Autenticación
Puede configurar diversos tipos de autenticación para la aplicación Citrix Workspace: autenticación con tarjeta inteligente, autenticación PassThrough de dominio (Single Sign-On o SSON) y autenticación PassThrough con Kerberos.
Autenticación PassThrough de dominio (Single Sign-On)
La autenticación PassThrough de dominio (Single Sign-On o SSON) permite autenticarse en un dominio y usar Citrix Virtual Apps and Desktops y Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service) sin necesidad de autenticarse de nuevo.
Nota:
Si inhabilita la directiva Habilitar notificaciones de MPR para el sistema en la plantilla de objetos de directiva de grupo, Windows 11 no admite la función de autenticación de PassThrough de dominio (Single Sign-On). Esta función está disponible a partir de la versión 2012 y posteriores de la aplicación Citrix Workspace para Windows.
Cuando está habilitada, la autenticación PassThrough de dominio (Single Sign-On) almacena en caché las credenciales para que pueda conectarse a otras aplicaciones de Citrix sin tener que iniciar sesión cada vez. Para mitigar el riesgo de robo de credenciales, asegúrese de que solo se ejecute en su dispositivo software que cumpla con las directivas corporativas.
Cuando inicia sesión en la aplicación Citrix Workspace, las credenciales se transfieren a StoreFront, junto con las aplicaciones, los escritorios y los parámetros del menú Inicio. Después de configurar el tipo de inicio de sesión Single Sign-On, puede iniciar sesión en la aplicación Citrix Workspace e iniciar sesiones de aplicaciones y escritorios virtuales sin tener que volver a escribir las credenciales.
Todos los exploradores web necesitarán que configure Single Sign-On mediante la plantilla administrativa de objetos de directiva de grupo (GPO). Para obtener más información sobre cómo configurar Single Sign-On mediante la plantilla administrativa de objetos de directiva de grupo (GPO), consulte Configurar Single Sign-On en Citrix Gateway.
Puede configurar el inicio Single Sign-On tanto en una instalación nueva como en una actualización mediante cualquiera de las siguientes opciones:
- Interfaz de línea de comandos
- Interfaz gráfica (GUI)
Nota:
Es posible que los términos PassThrough de dominio, Single Sign-On y SSON se usen indistintamente en este documento.
Limitaciones:
El PassThrough de dominio con credenciales de usuario tiene estas limitaciones:
- No permite la autenticación sin contraseña con métodos de autenticación modernos como Windows Hello o FIDO2. Se requiere un componente adicional denominado Servicio de autenticación federada (FAS) para Single Sign-On (SSO).
- La instalación o actualización de la aplicación Citrix Workspace con SSON habilitado requiere reiniciar el dispositivo.
- Requiere que las notificaciones del enrutador de varios proveedores (MPR) estén habilitadas en máquinas con Windows 11.
- Debe estar en la parte superior de la lista de proveedores de red.
Para superar las limitaciones anteriores, use PassThrough de dominio mejorado para Single Sign-On (SSO mejorado).
Configurar Single Sign-On durante una instalación nueva
Para configurar Single Sign-On durante una instalación nueva, siga estos pasos:
- Configuración en StoreFront.
- Configure servicios XML de confianza en el Delivery Controller.
- Modifique parámetros de Internet Explorer.
- Instale la aplicación Citrix Workspace con Single Sign-On.
Configurar Single Sign-On en StoreFront
Single Sign-On le permite autenticarse en un dominio y usar Citrix Virtual Apps and Desktops y Citrix DaaS desde el mismo dominio sin tener que autenticarse de nuevo para cada aplicación o escritorio.
Cuando agrega un almacén mediante la utilidad Storebrowse, las credenciales se transfieren al servidor de Citrix Gateway, junto con las aplicaciones y los escritorios enumerados para usted, incluidos los parámetros del menú Inicio. Después de configurar el inicio Single Sign-On, puede agregar el almacén, enumerar sus aplicaciones y escritorios e iniciar los recursos necesarios sin tener que escribir sus credenciales varias veces.
Según la implementación de Citrix Virtual Apps and Desktops, la autenticación Single Sign-On se puede configurar en StoreFront desde la consola de administración.
Utilice esta tabla para ver los diferentes casos de uso y su configuración respectiva:
Caso de uso | Detalles de configuración | Información adicional |
---|---|---|
SSON configurado en StoreFront | Inicie Citrix Studio, vaya a Almacenes > Administrar métodos de autenticación - Almacén y habilite PassThrough de dominio. | Cuando la aplicación Citrix Workspace no está configurada con Single Sign-On, cambia automáticamente el método de autenticación de PassThrough de dominio a Nombre de usuario y contraseña, si está disponible. |
Cuando se necesita Workspace para Web | Inicie Almacenes > Sitios de Workspace para Web > Administrar métodos de autenticación - Almacén y habilite PassThrough de dominio. | Cuando la aplicación Citrix Workspace no está configurada con Single Sign-On, cambia automáticamente el método de autenticación de PassThrough de dominio a Nombre de usuario y contraseña, si está disponible. |
Configurar Single Sign-On en Citrix Gateway
El inicio Single Sign-On en Citrix Gateway se habilita a través de la plantilla administrativa del GPO. Sin embargo, debe asegurarse de haber habilitado la autenticación básica y la autenticación de factor único (nFactor con 1 factor) en Citrix Gateway.
- Abra la plantilla administrativa del GPO de la aplicación Citrix Workspace; para ello, ejecute
gpedit.msc
. - En el nodo Configuración del equipo, vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios, y seleccione Single Sign-On para Citrix Gateway.
- Seleccione Habilitado.
- Haga clic en Aplicar y en Aceptar.
- Reinicie la aplicación Citrix Workspace para que los cambios surtan efecto.
