Documentación de productos
Citrix Cloud™
Ver PDF

SAML con identidades de Entra ID y AD para la autenticación de Workspace

April 2, 2026
Author:  Mark Dear

Este artículo describe cómo puedes configurar SAML para la autenticación de Workspace utilizando identidades de Active Directory (AD). El comportamiento predeterminado para Citrix Cloud™ y la autenticación SAML en Citrix Workspace™ o Citrix Cloud, independientemente del proveedor SAML utilizado, es afirmar contra una identidad de usuario de AD. Para la configuración descrita en este artículo, es necesario usar Entra ID Connect para importar tus identidades de AD a tu Entra ID.

Importante:

Es crucial determinar el flujo SAML adecuado para tus usuarios finales de Workspace, ya que impacta directamente en su proceso de inicio de sesión y en la visibilidad de los recursos. La identidad elegida influye en los tipos de recursos accesibles para un usuario final de Workspace. Existe un artículo asociado que proporciona instrucciones sobre cómo utilizar Entra ID como proveedor SAML para autenticarse en Workspace utilizando identidades de AAD. Puedes encontrar instrucciones detalladas en SAML con identidades de Entra ID y AAD para la autenticación de Workspace.

  • Normalmente, los usuarios finales de Workspace suelen necesitar abrir aplicaciones y escritorios proporcionados por VDAs unidos a un dominio de AD. Es esencial revisar cuidadosamente los casos de uso descritos en ambos artículos antes de decidir el flujo SAML más adecuado para tu organización. Si no estás seguro, Citrix® recomienda usar el flujo SAML de AD y seguir las instrucciones de este artículo, ya que se alinea con el escenario DaaS más común.

  • Alcance de las funciones

Este artículo se aplica a los usuarios que utilizan la siguiente combinación de funciones de Citrix Cloud y Azure:

  • SAML para la autenticación de Workspace utilizando identidades de AD
  • SAML para el inicio de sesión de administrador de Citrix Cloud utilizando identidades de AD - Enumeración de recursos de Citrix DaaS™ y HDX de recursos publicados utilizando VDAs unidos a un dominio de AD - Enumeración de recursos de VDA unidos a un dominio de AD

¿Qué es mejor: identidades de AD o identidades de Entra ID?

Para determinar si tus usuarios de Workspace deben autenticarse utilizando identidades SAML de AD o SAML de Entra ID:

  1. Decide qué combinación de recursos deseas poner a disposición de tus usuarios en Citrix Workspace.
  2. Usa la siguiente tabla para determinar qué tipo de identidad de usuario es apropiada para cada tipo de recurso.
Tipo de recurso (VDA) Identidad de usuario al iniciar sesión en Citrix Workspace ¿Necesita identidad SAML usando Entra ID? ¿FAS proporciona inicio de sesión único (SSO) al VDA?
Unido a AD AD, Entra ID importado de AD (contiene SID) No. Usa SAML predeterminado. 
    -  ## Configurar la aplicación SAML empresarial personalizada de Entra ID

    -  De forma predeterminada, el comportamiento para el inicio de sesión SAML en los espacios de trabajo es afirmar contra una identidad de usuario de AD.

    -  1.  Inicia sesión en el portal de Azure.
    -  1.  En el menú del portal, selecciona **Entra ID**.
    -  1.  En el panel izquierdo, en **Administrar**, selecciona **Aplicaciones empresariales**.
  1. En la barra de comandos del panel de trabajo, selecciona Nueva aplicación. - 1. En la barra de comandos, selecciona Crear tu propia aplicación. No uses la plantilla de aplicación empresarial Citrix Cloud SAML SSO. La plantilla no te permite modificar la lista de reclamaciones y atributos SAML. - 1. Introduce un nombre para la aplicación y luego selecciona Integrar cualquier otra aplicación que no encuentres en la galería (No de la galería). Haz clic en Crear. Aparecerá la página de información general de la aplicación. - 1. En el panel izquierdo, selecciona Inicio de sesión único. En el panel de trabajo, selecciona SAML.
  2. En la sección Configuración básica de SAML, selecciona Editar y configura los siguientes ajustes:
    1. En la sección Identificador (ID de entidad), selecciona Agregar identificador y luego introduce el valor asociado a la región en la que se encuentra tu inquilino de Citrix Cloud:
      • Para las regiones de la Unión Europea, Estados Unidos y Asia-Pacífico Sur, introduce https://saml.cloud.com.
      • Para la región de Japón, introduce https://saml.citrixcloud.jp.
      • Para la región de Citrix Cloud Government, introduce https://saml.cloud.us.
    2. En la sección URL de respuesta (URL del Servicio de consumidor de aserciones), selecciona Agregar URL de respuesta y luego introduce el valor asociado a la región en la que se encuentra tu inquilino de Citrix Cloud:
      • Para las regiones de la Unión Europea, Estados Unidos y Asia-Pacífico Sur, introduce https://saml.cloud.com/saml/acs.
      • Para la región de Japón, introduce https://saml.citrixcloud.jp/saml/acs.
      • Para la región de Citrix Cloud Government, introduce https://saml.cloud.us/saml/acs.
    3. En la sección URL de cierre de sesión (Opcional), introduce el valor asociado a la región en la que se encuentra tu inquilino de Citrix Cloud:
      • Para las regiones de la Unión Europea, Estados Unidos y Asia-Pacífico Sur, introduce https://saml.cloud.com/saml/logout/callback.
      • Para la región de Japón, introduce https://saml.citrixcloud.jp/saml/logout/callback.
      • Para la región de Citrix Cloud Government, introduce https://saml.cloud.us/saml/logout/callback.
    4. En la barra de comandos, selecciona Guardar.

