Instalación y configuración

Secuencia de instalación y configuración

  1. Instalar el Servicio de autenticación federada (FAS)
  2. Habilitar el plug-in de FAS en servidores de StoreFront
  3. Configurar el Delivery Controller
  4. Configurar la directiva de grupo
  5. Use la consola de administración de FAS para:
    1. Implementar plantillas de certificado
    2. Configurar entidades de certificación
    3. Autorizar a FAS a usar las entidades de certificación
    4. Configurar reglas
    5. Conectar FAS a Citrix Cloud (opcional)

Instalar el Servicio de autenticación federada

Por motivos de seguridad, Citrix recomienda que el servicio de autenticación federada (FAS) esté instalado en un servidor dedicado que sea seguro, y esté protegido del mismo modo que un controlador de dominio o una entidad de certificación. FAS se puede instalar desde:

  • el instalador de Citrix Virtual Apps and Desktops (con el botón Servicio de autenticación federada en la pantalla de inicio de ejecución automática que aparece cuando se inserta la ISO), o bien,
  • el archivo del instalador independiente de FAS (disponible como archivo MSI en Citrix Downloads).

Ambos instalan los siguientes componentes:

Actualizar FAS

Puede actualizar FAS a una versión más reciente mediante una actualización en contexto. Antes de actualizar, tenga en cuenta lo siguiente:

  • Todos los parámetros de servidor de FAS se conservan cuando se realiza una actualización en contexto.
  • Compruebe que la consola de administración de FAS esté cerrada antes de actualizar FAS.
  • Al menos un servidor de FAS debe estar disponible en todo momento. Si un servidor de StoreFront habilitado para el Servicio de autenticación federada no puede establecer contacto con ningún servidor, los usuarios no podrán iniciar sesión ni iniciar aplicaciones.

Para iniciar una actualización, instale FAS desde el instalador de Citrix Virtual Apps and Desktops o desde el archivo del instalador independiente de FAS.

Habilitar el plug-in de FAS en servidores de StoreFront

Nota:

Este paso no es necesario si utiliza FAS solo con Citrix Cloud.

Para habilitar la integración de FAS en un almacén de StoreFront, ejecute los siguientes cmdlets de PowerShell con una cuenta de administrador. Si el almacén tiene otro nombre, modifique $StoreVirtualPath.

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->

Para dejar de usar FAS, utilice el siguiente script de PowerShell:

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->

Configurar el Delivery Controller

Nota:

Este paso no es necesario si utiliza FAS solo con Citrix Cloud.

Para usar FAS, configure el Delivery Controller de Citrix Virtual Apps o Citrix Virtual Desktops para que confíe en los servidores de StoreFront que pueden conectarse a él: Ejecute el cmdlet de PowerShell Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true. Solo se debe realizar este paso una vez por sitio, independientemente de la cantidad de Delivery Controllers en cada sitio.

Configurar la directiva de grupo

Después de instalar FAS, se deben especificar los nombres de dominio completo de los servidores del servicio FAS en Directiva de grupo desde las plantillas de directiva de grupo suministradas en la instalación.

Importante:

Compruebe que los servidores de StoreFront que solicitan tíquets y los agentes Virtual Delivery Agent (VDA) que canjean los tíquets tienen una configuración idéntica de nombres de dominio completo, incluida la numeración automática de los servidores que aplica el objeto de directiva de grupo.

Para simplificar la tarea, los siguientes ejemplos configuran una sola directiva en el nivel de dominio que se aplica a todas las máquinas; sin embargo, esto no es necesario. FAS funcionará siempre que los servidores de StoreFront, los VDA y la máquina que ejecuta la consola de administración de FAS vean la misma lista de nombres de dominio completo. Consulte el paso 6.

Paso 1. En el servidor donde instaló FAS, busque los archivos C:\Archivos de programa\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx y CitrixBase.admx, y la carpeta en-US.

Imagen traducida

Paso 2. Cópielos a los controladores de dominio y colóquelos en la unidad C:\Windows\PolicyDefinitions y en la subcarpeta en-US.

Paso 3. Ejecute Microsoft Management Console (mmc.exe desde la línea de comandos). En la barra de menús, seleccione Archivo > Agregar o quitar complemento. Agregue el Editor de administración de directivas de grupo.

Cuando se le solicite un objeto de directiva de grupo, seleccione Examinar y, a continuación, seleccione Directiva predeterminada de dominio. De forma alternativa, puede crear y seleccionar un objeto de directiva adecuado para el entorno, mediante las herramientas de su elección. La directiva debe aplicarse a todas las máquinas que ejecutan el software de Citrix afectado (VDA, servidores de StoreFront, herramientas de administración).