Configurar servicios XML de confianza en el Delivery Controller
En Citrix Virtual Apps and Desktops y Citrix DaaS, ejecute el siguiente comando de PowerShell como administrador en el Delivery Controller:
asnp Citrix* ; Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True
Modificar los parámetros de Internet Explorer
- Agregar el servidor de StoreFront a la lista de sitios de confianza mediante Internet Explorer. Para agregarlo:
- Inicie Opciones de Internet desde el Panel de control.
-
Haga clic en Seguridad > Internet local y, a continuación, haga clic en Sitios.
Aparecerá la ventana Intranet local.
- Seleccione Opciones avanzadas.
- Agregue la URL del FQDN de StoreFront con los protocolos HTTP o HTTPS correspondientes.
- Haga clic en Aplicar y en Aceptar.
- Modifique los parámetros de Autenticación de usuarios en Internet Explorer. Para modificarlos:
- Inicie Opciones de Internet desde el Panel de control.
- Haga clic en la ficha Seguridad > Intranet local.
- Haga clic en Nivel personalizado. Aparece la ventana Configuración de seguridad: Zona de intranet local.
-
En el panel Autenticación del usuario, seleccione Inicio de sesión automático con el nombre de usuario y contraseña actuales.
- Haga clic en Aplicar y en Aceptar.
Configurar Single Sign-On mediante la interfaz de línea de comandos
Instale la aplicación Citrix Workspace con el modificador de línea de comandos /includeSSON
y reiníciela para que los cambios surtan efecto.
Configurar Single Sign-On mediante la GUI
- Busque el archivo de instalación de la aplicación Citrix Workspace (
CitrixWorkspaceApp.exe
). - Haga doble clic en
CitrixWorkspaceApp.exe
para iniciar el instalador. - En el asistente de instalación Habilitar Single Sign-On, seleccione la opción Habilitar Single Sign-On.
- Haga clic en Siguiente y siga las instrucciones para completar la instalación.
Ahora puede iniciar sesión en un almacén existente (o configurar un almacén nuevo) mediante la aplicación Citrix Workspace sin introducir credenciales de usuario.
Configurar Single Sign-On en Citrix Workspace para Web
Puede configurar Single Sign-On en Workspace para Web mediante la plantilla administrativa del objeto de directiva de grupo.
- Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace para Web. Para ello, ejecute gpedit.msc.
- En el nodo Configuración del equipo, vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios.
- Seleccione la directiva Nombre de usuario y contraseña locales y habilítela.
- Haga clic en Habilitar autenticación PassThrough. Esta opción permite a Workspace para Web usar las credenciales de inicio de sesión para autenticarse en el servidor remoto.
- Haga clic en Permitir autenticación PassThrough para todas las conexiones ICA. Esta opción omite las restricciones de autenticación y permite que las credenciales se transfieran en todas las conexiones.
- Haga clic en Aplicar y en Aceptar.
- Reinicie Citrix Workspace para Web para que los cambios surtan efecto.
Verifique si Single Sign-On está habilitado. Para ello, inicie el Administrador de tareas y compruebe que el proceso ssonsvr.exe
se está ejecutando.
Configurar Single Sign-On mediante Active Directory
Complete los pasos siguientes para configurar la aplicación Citrix Workspace para la autenticación PassThrough mediante la directiva de grupo de Active Directory. En este caso, puede obtener la autenticación Single Sign-On sin utilizar las herramientas de implementación del software de empresa, como Microsoft System Center Configuration Manager.
-
Descargue el archivo de instalación de la aplicación Citrix Workspace (CitrixWorkspaceApp.exe) y colóquelo en un recurso compartido de red adecuado. Se debe poder acceder a ese recurso desde las máquinas de destino en las que instale la aplicación Citrix Workspace.
-
Puede obtener la
CheckAndDeployWorkspacePerMachineStartupScript.bat
plantilla desde la página de descargas de la aplicación Citrix Workspace para Windows. -
Modifique el contenido para adaptarlo a la ubicación y la versión de
CitrixWorkspaceApp.exe
. -
En la Consola de administración de directivas de grupo de Active Directory, escriba
CheckAndDeployWorkspacePerMachineStartupScript.bat
como script de inicio. Para obtener más información sobre cómo implementar los script de inicio, consulte la sección Active Directory. -
En el nodo Configuración del equipo, vaya a Plantillas administrativas > Agregar o quitar plantillas para agregar el archivo
receiver.adml
. -
Después de agregar la plantilla
receiver.adml
, vaya a Configuración del equipo > Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios. Para obtener más información sobre cómo agregar los archivos de plantilla, consulte Plantilla administrativa de objeto de directiva de grupo. -
Seleccione la directiva Nombre de usuario y contraseña locales y habilítela.
-
Seleccione Habilitar autenticación PassThrough y haga clic en Aplicar.
-
Reinicie la máquina para que los cambios surtan efecto.
Configurar Single Sign-On en StoreFront
Configurar StoreFront
- Inicie Citrix Studio en el servidor de StoreFront y seleccione Almacenes > Administrar métodos de autenticación - Almacén.
- Seleccione PassThrough de dominio.
Tokens de autenticación
Los tokens de autenticación se cifran y se almacenan en el disco local para que no tenga que volver a escribir sus credenciales al reiniciar el sistema o la sesión. La aplicación Citrix Workspace ofrece una opción para inhabilitar el almacenamiento de tokens de autenticación en el disco local.
Para mejorar la seguridad, ahora proporcionamos una directiva de objeto de directiva de grupo (GPO) para configurar el almacenamiento de tokens de autenticación.
Nota:
Esta configuración solo se puede aplicar en implementaciones en la nube.
Para inhabilitar el almacenamiento de tokens de autenticación mediante la directiva de objeto de directiva de grupo (GPO):
- Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute
gpedit.msc
. - En el nodo Configuración del equipo, vaya a Plantillas administrativas > Componentes de Citrix > Autoservicio.
-
En la directiva Almacenar tokens de autenticación, seleccione una de estas opciones:
- Habilitado: Indica que los tokens de autenticación se almacenan en el disco. De forma predeterminada, habilítela.
