Product Documentation

Servicio de autenticación federada

Jul 12, 2016

El servicio de autenticación federada (Federated Authentication Service) de Citrix es un componente con privilegios diseñado para integrarlo con el Servicio de Certificados de Active Directory. Emite certificados para los usuarios de forma dinámica, lo que les permite iniciar sesiones en un entorno de Active Directory como si tuvieran una tarjeta inteligente. Esto permite a StoreFront usar una gama más amplia de opciones de autenticación, tales como aserciones SAML (Security Assertion Markup Language). SAML se usa normalmente como alternativa a las cuentas de usuario tradicionales de Windows en Internet.  

El siguiente diagrama muestra el servicio de autenticación federada integrado con una entidad de certificación de Microsoft y ofreciendo servicios de respaldo para StoreFront y los agentes Virtual Delivery Agent (VDA) de XenApp y XenDesktop.

localized image

Los servidores StoreFront de confianza contactan con el servicio de autenticación federada (Federated Authentication Service, FAS) a medida que los usuarios solicitan acceso a los entornos Citrix. El servicio FAS concede un tíquet que permite que una sola de sesión de XenApp o XenDesktop se autentique con un certificado para esa sesión. Cuando un agente VDA debe autenticar a un usuario, se conecta al servicio FAS y canjea el tíquet. Solo el servicio FAS tiene acceso a la clave privada del certificado del usuario; el VDA debe enviar cada operación de firma y descifrado que necesita llevar a cabo con el certificado al servicio FAS.

Requisitos

El servicio de autenticación federada se admite en servidores Windows (Windows Server 2008 R2 o una versión posterior).

  • Citrix recomienda la instalación del servicio FAS en un servidor que no contenga ningún otro componente de Citrix.
  • El servidor de Windows debe ser seguro. Este servidor tendrá acceso a un certificado de autorización de registro y una clave privada que permitirá emitir certificados para los usuarios del dominio y tendrá acceso a esos certificados de usuario y sus claves privadas.

En el sitio de XenApp o XenDesktop:

  • Los Delivery Controllers deben ser de la versión 7.9 como mínimo.
  • El VDA debe ser como mínimo de la versión 7.9. Compruebe que la configuración de directiva de grupo del servicio de autenticación federada se ha aplicado correctamente para los VDA antes de crear el catálogo de máquinas de la forma habitual; consulte la sección Configurar la directiva de grupo para obtener más detalles.
  • El servidor StoreFront debe ser como mínimo de la versión 3.6 (esta es la versión suministrada en la imagen ISO de XenApp y XenDesktop 7.9).

Al planificar la implementación de este servicio, revise la sección Consideraciones de seguridad.

Referencias:

  • Servicios de Certificados de Active Directory

https://technet.microsoft.com/en-us/library/hh831740.aspx

  • Configuración de Windows para el inicio de sesión con certificados

http://support.citrix.com/article/CTX206156

Secuencia de instalación y configuración

Instalación del Servicio de autenticación federada

Por motivos de seguridad, Citrix recomienda que el Servicio de autenticación federada (FAS) esté instalado en un servidor dedicado que sea seguro, y esté protegido del mismo modo que un controlador de dominio o una entidad de certificación. El servicio FAS se puede instalar con el botón Servicio de autenticación federada en la pantalla de autoejecución que aparece cuando se abre la imagen ISO.

Se instalarán los siguientes componentes:

Habilitación del plug-in del Servicio de autenticación federada en un almacén de StoreFront

Para habilitar la integración del Servicio de autenticación federada en un almacén de StoreFront, ejecute los siguientes cmdlets de PowerShell con una cuenta de administrador. Si tiene más de un almacén, o si el almacén tiene otro nombre, la ruta indicada aquí puede ser distinta de la suya.

comando Copiar

Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"

Para dejar de usar el servicio FAS, use el siguiente script de PowerShell:

comando Copiar

Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""

Configuración de Delivery Controller

Para usar el Servicio de autenticación federada, configure el Delivery Controller de XenApp o XenDesktop para que confíe en los servidores StoreFront que pueden conectar con él: ejecute el cmdlet de PowerShell Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true.