Imagen traducida

Paso 4. Vaya a la directiva de Servicio de autenticación federada (Federated Authentication Service) en Configuración del equipo/Directivas/Plantillas administrativas/Componentes de Citrix/Autenticación.

Plantillas de autenticación.

Nota:

La configuración de directiva del Servicio de autenticación federada solo está disponible en el GPO del dominio después de agregarse el archivo de plantilla CitrixBase.admx o CitrixBase.adml a la carpeta PolicyDefinitions. Después del paso 3, la configuración de directiva del Servicio de autenticación federada aparece en la carpeta Plantillas administrativas > Componentes de Citrix > Autenticación.

Paso 5. Abra la directiva Federated Authentication Service y seleccione Habilitada. Eso permite seleccionar el botón Mostrar con el que puede configurar los nombres de dominio completo de los servidores del servicio FAS.

Nombres de dominio completo (FQDN).

Paso 6. Introduzca los FQDN de los servidores FAS.

Importante:

Si introduce varios FQDN, el orden de la lista debe ser coherente con el que ven los VDA, los servidores de StoreFront (si los hay) y los servidores de FAS. Consulte Configuración de directivas de grupo.

Paso 7. Haga clic en Aceptar para salir del asistente de directivas de grupo y aplicar los cambios de la directiva de grupo. Es posible que tenga que reiniciar las máquinas (o ejecutar gpupdate /force desde la línea de comandos) para que el cambio surta efecto.

In-session Behavior (Comportamiento durante la sesión)

Esta directiva activa un proceso de agente en la sesión de VDA del usuario que admite certificados de sesión, consentimiento y desconexión al bloquear. Los certificados de sesión solo están disponibles si esta directiva está habilitada y si la regla FAS utilizada para crear el certificado tiene permitido el uso durante la sesión. Consulte Configurar reglas.

In-session Behavior (Comportamiento durante la sesión).

Enable Habilita esta directiva y permite que se ejecute un proceso de agente de FAS en la sesión de VDA del usuario.

Disable Inhabilita la directiva y detiene la ejecución del proceso del agente de FAS.

Prompt Scope (Ámbito de la solicitud)

Si esta directiva está habilitada, Prompt Scope controla cómo se pide a los usuarios el consentimiento para permitir que una aplicación utilice un certificado de sesión. Existen tres opciones:

  • No consent required (No se requiere consentimiento): Esta opción inhabilita la solicitud de seguridad y las claves privadas se utilizan silenciosamente.
  • Per-process consent (Consentimiento para cada proceso): Cada programa que se ejecute solicita el consentimiento individualmente.
  • Per-session consent (Consentimiento para cada sesión): Una vez que el usuario haya hecho clic en OK, esta opción se aplica a todos los programas de la sesión.

Si esta directiva está habilitada, Consent Timeout controla cuánto tiempo (en segundos) dura el consentimiento. Por ejemplo, con 300 segundos, los usuarios ven un mensaje de solicitud cada cinco minutos. Con el valor cero, se solicita a los usuarios el consentimiento para cada operación de clave privada.

Desconexión por bloqueo

Si esta directiva está habilitada, la sesión del usuario se desconecta automáticamente cuando este bloquea la pantalla. Esta funcionalidad ofrece un comportamiento similar al de la directiva de “desconexión por extracción de tarjeta inteligente” y es útil en situaciones en las que los usuarios no tienen credenciales de inicio de sesión de Active Directory.

Nota:

La directiva de desconexión por bloqueo se aplica a todas las sesiones del VDA.

Usar la consola de administración de los Servicios de autenticación federada

Nota:

Aunque la consola de administración de FAS es adecuada para la mayor parte de las implementaciones, la interfaz de PowerShell ofrece opciones más avanzadas. Para obtener información sobre los cmdlets de PowerShell de FAS, consulte Cmdlets de PowerShell.

La consola de administración de FAS se instala como parte de FAS. Se coloca el icono Citrix Federated Authentication Service en el menú Inicio.

La primera vez que se utiliza la consola de administración, se le guiará a través de un proceso que implementa las plantillas de certificado, establece la entidad de certificación y autoriza a FAS para usar la entidad de certificación. Algunos de los pasos pueden completarse manualmente mediante herramientas de configuración del sistema operativo.

La consola de administración de FAS se conecta al servicio FAS local de forma predeterminada. Si fuera necesario, puede conectarse a un servicio remoto mediante Connect to another server en la parte superior derecha de la consola.

Imagen traducida

Implementar plantillas de certificado

Para evitar problemas de interoperabilidad con otros programas de software, FAS proporciona tres plantillas de certificado de Citrix para su propio uso.