  3. En la sección Atributos y reclamaciones, haz clic en Editar para configurar las siguientes reclamaciones. Estas reclamaciones aparecen en la aserción SAML dentro de la respuesta SAML. Después de crear la aplicación SAML, configura los siguientes atributos.

    1. Para la reclamación Identificador único de usuario (ID de nombre), actualiza el valor predeterminado a user.localuserprincipalname.
    2. Para la reclamación cip_upn, actualiza el valor predeterminado a user.localuserprincipalname.

    Administrar reclamación

    1. Para displayName, deja el valor predeterminado de user.displayname.
    2. Para la reclamación givenName, actualiza el valor predeterminado a user.givenname.
    3. Para la reclamación familyName, actualiza el valor predeterminado a user.surname.
    4. En la sección Reclamaciones adicionales, para cualquier reclamación restante con el espacio de nombres http://schemas.xmlsoap.org/ws/2005/05/identity/claims, haz clic en el botón de puntos suspensivos (…) y haz clic en Eliminar. No es necesario incluir estas reclamaciones, ya que son duplicados de los atributos de usuario anteriores.

    Cuando hayas terminado, la sección Atributos y reclamaciones aparecerá como se ilustra a continuación:

    Menú Eliminar resaltado

    1. Obtén una copia del certificado de firma SAML de Citrix Cloud utilizando esta herramienta en línea de terceros.
    1. Introduce https://saml.cloud.com/saml/metadata en el campo URL y haz clic en Cargar.

  • Menú Eliminar resaltado

    1. Desplázate hasta la parte inferior de la página y haz clic en Descargar.

    Descargar certificado de metadatos

    Descargar certificado

  1. Configura los ajustes de firma de la aplicación SAML de Entra ID.
    1. Sube el certificado de firma SAML de producción obtenido en el paso 9 dentro de la aplicación SAML de Entra ID.
    2. Habilita Requerir certificados de verificación.

    Certificado de verificación

    Certificado de verificación

Solución de problemas

  1. Verifica que tus aserciones SAML contengan los atributos de usuario correctos utilizando una herramienta de red SAML, como la extensión de navegador SAML-tracer.

Extensión de navegador SAML-tracer

  1. Localiza la respuesta SAML que se muestra en amarillo y compárala con este ejemplo:

    Ejemplo de respuesta SAML de la herramienta de red

  2. Haz clic en la ficha SAML en el panel inferior para decodificar la respuesta SAML y verla como XML.
  3. Desplázate hasta la parte inferior de la respuesta y verifica que la aserción SAML contenga los atributos SAML y los valores de usuario correctos.

Archivo XML con el valor de aserción SAML resaltado

Si tus suscriptores aún no pueden iniciar sesión en su espacio de trabajo o no pueden ver sus escritorios Citrix HDX™ Plus para Windows 365, contacta con el equipo de asistencia de Citrix y proporciona la siguiente información:

  • Captura del SAML-tracer
  • Fecha y hora en que falló el inicio de sesión en Citrix Workspace
  • El nombre de usuario afectado
  • La dirección IP de origen del equipo cliente que usaste para iniciar sesión en Citrix Workspace. Puedes usar una herramienta como https://whatismyip.com para obtener esta dirección IP.

Configurar la conexión SAML de Citrix Cloud

Todos los flujos de inicio de sesión de Citrix deben ser iniciados por el proveedor de servicios usando una URL de Workspace o una URL GO de Citrix Cloud.

Usa los valores predeterminados recomendados para la conexión SAML dentro de Administración de identidades y accesos > Autenticación > Agregar un proveedor de identidades > SAML.

Obtén los puntos de conexión SAML de la aplicación SAML de Entra ID desde tu portal de Entra ID para introducirlos en Citrix Cloud.

Puntos de conexión SAML de AAD

Ejemplos de puntos de conexión SAML de Entra ID para usar en la conexión SAML de Citrix Cloud

Importante:

Los puntos de conexión SAML de SSO y cierre de sesión de Entra ID son la misma URL.

En este campo de Citrix Cloud Introduce este valor
ID de entidad https://sts.windows.net/<yourEntraIDTenantID>
Firmar solicitud de autenticación
URL del servicio SSO https://login.microsoftonline.com/<yourEntraIDTenantID>/saml2
Mecanismo de enlace SSO HTTP Post
Respuesta SAML Firmar respuesta o aserción
Contexto de autenticación No especificado, Exacto
URL de cierre de sesión https://login.microsoftonline.com/<yourEntraIDTenantID>/saml2
Firmar solicitud de cierre de sesión
Mecanismo de enlace SLO HTTP Post
SAML con identidades de Entra ID y AD para la autenticación de Workspace
April 2, 2026
Author:  Mark Dear
April 2, 2026
Author:  Mark Dear

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.