Autenticación de paso a través de dominio (inicio de sesión único)

El paso a través de dominio (inicio de sesión único o SSON), también conocido como paso a través de dominio heredado (SSON), te permite autenticarte en un dominio y usar Citrix Virtual Apps and Desktops™ y Citrix DaaS (anteriormente servicio Citrix Virtual Apps and Desktops) sin tener que volver a autenticarte.

Nota:

• La directiva Habilitar notificaciones MPR para el sistema en la plantilla de objeto de directiva de grupo debe estar habilitada para admitir la función de autenticación de paso a través de dominio (inicio de sesión único) en Windows 11. De forma predeterminada, esta directiva está deshabilitada en Windows 11 24H2. Por lo tanto, si actualizas a Windows 11 24H2, debes habilitar la directiva Habilitar notificaciones MPR para el sistema.

• Esta función está disponible a partir de la versión 2012 de la aplicación Citrix Workspace para Windows y posteriores.

• No puedes usar la autenticación de paso a través de dominio heredado (SSON) y el paso a través de dominio mejorado juntos para la autenticación.

Cuando está habilitado, el paso a través de dominio (inicio de sesión único) almacena tus credenciales en caché, de modo que puedes conectarte a otras aplicaciones de Citrix® sin tener que iniciar sesión cada vez. Asegúrate de que solo el software que cumple con las políticas de tu empresa se ejecute en tu dispositivo para mitigar el riesgo de compromiso de credenciales.

• Cuando inicias sesión en la aplicación Citrix Workspace, tus credenciales se pasan a StoreFront, junto con las aplicaciones y escritorios y la configuración del menú Inicio. Después de configurar el inicio de sesión único, puedes iniciar sesión en la aplicación Citrix Workspace e iniciar sesiones de aplicaciones y escritorios virtuales sin tener que volver a escribir tus credenciales.

Todos los navegadores web requieren que configures el inicio de sesión único mediante la plantilla administrativa de objeto de directiva de grupo (GPO). Para obtener más información sobre cómo configurar el inicio de sesión único mediante la plantilla administrativa de objeto de directiva de grupo (GPO), consulta Configurar el inicio de sesión único con Citrix Gateway.

Puedes configurar el inicio de sesión único tanto en una instalación nueva como en una actualización, utilizando cualquiera de las siguientes opciones:

• Interfaz de línea de comandos

• GUI

• Nota:

  Los términos paso a través de dominio, inicio de sesión único y SSON se pueden usar indistintamente en este documento.

Limitaciones

El paso a través de dominio mediante credenciales de usuario tiene las siguientes limitaciones:

• No admite la autenticación sin contraseña con métodos de autenticación modernos como Windows Hello o FIDO2. Se requiere un componente adicional llamado Federated Authentication Service (FAS) para el inicio de sesión único (SSO).
• La instalación o actualización de la aplicación Citrix Workspace con SSON habilitado requiere un reinicio del dispositivo.
• Requiere que las notificaciones del enrutador multiproveedor (MPR) estén habilitadas en las máquinas con Windows 11.
• Debe estar en la parte superior de la lista de orden de proveedores de red.

Para superar las limitaciones anteriores, usa Paso a través de dominio mejorado para inicio de sesión único (SSO mejorado).

Configurar el inicio de sesión único durante una instalación nueva

Para configurar el inicio de sesión único durante una instalación nueva, sigue estos pasos:

1. Configuración en StoreFront.
2. Configura los servicios de confianza XML en el Delivery Controller.
3. Modifica la configuración de Internet Explorer.
4. Instala la aplicación Citrix Workspace con inicio de sesión único.

Configurar el inicio de sesión único en StoreFront

El inicio de sesión único te permite autenticarte en un dominio y usar Citrix Virtual Apps and Desktops y Citrix DaaS desde el mismo dominio sin tener que volver a autenticarte en cada aplicación o escritorio.

