Citrix Workspace app for Windows

Autenticación PassThrough de dominio (Single Sign-On)

PassThrough de dominio (Single Sign-On o SSON), también conocido como PassThrough de dominio (SSON) antiguo, le permite autenticarse en un dominio y usar Citrix Virtual Apps and Desktops y Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service) sin tener que volver a autenticarse.

Nota

  • La directiva Habilitar notificaciones de MPR para el sistema en la plantilla de objetos de directiva de grupo debe estar habilitada para admitir la función de autenticación PassThrough de dominio (Single Sign-On) en Windows 11. De forma predeterminada, esta directiva está inhabilitada en Windows 11 24H2. Por lo tanto, si se actualiza de versión a Windows 11 24H2, debe habilitar la directiva Habilitar notificaciones de MPR para el sistema.

  • Esta función está disponible a partir de la versión 2012 y posteriores de la aplicación Citrix Workspace para Windows.

  • No puede usar la autenticación PassThrough de dominio (SSON) antigua y la autenticación PassThrough de dominio mejorada juntas para la autenticación.

Cuando está habilitada, la autenticación PassThrough de dominio (Single Sign-On) almacena en caché las credenciales para que pueda conectarse a otras aplicaciones de Citrix sin tener que iniciar sesión cada vez. Para mitigar el riesgo de robo de credenciales, asegúrese de que solo se ejecute en su dispositivo software que cumpla con las directivas corporativas.

Cuando inicia sesión en la aplicación Citrix Workspace, las credenciales se transfieren a StoreFront, junto con las aplicaciones, los escritorios y los parámetros del menú Inicio. Después de configurar el tipo de inicio de sesión Single Sign-On, puede iniciar sesión en la aplicación Citrix Workspace e iniciar sesiones de aplicaciones y escritorios virtuales sin tener que volver a escribir las credenciales.

Todos los exploradores web necesitarán que configure Single Sign-On mediante la plantilla administrativa de objetos de directiva de grupo (GPO). Para obtener más información sobre cómo configurar Single Sign-On mediante la plantilla administrativa de objetos de directiva de grupo (GPO), consulte Configurar Single Sign-On en Citrix Gateway.

Puede configurar el inicio Single Sign-On tanto en una instalación nueva como en una actualización mediante cualquiera de las siguientes opciones:

  • Interfaz de línea de comandos
  • Interfaz gráfica (GUI)

Nota

Es posible que los términos PassThrough de dominio, Single Sign-On y SSON se usen indistintamente en este documento.

Limitaciones:

El PassThrough de dominio con credenciales de usuario tiene estas limitaciones:

  • No permite la autenticación sin contraseña con métodos de autenticación modernos como Windows Hello o FIDO2. Se requiere un componente adicional denominado Servicio de autenticación federada (FAS) para Single Sign-On (SSO).
  • La instalación o actualización de la aplicación Citrix Workspace con SSON habilitado requiere reiniciar el dispositivo.
  • Requiere que las notificaciones del enrutador de varios proveedores (MPR) estén habilitadas en máquinas con Windows 11.
  • Debe estar en la parte superior de la lista de proveedores de red.

Para superar las limitaciones anteriores, use PassThrough de dominio mejorado para Single Sign-On (SSO mejorado).

Configurar Single Sign-On durante una instalación nueva

Para configurar Single Sign-On durante una instalación nueva, siga estos pasos:

  1. Configuración en StoreFront.
  2. Configure servicios XML de confianza en el Delivery Controller.
  3. Modifique parámetros de Internet Explorer.
  4. Instale la aplicación Citrix Workspace con Single Sign-On.

Configurar Single Sign-On en StoreFront

Single Sign-On le permite autenticarse en un dominio y usar Citrix Virtual Apps and Desktops y Citrix DaaS desde el mismo dominio sin tener que autenticarse de nuevo para cada aplicación o escritorio.

Cuando agrega un almacén mediante la utilidad Storebrowse, las credenciales se transfieren al servidor de Citrix Gateway, junto con las aplicaciones y los escritorios enumerados para usted, incluidos los parámetros del menú Inicio. Después de configurar el inicio Single Sign-On, puede agregar el almacén, enumerar sus aplicaciones y escritorios e iniciar los recursos necesarios sin tener que escribir sus credenciales varias veces.

