Documentación de productos
Citrix Cloud
Ver PDF

Autenticación condicional

March 5, 2025
Contribución de: 
C

La autenticación condicional es una nueva función de seguridad que contribuye a mejorar aún más su marco Zero Trust. La autenticación condicional permite a los administradores de Citrix Cloud dirigir a los usuarios finales a diferentes IdP durante el flujo de inicio de sesión de Workspace en función de las condiciones de directiva que establezca. Por lo tanto, los diferentes usuarios finales tendrán diferentes niveles de verificación de acceso en función de los factores de riesgo establecidos por el administrador.

En el momento de redactar este artículo, se admiten cuatro condiciones de conmutación diferentes que dirigirán a los usuarios finales a diferentes instancias de IdP en función de las directivas que defina.

Autenticación condicional

Casos de uso comunes

  • Fusiones y adquisiciones, donde una gran organización matriz contiene varias empresas más pequeñas en proceso de fusión.
  • Otorgar acceso al espacio de trabajo a usuarios externos y contratistas dirigiéndolos a un IdP dedicado, una aplicación OIDC o una aplicación SAML, que es diferente de lo que los empleados de tiempo completo dentro de su organización normalmente están autorizados a usar.
  • Grandes organizaciones con varias sucursales o departamentos que requieren diferentes mecanismos de autenticación.

Requisitos previos

Varios IdP

Hasta ahora, solo se permitía una única instancia de un tipo de identidad. Citrix ahora admite la adición de varias instancias del mismo tipo de proveedor de identidad (por ejemplo, ahora se pueden agregar varios Azure AD en la ficha Administración de acceso e identidad).

Varios IdP

Importante:

Si bien DaaS y SPA actualmente admiten varios IdP, algunos servicios aún están trabajando en la implementación de esta funcionalidad y estarán disponibles en breve.

Configuración de la autenticación condicional

  1. Haga clic en Crear perfil de autenticación condicional.

    Crear perfil de autenticación condicional

  2. Introduzca un nombre para el perfil y, a continuación, haga clic en Crear directiva de autenticación.

    Crear directiva de autenticación

  3. Seleccione las condiciones que quiera aplicar a la directiva y, a continuación, haga clic en Guardar.

    Condiciones de autenticación

  4. Vaya a Configuración de Workspace y haga clic en Autenticación para seleccionar su proveedor de identidades o perfil de autenticación condicional.

    Autenticación

Conceptos de autenticación condicional

Perfil de autenticación condicional

Un perfil de autenticación condicional consta de varias directivas de autenticación condicional que controlan la forma en que los usuarios finales se autentican en Workspace en función de las condiciones que defina. Este perfil permite priorizar y reordenar las directivas, de manera que pueda especificar la secuencia en la que se deben evaluar esas directivas.

Directiva de autenticación condicional

Una directiva de autenticación condicional es una directiva que comprende una o más condiciones. Estas condiciones, cuando se cumplen mediante la lógica AND, guían el proceso de inicio de sesión del usuario final en una instancia de IdP de destino específica, como la conexión Gateway IDP, SAML u OIDC de Okta. Las directivas individuales se pueden clonar, lo que permite modificarlas y cambiarles el nombre según sea necesario.

Cada directiva consta de los siguientes datos:

  • Reglas de directiva, que son una o más condiciones que deben cumplirse para dirigir al usuario final a una instancia de IdP en particular. Por ejemplo, se usa la URL 1 de Workspace Y el usuario es miembro del grupo 1 de AD.
  • Resultado de la directiva, que es la instancia de IdP de destino a la que se dirige el usuario durante el proceso de inicio de sesión. Por ejemplo, se usa la URL 1 de Workspace Y el usuario es miembro del grupo 1 de AD → Instancia de IDP SAML de AAD.
  • Nombre de la directiva: Un nombre fácil de recordar para los administradores y que sirve para identificar y describir la directiva. Por ejemplo, URL del espacio de trabajo 1 Y Grupo1 - AAD SAML.
  • Prioridad de directiva, que determina el orden en el que se evalúa la directiva. Las prioridades se evalúan en orden descendente. Por ejemplo, la prioridad 1 es mayor que la prioridad 2.

Página de autenticación previa a la autenticación condicional

Según cómo esté configurado Workspace y las condiciones establecidas en su perfil de autenticación condicional, es posible que los usuarios encuentren una página de autenticación previa durante el proceso de inicio de sesión. Esta página es esencial para capturar el formato de nombre de usuario del usuario de Workspace, que es crucial para tomar decisiones basadas en directivas de autenticación condicional. Garantiza que el flujo de inicio de sesión del usuario se dirija a la instancia de IdP adecuada.

Citrix Workspace

Autorrelleno de inicio de sesión

Cuando es necesaria una página de autenticación previa, hemos introducido una función de autorrelleno de inicio de sesión que completa automáticamente el campo de nombre de usuario de la página de inicio de sesión con la entrada del usuario desde la página de autenticación previa. Esto elimina la necesidad de que los usuarios escriban su nombre de usuario dos veces.

El administrador administra y configura la función de autorrelleno de inicio de sesión en los parámetros del perfil de autenticación condicional, como se muestra a continuación:

  1. Haga clic en Administrar parámetros en la página del perfil de Autenticación condicional.

    Administrar parámetros

  2. Haga clic en Modificar

    Modificar

  3. Seleccione los IdP para los que quiere habilitar el autorrelleno de inicio de sesión.

    Seleccionar IDP

Importante:

El autocompletado de inicio de sesión solo está disponible para los IdP que lo admiten y se habilitará y aplicará de forma predeterminada para AD & AD+TOTP (consulte la captura de pantalla anterior para ver la configuración predeterminada).