- Inhabilitado: Indica que los tokens de autenticación no se almacenan en el disco. Introduzca de nuevo sus credenciales al reiniciar el sistema o la sesión.
- Haga clic en Aplicar y en Aceptar.
A partir de la versión 2106, la aplicación Citrix Workspace ofrece otra opción para inhabilitar el almacenamiento de tokens de autenticación en el disco local. Junto con la configuración de GPO existente, también puede inhabilitar el almacenamiento de tokens de autenticación en el disco local mediante Global App Configuration Service.
En Global App Configuration Service, establezca el atributo Store Authentication Tokens
en False
.
Puede configurar este parámetro mediante Global App Configuration Service mediante uno de estos métodos:
- Interfaz de usuario (IU) de Global App Configuration Service: Para la configuración mediante la interfaz de usuario, consulte Configurar la aplicación Citrix Workspace.
- API: Para configurar parámetros mediante las API, consulte la documentación para desarrolladores de Citrix.
Configuration Checker
Configuration Checker le permite ejecutar pruebas para comprobar si Single Sign-On está configurado correctamente. Las pruebas se ejecutan en varios puntos de control de la configuración de Single Sign-On y muestran los resultados de la configuración.
- Haga clic con el botón secundario en el icono de la aplicación Citrix Workspace situado en el área de notificaciones y, a continuación, haga clic en Preferencias avanzadas. Se mostrará el cuadro de diálogo Preferencias avanzadas.
-
Haga clic en Configuration Checker. Aparecerá la ventana Citrix Configuration Checker.
- Seleccione SSONChecker desde el panel Seleccionar.
- Haga clic en Ejecutar. Aparecerá la barra de progreso, que muestra el estado de la prueba.
La ventana de Configuration Checker consta de las siguientes columnas:
-
Estado: Muestra el resultado de una prueba en un punto de control concreto.
- Una marca de verificación (✓) verde indica que el punto de control está configurado correctamente.
- Una I azul indica información sobre el punto de control.
- Una X roja indica que ese punto de control no está configurado correctamente.
- Proveedor: Muestra el nombre del módulo en que se ejecuta la prueba. En este caso, Single Sign-On.
- Suite: Indica la categoría de la prueba. Por ejemplo, Instalación.
- Prueba: Indica el nombre de la prueba específica que se ejecuta.
- Detalles: Proporciona información adicional sobre la prueba, independientemente del resultado de esta.
El usuario puede ver más información sobre cada punto de control y los resultados correspondientes.
Se realizan estas pruebas:
- Instalado con Single Sign-On.
- Captura de credenciales de inicio de sesión.
- Registro de proveedores de red: El resultado de la prueba de registro de proveedores de red muestra una marca de verificación verde solo cuando “Citrix Single Sign-On” figura en primer lugar en la lista de proveedores de red. Si Citrix Single Sign-On aparece en algún otro lugar de la lista, el resultado de la prueba Registro de proveedores de red es una barra azul y se ofrece información adicional.
- Proceso de Single Sign-On en ejecución.
- Directiva de grupo: De manera predeterminada, esta directiva está configurada en el cliente.
- Parámetros de Internet para zonas de seguridad: Compruebe que ha agregado la URL del almacén o del servicio XenApp a la lista de zonas de seguridad en las Opciones de Internet. Si las zonas de seguridad están configuradas mediante una directiva de grupo, cualquier cambio en la directiva requiere que la ventana Preferencias avanzadas se vuelva a abrir para que los cambios surtan efecto y para mostrar el estado correcto de la prueba.
- Método de autenticación para StoreFront.
Nota:
- Si accede a Workspace para Web, los resultados de la prueba no se aplican.
- Si la aplicación Citrix Workspace está configurada con varios almacenes, la prueba del método de autenticación se ejecuta en todos los almacenes configurados.
- Puede guardar como informes los resultados de la prueba. El formato predeterminado del informe es TXT.
Ocultar la opción Configuration Checker de la ventana Preferencias avanzadas
- Abra la plantilla administrativa del GPO de la aplicación Citrix Workspace; para ello, ejecute
gpedit.msc
. - Vaya a Componentes de Citrix > Citrix Workspace > Autoservicio > DisableConfigChecker.
- Haga clic en Habilitado para ocultar la opción Configuration Checker de la ventana Preferencias avanzadas.
- Haga clic en Aplicar y en Aceptar.
- Ejecute el comando
gpupdate /force
.
Limitación:
Configuration Checker no incluye el punto de control de la configuración de confianza en solicitudes enviadas a XML Service en los servidores de Citrix Virtual Apps and Desktops.
Prueba de baliza
La aplicación Citrix Workspace permite realizar una prueba de baliza mediante la herramienta de comprobación de balizas que está disponible como parte de la herramienta Configuration Checker. La prueba de baliza ayuda a confirmar si se puede acceder a la baliza (ping.citrix.com). A partir de la versión 2405 de la aplicación Citrix Workspace para Windows, la prueba de baliza funciona para todas las balizas configuradas en el almacén agregadas a la aplicación Citrix Workspace. Esta prueba de diagnóstico ayuda a eliminar una de las muchas causas posibles de la lentitud en la enumeración de recursos, es decir, que la baliza no esté disponible. Para ejecutar la prueba, haga clic con el botón secundario en la aplicación Citrix Workspace en el área de notificaciones y seleccione Preferencias avanzadas > Configuration Checker. Seleccione la opción Beacon Checker de la lista “Pruebas” y haga clic en Ejecutar.
Los resultados de la prueba pueden ser uno de los siguientes:
- Accesible: La aplicación Citrix Workspace puede contactar con la baliza.
- No accesible: La aplicación Citrix Workspace no puede contactar con la baliza.
- Parcialmente accesible: La aplicación Citrix Workspace puede contactar intermitentemente con la baliza.
Nota:
- Los resultados de la prueba no se aplican a Workspace para Web.
- Puede guardar como informes los resultados de la prueba. El formato predeterminado del informe es TXT.
