Instalar y configurar

Secuencia de instalación y configuración

1. Instala el Servicio de autenticación federada (FAS)
2. Habilita el complemento de FAS en los almacenes de StoreFront
3. Configura el Delivery Controller
4. Configura la Directiva de grupo
5. Usa la consola de administración de FAS para:
   1. Implementar plantillas de certificado
   2. Configurar autoridades de certificación
   3. Autorizar a FAS para usar tus autoridades de certificación
   4. Configurar reglas
   5. Conectar FAS a Citrix Cloud (opcional)

• Instalar el Servicio de autenticación federada

• Por seguridad, Citrix recomienda que el Servicio de autenticación federada (FAS) se instale en un servidor dedicado que esté protegido de forma similar a un controlador de dominio o una autoridad de certificación. FAS se puede instalar desde:

• el instalador de Citrix Virtual Apps and Desktops™ (desde el botón Servicio de autenticación federada en la pantalla de inicio automático cuando se inserta la ISO), o

• el archivo de instalador de FAS independiente (disponible como archivo MSI en Citrix Downloads).

• Estos instalan los siguientes componentes:

• Servicio de autenticación federada
• Cmdlets de complemento de PowerShell para la configuración avanzada de FAS
• Consola de administración de FAS
• Plantillas de Directiva de grupo de FAS (CitrixFederatedAuthenticationService.admx/adml)
• Archivos de plantilla de certificado
• Contadores de rendimiento y registros de eventos

Actualizar FAS

Puedes actualizar FAS a una versión más reciente mediante una actualización in situ. Antes de actualizar, ten en cuenta lo siguiente:

• Todas las configuraciones del servidor FAS se conservan cuando realizas una actualización in situ.
• Asegúrate de que la consola de administración de FAS esté cerrada antes de actualizar FAS.
• Asegúrate de que al menos un servidor FAS esté disponible en todo momento. Si ningún servidor es accesible para un servidor StoreFront™ habilitado para el Servicio de autenticación federada, los usuarios no podrán iniciar sesión ni iniciar aplicaciones.

Para iniciar una actualización, instala FAS desde el instalador de Citrix Virtual Apps and Desktops o desde el archivo de instalador de FAS independiente.

Habilitar el complemento de FAS en los almacenes de StoreFront

Nota:

Este paso no es necesario si usas FAS solo con Citrix Cloud.

Para habilitar la integración de FAS en un almacén de StoreFront, ejecuta los siguientes cmdlets de PowerShell como una cuenta de administrador. Si el almacén tiene un nombre diferente, modifica $StoreVirtualPath.

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->

Para dejar de usar FAS, usa el siguiente script de PowerShell:

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->

Configurar el Delivery Controller™

Nota:

Este paso no es necesario si usas FAS solo con Citrix Cloud.

Para usar FAS, configura el Delivery Controller™ de Citrix Virtual Apps o Citrix Virtual Desktops para que confíe en los servidores de StoreFront que pueden conectarse a él: ejecuta el cmdlet de PowerShell Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true. Esto solo debe hacerse una vez por sitio, independientemente del número de Delivery Controllers en el sitio.

Configurar la Directiva de grupo

Después de instalar FAS, debes especificar los nombres de dominio completos (FQDN) de los servidores FAS en la Directiva de grupo mediante las plantillas de Directiva de grupo proporcionadas en la instalación.

Importante:

Asegúrate de que los servidores de StoreFront que solicitan tickets y los Virtual Delivery Agents (VDA) que los canjean tengan una configuración idéntica de FQDN, incluido el número de servidor automático aplicado por el objeto de Directiva de grupo.

Para simplificar, los siguientes ejemplos configuran una única directiva a nivel de dominio que se aplica a todas las máquinas; sin embargo, eso no es obligatorio. FAS funcionará siempre que los servidores de StoreFront, los VDA y la máquina que ejecuta la consola de administración de FAS vean la misma lista de FQDN. Consulta el Paso 6.

• Paso 1. En el servidor donde instalaste FAS, localiza los archivos C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx y CitrixBase.admx, y la carpeta en-US.

• 

Paso 2. Copia estos a tus controladores de dominio y colócalos en la subcarpeta C:\Windows\PolicyDefinitions y en-US.

Paso 3. Ejecuta la Consola de administración de Microsoft (mmc.exe desde la línea de comandos). En la barra de menú, selecciona Archivo > Agregar o quitar complemento. Agrega el Editor de administración de directivas de grupo.