Cuando agregas un almacén mediante la utilidad Storebrowse, tus credenciales se pasan a través del servidor Citrix Gateway, junto con las aplicaciones y escritorios enumerados para ti, incluida la configuración de tu menú Inicio. Después de configurar el inicio de sesión único, puedes agregar el almacén, enumerar tus aplicaciones y escritorios e iniciar los recursos necesarios sin tener que escribir tus credenciales varias veces.

Según la implementación de Citrix Virtual Apps and Desktops, la autenticación de inicio de sesión único se puede configurar en StoreFront mediante la consola de administración.

Usa la siguiente tabla para diferentes casos de uso y su configuración respectiva:

Configurar el inicio de sesión único con Citrix Gateway

Habilitas el inicio de sesión único con Citrix Gateway mediante la plantilla administrativa de objeto de directiva de grupo. Sin embargo, debes asegurarte de haber habilitado la autenticación básica y la autenticación de factor único (nFactor con 1 factor) en Citrix Gateway.

1. Abre la plantilla administrativa de GPO de la aplicación Citrix Workspace ejecutando gpedit.msc.
2. En el nodo Configuración del equipo, ve a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuario y selecciona la directiva Inicio de sesión único para Citrix Gateway.
3. Selecciona Habilitado.
4. Haz clic en Aplicar y Aceptar.
5. Reinicia la aplicación Citrix Workspace para que los cambios surtan efecto.

Configurar los servicios de confianza XML en el Delivery Controller

En Citrix Virtual Apps and Desktops y Citrix DaaS™, ejecuta el siguiente comando de PowerShell como administrador en el Delivery Controller:

asnp Citrix* ; Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

Modificar la configuración de Internet Explorer

1. Agrega el servidor de StoreFront a la lista de sitios de confianza usando Internet Explorer. Para agregarlo:
   1. Inicia Opciones de Internet desde el Panel de control.

   2. Haz clic en Seguridad > Intranet local y haz clic en Sitios.

      Aparece la ventana Intranet local.

   3. Selecciona Avanzadas.
   4. Agrega la URL del FQDN de StoreFront con los protocolos HTTP o HTTPS adecuados.
   5. Haz clic en Aplicar y Aceptar.
2. Modifica la configuración de Autenticación de usuario en Internet Explorer. Para modificarla:
   1. Inicia Opciones de Internet desde el Panel de control.
   2. Haz clic en la ficha Seguridad > Intranet local.
   3. Haz clic en Nivel personalizado. Aparece la ventana Configuración de seguridad – Zona de intranet local.

   4. En el panel Autenticación de usuario, selecciona Inicio de sesión automático con el nombre de usuario y la contraseña actuales.

      

   5. Haz clic en Aplicar y Aceptar.

Configurar el inicio de sesión único mediante la interfaz de línea de comandos

Instala la aplicación Citrix Workspace con el modificador /includeSSON y reinicia la aplicación Citrix Workspace para que los cambios surtan efecto.

Configurar el inicio de sesión único mediante la GUI

1. Localiza el archivo de instalación de la aplicación Citrix Workspace (CitrixWorkspaceApp.exe).
2. Haz doble clic en CitrixWorkspaceApp.exe para iniciar el instalador.
3. En el asistente de Instalación de inicio de sesión único, selecciona la opción Habilitar inicio de sesión único.
4. Haz clic en Siguiente y sigue las indicaciones para completar la instalación.

Ahora puedes iniciar sesión en un almacén existente (o configurar uno nuevo) usando la aplicación Citrix Workspace sin introducir las credenciales de usuario.

• Configurar el inicio de sesión único en Workspace para Web

• Puedes configurar el inicio de sesión único en Workspace para Web usando la plantilla administrativa de objeto de directiva de grupo.

1. Abre la plantilla administrativa de GPO de Workspace para Web ejecutando gpedit.msc.
2. En el nodo Configuración del equipo, ve a Plantillas administrativas > Componente de Citrix > Citrix Workspace > Autenticación de usuario.
3. Selecciona la directiva Nombre de usuario y contraseña locales y establécela en Habilitada.
4. Haz clic en Habilitar autenticación de paso a través. Esta opción permite que Workspace para Web use tus credenciales de inicio de sesión para la autenticación en el servidor remoto.
5. Haz clic en Permitir autenticación de paso a través para todas las conexiones ICA®. Esta opción omite cualquier restricción de autenticación y permite que las credenciales pasen a través de todas las conexiones.