Configuración de la directiva de grupo

Después de instalar el Servicio de autenticación federada, se deben especificar las direcciones DNS completas de los servidores del servicio FAS en Directiva de grupo usando las plantillas de directiva de grupo suministradas en la instalación.

Importante: Asegúrese de que los servidores StoreFront que solicitan tiquets y los VDA que canjean los tiquets tienen una configuración de direcciones DNS idéntica, incluida la numeración automática de los servidores por parte del objeto de directiva de grupo. 

Para simplificar la tarea, los siguientes ejemplos configuran una sola directiva en el nivel de dominio que se aplica a todas las máquinas; sin embargo, esto no es necesario. El servicio FAS funcionará siempre que los servidores StoreFront, los VDA y la máquina que ejecuta la consola de administración de FAS vean la misma lista de direcciones DNS. Tenga en cuenta que el objeto de directiva de grupo agrega un número de índice a cada entrada, que también debe coincidir cuando se usan varios objetos.

Paso 1. En el servidor donde instaló el servicio FAS, busque el archivo C:\Archivos de programa\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx y la carpeta en-US. 

localized image

Paso 2: Cópielos en el controlador de dominio y colóquelos en la unidad C:\Windows\PolicyDefinitions y en la subcarpeta en-US.

Paso 3: Ejecute Microsoft Management Console (mmc.exe desde la línea de comandos). En la barra de menús, seleccione Archivo > Agregar o quitar complemento. Agregue el Editor de administración de directivas de grupo.

Cuando se le solicite un objeto de directiva de grupo, seleccione Examinar y, a continuación, seleccione Directiva predeterminada de dominio. De forma alternativa, puede crear y seleccionar un objeto de directiva adecuado para el entorno, mediante las herramientas de su elección. La directiva debe aplicarse a todas las máquinas que ejecutan el software de Citrix afectado (VDA, servidores StoreFront, herramientas de administración).

localized image

Paso 4: Vaya a la directiva de Servicio de autenticación federada (Federated Authentication Service) en Configuración del equipo/Directivas/Plantillas administrativas/Citrix Components/Authentication.

localized image

Paso 5: Abra la directiva Federated Authentication Service y seleccione Habilitada. Esto le permite seleccionar el botón Mostrar con el que puede configurar las direcciones DNS de servidores del servicio FAS.

localized image

Paso 6: Escriba las direcciones DNS de los servidores que alojan el Servicio de autenticación federada.  

Recuerde: Si escribe varias direcciones, el orden de la lista debe ser coherente entre los servidores de StoreFront y los VDA. Esto incluye las entradas en blanco y las entradas de no utilizadas de la lista.  

Paso 7: Haga clic en Aceptar para salir del asistente de directivas de grupo y aplicar los cambios de la directiva de grupo. Es posible que tenga que reiniciar las máquinas (o ejecutar gpupdate /force desde la línea de comandos) para que el cambio surta efecto.

Habilitación del respaldo de certificados en la sesión

La plantilla de directiva de grupo incluye respaldo para configurar el sistema para usar certificados de la sesión. Esto coloca los certificados en el almacén de certificados personal del usuario después del inicio de sesión para el uso de aplicaciones. Por ejemplo, si necesita usar autenticación TLS en los servidores Web dentro de la sesión de VDA, Internet Explorer puede usar el certificado. De forma predeterminada, los VDA no permitirán el acceso a los certificados después de iniciar la sesión.  

localized image

Uso de la consola de administración de los Servicios de autenticación federada

La consola de administración del Servicio de autenticación federada se instala como parte del servicio de autenticación federada. Se coloca el icono Citrix Federated Authentication Service en el menú Inicio.

La consola intenta encontrar automáticamente los servidores del servicio FAS del entorno mediante la configuración de directiva de grupo. Si esto falla, consulte la sección Configuración de la directiva de grupo.

localized image

Si la cuenta de usuario no es miembro del grupo Administradores en el equipo que ejecuta el Servicio de autenticación federada, se le solicitará que introduzca las credenciales.

localized image

La primera vez que se utiliza la consola de administración, se le guiará a través de un proceso de tres pasos que implementa las plantillas de certificado, establece la entidad de certificación y autoriza al Servicio de autenticación federada para usar la entidad de certificación. Algunos de los pasos pueden completarse manualmente mediante herramientas de configuración del sistema operativo.

localized image

Implementación de plantillas de certificado

Para evitar problemas de interoperabilidad con otros programas de software, el Servicio de autenticación federada proporciona tres plantillas de certificado de Citrix para su propio uso.