Cuando se te solicite un objeto de Directiva de grupo, selecciona Examinar y luego selecciona Directiva de dominio predeterminada. Alternativamente, puedes crear y seleccionar un objeto de directiva apropiado para tu entorno, usando las herramientas de tu elección. La directiva debe aplicarse a todas las máquinas que ejecuten el software de Citrix afectado (VDA, servidores de StoreFront, herramientas de administración).

Paso 4. Ve a la directiva Federated Authentication Service ubicada en Configuración del equipo/Directivas/Plantillas administrativas/Componentes de Citrix/Autenticación.

Nota:

La configuración de la directiva de Federated Authentication Service solo está disponible en la GPO del dominio cuando agregas el archivo de plantilla CitrixBase.admx/CitrixBase.adml a la carpeta PolicyDefinitions. Después del Paso 3, la configuración de la directiva de Federated Authentication Service aparece en la carpeta Plantillas administrativas > Componentes de Citrix > Autenticación.

• Paso 5. Abre la directiva de Federated Authentication Service y selecciona Habilitado. Esto te permite seleccionar el botón Mostrar, donde configuras los FQDN de tus servidores FAS.

• 

Paso 6. Introduce los FQDN de los servidores FAS.

Importante:

Si introduces varios FQDN, el orden de la lista debe ser coherente tal como lo ven los VDA, los servidores StoreFront (si los hay) y los servidores FAS. Consulta Configuración de directivas de grupo.

Paso 7. Haz clic en Aceptar para salir del asistente de Directivas de grupo y aplicar los cambios de la directiva de grupo. Es posible que debas reiniciar tus máquinas (o ejecutar gpupdate /force desde la línea de comandos) para que el cambio surta efecto.

Comportamiento en la sesión

Esta directiva activa un proceso de agente en la sesión VDA del usuario que admite certificados en la sesión, consentimiento y desconexión al bloquear. Los certificados en la sesión solo están disponibles si esta directiva está habilitada y si la regla de FAS utilizada para crear el certificado permite el uso en la sesión, consulta Configurar reglas.

Habilitar habilita esta directiva y permite que un proceso de agente de FAS se ejecute en la sesión VDA del usuario.

Deshabilitar deshabilita la directiva y evita que el proceso de agente de FAS se ejecute.

Ámbito de la solicitud

Si esta directiva está habilitada, Ámbito de la solicitud controla cómo se solicita el consentimiento a los usuarios para permitir que una aplicación use un certificado en la sesión. Hay tres opciones:

• No se requiere consentimiento—Esta opción deshabilita la solicitud de seguridad y las claves privadas se usan de forma silenciosa.
• Consentimiento por proceso—Cada programa en ejecución solicita el consentimiento individualmente.
• Consentimiento por sesión—Una vez que el usuario ha hecho clic en Aceptar, esto se aplica a todos los programas de la sesión.

Tiempo de espera del consentimiento

Si esta directiva está habilitada, Tiempo de espera del consentimiento controla cuánto tiempo (en segundos) dura el consentimiento. Por ejemplo, con 300 segundos, los usuarios ven una solicitud cada cinco minutos. Un valor de cero solicita a los usuarios cada operación de clave privada.

Desconexión al bloquear

Si esta directiva está habilitada, la sesión del usuario se desconecta automáticamente cuando bloquea la pantalla. Esta funcionalidad proporciona un comportamiento similar a la directiva “desconexión al quitar la tarjeta inteligente” y es útil para situaciones en las que los usuarios no tienen credenciales de inicio de sesión de Active Directory.

Nota:

La directiva de desconexión al bloquear se aplica a todas las sesiones del VDA.

Uso de la consola de administración de Federated Authentication Service

• Nota:

  Aunque la consola de administración de FAS es adecuada para la mayoría de las implementaciones, la interfaz de PowerShell ofrece opciones más avanzadas. Para obtener información sobre los cmdlets de PowerShell de FAS, consulta Cmdlets de PowerShell.

La consola de administración de FAS se instala como parte de FAS. Se coloca un icono (Citrix Federated Authentication Service) en el menú Inicio.

La primera vez que se usa la consola de administración, te guía a través de un proceso que implementa plantillas de certificado, configura la autoridad de certificación y autoriza a FAS a usar la autoridad de certificación. Algunos de los pasos también se pueden completar manualmente usando herramientas de configuración del sistema operativo.

La consola de administración de FAS se conecta al servicio FAS local de forma predeterminada. Si es necesario, puedes conectarte a un servicio remoto usando Conectarse a otro servidor en la parte superior derecha de la consola.