• 1. Haz clic en Aplicar y Aceptar.

1. Reinicia Workspace para Web para que los cambios surtan efecto.

Verifica que el inicio de sesión único esté habilitado iniciando el Administrador de tareas y comprobando si el proceso ssonsvr.exe se está ejecutando.

Configurar el inicio de sesión único mediante Active Directory

Completa los siguientes pasos para configurar la aplicación Citrix Workspace para la autenticación de paso a través mediante la directiva de grupo de Active Directory. En este escenario, puedes lograr la autenticación de inicio de sesión único sin usar las herramientas de implementación de software empresarial, como Microsoft System Center Configuration Manager.

1. Descarga y coloca el archivo de instalación de la aplicación Citrix Workspace (CitrixWorkspaceApp.exe) en un recurso compartido de red adecuado. Debe ser accesible para las máquinas de destino en las que instales la aplicación Citrix Workspace.

2. Obtén la plantilla CheckAndDeployCitrixReceiverPerMachineStartupScript.bat de la página Descarga de la aplicación Citrix Workspace para Windows.

3. Modifica el contenido para que refleje la ubicación y la versión de CitrixWorkspaceApp.exe.

4. En la consola Administración de directivas de grupo de Active Directory, escribe CheckAndDeployCitrixReceiverPerMachineStartupScript.bat como script de inicio. Para obtener más información sobre la implementación de scripts de inicio, consulta la sección Active Directory.

5. En el nodo Configuración del equipo, ve a Plantillas administrativas > Agregar o quitar plantillas para agregar el archivo receiver.adml.

6. Después de agregar la plantilla receiver.adml, ve a Configuración del equipo > Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuario. Para obtener más información sobre cómo agregar los archivos de plantilla, consulta la plantilla administrativa de objeto de directiva de grupo.

7. Selecciona la directiva Nombre de usuario y contraseña locales y establécela en Habilitada.

8. Selecciona Habilitar autenticación de paso a través y haz clic en Aplicar.

9. Reinicia la máquina para que los cambios surtan efecto.

Configurar el inicio de sesión único en StoreFront

Configuración de StoreFront

1. Inicia Citrix Studio en el servidor de StoreFront y selecciona Almacenes > Administrar métodos de autenticación - Almacén.
2. Selecciona Autenticación de paso a través de dominio.

Autenticación de paso a través de dominio (Inicio de sesión único) con Kerberos

Este tema se aplica solo a las conexiones entre la aplicación Citrix Workspace para Windows y StoreFront, Citrix Virtual Apps and Desktops y Citrix DaaS.

La aplicación Citrix Workspace es compatible con Kerberos para la autenticación de paso a través de dominio (inicio de sesión único o SSON) en implementaciones que utilizan tarjetas inteligentes. Kerberos es uno de los métodos de autenticación incluidos en la Autenticación integrada de Windows (IWA).

Cuando está habilitado, Kerberos autentica sin contraseñas para la aplicación Citrix Workspace. Como resultado, evita ataques de tipo caballo de Troya en el dispositivo del usuario que intentan obtener acceso a las contraseñas. Los usuarios pueden iniciar sesión utilizando cualquier método de autenticación y acceder a los recursos publicados, por ejemplo, un autenticador biométrico como un lector de huellas dactilares.

Cuando inicias sesión con una tarjeta inteligente en la aplicación Citrix Workspace, StoreFront, Citrix Virtual Apps and Desktops y Citrix DaaS configurados para la autenticación con tarjeta inteligente, la aplicación Citrix Workspace:

1. Captura el PIN de la tarjeta inteligente durante el inicio de sesión único.

2. Usa IWA (Kerberos) para autenticar al usuario en StoreFront. StoreFront proporciona entonces a tu aplicación Citrix Workspace información sobre los Citrix Virtual Apps and Desktops y Citrix DaaS disponibles.