  • Citrix_RegistrationAuthority_ManualAuthorization
  • Citrix_RegistrationAuthority
  • Citrix_SmartcardLogon

Estas plantillas deben registrarse con Active Directory. Si la consola no puede encontrarlas, se pueden instalar con la herramienta para Deploy certificate templates. Esta herramienta debe ejecutarse con una cuenta que tenga permisos para administrar el bosque de AD de su empresa.

localized image

La configuración de las plantillas se encuentra en los archivos XML con la extensión .certificatetemplate que se instalan con el Servicio de autenticación federada en:

C:\Archivos de programa\Citrix\Federated Authentication Service\CertificateTemplates

Si no dispone de permiso para instalar estos archivos de plantilla, déselas al administrador de Active Directory.  

Para instalar manualmente las plantillas, pueden usar los siguientes comandos de PowerShell:

comando Copiar

$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
$CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
$CertEnrol.InitializeImport($template)
$comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)

$writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
$writabletemplate.Initialize($comtemplate)
$writabletemplate.Commit(1, $NULL)

Configuración de los Servicios de certificados de Active Directory

Después de instalar las plantillas de certificado de Citrix, deben publicarse en uno o varios servidores de entidad de certificación de Microsoft. Consulte la documentación de Microsoft acerca de cómo implementar Servicios de certificados de Active Directory.

Si las plantillas no se publican en, al menos, un servidor, la herramienta Setup certificate authority solicita publicarlas. Debe ejecutar esta herramienta como un usuario que tenga permisos para administrar la entidad de certificación.

(También se pueden publicar plantillas de certificado mediante la consola de Entidad de certificación de Microsoft).

localized image

Autorización del Servicio de autenticación federada

El paso final de configuración en la consola inicia la autorización del Servicio de autenticación federada. La consola de administración utiliza la plantilla Citrix_RegistrationAuthority_ManualAuthorization para generar una solicitud de certificado y, a continuación, lo envía a una de las entidades de certificación que publican esa plantilla.

localized image

Después de enviarse la solicitud, aparecerá en la lista de Solicitudes pendientes de la consola de la entidad de certificación de Microsoft. El administrador de la entidad de certificación debe elegir entre Emitir o Rechazar la solicitud antes de que la configuración del servicio de autenticación federada pueda continuar. Tenga en cuenta que la solicitud de autorización se muestra como una Solicitud pendiente desde la cuenta de equipo de FAS.  

localized image

Haga clic con el botón secundario en Todas las tareas y, a continuación, seleccione Emitir o Rechazar la solicitud de certificado. La consola de administración del Servicio de autenticación federada detecta automáticamente cuando se completa el proceso. Esto puede tardar unos minutos.

localized image

Configuración de reglas de usuario

Una regla de usuario autoriza la emisión de certificados para el inicio de sesión en los VDA y uso dentro de sesiones, según lo indique StoreFront. Cada regla especifica los servidores StoreFront que son de confianza para solicitar certificados, el conjunto de usuarios para los que pueden ser solicitados y el conjunto de máquinas VDA a las que se les permite usarlos.

Para completar la instalación del Servicio de autenticación federada, el administrador debe definir la regla predeterminada. Para ello, debe ir a la ficha User Rules de la consola de administración del servicio FAS, seleccionar una entidad de certificación donde esté publicada la plantilla Citrix_SmartcardLogon y editar la lista de servidores StoreFront. La lista de VDA incluye de forma predeterminada los Equipos del dominio y la lista de usuario incluye de forma predeterminada los Usuarios del dominio, pero esto puede cambiarse si estos valores predeterminados no son los adecuados.

localized image

Campos:

Certificate Authority and Certificate Template: La plantilla de certificado y la entidad de certificación que se van a usar para emitir certificados de usuario. Esta debe ser la plantilla Citrix_SmartcardLogon, o una copia modificada de ella, en una de las entidades de certificación donde esté publicada esta plantilla.

