | Windows, Mac, Linux, Android, iOS | Todas | Sí |
| ChromeOS, Navegador + CWA nativo, Navegador + HTML5 | Todas | No |
Nota
Actualmente, los almacenes locales no admiten la función de inicio de sesión persistente.
Inicio de sesión persistente en sesiones de VDI
La opción Inicio de sesión persistente en las sesiones de VDI permite a los usuarios iniciar sesión único (SSO) en las sesiones de VDI con una contraseña de larga duración en lugar de introducir sus credenciales cada vez que acceden a su entorno de VDI. Esto elimina la necesidad de que los usuarios introduzcan sus credenciales varias veces y simplifica el proceso de autenticación. Se establece en un valor igual al del inicio de sesión persistente en CWA entre 2 y 365 días.
Factores clave a tener en cuenta:
- El inicio de sesión en VDI con SSO solo se puede realizar cuando el IdP es AD, AD+TOTP o NetScaler Gateway.
- En todos los demás casos (AAD, Okta, Google, SAML, etc.), se requiere el Servicio de autenticación federada (FAS) de Citrix.
| Tipo | SO de CWA | IdP | VDA unido a | Asistencia |
|---|---|---|---|---|
| Contraseñas duraderas para sesiones de SSO a VDI | Windows, Mac, Android, iOS, Linux | AD, AD+OTP, Gateway, los restantes requieren FAS | AD/AD híbrido | Sí |
Temporizador de inactividad para la aplicación Citrix Workspace
La opción Temporizador de inactividad para la aplicación Citrix Workspace: tiempos de espera de autenticación permite a los administradores exigir una comprobación de autenticación en caso de inactividad en la aplicación por parte de los usuarios finales. Esta opción se utiliza para garantizar el acceso seguro a los recursos por parte de los usuarios legítimos que utilizan sus dispositivos o dispositivos compartidos. El tiempo de espera por inactividad se puede establecer en menos de 24 horas.
Comportamiento clave a tener en cuenta:
- La inactividad anula la experiencia de inicio de sesión persistente.
- En los escritorios, los usuarios se desconectan una vez transcurrido el tiempo de inactividad.
- En dispositivos móviles, los usuarios pueden utilizar la autenticación biométrica después del tiempo de inactividad, pero sin cerrar sesión.
| Tipo | Soporta CWA OS | En las instalaciones o en la nube | Asistencia |
|---|---|---|---|
| Inactivity Timer (Temporizador de inactividad) | Windows, Mac, Linux, Android, iOS, ChromeOS, navegador + CWA nativo, navegador + HTML5 | Nube | Sí |
| Windows, Mac, Linux, Android, iOS, ChromeOS, navegador + CWA nativo, navegador + HTML5 | En las instalaciones | Sí |
Soporte de transferencia de dominios en Citrix Workspace
La compatibilidad con transferencia de dominios para Citrix Workspace permite a los usuarios acceder a escritorios y aplicaciones virtuales sin necesidad de autenticarse explícitamente en el entorno Citrix. En su lugar, los usuarios pueden usar sus credenciales de dominio de Windows para autenticarse y obtener acceso a sus aplicaciones y escritorios automáticamente.
Cuando la compatibilidad con la transferencia de dominios está habilitada, los usuarios que hayan iniciado sesión en su escritorio o portátil de Windows con sus credenciales de dominio pueden acceder a su cuenta de Citrix Workspace y a cualquier escritorio o aplicación virtual asociado sin tener que volver a introducir sus credenciales. Esto elimina la necesidad de que los usuarios recuerden varios conjuntos de información de inicio de sesión y simplifica el proceso de autenticación.
Requisitos previos y condiciones a tener en cuenta:
- Citrix Workspace debe configurarse con un IdP que admita la autenticación integrada de Windows: por ejemplo, NetScaler Gateway, AAD (con AAD Seamless SSO), Okta, SAML, etc.
- Esta opción funciona mejor en los clientes de Windows.
- Para Windows, los clientes pueden unirse a AD o a un AAD híbrido.
- Los clientes ligeros de Linux también se pueden configurar con un perfil Kerberos.
- iOS/Mac también tiene un concepto de perfil Kerberos. Además, también pueden inscribirse en AAD mediante Intune, que permite el inicio de sesión único a AAD.
- Para SSO a VDI en clientes que no son de Windows. Se requiere FAS.
- El inicio de sesión de extremo a extremo en CWA para Windows con SSO para VDI funciona si el usuario inicia sesión en el sistema operativo Windows con un nombre de usuario y una contraseña.
| Punto final unido a | IdP | VDA unido a | SSO a Workspace | SSO en VDA |
|---|---|---|---|---|
| AD | Gateway local | AD | Sí | SSONsvr / FAS |
| AD | Autenticación adaptable | AD | Sí | SSONsvr / FAS |
| AD | puerta de enlace federada a otro IdP (AAD/Okta) | AD | Sí | SSONsvr / FAS |
| AD | Okta | AD | Sí | SSONsvr / FAS |
| Unido a AD/híbrido | AAD (AD con AAD Connect) | AD | Sí | SSONsvr / FAS |
| AD | Cualquier IdP basado en SAML | AD | Sí | SSONSvr / FAS |
| AD | AD | AD | No | N/D |
| AD | AD + OTP | AD | No | N/D |
| AD | AAD | AAD | No | N/D |
| AAD | AAD sin AD local | AD | Sí | FAS |
| AAD | AAD | AAD | Sí | El usuario debe introducir las credenciales |
| No unido a ningún dominio | IdP que admite la autenticación sin contraseña | AD | No | FAS |
Notas
Los clientes deben estar comunicados con AD para que Kerberos funcione.