   Nota:

   Habilita Kerberos para evitar una solicitud de PIN adicional. Si no se utiliza la autenticación Kerberos, la aplicación Citrix Workspace se autentica en StoreFront utilizando las credenciales de la tarjeta inteligente.

3. El motor HDX (anteriormente conocido como cliente ICA) pasa el PIN de la tarjeta inteligente al VDA para iniciar la sesión del usuario en la aplicación Citrix Workspace. Citrix Virtual Apps and Desktops y Citrix DaaS entregan entonces los recursos solicitados.

Para usar la autenticación Kerberos con la aplicación Citrix Workspace, comprueba si la configuración de Kerberos se ajusta a lo siguiente.

• Kerberos funciona solo entre la aplicación Citrix Workspace y los servidores que pertenecen al mismo dominio o a dominios de Windows Server de confianza. Los servidores son de confianza para la delegación, una opción que configuras a través de la herramienta de administración Usuarios y equipos de Active Directory.
• Kerberos debe estar habilitado tanto en el dominio como en Citrix Virtual Apps and Desktops y Citrix DaaS. Para mejorar la seguridad y asegurarte de que se utiliza Kerberos, deshabilita cualquier opción de IWA que no sea Kerberos en el dominio.
• El inicio de sesión de Kerberos no está disponible para las conexiones de Servicios de Escritorio remoto que están configuradas para usar la autenticación básica, usar siempre la información de inicio de sesión especificada o solicitar siempre una contraseña.

Advertencia:

El uso incorrecto del editor del Registro puede causar problemas graves que pueden requerir que reinstales el sistema operativo. Citrix no puede garantizar que los problemas resultantes del uso incorrecto del editor del Registro puedan resolverse. Usa el editor del Registro bajo tu propia responsabilidad. Asegúrate de hacer una copia de seguridad del registro antes de editarlo.

Autenticación de paso a través de dominio (Inicio de sesión único) con Kerberos para usar con tarjetas inteligentes

Antes de continuar, consulta la sección Protege tu implementación en el documento de Citrix Virtual Apps and Desktops.

Cuando instalas la aplicación Citrix Workspace para Windows, incluye la siguiente opción de línea de comandos:

• /includeSSON

  Esta opción instala el componente de inicio de sesión único en el equipo unido al dominio, lo que permite a tu espacio de trabajo autenticarse en StoreFront mediante IWA (Kerberos). El componente de inicio de sesión único almacena el PIN de la tarjeta inteligente, utilizado por el motor HDX cuando remota el hardware y las credenciales de la tarjeta inteligente a Citrix Virtual Apps and Desktops y Citrix DaaS. Citrix Virtual Apps and Desktops y Citrix DaaS seleccionan automáticamente un certificado de la tarjeta inteligente y obtienen el PIN del motor HDX.

  Una opción relacionada, ENABLE_SSON, está habilitada de forma predeterminada.

Si una política de seguridad te impide habilitar el inicio de sesión único en un dispositivo, configura la aplicación Citrix Workspace mediante la plantilla administrativa de objeto de directiva de grupo.

1. Abre la plantilla administrativa de objeto de directiva de grupo de la aplicación Citrix Workspace ejecutando gpedit.msc.
2. Elige Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuario > Nombre de usuario y contraseña locales
3. Selecciona Habilitar autenticación de paso a través.

4. Reinicia la aplicación Citrix Workspace para que los cambios surtan efecto.

   

Para configurar StoreFront:

Cuando configuras el servicio de autenticación en el servidor de StoreFront, selecciona la opción Autenticación de paso a través de dominio. Esa configuración habilita la Autenticación integrada de Windows. No necesitas seleccionar la opción Tarjeta inteligente a menos que también tengas clientes no unidos al dominio que se conecten a StoreFront mediante tarjetas inteligentes.

Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulta Configurar el servicio de autenticación en la documentación de StoreFront.