  • Citrix_RegistrationAuthority_ManualAuthorization
  • Citrix_RegistrationAuthority
  • Citrix_SmartcardLogon

Estas plantillas deben registrarse en Active Directory. Haga clic en el botón Deploy y luego en OK.

Imagen traducida

La configuración de las plantillas se encuentra en los archivos XML con la extensión .certificatetemplate. Estos archivos se instalan con FAS en:

C:\Archivos de programa\Citrix\Federated Authentication Service\CertificateTemplates

Carpeta de plantillas de certificado.

Si no dispone de permiso para instalar estos archivos de plantilla, déselas al administrador de Active Directory.

Para instalar manualmente las plantillas, puede ejecutar los siguientes comandos de PowerShell desde la carpeta que contiene las plantillas:

    $template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
    $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
    $CertEnrol.InitializeImport($template)
    $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
    $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
    $writabletemplate.Initialize($comtemplate)
    $writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->

Configurar los Servicios de certificados de Active Directory

Después de instalar las plantillas de certificado de Citrix, deben publicarse en al menos uno de los servidores de entidad de certificación empresarial de Microsoft. Consulte la documentación de Microsoft acerca de cómo implementar Servicios de certificados de Active Directory.

Si las plantillas no se publican en al menos un servidor, use la herramienta Set Up Certificate Authority para publicarlas. Debe hacerlo como un usuario que tenga permisos para administrar la entidad de certificación.

(También se pueden publicar plantillas de certificado mediante la consola de Entidad de certificación de Microsoft.)

Imagen traducida

Autorizar el Servicio de autenticación federada

Este paso inicia la autorización de FAS. La consola de administración utiliza la plantilla Citrix_RegistrationAuthority_ManualAuthorization para generar una solicitud de certificado y, a continuación, la envía a una de las entidades de certificación que publican esa plantilla.

Imagen traducida

Después de enviar la solicitud, esta aparece en la lista Solicitudes pendientes de la consola de la entidad de certificación de Microsoft como una solicitud pendiente que procede de la cuenta de máquina de FAS. El administrador de la entidad de certificación debe emitir o rechazar la solicitud para que la configuración de FAS continúe.

La consola de administración de FAS muestra un icono giratorio (proceso en curso) hasta que el administrador elija Emitir o Denegar.

En la consola de la entidad de certificación de Microsoft, haga clic con el botón secundario en Todas las tareas y, a continuación, seleccione Emitir o Denegar Si selecciona Emitir, la consola de administración de FAS muestra el certificado de autorización. Si elige Denegar, la consola muestra un mensaje de error.

Imagen traducida

La consola de administración de FAS detecta automáticamente cuando se completa el proceso. Esto puede tardar unos minutos.

Imagen traducida

Configurar reglas

FAS utiliza reglas para autorizar la emisión de certificados para el inicio de sesión en los VDA y uso dentro de sesiones, según lo indique StoreFront. Cada regla especifica los servidores de StoreFront que son de confianza para solicitar certificados, el conjunto de usuarios para los que pueden ser solicitados y el conjunto de máquinas VDA a las que se les permite usarlos.

FAS necesita que se cree y configure al menos una regla. Se recomienda crear una regla denominada “default” porque, de forma predeterminada, StoreFront solicita una regla denominada “default” al establecer contacto con FAS.

Puede crear reglas personalizadas adicionales para hacer referencia a diferentes plantillas de certificado y entidades de certificado, y configurarlas para que tengan propiedades y permisos diferentes. Estas reglas se pueden configurar para usarlas con Workspace o diferentes servidores de StoreFront. Puede configurar los servidores de StoreFront para que soliciten la regla personalizada indicando el nombre de esta. Puede hacerlo desde las opciones de configuración de directivas de grupo.

Haga clic en Create (o Create rule en la ficha “Rules”) para iniciar el asistente de creación de reglas que recopila información para crear la regla. La ficha “Rules” muestra un resumen de cada regla.

Imagen traducida

El asistente recopila la siguiente información:

Template: La plantilla de certificado que se utiliza para emitir certificados de usuario. Debe ser la plantilla Citrix_SmartcardLogon, o una copia modificada de la misma (consulte Plantillas de certificado).

Certificate Authority: La entidad de certificación que emite los certificados de usuario. La entidad de certificación es la que debe publicar la plantilla. FAS admite varias entidades de certificación para la conmutación por error y el equilibrio de carga. El estado de la entidad de certificación que elija debe ser “Template available” (Plantilla disponible). Consulte Administrar la entidad de certificación.

In-Session Use: La opción Allow in-session use controla si se puede utilizar un certificado después de iniciar sesión en el VDA.

