Citrix Cloud

Autenticación condicional (Technical Preview)

Nota:

Las funciones en versión Technical Preview están disponibles para uso en entornos de producción limitados o en entornos que no son de producción, y para dar a los clientes la oportunidad de compartir comentarios. Citrix no acepta casos de asistencia para funciones en Technical Preview, pero agradece comentarios para mejorarlas. Para enviar sus comentarios sobre esta función, haga clic en Envíenos sus comentarios. Es posible que Citrix actúe a partir de los comentarios en función de su gravedad e importancia.

La autenticación condicional es una nueva función de seguridad que contribuye a mejorar aún más su marco Zero Trust. La autenticación condicional permite a los administradores de Citrix Cloud dirigir a los usuarios finales a diferentes IdP durante el flujo de inicio de sesión de Workspace en función de las condiciones de directiva que establezca. Por lo tanto, los diferentes usuarios finales tendrán diferentes niveles de verificación de acceso en función de los factores de riesgo establecidos por el administrador.

En el momento de redactar este artículo, se admiten cuatro condiciones de conmutación diferentes que dirigirán a los usuarios finales a diferentes instancias de IdP en función de las directivas que defina.

Autenticación condicional

Casos de uso comunes

  • Fusiones y adquisiciones, en las que una gran organización matriz contiene varias empresas más pequeñas en proceso de fusión.
  • Otorgar acceso a Workspace a usuarios y contratistas de terceros dirigiéndolos a un IdP, una aplicación OIDC o una aplicación SAML dedicados, que es diferente de lo que normalmente están autorizados a usar los empleados a tiempo completo de su organización.
  • Grandes organizaciones con varias sucursales o departamentos que requieren diferentes mecanismos de autenticación.

Requisitos previos

  • Directorio de AD sincronizado con su IdP y conectado a Citrix Cloud mediante el Citrix Cloud Connector. La asignación de recursos en la consola de DaaS Web Studio requiere Active Directory.
  • Dos o más proveedores de identidades creados en la página Administración de acceso e identidad de Citrix Cloud

Configuración de la autenticación condicional

  1. Haga clic en Crear perfil de autenticación condicional.

    Crear perfil de autenticación condicional

  2. Introduzca un nombre para el perfil y, a continuación, haga clic en Crear directiva de autenticación.

    Crear directiva de autenticación

  3. Seleccione las condiciones que quiera aplicar a la directiva y, a continuación, haga clic en Guardar.

    Condiciones de autenticación

  4. Vaya a Configuración de Workspace y haga clic en Autenticación para seleccionar su proveedor de identidades o perfil de autenticación condicional.

    Autenticación

Conceptos de autenticación condicional

Perfil de autenticación condicional

Un perfil de autenticación condicional consta de varias directivas de autenticación condicional que controlan la forma en que los usuarios finales se autentican en Workspace en función de las condiciones que defina. Este perfil permite priorizar y reordenar las directivas, de manera que pueda especificar la secuencia en la que se deben evaluar esas directivas.

Directiva de autenticación condicional

Una directiva de autenticación condicional es una directiva que comprende una o más condiciones. Estas condiciones, cuando se cumplen mediante la lógica AND, guían el proceso de inicio de sesión del usuario final en una instancia de IdP de destino específica, como la conexión Gateway IDP, SAML u OIDC de Okta. Las directivas individuales se pueden clonar, lo que permite modificarlas y cambiarles el nombre según sea necesario.

Cada directiva consta de los siguientes datos:

  • Reglas de directiva, que son una o más condiciones que deben cumplirse para dirigir al usuario final a una instancia de IdP en particular. Por ejemplo, se usa la URL 1 de Workspace Y el usuario es miembro del grupo 1 de AD.
  • Resultado de la directiva, que es la instancia de IdP de destino a la que se dirige el usuario durante el proceso de inicio de sesión. Por ejemplo, se usa la URL 1 de Workspace Y el usuario es miembro del grupo 1 de AD → Instancia de IDP SAML de AAD.
  • Nombre de la directiva: Un nombre fácil de recordar para los administradores y que sirve para identificar y describir la directiva. Por ejemplo, Workspace URL 1 AND Group1 - AAD SAML.
  • Prioridad de directiva, que determina el orden en el que se evalúa la directiva. Las prioridades se evalúan en orden descendente. Por ejemplo, la prioridad 1 es mayor que la prioridad 2.

Página de autenticación previa a la autenticación condicional

Según cómo esté configurado Workspace y las condiciones establecidas en su perfil de autenticación condicional, es posible que los usuarios encuentren una página de autenticación previa durante el proceso de inicio de sesión. Esta página es esencial para capturar el formato de nombre de usuario del usuario de Workspace, que es crucial para tomar decisiones basadas en directivas de autenticación condicional. Garantiza que el flujo de inicio de sesión del usuario se dirija a la instancia de IdP adecuada.

