Resumen técnico: Inicio de sesión único en Workspace

La identidad principal de Workspace de un usuario les autoriza a acceder a SaaS, aplicaciones móviles, web, virtuales y escritorios virtuales. Muchos recursos autorizados requieren otra autenticación, a menudo con una identidad diferente de la identidad de espacio de trabajo principal del usuario. Citrix Workspace proporciona a los usuarios una experiencia perfecta al proporcionar inicio de sesión único a los recursos secundarios.

Identidad principal

Comprender las diferencias entre las identidades primaria y secundaria de un usuario proporciona una base para comprender el inicio de sesión único de Workspace.

Para empezar, Citrix Workspace permite a cada organización elegir una identidad principal de una lista creciente de opciones, que actualmente incluye:

• Windows Active Directory
• Azure Active Directory
• Okta
• Citrix Gateway
• Google

En Citrix Workspace, la identidad principal del usuario tiene dos propósitos:

1. Autentica al usuario en Citrix Workspace
2. Autoriza al usuario a tener acceso a un conjunto de recursos dentro de Citrix Workspace

Una vez que el usuario se autentica correctamente en Citrix Workspace con la identidad principal, tiene autorización para todos los recursos secundarios. Es fundamental que las organizaciones establezcan directivas de autenticación sólidas para la identidad principal del usuario.

Muchos proveedores de identidades incluyen opciones de directivas de autenticación seguras, lo que ayuda a proteger la autenticación principal del usuario en Citrix Workspace. En los casos en los que el proveedor de identidad solo incluye un nombre de usuario y una contraseña únicos, como Active Directory, Citrix Workspace incluye funciones adicionales para mejorar la seguridad de la autenticación principal, como Contraseña de un solo uso basada en tiempo.

Para obtener una comprensión más profunda de la identidad principal de Citrix Workspace, consulte el resumen técnico de Workspace Identity.

Identidades secundarias

Muchas de las aplicaciones, escritorios y recursos a los que accede un usuario en Citrix Workspace están protegidos con otro conjunto de credenciales de usuario, denominadas identidades secundarias. Muchas de las identidades secundarias son diferentes de la identidad principal del usuario.

El sistema de inicio de sesión único µ-service traduce la identidad del espacio de trabajo principal del usuario en una identidad específica del recurso mediante enfoques apropiados como:

• SAML
• Kerberos
• Formularios
• Tarjetas inteligentes virtuales

Con Citrix Workspace, los usuarios se autentican una vez con su identidad principal y todos los desafíos de autenticación posteriores a los recursos secundarios se satisfacen automáticamente.

La forma en que Citrix Workspace proporciona el inicio de sesión único a diferentes recursos se basa en el tipo de recurso al que se accede. Para comprender mejor los diferentes enfoques, es mejor desglosarlo en los siguientes temas:

• Aplicaciones SaaS
• Aplicaciones web
• Aplicaciones móviles (sección próximamente)
• Aplicaciones y escritorios virtuales
• Encadenamiento de IdP

SSO: Aplicaciones SaaS

Desde el punto de vista de Citrix Workspace, una aplicación SaaS es una aplicación basada en explorador alojada en la nube por un tercero. Para acceder a la aplicación, los usuarios deben autenticarse con un conjunto de credenciales asociadas a la aplicación SaaS, denominada identidad secundaria.

Para lograr el inicio de sesión único en una aplicación SaaS, Citrix Workspace federa la identidad entre la identidad principal y la identidad secundaria. El proceso de inicio de sesión único utiliza autenticación basada en SAML estándar del sector.

La autenticación basada en SAML normalmente se centra en tres entidades principales:

• Proveedor de identidad: la entidad en un enlace SAML que proporciona la prueba de que la identidad del usuario es válida
• Proveedor de servicios: la entidad en un enlace SAML que entrega un servicio (aplicación SaaS) basado en una identidad secundaria
• Afirmación: un paquete de datos que proporciona

La autenticación basada en SAML funciona asociando dos cuentas de usuario diferentes (primaria y secundaria) con atributos comunes, normalmente un nombre principal de usuario (UPN) o una dirección de correo electrónico.

