PassThrough de dominio mejorado para Single Sign-On
PassThrough de dominio mejorado para Single Sign-On usa Kerberos para permitir el inicio de sesión único en la aplicación Citrix Workspace y en las sesiones de escritorio y aplicación virtuales cuando se usan dispositivos cliente unidos a Active Directory (AD) y Citrix StoreFront.
Nota:
Esta función no es compatible con los sistemas operativos de 32 bits.
Esta función sustituye a la antigua función de autenticación PassThrough basada en el servicio Citrix Single Sign-on Service (ssonsvr.exe).
Requisitos del sistema
- Plano de control
- Citrix DaaS
- Citrix Virtual Apps and Desktops 2311 o versiones posteriores
- Virtual Delivery Agent
- Windows: versión 2407 o posterior
- Aplicación Workspace
- Aplicación Citrix Workspace para Windows versión 2405.1 o posterior
- Dispositivo cliente
- Unido al dominio de Active Directory
- Windows 10 de 64 bits
- Windows 11 de 64 bits
- Hosts multisesión:
- Windows Server 2019
- Windows Server 2022
- Windows 10 Enterprise multisesión 22H2
- Windows 11 Enterprise multisesión 22H2 o posterior
- Hosts de sesión única:
- Windows 10, versión 22H2
- Windows 11 versión 22H2 o posterior
Nota:
El dispositivo cliente debe tener conectividad directa con los controladores de dominio. Si el dispositivo está fuera de la red, no se admite el inicio de sesión único.
Si usa las siguientes versiones de la aplicación Citrix Workspace y el VDA, esta función no se admitirá en Windows 11:
❖ VDA: 2308, 2311, 2402
❖ Aplicación Citrix Workspace: 2309, 2309.1, 2311, 2402
Configurar StoreFront
Debe habilitar la autenticación PassThrough de dominio para el almacén y su sitio web correspondiente.
Siga estos pasos para habilitar la autenticación PassThrough de dominio para el almacén:
- Abra la consola de administración de StoreFront.
-
Vaya a Almacén > Administrar métodos de autenticación. Aparece la ventana Administrar métodos de autenticación - Web.
-
Seleccione la casilla de verificación PassThrough de dominio.
- Haga clic en Aceptar.
Siga estos pasos para habilitar la autenticación PassThrough de dominio para el sitio web:
- Abra la consola de administración de StoreFront.
- Abra la ficha Almacenes > Sitios de Receiver para Web > Administrar sitios de Receiver para Web > Configurar > Métodos de autenticación. Aparece la ventana Modificar sitio de Receiver para Web - /Citrix/Web.
-
Seleccione la casilla de verificación PassThrough de dominio.
- Haga clic en Aceptar.
Configuración de directivas de Citrix
Debe habilitar el parámetro mediante la directiva de Citrix:
- Vaya a Citrix Studio o a la consola web.
- Haga clic en Directivas > Crear directiva. Aparece el cuadro de diálogo Crear directiva.
- Busque la directiva PassThrough de dominio mejorado para Single Sign-On. Aparece el cuadro de diálogo Modificar parámetros.
-
Seleccione la opción Permitido para habilitar la directiva PassThrough de dominio mejorado para Single Sign-On.
- Haga clic en Aceptar.
Configuración del host de sesión
Después de habilitar la función PassThrough de dominio mejorado para Single Sign-On mediante la directiva de Citrix, también debe habilitar un parámetro de Windows en los hosts de sesión. Puede habilitar el parámetro de Windows mediante una directiva local o un GPO:
- Vaya a
Computer Configuration\Policies\Administrative Templates\System\CredentialsDelegation
. -
Habilite el parámetro El host remoto permite la delegación de credenciales no exportables.
- Reinicie el host de la sesión para que la configuración surta efecto.
Nota:
El parámetro El host remoto permite la delegación de credenciales no exportables no está disponible en la directiva local de Windows Server 2016. Si necesita configurar este parámetro localmente en el host de la sesión en lugar de usar GPO, debe agregar los siguientes valores de Registro:
Clave: HKLM\SOFTWARE\Citrix\Rcg
- Tipo de valor: DWORD
- Nombre del valor: ForceEnableRcg
- Información del valor: 1
Clave: HKLM\SYSTEM\CurrentControlSet\Control\Lsa
- Tipo de valor: DWORD
- Nombre del valor: DisableRestrictedAdmin
- Información del valor: 0
Configuración del dispositivo cliente
Debe hacer lo siguiente en el dispositivo cliente:
- Habilitar PassThrough de dominio mejorado para Single Sign-On
- Confiar en el sitio de StoreFront
Habilitar PassThrough de dominio mejorado para Single Sign-On
Debe habilitar la función PassThrough de dominio mejorado para Single Sign-On en el dispositivo cliente. Puede hacer esto mediante la directiva local o el GPO.
- Vaya a
Computer Configuration\Policies\Administrative Templates\Citrix Components\Citrix Workspace\User Authentication
. -
Habilite el parámetro PassThrough de dominio mejorado para Single Sign-On.
- Reinicie la aplicación Citrix Workspace para que los parámetros surtan efecto.
Confiar en el sitio de StoreFront
Debe asegurarse de que los dispositivos cliente confíen en su URL de StoreFront. Si la URL no forma parte de un dominio que ya sea de confianza, debe agregarla como sitio de intranet local o como sitio de confianza. Puede hacer esto mediante la directiva local o el GPO.
- Vaya a la página
Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security
. -
Habilite la configuración de la Lista de asignación de sitios a zona y agregue las URL apropiadas y la asignación de zona correspondiente.
-
Habilite el parámetro Opciones de inicio de sesión y configúrelo en Inicio de sesión automático con el nombre de usuario y la contraseña actuales.