Algunos IdP esperan un formato de inicio de sesión específico y algunos pueden admitir más de un tipo de formato de nombre de usuario. Por ejemplo, Google Cloud Identity requiere que los usuarios inicien sesión con su dirección de correo electrónico (nombre.usuario@dominio.com), que a veces puede diferir de su UPN (nombreusuario@dominio.com). Si el usuario final de Workspace introduce un nombre de inicio de sesión de nivel inferior (dominio\nombre de usuario) en la página de autenticación previa, el nombre de inicio de sesión de nivel inferior se rellenará previamente en el campo de nombre de usuario de la página de inicio de sesión del IdP y provocará un error cuando el usuario intente iniciar sesión. Los administradores deben considerar qué condición de la directiva de conmutación de IdP es la más adecuada y qué formatos de nombre de usuario espera recibir un IdP determinado durante el proceso de inicio de sesión antes de configurar la función de autorrelleno de inicio de sesión.

Tipos de condiciones de directiva

URL de Workspace

Dentro de Configuración del espacio de trabajo > Acceso, cada URL del espacio de trabajo se puede vincular a una instancia de IdP distinta. Además, se pueden asociar varias URL de Workspace a la misma directiva, lo que dirige a los usuarios finales a la misma instancia de IdP.

Nota:

Si un perfil se compone exclusivamente de directivas con condiciones de URL de Workspace, los usuarios pasarán por alto la página de autenticación previa y se les redirigirá directamente al IdP. Sin embargo, si el perfil incluye alguna directiva con condiciones distintas a la URL de Workspace, la página de autenticación previa se presentará al usuario final, independientemente de si la directiva correspondiente es del tipo URL de Workspace.

URL de Workspace

Pertenencia a grupos de usuarios de AD

La pertenencia a grupos de usuarios de AD le permite designar una instancia de IdP para un grupo específico de usuarios de Active Directory en función de su pertenencia al grupo.

El sufijo UPN o el nombre de inicio de sesión de nivel inferior del dominio son dos condiciones de directiva que se excluyen mutuamente. Estas determinan el formato de nombre de usuario requerido que los usuarios finales deben introducir en la página de autenticación previa. No puede usar ambas condiciones en la misma directiva.

Sufijo UPN

Sufijo UPN

Configure una instancia de IdP para uno o más sufijos UPN, como nombreusuario1@dominio.com o nombreusuario2@dominio.net.

Nombre de inicio de sesión de nivel inferior del dominio

Asigne una instancia de IdP a uno o más nombres de dominio, como DOMINIO1\nombreusuario1 o DOMINIO1.COM\nombreusuario1.

Cuando se selecciona una de las dos condiciones que se excluyen mutuamente, la opción del menú desplegable de la otra condición se inhabilita para evitar que se agregue a la misma directiva.

Reglas de directiva

Solución de problemas con la integración de Supervisión de Citrix

Si el intento de inicio de sesión de un usuario falla debido a la falta de una directiva coincidente, se muestra una página de error con un ID de transacción. A continuación, el usuario puede proporcionar este ID de transacción a su administrador de Citrix Cloud para obtener más ayuda.

Solución de problemas con ID de transacción

El administrador de Citrix Cloud puede pegar el ID de transacción proporcionado por el usuario final de Workspace en Supervisión de Citrix para acceder a detalles de la directiva, el nombre de usuario introducido y las directivas de autenticación condicional asociadas. Esta información sirve de ayuda al administrador para solucionar y resolver el problema de la autenticación condicional de manera más eficiente.

  1. Seleccione Supervisión y, a continuación, haga clic en el cuadro de búsqueda en la esquina superior derecha.

    Ficha Supervisión

  2. Seleccione el ID de transacción en la lista desplegable. Solo están disponibles las transacciones de los últimos 3 días.

    Seleccionar ID de transacción

  3. Visualice la transacción fallida del usuario final, junto con los detalles de las directivas de autenticación condicional que se evaluaron. Puede hacer clic en los botones con forma de V para navegar por todas las directivas evaluadas, como <Policy 1 of 3> para el usuario final.

    ID de transacción fallida

Comparación entre la autenticación condicional nativa de Cloud y la autenticación adaptable basada en NetScaler

La función de autenticación condicional nativa de Cloud está diseñada para cubrir la mayoría de los casos de uso de autenticación condicional. Sin embargo, para funciones de autenticación más avanzadas, está disponible la autenticación adaptable basada en NetScaler.

Para usar la autenticación adaptable basada en NetScaler, envíe una solicitud a través de la página Administración de acceso e identidad > sección Perfiles de autenticación condicional.

Perfiles de autenticación condicional

Problemas conocidos y limitaciones

  • Los dominios personalizados no se admiten actualmente con la autenticación condicional. Es un elemento de la hoja de ruta para futuras actualizaciones.
  • Establecer una prioridad negativa para una directiva no funciona de la manera prevista. Se corregirá en futuras actualizaciones.
  • Actualmente, las condiciones de grupos solo se admiten en Active Directory. Las condiciones de grupos de Entra Id nativos se agregarán en un futuro.
Autenticación condicional
March 5, 2025
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.