La identidad del usuario puede ser diferente entre la identidad principal del proveedor de identidad y la identidad secundaria del proveedor de servicios.

Con el inicio de sesión único, el usuario no necesita conocer el nombre de usuario o la contraseña de su identidad secundaria. Además, muchas aplicaciones SaaS tienen la capacidad de inhabilitar la contraseña (y el acceso directo a la contraseña) de las cuentas de usuario cuando la autenticación utiliza SAML. Esto obliga a la autenticación de usuario a utilizar siempre la identidad principal del proveedor de identidades y no la identidad secundaria del proveedor de servicios.

Citrix Workspace introduce un cuarto componente en el proceso SAML

• Identity Broker: la entidad que vincula varios proveedores de identidad a varios proveedores de servicios (Citrix Workspace)

Dentro de un enlace SAML, debe haber una entidad que actúe como proveedor de servicios (SP) y proveedor de identidad (IdP). El IdP no tiene que contener las identidades de la cuenta de usuario principal. En este ejemplo, la identidad de usuario principal está contenida en el directorio de usuario principal (Dir).

Al actuar como agente de identidades (IDB), Citrix Workspace toma afirmaciones sobre la identidad principal del usuario y las traduce a identidades secundarias.

Agregar un agente de identidades (IDB) al flujo de autenticación SAML todavía requiere un atributo común que vincule la identidad primaria (IdP) del usuario con la identidad secundaria (SP).

Para que la autenticación SAML funcione, el agente de identidades asocia la solicitud con una URL de inicio de sesión específica de SAML para cada aplicación SaaS. Esta dirección URL recibe la aserción del usuario. Cuando el proveedor de servicios recibe la aserción, debe validarla contra la entidad que generó la aserción, que es la URL del emisor SAML del agente de identidades.

Dentro de Citrix Workspace, el proceso general para el inicio de sesión único en aplicaciones SaaS es el siguiente:

SSO a aplicaciones SaaS en Citrix Workspace ayuda a resolver algunos desafíos de experiencia de usuario y administración:

1. Los usuarios no tienen que recordar un nombre de usuario y una contraseña para cada identidad secundaria
2. Los usuarios no tienen que crear contraseñas complejas para cada identidad secundaria
3. Los usuarios no tienen que instalar/configurar claves/tokens MFA para cada identidad secundaria
4. Los administradores pueden inhabilitar el acceso a todas las aplicaciones SaaS inhabilitando la identidad principal del usuario
5. Los administradores pueden basar la identidad principal del usuario en una de las crecientes listas de proveedores de identidad admitidos

Para mantener el acceso seguro, las organizaciones deben

1. Implementar directivas de autenticación segura para la identidad principal de Workspace
2. Inhabilitar el acceso directo a aplicaciones SaaS con la identidad secundaria

SSO: Aplicaciones Web

Una aplicación web es una aplicación basada en explorador alojada y administrada por la organización. La aplicación web está alojada en el centro de datos local. Para acceder a una aplicación web, los usuarios deben establecer una conexión segura con el host y autenticarse con un conjunto de credenciales asociadas a la aplicación web, denominada identidad secundaria.

Basado en la arquitectura conceptual, Gateway Connector establece una conexión de canal de control saliente a la suscripción a Citrix Cloud de la organización. Una vez establecidas, las solicitudes de autenticación y acceso a la aplicación web local viajan a través del canal de control del Gateway Connector, eliminando la necesidad de una conexión VPN.

Dependiendo de la aplicación web, la identidad secundaria podría ser la misma identidad que la identidad principal utilizada para autenticarse en Citrix Workspace o una identidad única administrada por un proveedor de identidades diferente.