Autenticación PassThrough de dominio (Single Sign-On) con Kerberos
Lo descrito en este artículo se aplica solo a conexiones entre la aplicación Citrix Workspace para Windows y StoreFront, Citrix Virtual Apps and Desktops y Citrix DaaS.
La aplicación Citrix Workspace admite Kerberos para la autenticación PassThrough de dominio (Single Sign-On o SSON) en implementaciones que usan tarjetas inteligentes. Kerberos es uno de los métodos de autenticación incluidos en la autenticación de Windows integrada (IWA).
Al habilitarse, Kerberos se autentica sin contraseña en la aplicación Citrix Workspace. Así, impide ataques de tipo troyano que intentan acceder a las contraseñas del dispositivo de usuario. Los usuarios pueden iniciar sesión con cualquier método de autenticación y acceder a recursos publicados; por ejemplo, un autenticador biométrico (un lector de huellas digitales).
Cuando inicie sesión con una tarjeta inteligente en la aplicación Citrix Workspace, StoreFront, Citrix Virtual Apps and Desktops y Citrix DaaS configurados para la autenticación con tarjeta inteligente, la aplicación Citrix Workspace:
- Captura el PIN de la tarjeta inteligente durante Single Sign-On.
-
Usa IWA (Kerberos) para autenticar al usuario en StoreFront. A continuación, StoreFront proporciona a la aplicación Citrix Workspace información sobre las instancias disponibles de Citrix Virtual Apps and Desktops y Citrix DaaS.
Nota:
Habilite Kerberos para evitar una solicitud extra de PIN. Si no se usa la autenticación Kerberos, la aplicación Citrix Workspace se autentica en StoreFront con las credenciales de la tarjeta inteligente.
- HDX Engine (antes conocido como cliente ICA) pasa el PIN de la tarjeta inteligente al VDA para iniciar la sesión del usuario en la aplicación Citrix Workspace. A continuación, Citrix Virtual Apps and Desktops y Citrix DaaS entregan los recursos solicitados.
Para usar la autenticación Kerberos en la aplicación Citrix Workspace, compruebe si la configuración de Kerberos cumple estos requisitos.
- Kerberos solo funciona entre la aplicación Citrix Workspace y los servidores que pertenecen a los mismos dominios de Windows o a dominios que son de confianza. Se confía en los servidores para la delegación, una opción que se configura a través de la herramienta de administración de usuarios y equipos de Active Directory.
- Kerberos debe estar habilitado tanto en el dominio como en Citrix Virtual Apps and Desktops y en Citrix DaaS. Para mayor seguridad y para asegurarse de que se utiliza Kerberos, inhabilite las demás opciones que no sean Kerberos IWA en el dominio.
- El inicio de sesión con Kerberos no está disponible para conexiones de Servicios de escritorio remoto configuradas para usar la autenticación básica, para usar siempre la información de inicio de sesión especificada o para pedir siempre una contraseña.
Advertencia:
Es posible que el uso incorrecto del Editor del Registro del sistema cause problemas graves que puedan obligarle a reinstalar el sistema operativo. Citrix no puede garantizar que los problemas derivados de un uso incorrecto del Editor del Registro puedan resolverse. Use el Editor del Registro bajo su propia responsabilidad. Haga una copia de seguridad del Registro antes de modificarlo.
Autenticación PassThrough de dominio (Single Sign-On) con Kerberos para usarla con tarjetas inteligentes
Antes de continuar, consulte la sección Proteger la implementación en el documento de Citrix Virtual Apps and Desktops.
Cuando instale la aplicación Citrix Workspace para Windows, incluya la opción siguiente en la línea de comandos:
-
/includeSSON
Esta opción instala el componente Single Sign-On en el equipo unido a un dominio, lo que habilita a Citrix Workspace para autenticarse en StoreFront mediante IWA (Kerberos). El componente Single Sign-On guarda el PIN de la tarjeta inteligente que el motor HDX utiliza cuando comunica de forma remota el hardware de la tarjeta inteligente y las credenciales a Citrix Virtual Apps and Desktops y Citrix DaaS. Citrix Virtual Apps and Desktops y Citrix DaaS seleccionan automáticamente un certificado desde la tarjeta inteligente y obtienen el PIN desde el motor HDX.
La opción relacionada
ENABLE_SSON
está habilitada de forma predeterminada.
Si una directiva de seguridad le impide habilitar el inicio Single Sign-On en un dispositivo, configure la aplicación Citrix Workspace mediante la plantilla administrativa del objeto de directiva de grupo.
- Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
- Elija Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios > Nombre de usuario y contraseña locales.
- Seleccione Habilitar autenticación PassThrough.
-
Reinicie la aplicación Citrix Workspace para que los cambios surtan efecto.
Para configurar StoreFront:
Durante la configuración del servicio de autenticación en el servidor de StoreFront, seleccione la opción PassThrough de dominio. Este parámetro habilita la autenticación de Windows integrada (IWA). No es necesario seleccionar la opción “Tarjeta inteligente” a menos que también tenga clientes que no estén unidos a un dominio conectándose a StoreFront con tarjeta inteligente.
Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulte Configurar el servicio de autenticación en la documentación de StoreFront.
Compatibilidad del Acceso condicional con Azure Active Directory
El Acceso condicional es una herramienta utilizada por Azure Active Directory para aplicar directivas de organización. Los administradores de Workspace pueden configurar y aplicar directivas de acceso condicional de Azure Active Directory a usuarios que se autentican en la aplicación Citrix Workspace. La máquina Windows que ejecute la aplicación Citrix Workspace debe tener instalada la versión 99 de Microsoft Edge WebView2 Runtime o una versión posterior.
Para obtener información e instrucciones completas sobre cómo configurar directivas de acceso condicional con Azure Active Directory, consulte la documentación sobre el Acceso condicional de Azure AD en docs.microsoft.com/es-es/azure/active-directory/conditional-access/.
Nota:
Esta función solo está disponible en implementaciones de Workspace (Cloud).