Implementar plantillas de certificado

• Para evitar problemas de interoperabilidad con otro software, FAS proporciona tres plantillas de certificado de Citrix para su propio uso.

• Citrix_RegistrationAuthority_ManualAuthorization
• Citrix_RegistrationAuthority
• Citrix_SmartcardLogon

Estas plantillas deben registrarse en Active Directory. Haz clic en el botón Implementar y, a continuación, en Aceptar.

La configuración de las plantillas se encuentra en los archivos XML con extensión .certificatetemplate que se instalan con FAS en:

C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates

Si no tienes permiso para instalar estos archivos de plantilla, entrégaselos a tu administrador de Active Directory.

Para instalar las plantillas manualmente, puedes ejecutar los siguientes comandos de PowerShell desde la carpeta que contiene las plantillas:

    $template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
    $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
    $CertEnrol.InitializeImport($template)
    $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
    $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
    $writabletemplate.Initialize($comtemplate)
    $writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->

Configurar los servicios de certificados de Active Directory

Después de instalar las plantillas de certificados de Citrix, deben publicarse en uno o varios servidores de entidad de certificación empresarial de Microsoft. Consulta la documentación de Microsoft sobre cómo implementar los servicios de certificados de Active Directory.

Si las plantillas no se publican en al menos un servidor, usa Configurar la entidad de certificación para publicarlas. Debes hacerlo como un usuario que tenga permisos para administrar la entidad de certificación.

(Las plantillas de certificados también se pueden publicar mediante la consola de la entidad de certificación de Microsoft).

Autorizar el servicio de autenticación federada

Este paso inicia la autorización de FAS. La consola de administración usa la plantilla Citrix_RegistrationAuthority_ManualAuthorization para generar una solicitud de certificado y, a continuación, la envía a una de las entidades de certificación que publican esa plantilla.

Una vez enviada la solicitud, aparece en la lista Solicitudes pendientes de la consola de la entidad de certificación de Microsoft como una solicitud pendiente de la cuenta de máquina de FAS. El administrador de la entidad de certificación debe emitir o denegar la solicitud antes de que la configuración de FAS pueda continuar.

La consola de administración de FAS muestra un indicador de actividad hasta que el administrador elige Emitir o Denegar.

En la consola de la entidad de certificación de Microsoft, haz clic con el botón secundario en Todas las tareas y, a continuación, selecciona Emitir o Denegar para la solicitud de certificado. Si eliges Emitir, la consola de administración de FAS muestra el certificado de autorización. Si eliges Denegar, la consola muestra un mensaje de error.

La consola de administración de FAS detecta automáticamente cuándo finaliza este proceso. Esto puede tardar un par de minutos.

Configurar reglas

FAS usa reglas para autorizar la emisión de certificados para el inicio de sesión de VDA y el uso en la sesión, según las indicaciones de StoreFront. Cada regla especifica los servidores de StoreFront de confianza para solicitar certificados, el conjunto de usuarios para los que se pueden solicitar y el conjunto de máquinas VDA permitidas para usarlos.

FAS necesita que se cree y configure al menos una regla. Te recomendamos que crees una regla denominada “default” porque, de forma predeterminada, StoreFront solicita la regla denominada “default” al ponerse en contacto con FAS.

Puedes crear reglas personalizadas adicionales para hacer referencia a diferentes plantillas de certificados y entidades de certificación, y configurarlas para que tengan propiedades y permisos diferentes. Estas reglas se pueden configurar para que las usen diferentes servidores de StoreFront o Workspace. Configura los servidores de StoreFront para que soliciten la regla personalizada por su nombre mediante las opciones de configuración de directivas de grupo.

Haz clic en Crear (o en Crear regla en la ficha “Reglas”) para iniciar el asistente de creación de reglas que recopila información para crear la regla. La ficha “Reglas” muestra un resumen de cada regla.

El asistente recopila la siguiente información:

Plantilla: La plantilla de certificado que se usa para emitir certificados de usuario. Debe ser la plantilla Citrix_SmartcardLogon o una copia modificada de ella (consulta Plantillas de certificado).

Autoridad de certificación: La autoridad de certificación que emite los certificados de usuario. La plantilla debe ser publicada por la autoridad de certificación. FAS admite agregar varias autoridades de certificación para la conmutación por error y el equilibrio de carga. Asegúrate de que el estado muestre “Plantilla disponible” para la autoridad de certificación que elijas. Consulta Administración de la autoridad de certificación.

Uso en la sesión: La opción Permitir uso en la sesión controla si se puede usar un certificado después de iniciar sesión en el VDA.