Según la implementación de Citrix Virtual Apps and Desktops, la autenticación Single Sign-On se puede configurar en StoreFront desde la consola de administración.

Utilice esta tabla para ver los diferentes casos de uso y su configuración respectiva:

Caso de uso Detalles de configuración Información adicional
SSON configurado en StoreFront Inicie Citrix Studio, vaya a Almacenes > Administrar métodos de autenticación - Almacén > y habilite PassThrough de dominio. Cuando la aplicación Citrix Workspace no está configurada con Single Sign-On, cambia automáticamente el método de autenticación de PassThrough de dominio a Nombre de usuario y contraseña, si está disponible.
Cuando se necesita Workspace para Web Inicie Almacenes > Sitios de Workspace para Web > Administrar métodos de autenticación - Almacén > y habilite PassThrough de dominio. Cuando la aplicación Citrix Workspace no está configurada con Single Sign-On, cambia automáticamente el método de autenticación de PassThrough de dominio a Nombre de usuario y contraseña, si está disponible.

Configurar Single Sign-On en Citrix Gateway

El inicio Single Sign-On en Citrix Gateway se habilita a través de la plantilla administrativa del GPO. Sin embargo, debe asegurarse de haber habilitado la autenticación básica y la autenticación de factor único (nFactor con 1 factor) en Citrix Gateway.

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace ejecutando gpedit.msc.
  2. En el nodo Configuración del equipo, vaya a Plantilla administrativa > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios y seleccione la directiva Single Sign-On para Citrix Gateway.
  3. Seleccione Habilitado.
  4. Haga clic en Aplicar y en Aceptar.
  5. Reinicie la aplicación Citrix Workspace para que los cambios surtan efecto.

Configurar servicios XML de confianza en el Delivery Controller

En Citrix Virtual Apps and Desktops y Citrix DaaS, ejecute el siguiente comando de PowerShell como administrador en el Delivery Controller:

asnp Citrix* ; Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

Modificar los parámetros de Internet Explorer

  1. Agregar el servidor de StoreFront a la lista de sitios de confianza mediante Internet Explorer. Para agregarlo:
    1. Inicie Opciones de Internet desde el Panel de control.
    2. Haga clic en Seguridad > Intranet local y, a continuación, en Sitios.

      Se mostrará la ventana Intranet local.

    3. Seleccione Opciones avanzadas.
    4. Agregue la URL del FQDN de StoreFront con los protocolos HTTP o HTTPS correspondientes.
    5. Haga clic en Aplicar y en Aceptar.
  2. Modifique los parámetros de Autenticación de usuarios en Internet Explorer. Para modificarlos:
    1. Inicie Opciones de Internet desde el Panel de control.
    2. Haga clic en la ficha Seguridad > Intranet local.
    3. Haga clic en Nivel personalizado. Se muestra la ventana Configuración de seguridad: Zona de intranet local.
    4. En el panel Autenticación del usuario, seleccione Inicio de sesión automático con el nombre de usuario y contraseña actuales.

      Autenticación de usuarios

    5. Haga clic en Aplicar y en Aceptar.

Configurar Single Sign-On mediante la interfaz de línea de comandos

Instale la aplicación Citrix Workspace con el modificador /includeSSON y reinicie la aplicación Citrix Workspace para que los cambios surtan efecto.

Configurar Single Sign-On mediante la GUI

  1. Busque el archivo de instalación de la aplicación Citrix Workspace (CitrixWorkspaceApp.exe).
  2. Haga doble clic en CitrixWorkspaceApp.exe para iniciar el instalador.
  3. En el asistente de instalación Habilitar Single Sign-On, seleccione la opción Habilitar Single Sign-On.
  4. Haga clic en Siguiente y siga las instrucciones para completar la instalación.

Ahora puede iniciar sesión en un almacén existente (o configurar un almacén nuevo) mediante la aplicación Citrix Workspace sin introducir credenciales de usuario.

Configurar Single Sign-On en Citrix Workspace para Web

Puede configurar Single Sign-On en Workspace para Web mediante la plantilla administrativa del objeto de directiva de grupo.