Compatibilidad con métodos de autenticación modernos para almacenes de StoreFront
A partir de la aplicación Citrix Workspace 2303 para Windows, puede habilitar métodos de autenticación modernos para las almacenes de StoreFront mediante una plantilla de objetos de directiva de grupo (GPO). Con la versión 2305.1 de la aplicación Citrix Workspace, puede habilitar esta función mediante Global App Configuration Service.
Puede autenticarse en los almacenes de Citrix StoreFront de cualquiera de las siguientes formas:
- Con claves de seguridad de Windows Hello y FIDO2. Para obtener más información, consulte Otras formas de autenticarse.
- Single Sign-On (SSO) en los almacenes de Citrix StoreFront desde máquinas unidas a Azure Active Directory (AAD) con AAD como proveedor de identidades. Para obtener más información, consulte Otras formas de autenticarse.
- Los administradores de Workspace pueden configurar y aplicar directivas de acceso condicional de Azure Active Directory para usuarios que se autentican en los almacenes de Citrix StoreFront. Para obtener más información, consulte Compatibilidad con el acceso condicional con Azure AD.
Para habilitar esta funcionalidad, debe utilizar Microsoft Edge WebView2 como explorador subyacente para la autenticación directa de StoreFront y la puerta de enlace.
Nota:
La versión de Microsoft Edge WebView2 Runtime debe ser 102 o posterior.
Puede habilitar métodos de autenticación modernos para los almacenes de StoreFront mediante Global App Config Service y una plantilla de objetos de directiva de grupo (GPO).
Mediante Global App Config Service
Para habilitar esta funcionalidad:
- En el menú de Citrix Cloud, seleccione Configuración de Workspace y, luego, Configuración de aplicaciones.
- Haga clic en Seguridad y autenticación.
- Asegúrese de que la casilla Windows esté marcada.
-
Seleccione Habilitado junto a Windows en la lista desplegable Autenticación de Microsoft Edge WebView para StoreFront.
Nota:
Si selecciona Inhabilitado junto a Windows en la lista desplegable Autenticación de Microsoft Edge WebView para StoreFront, se utiliza Internet Explorer WebView en la aplicación Citrix Workspace. Como resultado, no se admitirán métodos de autenticación modernos para los almacenes de Citrix Storefront.
Mediante un GPO
Para habilitar esta funcionalidad:
- Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
- En el nodo Configuración del equipo, vaya a Plantillas administrativas > Citrix Workspace > Autenticación de usuarios.
-
Haga clic en la directiva de autenticación de Microsoft Edge WebView para StoreFront y configúrela en Habilitada.
- Haga clic en Aplicar y, a continuación, en Aceptar.
Cuando esta directiva está inhabilitada, la aplicación Citrix Workspace utiliza Internet Explorer WebView. Como resultado, no se admiten los métodos de autenticación modernos para los almacenes de Citrix StoreFront.
Otras formas de autenticarse
Puede configurar estos mecanismos de autenticación con la aplicación Citrix Workspace. Para que estos mecanismos de autenticación funcionen como es debido, la máquina Windows que ejecuta la aplicación Citrix Workspace debe tener instalada la versión 99 de Microsoft Edge WebView2 Runtime o una versión posterior.
-
Autenticación por Windows Hello: Para obtener instrucciones sobre cómo configurar la autenticación por Windows Hello, consulte Configure Windows Hello for Business Policy settings - Certificate Trust en _docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-cert-trust-policy-settings.
Nota:
No se admite la autenticación basada en Windows Hello con PassThrough de dominio (Single Sign-On o SSON).
- Autenticación por claves de seguridad FIDO2: Las claves de seguridad FIDO2 ofrecen un método intuitivo para que los empleados se autentiquen sin introducir nombres de usuario ni contraseñas. Puede configurar la autenticación por claves de seguridad FIDO2 en Citrix Workspace. Si quiere que los usuarios se autentiquen en Citrix Workspace con su cuenta de Azure AD mediante una clave de seguridad FIDO2, consulte Habilitación del inicio de sesión con clave de seguridad sin contraseña en docs.microsoft.com/es-es/azure/active-directory/authentication/howto-authentication-passwordless-security-key.
- También puede configurar Single Sign-On (SSO) en la aplicación Citrix Workspace desde máquinas unidas a Microsoft Azure Active Directory (AAD) con AAD como un proveedor de identidades Para obtener más información detallada sobre la configuración de Azure Active Directory Domain Services, consulte Configurar Azure Active Directory Domain Services en docs.microsoft.com/es-es/azure/active-directory-domain-services/overview. Para obtener información sobre cómo conectar Azure Active Directory a Citrix Cloud, consulte Conectar Azure Active Directory a Citrix Cloud.
Tarjeta inteligente
La aplicación Citrix Workspace para Windows admite la siguiente autenticación con tarjeta inteligente:
-
Autenticación PassThrough (Single Sign-On): La autenticación PassThrough captura las credenciales de la tarjeta inteligente cuando los usuarios inician sesión en la aplicación Citrix Workspace. La aplicación Citrix Workspace usa las credenciales capturadas de la siguiente manera:
- Los usuarios de dispositivos unidos a un dominio que inician sesión en la aplicación Citrix Workspace con una tarjeta inteligente pueden iniciar aplicaciones y escritorios virtuales sin necesidad de volver a autenticarse.
- Los usuarios de dispositivos no unidos a ningún dominio que inician sesión en la aplicación Citrix Workspace con credenciales de tarjeta inteligente deben escribir de nuevo sus credenciales para poder iniciar una aplicación o escritorio virtual.
La autenticación PassThrough debe configurarse tanto en StoreFront como en la aplicación Citrix Workspace.
