Configurar Single Sign-On en la aplicación Citrix Workspace

Single Sign-On mediante Azure Active Directory

En esta sección se explica cómo implementar Single Sign-On (SSO) con Azure Active Directory (AAD) como proveedor de identidades con cargas de trabajo unidas a un dominio en dispositivos de punto final híbridos o inscritos en AAD. Con esta configuración, puede autenticarse en Workspace mediante Windows Hello o FIDO2 en dispositivos de punto final que están inscritos en AAD.

Nota:

Si usa Windows Hello como autenticación independiente, puede usar Single Sign-On en la aplicación Citrix Workspace, pero se le solicitará el nombre de usuario y la contraseña al acceder a aplicaciones o escritorios virtuales publicados. Como solución temporal, considere la posibilidad de implementar el Servicio de autenticación federada (FAS).

Requisitos previos

• Una conexión activa de Azure Active Directory a Citrix Cloud. Para obtener más información, consulte Conectar Azure Active Directory a Citrix Cloud.

• Una autenticación del espacio de trabajo de Azure Active Directory. Para obtener más información, consulte Habilitar la autenticación de Azure AD para espacios de trabajo.

• Compruebe si configuró Azure AD Connect. Para obtener más información, consulte Introducción a Azure AD Connect mediante la configuración rápida.

• Active la autenticación PassThrough en Azure AD Connect. Igualmente, verifique si las opciones de Single Sign-On y PassThrough funcionan en Azure Portal. Para obtener más información, consulte Autenticación de paso a través de Azure Active Directory: Guía de inicio rápido.

Configuración

Siga estos pasos para configurar SSO en su dispositivo:

1. Instale la aplicación Citrix Workspace mediante la línea de comandos de Windows con la opción includeSSON:

CitrixWorkspaceApp.exe /includeSSON

1. Reinicie el dispositivo.

2. Ejecute gpedit.msc para abrir la plantilla administrativa de GPO de la aplicación Citrix Workspace.

3. Vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios > Nombre de usuario y contraseña locales.

4. Seleccione Habilitar autenticación PassThrough. En función de la configuración y los parámetros de seguridad, seleccione la opción Permitir autenticación PassThrough para todas las conexiones ICA para que la autenticación PassThrough funcione.

5. Modifique los parámetros de Autenticación del usuario en Internet Explorer. Para modificar los parámetros:

   • Abra Propiedades de Internet en el Panel de control.

   • Vaya a Propiedades generales > Intranet local y haga clic en Sitios.

   • En la ventana Intranet local, haga clic en Opciones avanzadas > Agregar este sitio a la zona de:, agregue estos sitios de confianza y haga clic en Cerrar:

     • https://aadg.windows.net.nsatc.net
     • https://autologon.microsoftazuread-sso.com
     • The name of your tenant, for example: https://xxxtenantxxx.cloud.com

6. Para inhabilitar las solicitudes de autenticación adicionales, inhabilite el atributo prompt=login en su arrendatario. Para obtener más información, consulte User Prompted for Additional Credentials on Workspace URLs When Using Federated Authentication Providers. Puede ponerse en contacto con la asistencia técnica de Citrix para inhabilitar el atributo prompt=login en su arrendatario y configurar correctamente Single Sign-On.

7. Habilite la autenticación PassThrough de dominio en el cliente de la aplicación Citrix Workspace. Para obtener más información, consulte Autenticación PassThrough de dominio.

8. Reinicie la aplicación Citrix Workspace para que los cambios surtan efecto.

Single Sign-On mediante Okta y el Servicio de autenticación federada

En esta sección se explica cómo puede implementar Single Sign-On (SSO) mediante Okta como proveedor de identidades con un dispositivo unido a un dominio y el Servicio de autenticación federada (FAS). Con esta configuración, puede autenticarse en Workspace mediante Okta para habilitar Single Sign-On y evitar que se solicite un segundo inicio de sesión. Para que este mecanismo de autenticación funcione, debe usar el Servicio de autenticación federada de Citrix con Citrix Cloud. Para obtener más información, consulte Conectar el Servicio de autenticación federada de Citrix con Citrix Cloud.

Requisitos previos

• Cloud Connector. Para obtener más información sobre la instalación de Cloud Connector, consulte Instalar Cloud Connector.

• Un agente de Okta. Para obtener más información sobre la instalación de un agente de Okta, consulte Install the Okta Active Directory agent. Además, puede configurar el agente web de Okta IWA para que inicie sesión desde un dispositivo unido a un dominio de Windows. Para obtener más información, consulte Install and configure the Okta IWA Web agent for Desktop single sign-on.

• Una conexión activa de Azure Active Directory a Citrix Cloud. Para obtener más información, consulte Conectar Azure Active Directory a Citrix Cloud.

• Servicio de autenticación federada. Para obtener más información, consulte Instalar el Servicio de autenticación federada.

Configuración

Siga estos pasos para configurar SSO en su dispositivo:

Conecte Citrix Cloud con su organización de Okta:

1. Descargue e instale el agente de Active Directory para Okta. Para obtener más información, consulte Install the Okta Active Directory agent.

2. Inicie sesión en Citrix Cloud desde https://citrix.cloud.com.

3. Desde la consola de administración de Citrix Cloud, haga clic en el botón de menú y seleccione Administración de acceso e identidad.

4. Ubique Okta y seleccione Conectar en el menú de tres puntos.

5. En URL de Okta, introduzca su dominio de Okta.

6. En Token de API de Okta, introduzca el token de API de su organización de Okta.

7. En ID de cliente y Secreto del cliente, introduzca el ID y el secreto del cliente de la integración de la aplicación web OIDC que creó antes. Para copiar estos valores de la consola de Okta, seleccione Aplicaciones y busque su aplicación de Okta. En Credenciales del cliente, utilice el botón Copiar al portapapeles para cada valor.

8. Haga clic en Probar y finalizar. Citrix Cloud verifica los detalles de Okta y prueba la conexión.

Habilite la autenticación con Okta para espacios de trabajo:

1. En el menú de Citrix Cloud, seleccione Configuración de Workspace > Autenticación.

2. Seleccione Okta. Cuando se le solicite, seleccione Comprendo los efectos en la experiencia de uso de los suscriptores.

3. Haga clic en Aceptar para aceptar la solicitud de permisos.

Habilite el Servicio de autenticación federada.

1. En el menú de Citrix Cloud, seleccione Configuración de Workspace y, luego, Autenticación.

2. Haga clic en Habilitar FAS. Este cambio puede tardar hasta cinco minutos en aplicarse a las sesiones de los suscriptores.

Posteriormente, el Servicio de autenticación federada (FAS) se activa para todos los inicios de aplicaciones virtuales y escritorios de Citrix Workspace.

Cuando los suscriptores inician sesión en su espacio de trabajo e inician una aplicación virtual o un escritorio en la misma ubicación de recursos que el servidor FAS, la aplicación o el escritorio se inician sin solicitar credenciales.

Nota:

Si todos los servidores de FAS de una ubicación de recursos están inactivos o están en modo de mantenimiento, los inicios de aplicación se ejecutan correctamente, pero Single Sign-On no está activo. Se solicita a los suscriptores sus credenciales de AD para acceder a cada aplicación o escritorio.