SSONSvr solo funciona con un nombre de usuario y una contraseña en el cliente. FAS es obligatorio si un usuario usa Windows Hello para iniciar sesión y espera iniciar sesión sin contraseña.
Es posible que la autenticación no se realice sin interrupciones en la nube si LLT está habilitada o si la directiva de aceptación del usuario final está configurada.
Se recomienda configurar FAS tal como se aplica a plataformas que no sean de Windows.
Soporte de transferencia de dominio para StoreFront
La compatibilidad con transferencia de dominios para Citrix StoreFront permite a los usuarios acceder a escritorios y aplicaciones virtuales sin necesidad de autenticarse explícitamente en el entorno Citrix. En su lugar, los usuarios pueden usar sus credenciales de dominio de Windows para autenticarse y obtener acceso a sus aplicaciones y escritorios automáticamente.
Con la compatibilidad de transferencia de dominio habilitada, los usuarios que hayan iniciado sesión en su escritorio o portátil de Windows con sus credenciales de dominio pueden acceder a sus aplicaciones y escritorios de Citrix sin tener que volver a introducir sus credenciales. Esto proporciona una experiencia de usuario más fluida y ayuda a reducir la carga de los equipos de soporte de TI, que de otro modo tendrían que gestionar el restablecimiento de contraseñas y los problemas de autenticación de los usuarios.
Requisitos previos y condiciones a tener en cuenta:
- Configurado en Windows.
- Inserción de credenciales: los socios de software de salud proporcionan un nombre de usuario y una contraseña a la CWA para autenticar a los usuarios de forma silenciosa.
- Esto también se aplica en Linux y utiliza un SDK de inserción de credenciales similar. SSO en VDI funciona igual que el punto 7 para los almacenes locales.
| Punto final unido a | StoreFront/Gateway | VDA unido a | SSO en StoreFront | SSO en VDA | | ——————— | ——————- | —- | ——– |———————| | AD | StoreFront | AD | Sí | SSONsvr | | Unido a AD/híbrido/Windows Hello para empresas | StoreFront | AD | Sí | SSONsvr/FAS * | | AD | Gateway: autenticación avanzada | AD | Sí | SSONSvr | | AD | Gateway: autenticación básica | Sí | SSONSvr |
Nota
Necesita registro para habilitar el SSO
Compatibilidad con tarjetas inteligentes y credenciales derivadas
La autenticación con tarjeta inteligente y la autenticación con credenciales derivadas son métodos de autenticación en CWA y de inicio de sesión en la sesión de VDI que admite esta opción.
La autenticación con tarjeta inteligente implica el uso de una tarjeta inteligente física que contiene la información de identidad digital del usuario, como un certificado de clave pública o una clave privada. Cuando el usuario inserta la tarjeta inteligente en un lector de tarjetas, el lector de tarjetas lee la información de identidad digital y la envía a la CWA para su autenticación. Este método garantiza una mayor seguridad que la autenticación tradicional con nombre de usuario y contraseña, ya que la tarjeta inteligente no se puede duplicar ni robar fácilmente.
Por otro lado, la autenticación con credenciales derivadas utiliza un dispositivo móvil para autenticar a un usuario. Cuando un usuario inicia sesión en CWA en su dispositivo móvil, el dispositivo genera una credencial derivada basada en su información de identidad digital. La credencial derivada se envía luego a la CWA para su autenticación en lugar de a la tarjeta inteligente física del usuario. Este método ofrece a los usuarios un mayor nivel de comodidad, ya que pueden autenticarse mediante sus dispositivos móviles sin necesidad de llevar consigo una tarjeta inteligente independiente.
Autenticación sin contraseña (Workspace)
| Tipo | SO de CWA | IdP | Soporte previo al lanzamiento | SSO a VDA después del lanzamiento (almacenamiento en caché de pines) | Uso de tarjetas inteligentes dentro de la sesión |
|---|---|---|---|---|---|
| Tarjeta inteligente | Windows | Gateway local, AD/AAD | Sí | No | Sí |
| Navegador que utiliza CWA nativo | Gateway local, AD/AAD | Sí | No | Sí | |
| Navegador con HTML5 | Gateway local, AD/AAD | No | No | No | |
| Mac | Gateway local, AD/AAD | No | No | Sí | |
| Linux | Gateway local, AD/AAD | No | No | Sí | |
| ChromeOS | Gateway local, AD/AAD | Sí | No | Sí | |
| iOS | Gateway local, AD/AAD | No | No | Sí | |
| Android | Gateway local, AD/AAD | No | No | Sí | |
| Credenciales derivadas | iOS | Gateway local, AD/AAD | No | No | Sí ** |
| Android | Gateway local, AD/AAD | No | No | No |
Notas
Cualquier IdP que admita la autenticación con tarjeta inteligente mediante federación puede admitir el SSO.