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace para Web. Para ello, ejecute gpedit.msc.
  2. En el nodo Configuración del equipo, vaya a Plantilla administrativa > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios.
  3. Seleccione la directiva Nombre de usuario y contraseña locales y habilítela.
  4. Haga clic en Habilitar autenticación PassThrough. Esta opción permite a Workspace para Web usar las credenciales de inicio de sesión para autenticarse en el servidor remoto.
  5. Haga clic en Permitir autenticación PassThrough para todas las conexiones ICA. Esta opción omite las restricciones de autenticación y permite que las credenciales se transfieran en todas las conexiones.
  6. Haga clic en Aplicar y en Aceptar.
  7. Reinicie Citrix Workspace para Web para que los cambios surtan efecto.

Compruebe que el inicio de sesión único esté activado iniciando el Administrador de tareas y compruebe si se está ejecutando el proceso ssonsvr.exe.

Configurar Single Sign-On mediante Active Directory

Complete los pasos siguientes para configurar la aplicación Citrix Workspace para la autenticación PassThrough mediante la directiva de grupo de Active Directory. En este caso, puede obtener la autenticación Single Sign-On sin utilizar las herramientas de implementación del software de empresa, como Microsoft System Center Configuration Manager.

  1. Descargue el archivo de instalación de la aplicación Citrix Workspace (CitrixWorkspaceApp.exe) y colóquelo en un recurso compartido de red adecuado. Se debe poder acceder a ese recurso desde las máquinas de destino en las que instale la aplicación Citrix Workspace.

  2. Obtenga la plantilla CheckAndDeployCitrixReceiverPerMachineStartupScript.bat en la página de descargas de la aplicación Citrix Workspace para Windows.

  3. Modifique el contenido para indicar la ubicación y la versión de CitrixWorkspaceApp.exe.

  4. En la consola Administración de directivas de grupo de Active Directory, escriba CheckAndDeployCitrixReceiverPerMachineStartupScript.bat como script de inicio. Para obtener más información sobre cómo implementar los scripts de inicio, consulte la sección Active Directory.

  5. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Agregar o quitar plantillas para agregar el archivo receiver.adml.

  6. Tras agregar la plantilla receiver.adml, vaya a Configuración del equipo > Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios. Para obtener más información sobre cómo agregar los archivos de plantilla, consulte Plantilla administrativa de objeto de directiva de grupo.

  7. Seleccione la directiva Nombre de usuario y contraseña locales y habilítela.

  8. Seleccione Habilitar autenticación PassThrough y haga clic en Aplicar.

  9. Reinicie la máquina para que los cambios surtan efecto.

Configurar Single Sign-On en StoreFront

Configurar StoreFront

  1. Inicie Citrix Studio en el servidor StoreFront y seleccione Almacenes > Administrar métodos de autenticación - Almacén.
  2. Seleccione PassThrough de dominio.

texto_alternativo

Autenticación PassThrough de dominio (Single Sign-On) con Kerberos

Lo descrito en este artículo se aplica solo a conexiones entre la aplicación Citrix Workspace para Windows y StoreFront, Citrix Virtual Apps and Desktops y Citrix DaaS.

La aplicación Citrix Workspace admite Kerberos para la autenticación PassThrough de dominio (Single Sign-On o SSON) en implementaciones que usan tarjetas inteligentes. Kerberos es uno de los métodos de autenticación incluidos en la autenticación de Windows integrada (IWA).

Cuando está habilitada, Kerberos se autentica sin contraseñas para la aplicación Citrix Workspace. Como resultado, evita los ataques tipo caballo de Troya contra el dispositivo del usuario que intentan acceder a las contraseñas. Los usuarios pueden iniciar sesión con cualquier método de autenticación y acceder a recursos publicados; por ejemplo, un autenticador biométrico (un lector de huellas digitales).