Para lograr el inicio de sesión único en una aplicación web, Citrix Workspace federa la identidad entre la identidad principal (utilizada para iniciar sesión en Citrix Workspace) y la identidad secundaria (utilizada para iniciar sesión en la aplicación web). El proceso SSO para aplicaciones web utiliza múltiples enfoques para poder admitir un mayor número de aplicaciones web. Estos enfoques pueden ser

• Básico: se utiliza cuando el servidor de aplicaciones web presenta a los usuarios un desafío básico 401. La autenticación básica utiliza las credenciales utilizadas para autenticarse en Citrix Workspace.
• Kerberos: se utiliza cuando el servidor de aplicaciones web presenta a los usuarios con un desafío negociado-401. Kerberos utiliza las credenciales utilizadas para autenticarse en Citrix Workspace.
• Formularios: se utiliza cuando el servidor de aplicaciones web presenta a los usuarios un formulario de autenticación HTML. La autenticación basada en formularios requiere que el administrador identifique los campos apropiados en la página de autenticación para el nombre de usuario y la contraseña.
• SAML: se utiliza cuando el servidor de aplicaciones web puede utilizar la autenticación basada en SAML, donde la aplicación web actúa como proveedor de servicios y Citrix Workspace como proveedor de identidades. La identidad principal del usuario utilizada para iniciar sesión en Citrix Workspace debe tener un parámetro (UPN o correo electrónico) alineado con las credenciales de la aplicación web. Para obtener más información sobre el inicio de sesión único basado en SAML, consulta la sección SSO para aplicaciones SaaS .
• Sin SSO: se utiliza cuando el servidor de aplicaciones web no requiere autenticación de usuario o cuando el administrador desea que el usuario inicie sesión manualmente.

El inicio de sesión único en las aplicaciones web dentro de Citrix Workspace ayuda a resolver algunos desafíos de experiencia de usuario y administrador:

• Los usuarios no tienen que recordar un nombre de usuario y contraseña para cada aplicación web
• Los usuarios no tienen que crear contraseñas complejas para cada aplicación web
• Los usuarios no tienen que instalar/configurar claves/tokens MFA para cada aplicación web
• Los usuarios no tienen que iniciar una conexión VPN para acceder a una aplicación web interna
• Los administradores pueden inhabilitar el acceso a todas las aplicaciones web inhabilitando la identidad principal del usuario
• Los administradores pueden basar la identidad principal del usuario en una de las crecientes listas de proveedores de identidad admitidos
• Una vez implementados, los administradores no tienen que actualizar los conectores de puerta de enlace. Los servicios de Citrix Cloud automatiza las actualizaciones según sea necesario.

Para mantener el acceso seguro, las organizaciones deben

• Implementar directivas de autenticación segura para la identidad principal de Workspace
• Inhabilitar el acceso VPN a las aplicaciones web

Implemente conectores de puerta de enlace redundantes para mantener la disponibilidad cuando se actualiza un conector. Solo se actualiza un conector a la vez y el proceso no continúa hasta que se recibe un resultado satisfactorio.

SSO: Virtual Apps and Desktops

Citrix Virtual Apps and Desktops permite a los usuarios acceder de forma remota a aplicaciones y escritorios basados en Windows y Linux. Para tener acceso a un escritorio o aplicación virtual basado en Windows, es necesario que los usuarios se autentiquen con una identidad de Active Directory.

Cuando la identidad de espacio de trabajo principal de un usuario es Active Directory, una aplicación virtual y una sesión de escritorio utiliza autenticación de paso a través para proporcionar inicio de sesión único al recurso secundario. Sin embargo, si una organización desea utilizar un proveedor de identidades no basado en Active Directory para la identidad principal del usuario, las capacidades de inicio de sesión único de Citrix Workspace deben traducir la identidad principal en una identidad secundaria de Active Directory.

Para lograr el inicio de sesión único en una aplicación virtual y un escritorio, Citrix Workspace utiliza el servicio de autenticación federada, que genera dinámicamente una tarjeta inteligente virtual basada en Active Directory para el usuario.

Antes de que se pueda generar una tarjeta inteligente virtual, Workspace debe poder vincular la identidad principal del usuario con la identidad secundaria basada en Active Directory mediante un conjunto de atributos comunes.

Por ejemplo, cuando Okta es la identidad principal de Citrix Workspace, la identidad Okta del usuario debe incluir tres parámetros adicionales (cip_sid, cip_upn y cip_oid). Los parámetros asocian una identidad de Active Directory con una identidad Okta.