El servicio FAS respalda varias entidades de certificación para la conmutación por error y el equilibrio de carga, y esto es configurable mediante comandos de PowerShell. Del mismo modo, se pueden configurar opciones de generación de certificados más avanzadas mediante la línea de comandos y los archivos de configuración. Consulte las secciones PowerShell y Módulos de seguridad de hardware.

In-Session Certificates: La casilla Available after logon controla si un certificado puede usarse también como certificado de la sesión.  Si la casilla no está marcada, el certificado se usará solo para el inicio de sesión o la reconexión y el usuario no tendrá acceso al certificado después de autenticarse.

List of StoreFront servers that can use this rule:  La lista de máquinas de servidor StoreFront de confianza que están autorizadas para solicitar certificados para el inicio de sesión o la reconexión de usuarios. Tenga en cuenta que este parámetro es fundamental para la seguridad y es necesario configurarlo muy cuidadosamente.

localized image

List of VDA desktops and servers that can be logged into by this rule: La lista de las máquinas de VDA donde los usuarios pueden iniciar sesiones usando el sistema del Servicio de autenticación federada.

localized image

List of users that StoreFront can log in using this rule: Lista de los usuarios para los que se pueden emitir certificados a través del Servicio de autenticación federada.

localized image

Uso avanzado

Puede crear reglas adicionales para hacer referencia a otras plantillas de certificado y entidades de certificación, que pueden haberse configurado con propiedades y permisos diferentes. Estas reglas se pueden configurar para ser utilizadas por distintos servidores StoreFront, que a su vez deberán configurarse para solicitar la nueva regla por su nombre. De forma predeterminada, StoreFront solicita la regla predeterminada default al contactar con el Servicio de autenticación federada. Esto se puede cambiar mediante las opciones de configuración de la directiva de grupo.

Para crear una nueva plantilla de certificado, cree un duplicado de la plantilla Citrix_SmartcardLogon en la consola de la entidad de certificación de Microsoft, cámbiele el nombre (por ejemplo, Citrix_SmartcardLogon2) y modifíquela según sea necesario. Cree una nueva regla, haciendo clic en Add para que haga referencia a la nueva plantilla de certificado.

Consideraciones sobre seguridad

El Servicio de autenticación federada (FAS) tiene un certificado de autorización de registro que le permite emitir certificados de forma autónoma en nombre de los usuarios de dominio. Como consecuencia, es muy importante desarrollar e implementar una directiva de seguridad para proteger los servidores del servicio FAS y restringir sus permisos.

Agentes de inscripción delegada

La entidad de certificación de Microsoft permite controlar qué plantillas puede usar el servidor del servicio FAS, así como limitar para qué usuarios puede emitir certificados dicho servidor.

localized image

Citrix recomienda configurar estas opciones de modo que el Servicio de autenticación federada solo pueda emitir certificados para los usuarios apropiados. Por ejemplo, es una buena práctica impedir que el Servicio de autenticación federada emita certificados para los usuarios incluidos en un grupo de Administración o de Usuarios protegidos.

Configuración de una lista de control de acceso

Como se describe en la sección de Configuración de roles de usuario, debe configurar una lista de servidores StoreFront con la confianza necesaria para la aserción de identidades de usuario de cara al Servicio de autenticación federada cuando se emiten certificados. Del mismo modo, puede restringir para qué usuarios se pueden emitir certificados y en qué máquinas VDA se pueden autenticar. Esto es adicional a las funciones de seguridad estándar de la entidad de certificación o de Active Directory.

Parámetros de firewall

Todas las comunicaciones con los servidores del servicio FAS usan conexiones de red Kerberos de Windows Communication Foundation (WCF) a través del puerto 80, con autenticación mutua.  

Supervisión del registro de eventos

El Servicio de autenticación federada y el VDA escriben información en el registro de eventos de Windows. Esto se puede utilizar para ver información de supervisión y auditoría. La sección Registros de eventos enumera las entradas del registro de eventos que pueden generarse.

Módulo de seguridad de hardware

Todas las claves privadas, incluidas las de los certificados de usuario emitidos por el Servicio de autenticación federada, se almacenan como claves privadas no exportables con la cuenta de Servicio de red. El Servicio de autenticación federada admite el uso de un módulo de seguridad de hardware de cifrado, si su directiva de seguridad así lo requiere.