-
Autenticación bimodal: La autenticación bimodal ofrece a los usuarios la opción de usar una tarjeta inteligente o escribir su nombre de usuario y contraseña. Esta función es efectiva cuando no se puede usar la tarjeta inteligente; por ejemplo, cuando el certificado de inicio de sesión ha caducado. Para permitir la autenticación bimodal, deben configurarse almacenes dedicados para cada sitio siguiendo el método de DisableCtrlAltDel establecido en el valor False para permitir el uso de tarjetas inteligentes. La autenticación bimodal requiere una configuración de StoreFront.
Con la autenticación bimodal, el administrador de StoreFront puede permitir autenticarse tanto con nombre y contraseña como con tarjeta inteligente en un mismo almacén. Para ello, el administrador debe seleccionar estas dos opciones en la consola de StoreFront. Consulte la documentación de StoreFront.
-
Varios certificados: Pueden emplearse varios certificados para una única tarjeta inteligente, y también si se utilizan varias tarjetas inteligentes. Cuando se inserta una tarjeta inteligente en el lector de tarjetas, los certificados se aplican a todas las aplicaciones ejecutadas en el dispositivo del usuario, incluida la aplicación Citrix Workspace.
-
Autenticación por certificado del cliente: La autenticación por certificado del cliente requiere la configuración de Citrix Gateway y StoreFront.
- Para acceder a StoreFront a través de Citrix Gateway, debe volver a autenticarse después de extraer la tarjeta inteligente.
- Cuando la configuración SSL de Citrix Gateway está definida como Autenticación por certificado de cliente obligatoria, la operación es más segura. No obstante, la autenticación por certificado de cliente obligatoria no es compatible con la autenticación bimodal.
-
Sesiones de doble salto: Si es necesario el doble salto, se establece una conexión entre la aplicación Citrix Workspace y el escritorio virtual del usuario.
-
Aplicaciones habilitadas para tarjeta inteligente: Las aplicaciones habilitadas para tarjeta inteligente, como Microsoft Outlook y Microsoft Office, permiten a los usuarios cifrar o firmar digitalmente los documentos disponibles en las sesiones de aplicaciones y escritorios virtuales.
Limitaciones:
- Los certificados deben guardarse en una tarjeta inteligente, no en el dispositivo del usuario.
- La aplicación Citrix Workspace no guarda la elección de certificado del usuario, pero guarda el PIN si se configura así. El PIN se almacena en caché solo en la memoria no paginada durante la sesión del usuario. No se guarda en el disco.
- La aplicación Citrix Workspace no se reconecta a sesiones cuando se inserta una tarjeta inteligente.
- Cuando está configurada para la autenticación con tarjeta inteligente, la aplicación Citrix Workspace no admite ni el Preinicio de sesiones ni Single Sign-On en redes privadas virtuales (VPN). Para usar una VPN con la autenticación con tarjeta inteligente, instale Citrix Gateway Plug-in. Inicie sesión en una página web con sus tarjetas inteligentes y sus PIN para autenticarse en cada paso. La autenticación PassThrough en StoreFront con Citrix Gateway Plug-in no está disponible para los usuarios de tarjeta inteligente.
- Las comunicaciones de Citrix Workspace Updater con citrix.com y Merchandising Server no son compatibles con la autenticación por tarjeta inteligente en Citrix Gateway.
Advertencia
Algunas configuraciones requieren modificaciones del Registro. Es posible que el uso incorrecto del Editor del Registro del sistema cause problemas que puedan requerir la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de un uso incorrecto del Editor del Registro puedan resolverse. Haga una copia de seguridad del Registro antes de modificarlo.
Para habilitar la autenticación Single Sign-On para tarjeta inteligente:
Para configurar la aplicación Citrix Workspace para Windows, incluya la siguiente opción de línea de comandos cuando la instale:
-
ENABLE_SSON=Yes
Single Sign-On es otro término para el paso de credenciales/autenticación PassThrough. Habilitar este parámetro impide que la aplicación Citrix Workspace muestre una segunda solicitud de PIN.
-
En el Editor del Registro, vaya a esta ruta de acceso y establezca la cadena
SSONCheckEnabled
enFalse
si no instaló el componente Single Sign-On.HKEY_CURRENT_USER\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\
HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\
La clave impide que Authentication Manager de la aplicación Citrix Workspace busque el componente Single Sign-On y permite que la aplicación Citrix Workspace se autentique en StoreFront.
Para habilitar la autenticación en StoreFront con tarjeta inteligente en lugar de Kerberos, instale la aplicación Citrix Workspace para Windows con las siguientes opciones de la línea de comandos.
-
/includeSSON
instala Single Sign-On (autenticación PassThrough). Habilita el almacenamiento en caché de credenciales y el uso de la autenticación PassThrough de dominio. -
Si el usuario inicia sesión en el dispositivo de punto final con otro método de autenticación como, por ejemplo, nombre de usuario y contraseña, la línea de comandos es:
/includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No
Este tipo de autenticación evita la captura de las credenciales al iniciar sesión y permite que la aplicación Citrix Workspace almacene el PIN durante el inicio de sesión en la aplicación Citrix Workspace.
- Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
- Vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios > Nombre de usuario y contraseña locales.
- Seleccione Habilitar autenticación PassThrough. Dependiendo de la configuración y los parámetros de seguridad, seleccione la opción Permitir autenticación PassThrough para todas las conexiones ICA para que la autenticación PassThrough funcione.
Para configurar StoreFront:
- Al configurar el servicio de autenticación, marque la casilla Tarjeta inteligente.
Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulte Configurar el servicio de autenticación en la documentación de StoreFront.
Para habilitar los dispositivos de los usuarios para el uso de tarjetas inteligentes:
- Importe el certificado raíz de la entidad de certificación en el almacén de claves del dispositivo.
- Instale el middleware de su proveedor de servicios criptográficos.
- Instale y configure la aplicación Citrix Workspace.
Para cambiar cómo se seleccionan los certificados:
De manera predeterminada, si hay varios certificados válidos, la aplicación Citrix Workspace pide al usuario que elija uno de la lista. En su lugar, puede configurar la aplicación Citrix Workspace para que use el certificado predeterminado (por proveedor de tarjeta inteligente) o el certificado con la fecha de caducidad más lejana. Si no hay certificados de inicio de sesión válidos, se notifica esto al usuario y se le da la opción de usar un método de inicio de sesión alternativo, si hay alguno disponible.