Una vez que el usuario se autentica correctamente en la identidad principal, la capacidad de inicio de sesión único de Citrix Workspace utiliza los parámetros para solicitar una tarjeta inteligente virtual.

Dentro de Citrix Workspace, el proceso general de inicio de sesión único en una aplicación y escritorio virtuales basados en Windows es el siguiente:

En este ejemplo se supone que Citrix Virtual Apps and Desktop es una implementación local.

Si las organizaciones utilizan Citrix Virtual Apps and Desktops Service basado en la nube, la arquitectura es similar a la siguiente:

SSO a aplicaciones virtuales y escritorios basados en Windows dentro de Citrix Workspace ayuda a resolver algunos desafíos de experiencia de usuario y administrador:

1. Los usuarios no reciben un mensaje de autenticación al acceder a una aplicación virtual o a un escritorio
2. Los usuarios no tienen que crear, actualizar y recordar contraseñas complejas para su identidad de Active Directory
3. Los administradores pueden inhabilitar el acceso a todas las aplicaciones y escritorios virtuales inhabilitando la identidad principal del usuario

Para integrar correctamente el servicio de autenticación federada, tenga en cuenta lo siguiente:

• Sincronización: la identidad principal del espacio de trabajo debe mantener la sincronización con la identidad secundaria basada en Active Directory. Muchos proveedores de identidades principales incluyen una herramienta de sincronización de Active Directory para ayudar a mantener la sincronización entre identidades primaria y secundaria. Sin una sincronización adecuada, el servicio de autenticación federada no puede asociar una identidad de Active Directory a la tarjeta inteligente virtual.
• Autenticación de solo tarjeta inteligente: con un objeto de directiva de grupo, los administradores pueden forzar la autenticación de solo tarjeta inteligente. Esto elimina la posibilidad de que un usuario intente omitir la identidad primaria protegida mediante la credencial de nombre de usuario/contraseña de la identidad secundaria. Sin embargo, si un usuario debe utilizar alguna vez el nombre de usuario/contraseña para iniciar sesión de forma interactiva en un servicio, la autenticación falla con esta configuración de directiva habilitada.
• Seguridad de tarjetas inteligentes virtuales: es importante asegurarse de que la infraestructura del servicio de autenticación federada esté administrada y protegida adecuadamente. El siguiente artículo proporciona recomendaciones de seguridad para el servicio de autenticación federada.
• Redundancia: en una implementación de producción, la arquitectura general debe incorporar tolerancia a fallos como parte del diseño. Esto incluye servidores redundantes de servicios de autenticación federados, autoridades de certificación, etc. Dependiendo de la escala del entorno, es posible que las organizaciones deban dedicar entidades emisoras de certificados subordinadas en lugar de apuntar a la entidad emisora de certificados raíz.
• Entidad de certificación: para una implementación de producción, las organizaciones deben diseñar la entidad emisora de certificados para controlar la escala. Además, las organizaciones deben diseñar correctamente la infraestructura de lista de revocación de certificados (CRL) asociada para superar posibles interrupciones del servicio.
• Autenticación terciaria: en una sesión de escritorio virtual, muchos sitios web internos requieren que los usuarios se autentiquen con una identidad de Active Directory. La tarjeta inteligente virtual utilizada para proporcionar inicio de sesión único al escritorio virtual se puede utilizar para proporcionar inicio de sesión único en el sitio web interno. El servicio de autenticación federada permite (a través de un objeto de directiva de grupo) certificados en sesión donde la tarjeta inteligente virtual se coloca en el almacén de certificados de usuario. Esta capacidad proporciona inicio de sesión único a estos recursos terciarios.

SSO: Encadenamiento de IdP

Muchas organizaciones confían actualmente en una solución de terceros (Okta, Ping, Azure, etc.) para proporcionar inicio de sesión único a aplicaciones SaaS. Citrix Workspace puede integrar las aplicaciones SaaS habilitadas para SSO en la fuente de recursos del usuario mediante un proceso denominado encadenamiento de IdP. El encadenamiento de IdP esencialmente convierte una aserción SAML en otra aserción SAML. El encadenamiento de IdP permite a las organizaciones mantener su proveedor de SSO actual mientras se integra completamente con Citrix Workspace, incluida la implementación de directivas de seguridad mejoradas.