  • Allow in-session use no seleccionada (valor predeterminado, recomendado): El certificado se usará solamente para iniciar sesión o reconectarse, y el usuario no tendrá acceso al certificado después de autenticarse.
  • Allow in-session use seleccionada: Los usuarios tendrán acceso al certificado después de autenticarse. La mayoría de los clientes no deberían seleccionar esta opción. Los recursos a los que se accede en la sesión del VDA (como sitios web de la intranet o archivos de los recursos compartidos) son accesibles mediante el inicio SSO con Kerberos, por lo que no se requiere un certificado en la sesión.

    Si selecciona Allow in-session use, la directiva de grupo In-session Behavior también debe habilitarse y aplicarse al VDA. Así, los certificados se colocan en el almacén de certificados personal del usuario después del inicio de sesión para el uso de aplicaciones. Por ejemplo, si necesita usar autenticación TLS en los servidores web dentro de la sesión de VDA, Internet Explorer puede usar el certificado.

Access control: La lista de máquinas de servidor de StoreFront de confianza que están autorizadas para solicitar certificados para el inicio de sesión o la reconexión de usuarios. Para todos estos permisos, puede agregar objetos o grupos de AD individuales.

Importante:

Tenga en cuenta que el parámetro Access control es fundamental para la seguridad y es necesario configurarlo cuidadosamente.

Nota:

Si utiliza el servidor de FAS solo con Citrix Cloud, no es necesario configurar Access control. Sin embargo, cuando Citrix Cloud usa una regla, se ignoran los permisos de acceso de StoreFront. Puede usar la misma regla con Citrix Cloud y con una implementación local de StoreFront. Los permisos de acceso de StoreFront se siguen aplicando cuando una implementación local de StoreFront utiliza esta regla.

El permiso predeterminado (“Assert Identity” permitido) deniega todo. Por lo tanto, debe permitir explícitamente los servidores de StoreFront.

Imagen traducida

Restrictions: La lista de máquinas VDA que pueden iniciar sesión para los usuarios mediante FAS y la lista de usuarios a los que se pueden emitir certificados a través de FAS.

  • Manage VDA permissions: Permite especificar qué agentes VDA pueden usar FAS para iniciar la sesión del usuario. El valor predeterminado de la lista de agentes VDA es Domain Computers (máquinas de dominio).

  • Manage user permissions: Permite especificar qué usuarios pueden usar FAS para iniciar sesión en un VDA. El valor predeterminado de la lista de usuarios es Domain Users.

Nota:

Si el servidor de FAS se encuentra en un dominio distinto del de los VDA y de los usuarios, se deben modificar las restricciones predeterminadas.

Imagen traducida

Imagen traducida

Cloud rule: Indica si la regla se aplica cuando se reciben aserciones de identidad procedentes de Citrix Workspace. Al conectarse a Citrix Cloud, debe elegir qué regla usar para Citrix Cloud. También puede cambiar la regla después de conectarse a Citrix Cloud desde un enlace de la sección Connect to Citrix Cloud.

Imagen traducida

Conectarse a Citrix Cloud

Puede conectar el servidor de FAS con Citrix Cloud para usarlo con Citrix Workspace. Consulte este artículo de Citrix Workspace.

  1. En la ficha Initial Setup, en la opción Connect to Citrix Cloud, haga clic en Connect.

    Cuadro de diálogo Connect to Cloud.

  2. Opcionalmente, seleccione a qué nube conectarse. Puede conectarse a “Citrix Cloud” (opción predeterminada), “Citrix Cloud Japan” o “Citrix Cloud US Government”.

  3. Haga clic en Sign in y, a continuación, inicie sesión en Citrix Cloud con las credenciales de administrador del cliente de la nube al que se conectará.

    Recurso y cliente de la nube.

  4. Seleccione la cuenta de cliente, si procede, y elija la ubicación de recursos a la que quiere conectar el servidor de FAS. Haga clic en Continue y, luego, cierre la ventana de confirmación.

    Cuadro de diálogo de inicio de sesión en la nube.

  5. En la consola de administración de FAS, elija una regla que se aplique al recibir aserciones de identidad de Citrix Workspace o seleccione Create a rule cuando finalice este asistente (en la ficha “Rules”, el valor de la regla de Cloud es “Yes” para la regla que seleccione o cree).
  6. En la ficha “Summary”, haga clic en Finish para completar la conexión con Citrix Cloud.

Citrix Cloud registra el servidor de FAS y lo muestra en la página Ubicaciones de recursos de su cuenta de Citrix Cloud.

Desconectarse de Citrix Cloud

Después de quitar el servidor de FAS de la ubicación de recursos de Citrix Cloud, tal y como se describe en este artículo de Citrix Workspace, en Connect to Citrix Cloud, seleccione Disable.