Cuando inicie sesión con una tarjeta inteligente en la aplicación Citrix Workspace, StoreFront, Citrix Virtual Apps and Desktops y Citrix DaaS configurados para la autenticación con tarjeta inteligente, la aplicación Citrix Workspace:

  1. Captura el PIN de la tarjeta inteligente durante Single Sign-On.
  2. Usa IWA (Kerberos) para autenticar al usuario en StoreFront. A continuación, StoreFront proporciona a la aplicación Citrix Workspace información sobre las instancias disponibles de Citrix Virtual Apps and Desktops y Citrix DaaS.

    Nota

    Habilite Kerberos para evitar una solicitud extra de PIN. Si no se usa la autenticación Kerberos, la aplicación Citrix Workspace se autentica en StoreFront con las credenciales de la tarjeta inteligente.

  3. HDX Engine (antes conocido como cliente ICA) pasa el PIN de la tarjeta inteligente al VDA para iniciar la sesión del usuario en la aplicación Citrix Workspace. A continuación, Citrix Virtual Apps and Desktops y Citrix DaaS entregan los recursos solicitados.

Para usar la autenticación Kerberos en la aplicación Citrix Workspace, compruebe si la configuración de Kerberos cumple estos requisitos.

  • Kerberos solo funciona entre la aplicación Citrix Workspace y los servidores que pertenecen a los mismos dominios de Windows o a dominios que son de confianza. Se confía en los servidores para la delegación, una opción que se configura a través de la herramienta de administración de usuarios y equipos de Active Directory.
  • Kerberos debe estar habilitado tanto en el dominio como en Citrix Virtual Apps and Desktops y en Citrix DaaS. Para mayor seguridad y para asegurarse de que se utiliza Kerberos, inhabilite las demás opciones que no sean Kerberos IWA en el dominio.
  • El inicio de sesión con Kerberos no está disponible para conexiones de Servicios de escritorio remoto configuradas para usar la autenticación básica, para usar siempre la información de inicio de sesión especificada o para pedir siempre una contraseña.

Advertencia:

Es posible que el uso incorrecto del Editor del Registro del sistema cause problemas graves que puedan obligarle a reinstalar el sistema operativo. Citrix no puede garantizar que los problemas derivados de un uso incorrecto del Editor del Registro puedan resolverse. Use el Editor del Registro bajo su propia responsabilidad. Haga una copia de seguridad del Registro antes de modificarlo.

Autenticación PassThrough de dominio (Single Sign-On) con Kerberos para usarla con tarjetas inteligentes

Antes de continuar, consulte la sección Proteger la implementación en el documento de Citrix Virtual Apps and Desktops.

Cuando instale la aplicación Citrix Workspace para Windows, incluya la opción siguiente en la línea de comandos:

  • /includeSSON

    Esta opción instala el componente Single Sign-On en el equipo unido a un dominio, lo que habilita a Citrix Workspace para autenticarse en StoreFront mediante IWA (Kerberos). El componente Single Sign-On guarda el PIN de la tarjeta inteligente que el motor HDX utiliza cuando comunica de forma remota el hardware de la tarjeta inteligente y las credenciales a Citrix Virtual Apps and Desktops y Citrix DaaS. Citrix Virtual Apps and Desktops y Citrix DaaS seleccionan automáticamente un certificado desde la tarjeta inteligente y obtienen el PIN desde el motor HDX.

    Una opción relacionada, ENABLE_SSON, está habilitada de forma predeterminada.

Si una directiva de seguridad le impide habilitar el inicio Single Sign-On en un dispositivo, configure la aplicación Citrix Workspace mediante la plantilla administrativa del objeto de directiva de grupo.

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
  2. Elija Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios > Nombre de usuario y contraseña locales
  3. Seleccione Habilitar autenticación PassThrough.
  4. Reinicie la aplicación Citrix Workspace para que los cambios surtan efecto.

    Habilitar autenticación PassThrough

Para configurar StoreFront:

Durante la configuración del servicio de autenticación en el servidor de StoreFront, seleccione la opción PassThrough de dominio. Este parámetro habilita la autenticación de Windows integrada (IWA). No es necesario seleccionar la opción “Tarjeta inteligente” a menos que también tenga clientes que no estén unidos a un dominio conectándose a StoreFront con tarjeta inteligente.

Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulte Configurar el servicio de autenticación en la documentación de StoreFront.

Autenticación PassThrough de dominio (Single Sign-On)