Citrix Workspace

Autorrelleno de inicio de sesión

Cuando es necesaria una página de autenticación previa, hemos introducido una función de autorrelleno de inicio de sesión que completa automáticamente el campo de nombre de usuario de la página de inicio de sesión con la entrada del usuario desde la página de autenticación previa. Esto elimina la necesidad de que los usuarios escriban su nombre de usuario dos veces.

El administrador administra y configura la función de autorrelleno de inicio de sesión en los parámetros del perfil de autenticación condicional, como se muestra a continuación:

  1. Haga clic en Administrar parámetros en la página del perfil de Autenticación condicional.

    Administrar parámetros

  2. Haga clic en Modificar

    Modificar

  3. Seleccione los IdP para los que quiere habilitar el autorrelleno de inicio de sesión.

    Seleccionar IDP

Importante:

El autorrelleno de inicio de sesión solo está disponible para los IdP que lo admiten y se habilitará y aplicará de forma predeterminada para AD y AD+TOTP (consulte los parámetros predeterminados en la captura de pantalla anterior).

Algunos IdP esperan un formato de inicio de sesión específico y algunos pueden admitir más de un tipo de formato de nombre de usuario. Por ejemplo, Google Cloud Identity requiere que los usuarios inicien sesión con su dirección de correo electrónico (nombre.usuario@dominio.com), que a veces puede diferir de su UPN (nombreusuario@dominio.com). Si el usuario final de Workspace introduce un nombre de inicio de sesión de nivel inferior (dominio\nombre de usuario) en la página de autenticación previa, el nombre de inicio de sesión de nivel inferior se rellenará previamente en el campo de nombre de usuario de la página de inicio de sesión del IdP y provocará un error cuando el usuario intente iniciar sesión. Los administradores deben considerar qué condición de la directiva de conmutación de IdP es la más adecuada y qué formatos de nombre de usuario espera recibir un IdP determinado durante el proceso de inicio de sesión antes de configurar la función de autorrelleno de inicio de sesión.

Tipos de condiciones de directiva

URL de Workspace

En Configuración de Workspace > Acceso, cada URL de Workspace se puede vincular a una instancia de IdP distinta. Además, se pueden asociar varias URL de Workspace a la misma directiva, lo que dirige a los usuarios finales a la misma instancia de IdP.

Nota:

Si un perfil se compone exclusivamente de directivas con condiciones de URL de Workspace, los usuarios pasarán por alto la página de autenticación previa y se les redirigirá directamente al IdP. Sin embargo, si el perfil incluye alguna directiva con condiciones distintas a la URL de Workspace, la página de autenticación previa se presentará al usuario final, independientemente de si la directiva correspondiente es del tipo URL de Workspace.

URL de Workspace

Pertenencia a grupos de usuarios de AD

La pertenencia a grupos de usuarios de AD le permite designar una instancia de IdP para un grupo específico de usuarios de Active Directory en función de su pertenencia al grupo.

El sufijo UPN o el nombre de inicio de sesión de nivel inferior del dominio son dos condiciones de directiva que se excluyen mutuamente. Estas determinan el formato de nombre de usuario requerido que los usuarios finales deben introducir en la página de autenticación previa. No puede usar ambas condiciones en la misma directiva.

Sufijo UPN

Sufijo UPN: Configure una instancia de IdP para uno o más sufijos UPN, como username1@domain.com o username2@domain.net.

Nombre de inicio de sesión de nivel inferior del dominio: Asigne una instancia de IdP a uno o más nombres de dominio, como DOMAIN1\username1 o DOMAIN1.COM\username1.

Cuando se selecciona una de las dos condiciones que se excluyen mutuamente, la opción del menú desplegable de la otra condición se inhabilita para evitar que se agregue a la misma directiva.

Reglas de directiva

Problemas conocidos y limitaciones

  • La autenticación condicional actual admite todos los IdP enumerados anteriormente, pero solo admite el directorio de AD. Esta limitación se suprimirá en futuras versiones. Por lo tanto, la asignación de recursos a los usuarios de Studio debe realizarse a través de AD.

    Seleccionar usuarios

  • La asignación de una prioridad negativa a una directiva no funciona según lo previsto. Este problema se resolverá en futuras actualizaciones.
  • En la actualidad, la autenticación condicional no admite dominios personalizados. Está previsto que esta función se incluya en futuras actualizaciones.
Autenticación condicional (Technical Preview)