Product Documentation

Vista general de las arquitecturas de Servicios de autenticación federada

Jul 07, 2016

Introducción

El servicio de autenticación federada FAS (Federated Authentication Service) es un componente de Citrix que se integra con su entidad de certificación (CA) de Active Directory, lo que permite a los usuarios autenticarse de manera imperceptible dentro de un entorno Citrix. Este documento describe diversas arquitecturas de autenticación que pueden ser apropiadas para su implementación.

Cuando está habilitado, el servicio FAS delega las decisiones de autenticación de usuarios en servidores StoreFront de confianza. StoreFront tiene un amplio conjunto de opciones de autenticación integrado con tecnologías Web modernas y es fácilmente ampliable usando el SDK de StoreFront o complementos de IIS de terceros. El objetivo básico del diseño es conseguir que cualquier tecnología de autenticación que pueda autenticar a un usuario en un sitio Web se pueda usar ahora para iniciar una sesión en una implementación de Citrix XenApp o XenDesktop.

Este documento cubre algunos ejemplos de implementación de nivel superior, con una complejidad cada vez mayor.

Se proporcionan enlaces a artículos relativos al servicio FAS. Para todas las arquitecturas, el artículo Servicio de autenticación federada es la referencia principal para la instalación y la configuración de este servicio.

Funcionamiento

El servicio FAS está autorizado para emitir certificados de tarjeta inteligente automáticamente de parte de los usuarios de Active Directory que son autenticados por StoreFront. Esto usa interfaces API similares a las herramientas que permiten a los administradores aprovisionar tarjetas inteligentes físicas.

Cuando un broker gestiona el acceso de un usuario a Citrix XenApp o un Virtual Delivery Agent (VDA) de XenDesktop, el certificado se conecta a la máquina, y el dominio de Windows detecta el inicio de sesión como una acción de autenticación con tarjeta inteligente estándar.

Implementación interna

El servicio FAS permite que los usuarios se autentiquen de forma segura en StoreFront usando una gran variedad de opciones de autenticación (incluido el inicio de sesión Single Sign-on de Kerberos) y se conecten con una sesión Citrix HDX con autenticación completa.

Esto permite la autenticación de Windows sin diálogos para introducir las credenciales de usuario o el PIN de tarjeta inteligente, y sin tener que usar la funcionalidad de "administración de contraseñas guardadas", tales como el servicio Single Sign-on Service. Esto puede utilizarse para reemplazar las funciones de Delegación limitada de Kerberos disponibles en versiones anteriores de XenApp.

Todos los usuarios tienen acceso a certificados de infraestructura de clave pública (PKI) dentro de su sesión, independientemente de si inician sesión en los dispositivos de punto final con una tarjeta inteligente o no. Esto permite una migración sin problemas a modelos de autenticación de dos factores, incluso desde dispositivos como smartphones y tabletas que no tienen un lector de tarjeta inteligente.

Esta implementación agrega un nuevo servidor en el que se ejecuta el servicio FAS, que está autorizado para emitir certificados de clase de tarjeta inteligente en nombre de los usuarios. Estos certificados se utilizan después para conectar con sesiones de usuario en un entorno de Citrix HDX como si se estuviera utilizando un inicio de sesión con tarjeta inteligente.

localized image

El entorno de XenApp o XenDesktop debe estar configurado de manera similar al inicio de sesión con tarjeta inteligente, que se describe en CTX206156.

En una implementación existente, esto normalmente solo implica asegurarse de que haya una entidad de certificación (CA) de Microsoft disponible y de que los controladores de dominio tengan asignados certificados de controlador de dominio. (Consulte la sección “Issuing Domain Controller Certificates” en el artículo CTX206156).

