Instalar y configurar

Secuencia de instalación y configuración

1. Instalar el Servicio de autenticación federada (FAS)
2. Habilitar el complemento de FAS en los almacenes de StoreFront
3. Configurar el Delivery Controller
4. Configurar la Directiva de grupo
5. Usa la consola de administración de FAS para:
   1. Implementar plantillas de certificado
   2. Configurar autoridades de certificación
   3. Autorizar a FAS para usar tus autoridades de certificación
   4. Configurar reglas
   5. Conectar FAS a Citrix Cloud (opcional)

• Instalar el Servicio de autenticación federada

• Por seguridad, Citrix recomienda que el Servicio de autenticación federada (FAS) se instale en un servidor dedicado que esté protegido de forma similar a un controlador de dominio o una autoridad de certificación. FAS se puede instalar desde:

• el instalador de Citrix Virtual Apps and Desktops™ (desde el botón Federated Authentication Service en la pantalla de inicio de ejecución automática cuando se inserta la ISO), o

• el archivo de instalación independiente de FAS (disponible como archivo MSI en Citrix Downloads).

• Estos instalan los siguientes componentes:

• Servicio de autenticación federada
• Cmdlets de complemento de PowerShell para la configuración avanzada de FAS
• Consola de administración de FAS
• Plantillas de Directiva de grupo de FAS (CitrixFederatedAuthenticationService.admx/adml)
• Archivos de plantilla de certificado
• Contadores de rendimiento y registros de eventos

Actualizar FAS

Puedes actualizar FAS a una versión más reciente mediante una actualización in situ. Antes de actualizar, ten en cuenta lo siguiente:

• Todas las configuraciones del servidor FAS se conservan al realizar una actualización in situ.
• Asegúrate de que la consola de administración de FAS esté cerrada antes de actualizar FAS.
• Asegúrate de que al menos un servidor FAS esté siempre disponible. Si ningún servidor es accesible para un servidor StoreFront™ habilitado para el Servicio de autenticación federada, los usuarios no podrán iniciar sesión ni iniciar aplicaciones.

Para iniciar una actualización, instala FAS desde el instalador de Citrix Virtual Apps and Desktops o desde el archivo de instalación independiente de FAS.

Habilitar el complemento de FAS en los almacenes de StoreFront

Nota:

Este paso no es necesario si usas FAS solo con Citrix Cloud.

Para habilitar la integración de FAS en un almacén de StoreFront, ejecuta los siguientes cmdlets de PowerShell como una cuenta de administrador. Si el almacén tiene un nombre diferente, modifica $StoreVirtualPath.

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->

Para dejar de usar FAS, usa el siguiente script de PowerShell:

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->

Configurar el Delivery Controller™

Nota:

Este paso no es necesario si usas FAS solo con Citrix Cloud.

Para usar FAS, configura el Delivery Controller de Citrix Virtual Apps o Citrix Virtual Desktops™ para que confíe en los servidores de StoreFront que pueden conectarse a él: ejecuta el cmdlet de PowerShell Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true. Esto solo debe hacerse una vez por sitio, independientemente del número de Delivery Controllers en el sitio.

Configurar la Directiva de grupo

Después de instalar FAS, debes especificar los nombres de dominio completos (FQDN) de los servidores FAS en la Directiva de grupo usando las plantillas de Directiva de grupo proporcionadas en la instalación.

Importante:

Asegúrate de que los servidores de StoreFront que solicitan tickets y los Virtual Delivery Agents (VDA) que canjean tickets tengan una configuración idéntica de FQDN, incluida la numeración automática de servidores aplicada por el objeto de Directiva de grupo.

Para simplificar, los siguientes ejemplos configuran una única directiva a nivel de dominio que se aplica a todas las máquinas. Sin embargo, eso no es obligatorio. FAS funciona siempre que los servidores de StoreFront, los VDA y la máquina que ejecuta la consola de administración de FAS vean la misma lista de FQDN. Consulta el Paso 6.

• Paso 1. En el servidor donde instalaste FAS, localiza los archivos C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx y CitrixBase.admx, y la carpeta en-US.

• 

Paso 2. Copia estos archivos en tus controladores de dominio y colócalos en las subcarpetas C:\Windows\PolicyDefinitions y en-US.