La configuración criptográfica de bajo nivel está disponible en el archivo FederatedAuthenticationService.exe.config. Estos parámetros se aplican cuando las claves privadas se crean por primera vez. Por lo tanto, se pueden usar parámetros diferentes para las claves privadas de autoridad de registro (por ejemplo, 4096 bits, protegido por TPM) y de los certificados de usuario en tiempo de ejecución.

Parámetro

Descripción

ProviderLegacyCsp

Cuando tiene el valor True, el servicio FAS usará el Microsoft CryptoAPI (CAPI). De lo contrario, el servicio FAS usará Microsoft Cryptography Next Generation API (CNG).

ProviderName

Nombre del proveedor de CAPI o CNG que se va a usar.

ProviderType

Se refiere a Microsoft KeyContainerPermissionAccessEntry.ProviderType Property PROV_RSA_AES 24. Debe ser siempre 24 a menos que esté usando un HSM con CAPI y el proveedor de HSM especifique otra cosa.

KeyProtection

Controla la marca “Exportable” de las claves privadas. También permite el uso del almacenamiento de claves TPM (Trusted Platform Module), si lo admite el hardware.

KeyLength

Longitud de clave para las claves privadas de RSA . Los valores admitidos son 1024, 2048 y 4096 (predeterminado: 2048).

PowerShell SDK

Aunque la consola de administración del Servicio de autenticación federada es adecuada para implementaciones simples, la interfaz de PowerShell ofrece opciones más avanzadas. Cuando use opciones que no estén disponibles en la consola, Citrix recomienda utilizar solo PowerShell para la configuración.

El siguiente comando agrega los cmdlets de PowerShell:

Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1

Use Get-Help <nombre del cmdlet > para ver la ayuda de uso de los cmdlet. La siguiente tabla muestra algunos comandos donde * representa un verbo estándar de PowerShell (tales como New, Get, Set, Remove).

Comandos

Información general

*-FasServer

Muestra y reconfigura los servidores del servicio FAS en el entorno actual.

*-FasAuthorizationCertificate

Administra el certificado de autoridad de registro.

*-FasCertificateDefinition

Controla los parámetros que usa el servicio FAS para generar certificados.

*-FasRule

Administra las reglas de usuario configuradas en el Servicio de autenticación federada.

*-FasUserCertificate

Muestra y administra certificados almacenados en caché por el Servicio de autenticación federada.

Se pueden usar cmdlets de PowerShell de forma remota especificando la dirección de un servidor del servicio FAS.

También puede descargar un archivo zip que contiene todos los archivos de ayuda de cmdlets de PowerShell para FAS; consulte el artículo PowerShell SDK.

Contadores de rendimiento

El Servicio de autenticación federada incluye un conjunto de contadores de rendimiento para el seguimiento de la carga.

localized image

En la siguiente tabla se muestran los contadores disponibles. La mayoría de estos contadores muestran la media calculada cada cinco minutos.

Nombre

Descripción

Active Sessions

Cantidad de conexiones con seguimiento del Servicio de autenticación federada.

Concurrent CSRs

Cantidad de solicitudes de certificado procesadas al mismo tiempo.

Private Key ops

Cantidad de operaciones de clave privada realizadas por minuto.

Request time

Tiempo tomado para generar y firmar un certificado.

Certificate Count

Cantidad de certificados en caché en el Servicio de autenticación federada.

CSR per minute

Cantidad de solicitudes de certificados (CSR) procesadas por minuto.

Low/Medium/High

Estimaciones de la carga que el Servicio de autenticación federada puede aceptar en términos de “Solicitudes de certificado (CSR) por minuto". Si se supera el umbral de "Carga alta" el lanzamiento de sesiones puede fallar.

Registros de eventos

En las siguientes tablas se enumeran las entradas de registro de eventos generadas por el Servicio de autenticación federada.

Eventos de administración

[Origen del evento: Citrix.Authentication.FederatedAuthenticationService]

Estos eventos se registran como respuesta a un cambio de la configuración en el servidor del Servicio de autenticación federada.