El soporte para iOS solo existe con Purebred.
Autenticación sin contraseña (StoreFront)
| Autenticación mediante | SO | Soporte de lanzamiento | Soporte para iniciar sesión en StoreFront | Gateway: autenticación básica | Gateway: autenticación avanzada | Tarjeta inteligente en sesión |
|---|---|---|---|---|---|---|
| Tarjeta inteligente | Windows | Prelanzamiento | Sí | Sí | Sí | Sí |
| Navegador + CWA nativo | Prelanzamiento | Sí | Sí | Sí | Sí | |
| Navegador: HTML5 | Prelanzamiento | No | Sí | No | No | |
| Mac | Prelanzamiento | Sí | Sí | Sí | Sí | |
| Linux | Prelanzamiento | Sí | Sí | No | Sí | |
| ChromeOS | Prelanzamiento | Sí | Sí | No | Sí | |
| iOS | Prelanzamiento | Sí | Sí | No | Sí | |
| Android | Prelanzamiento | Sí | Sí | No | Sí | |
| Windows | Tras el lanzamiento: de SSO a VDA (almacenamiento en caché de pines) | Sí | Sí | No | Sí | |
| Navegador + CWA nativo | Tras el lanzamiento: de SSO a VDA (almacenamiento en caché de pines) | No | No | No | Sí | |
| Navegador: HTML5 | Tras el lanzamiento: de SSO a VDA (almacenamiento en caché de pines) | No | No | No | No | |
| Mac | Tras el lanzamiento: de SSO a VDA (almacenamiento en caché de pines) | Sí | Sí | No | Sí | |
| Linux | Tras el lanzamiento: de SSO a VDA (almacenamiento en caché de pines) | Sí | Sí | No | Sí | |
| ChromeOS | Tras el lanzamiento: de SSO a VDA (almacenamiento en caché de pines) | No | No | No | Sí | |
| iOS | Tras el lanzamiento: de SSO a VDA (almacenamiento en caché de pines) | No | No | No | Sí | |
| Android | Tras el lanzamiento: de SSO a VDA (almacenamiento en caché de pines) | No | No | No | No | |
| Credenciales derivadas | iOS | Prelanzamiento | Sí | Sí | No | Sí |
| Android | Prelanzamiento | No | No | No | No | |
| iOS | Tras el lanzamiento: de SSO a VDA (almacenamiento en caché de pines) | No | No | No | Sí | |
| Android | Tras el lanzamiento: de SSO a VDA (almacenamiento en caché de pines) | No | No | No | No |
Compatibilidad con FIDO2 con Workspace/Storefront: autenticación sin contraseña
FIDO2 es un estándar de autenticación que permite a los usuarios autenticarse de forma segura y cómoda en los servicios en línea mediante criptografía de clave pública. FIDO2 permite la autenticación sin contraseña, lo que elimina la necesidad de los usuarios de crear y recordar contraseñas y reduce el riesgo de suplantación de identidad y otras formas de ciberataque.
Gracias a la compatibilidad con CWA FIDO2, los usuarios pueden disfrutar de una experiencia de autenticación sin contraseña que es a la vez segura y cómoda. Pueden iniciar sesión en su cuenta de Citrix Workspace sin recordar contraseñas, lo que facilita el trabajo de forma segura desde cualquier lugar y dispositivo. El soporte de FIDO2 también ayuda a mejorar la postura de seguridad al reducir el riesgo de ciberataques relacionados con las contraseñas.
| Tipo | SO de CWA | IDP compatibles | Soporte previo al lanzamiento | Inicio de sesión en VDA con clave de seguridad FIDO | Uso de la clave de seguridad FIDO dentro de la sesión |
|---|---|---|---|---|---|
| FIDO | Windows | Sí | No | Sí | |
| Navegador que utiliza CWA nativo | Sí | No | Sí | ||
| Navegador con HTML5 | Sí | No | No | ||
| Mac | Cualquier IdP que sea compatible con FIDO | No | No | Sí | |
| Linux | Cualquier IdP que sea compatible con FIDO | No | No | Sí | |
| ChromeOS | Cualquier IdP que sea compatible con FIDO | Sí | No | No | |
| iOS | Cualquier IdP que sea compatible con FIDO | No | No | No | |
| Android | Cualquier IdP que sea compatible con FIDO | No | No | No |
En este artículo
- Introducción
- Solicitud de inicio de sesión forzada
- Inicio de sesión persistente en la aplicación Citrix Workspace
- Inicio de sesión persistente en sesiones de VDI
- Temporizador de inactividad para la aplicación Citrix Workspace
- Soporte de transferencia de dominios en Citrix Workspace
- Soporte de transferencia de dominio para StoreFront
- Compatibilidad con tarjetas inteligentes y credenciales derivadas
- Compatibilidad con FIDO2 con Workspace/Storefront: autenticación sin contraseña