Paso 3. Ejecuta la Consola de administración de Microsoft (mmc.exe desde la línea de comandos). En la barra de menú, selecciona Archivo > Agregar o quitar complemento. Agrega el Editor de administración de directivas de grupo.

Cuando se te solicite un objeto de Directiva de grupo, selecciona Examinar y luego selecciona Directiva de dominio predeterminada. Alternativamente, puedes crear y seleccionar un objeto de directiva apropiado para tu entorno, usando las herramientas de tu elección. La directiva debe aplicarse a todas las máquinas que ejecutan el software de Citrix afectado (VDA, servidores de StoreFront, herramientas de administración).

Paso 4. Navega a la directiva Servicio de autenticación federada ubicada en Configuración del equipo/Directivas/Plantillas administrativas/Componentes de Citrix/Autenticación.

Nota:

La configuración de directiva del Servicio de autenticación federada solo está disponible en la GPO de dominio cuando agregas el archivo de plantilla CitrixBase.admx/CitrixBase.adml a la carpeta PolicyDefinitions. Después del paso 3, la configuración de directiva del Servicio de autenticación federada aparece en la carpeta Plantillas administrativas > Componentes de Citrix > Autenticación.

• Paso 5. Abre la directiva del Servicio de autenticación federada y selecciona Habilitado. Esto te permite seleccionar el botón Mostrar, donde configuras los FQDN de tus servidores FAS.

• 

Paso 6. Introduce los FQDN de los servidores FAS.

Importante:

Si introduces varios FQDN, el orden de la lista debe ser coherente tal como lo ven los VDA, los servidores StoreFront (si están presentes) y los servidores FAS. Consulta Configuración de directiva de grupo.

Paso 7. Haz clic en Aceptar para salir del asistente de directiva de grupo y aplicar los cambios de directiva de grupo. Es posible que debas reiniciar tus máquinas (o ejecutar gpupdate /force desde la línea de comandos) para que el cambio surta efecto.

Comportamiento en sesión

Esta directiva activa un proceso de agente en la sesión VDA del usuario que admite certificados en sesión, consentimiento y desconexión al bloquear. Los certificados en sesión solo están disponibles si esta directiva está habilitada y si la regla de FAS utilizada para crear el certificado permite el uso en sesión; consulta Configurar reglas.

Habilitar activa esta directiva y permite que un proceso de agente de FAS se ejecute en la sesión VDA del usuario.

Deshabilitar desactiva la directiva e impide que el proceso de agente de FAS se ejecute.

Ámbito de solicitud

Si esta directiva está habilitada, el Ámbito de solicitud controla cómo se solicita a los usuarios el consentimiento para permitir que una aplicación use un certificado en sesión. Hay tres opciones:

• No se requiere consentimiento: esta opción deshabilita la solicitud de seguridad y las claves privadas se utilizan de forma silenciosa.
• Consentimiento por proceso: cada programa en ejecución solicita el consentimiento individualmente.
• Consentimiento por sesión: una vez que el usuario ha hecho clic en Aceptar, esto se aplica a todos los programas de la sesión.

Tiempo de espera de consentimiento

Si esta directiva está habilitada, el Tiempo de espera de consentimiento controla cuánto tiempo (en segundos) dura el consentimiento. Por ejemplo, con 300 segundos, los usuarios ven una solicitud cada cinco minutos. Un valor de cero solicita a los usuarios cada operación de clave privada.

Desconexión al bloquear

Si esta directiva está habilitada, la sesión del usuario se desconecta automáticamente cuando bloquea la pantalla. Esta funcionalidad proporciona un comportamiento similar a la directiva de “desconexión al extraer la tarjeta inteligente” y es útil para situaciones en las que los usuarios no tienen credenciales de inicio de sesión de Active Directory.

Nota:

La directiva de desconexión al bloquear se aplica a todas las sesiones en el VDA.

Uso de la consola de administración del Servicio de autenticación federada

• Nota:

  Aunque la consola de administración de FAS es adecuada para la mayoría de las implementaciones, la interfaz de PowerShell ofrece opciones más avanzadas. Para obtener información sobre los cmdlets de PowerShell de FAS, consulta Cmdlets de PowerShell.