Códigos de registro

[S001] ACCESS DENIED: User [{0}] is not a member of Administrators group

[S002] ACCESS DENIED: User [{0}] is not an Administrator of Role [{1}]

[S003] Administrator [{0}] setting Maintenance Mode to [{1}]

[S004] Administrator [{0}] enrolling with CA [{1}] templates [{2} and {3}]

[S005] Administrator [{0}] de-authorizing CA [{1}]

[S006] Administrator [{0}] creating new Certificate Definition [{1}]

[S007] Administrator [{0}] updating Certificate Definition [{1}]

[S008] Administrator [{0}] deleting Certificate Definition [{1}]

[S009] Administrator [{0}] creating new Role [{1}]

[S010] Administrator [{0}] updating Role [{1}]

[S011] Administrator [{0}] deleting Role [{1}]

[S012] Administrator [{0}] creating certificate [upn: {0} sid: {1} role: {2}][Certificate Definition: {3}]

[S013] Administrator [{0}] deleting certificates [upn: {0} role: {1} Certificate Definition: {2}]

 

Códigos de registro

[S401] Performing configuration upgrade -- [From version {0}][to version {1}]

[S402] ERROR: The Citrix Federated Authentication Service must be run as Network Service [currently running as: {0}]

 

Creación de aserciones de identidad [Servicio de autenticación federada]

Estos sucesos se registran durante el tiempo de ejecución en el servidor del Servicio de autenticación federada cuando un servidor de confianza realiza una aserción de un iinicio de sesión de usuario.

Códigos de registro

[S101] Server [{0}] is not authorized to assert identities in role [{1}]

[S102] Server [{0}] failed to assert UPN [{1}] (Exception: {2}{3})

[S103] Server [{0}] requested UPN [{1}] SID {2}, but lookup returned SID {3}

[S104] Server [{0}] failed to assert UPN [{1}] (UPN not allowed by role [{2}])

[S105] Server [{0}] issued identity assertion [upn: {0}, role {1}, Security Context: [{2}]

 

[S120] Issuing certificate to [upn: {0} role: {1} Security Context: [{2}]]

[S121] Issuing certificate to [upn: {0} role: {1}] on behalf of account {2}

[S122]  Warning: Server is overloaded [upn: {0} role: {1}][Requests per minute {2}].

 

Actuando como usuario de confianza [Servicio de autenticación federada]

Estos sucesos se registran durante el tiempo de ejecución en el servidor del Servicio de autenticación federada cuando un VDA inicia la sesión de un usuario.

Códigos de registro

[S201] Relying party [{0}] does not have access to a password.

[S202] Relying party [{0}] does not have access to a certificate.

[S203] Relying party [{0}] does not have access to the Logon CSP

[S204] Relying party [{0}] accessing the Logon CSP [Operation: {1}]

[S205] Calling account [{0}] is not a relying party in role [{1}]

[S206] Calling account [{0}] is not a relying party

[S207] Relying party [{0}] asserting identity [upn: {1}] in role: [{2}]

[S208] Private Key operation failed [Operation: {0}][upn: {1} role: {2} certificateDefinition {3}][Error {4} {5}].

 

Servidor de certificados de sesión [Servicio de autenticación federada]

Estos sucesos se registran en el servidor del Servicio de autenticación federada cuando un usuario utiliza un certificado de sesión.

Códigos de registro

[S301] Access Denied: User [{0}] does not have access to a Virtual Smart Card

[S302] User [{0}] requested unknown Virtual Smart Card [thumbprint: {1}]

[S303] User [{0}] does not match Virtual Smart Card [upn: {1}]

[S304] User [{1}] running program [{2}] on computer [{3}] using Virtual Smart Card [upn: {4} role: {5}] for private key operation: [{6}]

[S305] Private Key operation failed [Operation: {0}][upn: {1} role: {2} containerName {3}][Error {4} {5}].

 

Inicio de sesión [VDA]

[Origen del evento: Citrix.Authentication.IdentityAssertion]

Estos sucesos se registran en el VDA durante la fase de inicio de sesión.