• Permitir uso en la sesión no seleccionada (predeterminada, recomendada)—el certificado se usa solo para el inicio de sesión o la reconexión, y los usuarios no tienen acceso al certificado después de autenticarse.

• Permitir uso en la sesión seleccionada—los usuarios tienen acceso al certificado después de autenticarse. La mayoría de los clientes no deben seleccionar esta opción. Se puede acceder a los recursos desde la sesión de VDA, como sitios web de intranet o recursos compartidos de archivos, mediante el inicio de sesión único de Kerberos, por lo que no se requiere un certificado en la sesión.

  Si seleccionas Permitir uso en la sesión, la directiva de grupo Comportamiento en la sesión también debe estar habilitada y aplicada al VDA. Los certificados se colocan en el almacén de certificados personal del usuario después de iniciar sesión para su uso en aplicaciones. Por ejemplo, si necesitas autenticación TLS en servidores web dentro de la sesión de VDA, Internet Explorer puede usar el certificado.

Control de acceso: La lista de máquinas de servidor StoreFront de confianza que están autorizadas para solicitar certificados para el inicio de sesión o la reconexión de usuarios. Para todos estos permisos, puedes agregar objetos o grupos individuales de AD.

Importante:

La configuración de Control de acceso es crítica para la seguridad y debe administrarse con cuidado.

Nota:

Si usas el servidor FAS solo con Citrix Cloud, no necesitas configurar el Control de acceso. Cuando Citrix Cloud usa una regla, se ignoran los permisos de acceso de StoreFront. Puedes usar la misma regla con Citrix Cloud y con una implementación de StoreFront local. Los permisos de acceso de StoreFront se siguen aplicando cuando una implementación de StoreFront local usa la regla.

El permiso predeterminado (“Afirmar identidad” permitido) deniega todo. Por lo tanto, debes permitir explícitamente tus servidores StoreFront.

Restricciones: La lista de máquinas VDA que pueden iniciar sesión de usuarios mediante FAS y la lista de usuarios a los que se les pueden emitir certificados a través de FAS.

• Administrar permisos de VDA te permite especificar qué VDA pueden usar FAS para iniciar sesión del usuario. La lista de VDA predeterminada es Equipos del dominio.

• Administrar permisos de usuario te permite especificar qué usuarios pueden usar FAS para iniciar sesión en un VDA. La lista de usuarios predeterminada es Usuarios del dominio.

Nota:

Si el servidor FAS está en un dominio diferente al de los VDA y los usuarios, se deben modificar las restricciones predeterminadas.

Regla de la nube: Indica si la regla se aplica cuando se reciben aserciones de identidad de Citrix Workspace. Cuando te conectas a Citrix Cloud, eliges qué regla usar para Citrix Cloud. También puedes cambiar la regla después de conectarte a Citrix Cloud desde un enlace en la sección Conectar a Citrix Cloud.

Conectar a Citrix Cloud

Puedes conectar el servidor FAS a Citrix Cloud con Citrix Workspace. Consulta este artículo de Citrix Workspace.

1. En la ficha Configuración inicial, en Conectar a Citrix Cloud, haz clic en Conectar.

   

2. Opcionalmente, selecciona a qué nube conectarte. Puedes conectarte a ‘Citrix Cloud’ (predeterminado), ‘Citrix Cloud Japan’ o ‘Citrix Cloud US Government’.

3. Haz clic en Iniciar sesión y, a continuación, inicia sesión en Citrix Cloud con las credenciales de administrador del cliente de la nube al que te estás conectando.

   

4. Selecciona la cuenta de cliente, si corresponde, y selecciona la ubicación de recursos donde quieres conectar el servidor FAS. Haz clic en Continuar y, a continuación, cierra la ventana de confirmación.

   

5. En la consola de administración de FAS, elige una regla que se aplicará cuando se reciban aserciones de identidad de Citrix Workspace, o selecciona Crear una regla cuando finalice este asistente. (En la ficha “Reglas”, el valor de la regla de la nube es “Sí” para la regla que selecciones o crees).
6. En la ficha “Resumen”, haz clic en Finalizar para completar la conexión a Citrix Cloud.

Citrix Cloud registra el servidor FAS y lo muestra en la página Ubicaciones de recursos de tu cuenta de Citrix Cloud.

Desconectarse de Citrix Cloud

Después de quitar el servidor FAS de tu ubicación de recursos de Citrix Cloud, como se describe en este artículo de Citrix Workspace, en Conectar a Citrix Cloud, selecciona Inhabilitar.