Un certificado válido debe reunir estas características:
- La fecha y hora actuales según el reloj del equipo local está dentro del período de validez del certificado.
- La clave pública Sujeto debe usar el algoritmo de RSA y tener una longitud de 1024, 2048 o 4096 bits.
- El uso de claves debe incluir la firma digital.
- Las sesiones de Citrix Virtual Apps se cierran al extraer la tarjeta inteligente.
- El campo “Uso mejorado de claves” debe incluir Inicio de sesión de tarjeta inteligente y Autenticación del cliente o Todos los usos de la clave.
- Una de las entidades de certificación en la cadena de emisores del certificado debe coincidir con uno de los nombres distintivos (DN) permitidos que haya enviado el servidor durante el protocolo de enlace TLS.
Cambie el modo en que se seleccionan los certificados mediante uno de estos métodos:
-
En la línea de comandos de la aplicación Citrix Workspace, especifique la opción
AM_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry }
.La opción predeterminada es “Prompt” (Preguntar). Para
SmartCardDefault
oLatestExpiry
, si hay varios certificados que cumplen esos criterios, la aplicación Citrix Workspace pide al usuario que elija un certificado. -
Agregue el siguiente valor a la clave de Registro HKEY_CURRENT_USER OR HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager
: CertificateSelectionMode= {PromptSmartCardDefault LatestExpiry }.
Los valores definidos en HKEY_CURRENT_USER
tienen preferencia sobre los valores definidos en HKEY_LOCAL_MACHINE
para facilitar al usuario la selección de un certificado.
Para usar solicitudes de PIN del proveedor de servicios criptográficos (CSP):
De manera predeterminada, los diálogos de PIN que se presentan a los usuarios provienen de la aplicación Citrix Workspace para Windows, en lugar de venir del proveedor CSP (Cryptographic Service Provider) de la tarjeta inteligente. La aplicación Citrix Workspace pide a los usuarios que escriban un PIN cuando es necesario, y luego pasa el PIN al proveedor CSP de la tarjeta inteligente. Si el sitio o la tarjeta inteligente tienen unos requisitos de seguridad más estrictos (por ejemplo, prohibir el almacenamiento del PIN en caché por proceso o por sesión), puede configurar la aplicación Citrix Workspace para que use los componentes del CSP para gestionar las entradas de PIN, incluida la solicitud del PIN.
Cambie el modo en que se gestiona la introducción de PIN mediante uno de estos métodos:
- En la línea de comandos de la aplicación Citrix Workspace, especifique la opción
AM_SMARTCARDPINENTRY=CSP
. - Agregue el siguiente valor a la clave de Registro
HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager
: SmartCardPINEntry=CSP.
Cambios en la extracción y la compatibilidad de tarjetas inteligentes
Las sesiones de Citrix Virtual Apps se cierran al extraer la tarjeta inteligente. Si la aplicación Citrix Workspace está configurada con tarjeta inteligente como método de autenticación, configure la directiva correspondiente en la aplicación Citrix Workspace para Windows para que se aplique el cierre de las sesiones de Citrix Virtual Apps. La sesión del usuario sigue abierta en la aplicación Citrix Workspace.
Limitación:
Cuando inicia sesión en el sitio de la aplicación Citrix Workspace mediante la autenticación con tarjeta inteligente, el nombre de usuario aparece como Conectado.
Tarjeta inteligente rápida
La tarjeta inteligente rápida es una mejora con respecto a la redirección HDX existente de tarjetas inteligentes basada en PC/SC. Mejora el rendimiento cuando se usan tarjetas inteligentes en entornos WAN con latencia alta.
Las tarjetas inteligentes rápidas solo son compatibles con Windows VDA.
Para habilitar el inicio de sesión con tarjeta inteligente rápida en la aplicación Citrix Workspace:
El inicio de sesión con tarjeta inteligente rápida está habilitado de forma predeterminada en VDA e inhabilitado de forma predeterminada en la aplicación Citrix Workspace. Para habilitarlo, incluya el siguiente parámetro en el archivo default.ica
del sitio asociado de StoreFront:
copy[WFClient]
SmartCardCryptographicRedirection=On
<!--NeedCopy-->
Para inhabilitar el inicio de sesión con tarjeta inteligente rápida en la aplicación Citrix Workspace:
Para inhabilitar el inicio de sesión con tarjeta inteligente rápida en la aplicación Citrix Workspace, quite el parámetro SmartCardCryptographicRedirection
del archivo default.ica
del sitio asociado de StoreFront.
Para obtener más información, consulte Tarjetas inteligentes.
Autenticación silenciosa para Citrix Workspace
La aplicación Citrix Workspace presenta una directiva de objeto de directiva de grupo (GPO) para habilitar la autenticación silenciosa en Citrix Workspace. Esta directiva permite a la aplicación Citrix Workspace iniciar sesión en Citrix Workspace automáticamente al iniciar el sistema. Utilice esta directiva solo cuando la autenticación PassThrough de dominio (Single Sign-On o SSON) esté configurada para Citrix Workspace en dispositivos unidos a un dominio. Esta función está disponible a partir de la versión 2012 y posteriores de la aplicación Citrix Workspace para Windows.
Para que esta directiva funcione, se deben cumplir los siguientes criterios:
- Single Sign-On debe estar habilitado.
- La clave
SelfServiceMode
debe establecerse enOff
en el editor del Registro.
Habilitar la autenticación silenciosa:
- Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute
gpedit.msc
. - En el nodo Configuración del equipo, vaya a Plantillas administrativas > Citrix Workspace > Autoservicio.
- Haga clic en la directiva Autenticación silenciosa para Citrix Workspace y habilítela.
- Haga clic en Aplicar y en Aceptar.