Información relacionada:

Implementación de NetScaler Gateway

La implementación de NetScaler es similar a la implementación interna, pero agrega Citrix NetScaler Gateway emparejado con StoreFront, moviendo el punto de autenticación principal al propio NetScaler. Citrix NetScaler incluye opciones muy sofisticadas de autenticación y autorización que se pueden usar para el acceso remoto seguro a los sitios Web de una empresa.

Esta implementación se puede utilizar para evitar la aparición de varias solicitudes de PIN que ocurren al autenticarse primero en NetScaler y, a continuación, iniciar sesión en una sesión de usuario. También permite el uso de las tecnologías de autenticación avanzada de NetScaler, sin necesidad de pedir adicionalmente contraseñas de Active Directory o tarjetas inteligentes.

localized image

El entorno de XenApp o XenDesktop debe estar configurado de manera similar al inicio de sesión con tarjeta inteligente, que se describe en CTX206156.

En el caso de una implementación existente, esto normalmente solo implica asegurarse de que haya una entidad de certificación (CA) de Microsoft disponible y de que los controladores de dominio tengan asignados certificados de controlador de dominio. (Consulte la sección “Issuing Domain Controller Certificates” en el artículo CTX206156).

Al configurar NetScaler como el sistema de autenticación principal, asegúrese de que todas las conexiones entre NetScaler y StoreFront están protegidas con TLS. En concreto, asegúrese de que la dirección URL de respuesta está configurada correctamente para que apunte al servidor NetScaler, ya que esto puede usarse para autenticar el servidor NetScaler en esta implementación.

localized image

Información relacionada:

Implementación de SAML de ADFS

Una tecnología de autenticación clave de NetScaler permite la integración con Microsoft ADFS, que puede funcionar como un proveedor de identidades (IdP) SAML. Una aserción SAML es un bloque XML firmado criptográficamente, emitido por un IdP de confianza, que autoriza a un usuario a iniciar una sesión en un sistema informático. Esto significa que el servidor FAS ahora permite delegar la autenticación de un usuario al servidor ADFS de Microsoft (o a otro IdP habilitado para SAML).

localized image

ADFS se usa normalmente para autenticar a los usuarios con seguridad de forma remota en los recursos de la empresa a través de Internet, por ejemplo, se usa para la integración de Office 365.

Información relacionada:

Asignación de cuentas B2B

Si dos empresas desean usar los sistemas informáticos de la otra, una opción común es configurar un servidor ADFS (Servicio de federación de Active Directory) con una relación de confianza. Esto permite que los usuarios de una empresa se autentiquen en el entorno de Active Directory (AD) de la otra, de manera imperceptible. Al iniciar sesión, cada usuario utiliza las credenciales de su propia empresa; ADFS asigna automáticamente esto a una "cuenta sombra" en el entorno de AD de la otra empresa.

localized image

Información relacionada:

Unión de Windows 10 a Azure AD

Windows 10 introdujo el concepto de "Unión a Azure AD", que es conceptualmente similar a la unión a un dominio Windows tradicional, solo que destinado a escenarios a través de Internet. Este sistema funciona bien con equipos portátiles y tabletas. Al igual que al unirse a un dominio de Windows tradicional, Azure AD tiene funciones para permitir modelos de inicio de sesión Single Sign-on en recursos y sitios Web de la empresa. Estos pueden funcionar con Internet por lo que funcionarán desde cualquier ubicación que esté conectada a Internet, no solo la red LAN de la oficina.

localized image

Esta implementación es un ejemplo donde no existe el concepto "usuarios finales de oficina". Los equipos portátiles se inscriben y se autentican en su totalidad a través de Internet utilizando las funciones modernas de Azure AD.

Tenga en cuenta que la infraestructura en esta implementación se puede ejecutar en cualquier donde haya una dirección IP: en las propias oficinas, en un proveedor alojado, Azure o en otro proveedor de nube. El sincronizador de Azure AD Connect se conectará automáticamente a Azure AD. El gráfico de ejemplo utiliza máquinas virtuales de Azure para simplificar la tarea.

Información relacionada: