PassThrough de dominio a Citrix Workspace con Azure Active Directory como proveedor de identidades
Se puede implementar Single Sign-On (SSO) en Citrix Workspace con Azure Active Directory (AAD) como proveedor de identidades con dispositivos de punto final/VM unidos a un dominio, híbridos o inscritos en AAD.
Con esta configuración, también puede usar Windows Hello para SSO en Citrix Workspace mediante dispositivos de punto final inscritos en AAD.
- Puede autenticarse en la aplicación Citrix Workspace con Windows Hello.
- Autenticación basada en FIDO2 con la aplicación Citrix Workspace.
- Single Sign-On en la aplicación Citrix Workspace desde máquinas unidas a Microsoft AAD (AAD como IdP) y acceso condicional con AAD.
Para el inicio de sesión único (SSO) en aplicaciones y escritorios virtuales, puede implementar FAS o configurar la aplicación Citrix Workspace de la siguiente manera.
Nota:
SSO en los recursos de Citrix Workspace solo funciona con Windows Hello. Sin embargo, se le pedirá el nombre de usuario y la contraseña al acceder a sus aplicaciones y escritorios virtuales publicados. Para resolver este aviso, puede implementar FAS y SSO en escritorios y aplicaciones virtuales.
Requisitos previos:
- Conecte Azure Active Directory a Citrix Cloud. Para obtener más información, consulte Conectar Azure Active Directory a Citrix Cloud en la documentación de Citrix Cloud.
- Active la autenticación de Azure AD para acceder al espacio de trabajo Para obtener más información, consulte Habilitar la autenticación de Azure AD para espacios de trabajo en la documentación de Citrix Cloud.
Para implementar SSO en Citrix Workspace:
- Configure la aplicación Citrix Workspace con includeSSON.
- Inhabilite el atributo
prompt=login
en Citrix Cloud. - Configure PassThrough de Azure Active Directory con Azure Active Directory Connect.
Configurar la aplicación Citrix Workspace para que admita SSO
Requisitos previos:
- Citrix Workspace 2109 o una versión posterior.
Nota:
Si usa FAS para SSO, no es necesaria la configuración de Citrix Workspace.
-
Instale la aplicación Citrix Workspace desde la línea de comandos de administración con la opción
includeSSON
:CitrixWorkspaceApp.exe /includeSSON
- Cierre sesión en el cliente de Windows e inicie sesión para iniciar el servidor SSON.
-
Haga clic en Configuración del equipo > Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios para cambiar el GPO de Citrix Workspace y permitir el nombre de usuario y la contraseña actuales.
Nota:
Estas directivas se pueden enviar al dispositivo cliente a través de Active Directory. Este paso solo es necesario para acceder a Citrix Workspace desde el explorador web.
-
Habilite la configuración como se indica en la captura de pantalla.
-
Agregue los siguientes sitios de confianza a través del GPO:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com
-
https://xxxtenantxxx.cloud.com
: URL del espacio de trabajo
Nota:
Cuando el registro AllowSSOForEdgeWebview de
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzle
se establece en false, se inhabilita Single Sign-On para AAD.
Inhabilitar el parámetro prompt=login en Citrix Cloud
De forma predeterminada, prompt=login
está habilitado para Citrix Workspace, lo que fuerza la autenticación incluso si el usuario optó por mantener abierta la sesión o si el dispositivo está unido a Azure AD.
Puede inhabilitar prompt=login
en su cuenta de Citrix Cloud. Vaya a Workspace Configuration\Customize\Preferences-Federated Identity Provider Sessions
e inhabilite la opción.
Para obtener más información, consulte el artículo CTX253779 de Knowledge Center.
Nota:
En los dispositivos unidos a AAD o a AAD híbrido, si se utiliza AAD como IdP para Workspace, la aplicación Citrix Workspace no solicita las credenciales. Los usuarios pueden iniciar sesión automáticamente con una cuenta profesional o educativa.
Para permitir que los usuarios inicien sesión con una cuenta diferente, establezca el siguiente registro en false.
Cree y agregue una cadena de Registro REG_SZ con el nombre AllowSSOForEdgeWebview en
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzle
oComputer\HKEY_CURRENT_USER\SOFTWARE\Citrix\Dazzle
y establezca su valor en False. Como alternativa, si los usuarios cierran sesión en la aplicación Citrix Workspace, podrán iniciar sesión con una cuenta diferente la próxima vez.
Configurar PassThrough de Azure Active Directory con Azure Active Directory Connect
- Si va a instalar Azure Active Directory Connect por primera vez, en la página User sign-in, seleccione Pass-through Authentication como método de inicio de sesión. Para obtener más información, consulte Azure Active Directory Pass-Through Authentication: Quickstart en la documentación de Microsoft.
-
Si ya tiene Microsoft Azure Active Directory Connect:
- Seleccione la tarea Change user sign-in y haga clic en Next.
- Seleccione Pass-through Authentication como método de inicio de sesión.
Nota:
Puede omitir este paso si el dispositivo cliente está unido a Azure AD o tiene una unión híbrida. Si el dispositivo está unido a AD, la autenticación PassThrough de dominio funciona mediante la autenticación Kerberos.