Impedir que la aplicación Citrix Workspace para Windows almacene en caché contraseñas y nombres de usuario
De manera predeterminada, la aplicación Citrix Workspace para Windows rellena el formulario automáticamente con el último nombre de usuario que se utilizó. Para que el campo de nombre de usuario no se rellene automáticamente, modifique el Registro en el dispositivo del usuario:
- Cree un valor REG_SZ HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManager\RememberUsername.
- Establezca su valor en “false”.
Para inhabilitar la casilla Recordar mi contraseña e impedir el inicio de sesión automático, cree la siguiente clave de Registro en el equipo cliente en el que esté instalada la aplicación Citrix Workspace para Windows:
- Ruta: HKEY_LOCAL_MACHINE\Software\wow6432node\Citrix\AuthManager
- Tipo: REG_SZ
- Nombre: SavePasswordMode
- Valor: Never
Nota:
El uso incorrecto del Editor del Registro del sistema puede causar problemas graves que pueden hacer necesaria la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Si usa el Editor del Registro, será bajo su propia responsabilidad. Haga una copia de seguridad del Registro antes de modificarlo.
Para evitar el almacenamiento en caché de las credenciales de los almacenes de StoreFront, consulte Impedir que la aplicación Citrix Workspace para Windows almacene en caché contraseñas y nombres de usuario en la documentación de StoreFront.
Compatibilidad con más de 200 grupos en Azure AD
Con esta versión, un usuario de Azure AD que forme parte de más de 200 grupos puede ver las aplicaciones y escritorios que tiene asignados. Anteriormente, el mismo usuario no podía ver estas aplicaciones y escritorios.
Nota:
Para habilitar esta función, los usuarios deben cerrar sesión en la aplicación Citrix Workspace e iniciarla de nuevo.
Compatibilidad con la autenticación de proxy
Antes, en máquinas cliente configuradas con autenticación de proxy, si las credenciales del proxy no existían en el Administrador de credenciales de Windows, no se le permitía autenticarse en la aplicación Citrix Workspace.
A partir de la versión 2102 y posteriores de la aplicación Citrix Workspace para Windows, en las máquinas cliente configuradas para la autenticación de proxy, si las credenciales de proxy no se almacenan en el Administrador de credenciales de Windows, aparece un mensaje de autenticación en el que se le pide que introduzca las credenciales del proxy. A continuación, la aplicación Citrix Workspace guarda las credenciales del servidor proxy en el Administrador de credenciales de Windows. Esto simplifica la experiencia de inicio de sesión porque no necesita guardar manualmente las credenciales en el Administrador de credenciales de Windows antes de acceder a la aplicación Citrix Workspace.
User-Agent
La aplicación Citrix Workspace envía un agente de usuario en las solicitudes de red que puede utilizarse para configurar las directivas de autenticación, incluida la redirección de la autenticación a otros proveedores de identidades (IDP).
Nota:
Los números de versión que se mencionan como parte de usuario-agente en esta tabla son ejemplos, y esta se actualiza automáticamente en función de las versiones que utilice.
Esta tabla describe el caso, la descripción y el usuario-agente correspondiente para cada caso:
Caso | Descripción | User-Agent |
---|---|---|
Solicitudes HTTP normales | En general, una solicitud de red realizada por la aplicación Citrix Workspace contiene un usuario-agente. Por ejemplo, solicitudes de red como GET /Citrix/Roaming/Accounts o GET / AGServices/discover
|
CitrixReceiver/23.5.0.63 Windows/10.0 (22H2 Build 19045.2965) SelfService/23.5.0.63 (Release) X1Class CWACapable |
Almacén de la nube | Cuando un usuario se autentica en un almacén de la nube de la aplicación Citrix Workspace, las solicitudes de red se realizan con un usuario-agente específico. Por ejemplo, solicitudes de red con ruta /core/connect/authorize . |
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 Edg/113.0.1774.50 CWA/23.5.0.63 Windows/10.0 (22H2 Build 19045.2965) |
Almacén local con autenticación avanzada de Gateway mediante Edge WebView | Cuando un usuario se autentica en el dispositivo Gateway configurado con autenticación avanzada en la aplicación Citrix Workspace mediante Edge WebView, las solicitudes de red se realizan con un usuario-agente específico. Por ejemplo, las solicitudes de red que incluyen GET /nf/auth/doWebview.do y GET /logon/LogonPoint/tmindex.html . |
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36 Edg/108.0.1462.54 CWAWEBVIEW/23.2.0.2111 Windows/10.0 (22H2 Build 19045.2364) |
Almacén local con autenticación avanzada de Gateway mediante IE WebView | Cuando un usuario se autentica en el dispositivo Gateway configurado con autenticación avanzada en la aplicación Citrix Workspace mediante Internet Explorer WebView, las solicitudes de red se realizan con un usuario-agente específico. Por ejemplo, las solicitudes de red que incluyen GET /nf/auth/doWebview.do y GET /logon/LogonPoint/tmindex.html . |
Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko, CWAWEBVIEW/23.5.0.43 |
Almacén web personalizado | Cuando un usuario agrega un almacén web personalizado a la aplicación Citrix Workspace, la aplicación envía un usuario-agente. | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 Edg/113.0.1774.50 CWA/23.5.0.63 Windows/10.0 (22H2 Build 19045.2965) |
En este artículo
- Autenticación PassThrough de dominio (Single Sign-On)
- Tokens de autenticación
- Autenticación PassThrough de dominio (Single Sign-On) con Kerberos
- Compatibilidad del Acceso condicional con Azure Active Directory
- Compatibilidad con métodos de autenticación modernos para almacenes de StoreFront
- Otras formas de autenticarse
- Tarjeta inteligente
- Autenticación silenciosa para Citrix Workspace
- Impedir que la aplicación Citrix Workspace para Windows almacene en caché contraseñas y nombres de usuario
- Compatibilidad con más de 200 grupos en Azure AD
- Compatibilidad con la autenticación de proxy
- User-Agent