Códigos de registro

[S101] Identity Assertion Logon failed.  Unrecognised Federated Authentication Service [id: {0}]

[S102] Identity Assertion Logon failed.  Could not lookup SID for {0} [Exception: {1}{2}]

[S103] Identity Assertion Logon failed.  User {0} has SID {1}, expected SID {2}

[S104] Identity Assertion Logon failed.  Failed to connect to Federated Authentication Service: {0} [Error: {1} {2}]

[S105] Identity Assertion Logon.  Logging in [Username: {0}][Domain: {1}]

[S106] Identity Assertion Logon.  Logging in [Certificate: {0}]

[S107] Identity Assertion Logon failed.  [Exception: {1}{2}]

[S108] Identity Assertion Subsystem.  ACCESS_DENIED [Caller: {0}]

 

Certificados de sesión [VDA]

Estos sucesos se registran en el VDA cuando un usuario intenta usar un certificado de sesión.

Códigos de registro

[S201] Virtual Smart Card Authorized [User: {0}][PID: {1} Name:{2}][Certificate {3}]

[S202] Virtual Smart Card Subsystem. No smart cards available in session {0}

[S203] Virtual Smart Card Subsystem.  Access Denied [caller: {0}, session {1}, expected: {2}]

[S204] Virtual Smart Card Subsystem.  Smart card support disabled.

 

Códigos de solicitud y generación de certificados [Servicio de autenticación federada]

[Origen del evento: Citrix.TrustFabric]

Estos eventos de bajo nivel se registran cuando el Servicio de autenticación federada realiza operaciones criptográficas de bajo nivel.

Códigos de registro

[S0001]TrustArea::TrustArea: Installed certificate chain

[S0002]TrustArea::Join: Callback has authorized an untrusted certificate

[S0003]TrustArea::Join: Joining to a trusted server

[S0004]TrustArea::Maintain: Renewed certificate

[S0005]TrustArea::Maintain: Retrieved new certificate chain

[S0006]TrustArea::Export: Exporting private key

[S0007]TrustArea::Import: Importing Trust Area

[S0008]TrustArea::Leave: Leaving Trust Area

[S0009]TrustArea::SecurityDescriptor: Setting Security Descriptor

[S0010]CertificateVerification: Installing new trusted certificate

[S0011]CertificateVerification: Uninstalling expired trusted certificate

[S0012]TrustFabricHttpClient: Attempting single sign-on to {0}

[S0013]TrustFabricHttpClient: Explicit credentials entered for {0}

[S0014]Pkcs10Request::Create: Created PKCS10 request

[S0015]Pkcs10Request::Renew: Created PKCS10 request

[S0016]PrivateKey::Create

[S0017]PrivateKey::Delete

[S0018]TrustArea::TrustArea: Waiting for Approval

[S0019]TrustArea::Join: Delayed Join

[S0020]TrustArea::Join: Delayed Join

[S0021]TrustArea::Maintain: Installed certificate chain

 

Códigos de registro

[S0101]TrustAreaServer::Create root certificate

[S0102]TrustAreaServer::Subordinate: Join succeeded

[S0103]TrustAreaServer::PeerJoin: Join succeeded

[S0104]MicrosoftCertificateAuthority::GetCredentials: Authorized to use {0}

[S0104]MicrosoftCertificateAuthority::SubmitCertificateRequest Error {0}

[S0105]MicrosoftCertificateAuthority::SubmitCertificateRequest Issued cert {0}

[S0106]MicrosoftCertificateAuthority::PublishCRL: Published CRL

[S0107]MicrosoftCertificateAuthority::ReissueCertificate Error {0}

[S0108]MicrosoftCertificateAuthority::ReissueCertificate Issued Cert {0}

[S0109]MicrosoftCertificateAuthority::CompleteCertificateRequest - Still waiting for approval

[S0110]MicrosoftCertificateAuthority::CompleteCertificateRequest - Pending certificate refused

[S0111]MicrosoftCertificateAuthority::CompleteCertificateRequest Issued certificate

[S0112]MicrosoftCertificateAuthority::SubmitCertificateRequest - Waiting for approval

[S0120]NativeCertificateAuthority::SubmitCertificateRequest Issued cert {0}

[S0121]NativeCertificateAuthority::SubmitCertificateRequest Error

[S0122]NativeCertificateAuthority::RootCARollover New root certificate

[S0123]NativeCertificateAuthority::ReissueCertificate New certificate

[S0124]NativeCertificateAuthority::RevokeCertificate

[S0125]NativeCertificateAuthority::PublishCRL

 

Información relacionada