Cuando Citrix Workspace proporciona SSO a aplicaciones SaaS, utiliza autenticación SAML. La autenticación basada en SAML funciona asociando dos cuentas de usuario diferentes (primaria y secundaria) con atributos comunes, normalmente un nombre principal de usuario (UPN) o una dirección de correo electrónico.

Con el inicio de sesión único basado en SAML, hay dos socios:

1. Proveedor de servicios (SP): la entidad que entrega un servicio y contiene una identidad secundaria
2. Proveedor de identidades (IdP): la entidad que proporciona validación para la identidad principal del usuario. El proveedor de identidades de un grupo SAML no tiene que ser la autoridad final sobre la identidad del usuario.

El directorio de usuario principal es la autoridad final sobre la identidad del usuario. Citrix Workspace, actuando como agente de identidades (IDB), obtiene notificaciones sobre el usuario del directorio de usuario principal (Dir) para crear una aserción SAML. La afirmación demuestra la identidad del usuario ante el proveedor de servicios (SP) y cumple con el proceso de inicio de sesión único.

Cuando una organización ya utiliza otro proveedor de inicio de sesión único, el encadenamiento de IdP agrega un vínculo de autenticación SAML adicional a la cadena de autenticación.

En este ejemplo de encadenamiento de IdP, Citrix Workspace, actuando como agente de identidades, autentica al usuario en el directorio de usuario principal. Dentro del primer vínculo SAML, Citrix Workspace utiliza notificaciones sobre el usuario para crear una aserción SAML para un recurso específico de Okta, que actúa como proveedor de servicios. Dentro del segundo enlace SAML, Okta utiliza reclamos sobre el usuario para crear una aserción SAML para una aplicación SaaS específica, que es el proveedor de servicios.

El encadenamiento de IdP agrega vínculos adicionales entre la identidad principal del usuario y el servicio solicitado. Dentro de cada enlace SAML, el atributo común entre el proveedor de identidad y el proveedor de servicios debe ser el mismo. A medida que la autenticación pasa a través de diferentes enlaces de la cadena, el atributo común puede cambiar.

Dentro de cada vínculo SAML, el proveedor de identidades asocia la solicitud de autenticación con una URL de inicio de sesión específica de SAML para cada aplicación SaaS. Esta URL recibe la aserción del usuario, que incluye el atributo común. Cuando el proveedor de servicios recibe la aserción, debe validarla contra la entidad que generó la aserción, que es la URL del emisor SAML del proveedor de identidad.

En una cadena de IdP, el proceso es idéntico excepto que cada aplicación habilitada para SSO dentro del proveedor de SSO tiene una URL específica de la aplicación. La URL específica de la aplicación actúa como proveedor de servicios. La URL específica de la aplicación se utiliza como URL de inicio de sesión SAML para cuando el proveedor de inicio de sesión único asume la función de proveedor de servicios.

En este ejemplo, cuando un usuario selecciona una aplicación habilitada para OKTA desde Citrix Workspace, Citrix Workspace presenta la aserción a la dirección URL de inicio de sesión SAML para la aplicación Okta solicitada. Okta valida la aserción con la URL del emisor SAML de Citrix Workspace. Una vez correcto, Okta presenta una afirmación a la URL de inicio de sesión SAML de la aplicación SaaS, que valida la aserción con la URL del emisor SAML de Okta.

La forma más fácil de pensar en el encadenamiento de IdP es centrarse en cada eslabón de la cadena individualmente, que incluye un proveedor de identidad y un proveedor de servicios. En este ejemplo, los enlaces de la cadena son:

1. De Citrix a Okta
2. De Okta a Workday

Esto da como resultado el siguiente flujo de autenticación:

La creación de una cadena de IdP permite a las organizaciones mantener su proveedor de SSO actual y, al mismo tiempo, unificar todos los recursos dentro de Citrix Workspace.