La consola de administración de FAS se instala como parte de FAS. Se coloca un icono (Citrix Federated Authentication Service) en el menú Inicio.

La primera vez que se utiliza la consola de administración, te guía a través de un proceso que implementa plantillas de certificado, configura la entidad de certificación y autoriza a FAS a utilizar la entidad de certificación. Algunos de los pasos se pueden completar alternativamente de forma manual utilizando las herramientas de configuración del sistema operativo.

La consola de administración de FAS se conecta al servicio FAS local de forma predeterminada. Si es necesario, puedes conectarte a un servicio remoto utilizando Conectar a otro servidor en la parte superior derecha de la consola.

Implementar plantillas de certificado

• Para evitar problemas de interoperabilidad con otro software, FAS proporciona tres plantillas de certificado de Citrix para su propio uso.

• Citrix_RegistrationAuthority_ManualAuthorization
• Citrix_RegistrationAuthority
• Citrix_SmartcardLogon

Estas plantillas deben registrarse con Active Directory. Haz clic en el botón Implementar y luego haz clic en Aceptar.

La configuración de las plantillas se encuentra en los archivos XML con extensión .certificatetemplate que se instalan con FAS en:

C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates

Si no tienes permiso para instalar estos archivos de plantilla, entrégaselos a tu administrador de Active Directory.

Para instalar las plantillas manualmente, puedes ejecutar los siguientes comandos de PowerShell desde la carpeta que contiene las plantillas:

    $template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
    $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
    $CertEnrol.InitializeImport($template)
    $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
    $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
    $writabletemplate.Initialize($comtemplate)
    $writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->

Configurar los Servicios de certificados de Active Directory

Después de instalar las plantillas de certificados de Citrix, debes publicarlas en uno o varios servidores de la entidad de certificación empresarial de Microsoft. Consulta la documentación de Microsoft sobre cómo implementar los Servicios de certificados de Active Directory.

Si las plantillas no están publicadas en al menos un servidor, usa Configurar entidad de certificación para publicarlas. Debes hacerlo como un usuario que tenga permisos para administrar la entidad de certificación.

(Las plantillas de certificados también se pueden publicar mediante la consola de la entidad de certificación de Microsoft.)

Autorizar el Federated Authentication Service

Este paso inicia la autorización de FAS. La consola de administración usa la plantilla Citrix_RegistrationAuthority_ManualAuthorization para generar una solicitud de certificado y, a continuación, la envía a una de las entidades de certificación que publican esa plantilla.

Una vez enviada la solicitud, aparece en la lista Solicitudes pendientes de la consola de la entidad de certificación de Microsoft como una solicitud pendiente de la cuenta de máquina de FAS. El administrador de la entidad de certificación debe emitir o denegar la solicitud antes de que la configuración de FAS pueda continuar.

La consola de administración de FAS muestra un “indicador de progreso” hasta que el administrador elige Emitir o Denegar.

En la consola de la entidad de certificación de Microsoft, haz clic con el botón derecho en Todas las tareas y, a continuación, selecciona Emitir o Denegar para la solicitud de certificado. Si eliges Emitir, la consola de administración de FAS muestra el certificado de autorización. Si eliges Denegar, la consola muestra un mensaje de error.

La consola de administración de FAS detecta automáticamente cuándo se completa este proceso. Esto puede tardar un par de minutos.

Configurar reglas

FAS usa las reglas para autorizar la emisión de certificados para el inicio de sesión de VDA y el uso en la sesión, según las indicaciones de StoreFront. Cada regla especifica los servidores de StoreFront de confianza para solicitar certificados, el conjunto de usuarios para los que se pueden solicitar y el conjunto de máquinas VDA que pueden usarlos.

FAS necesita que se cree y configure al menos una regla. Te recomendamos que crees una regla llamada “default” porque, de forma predeterminada, StoreFront solicita la regla llamada “default” al ponerse en contacto con FAS.

Puedes crear reglas personalizadas adicionales para hacer referencia a diferentes plantillas de certificados y entidades de certificación, y configurarlas para que tengan diferentes propiedades y permisos. Estas reglas se pueden configurar para que las usen diferentes servidores de StoreFront o Workspace. Configura los servidores de StoreFront para que soliciten la regla personalizada por nombre mediante las opciones de Configuración de directivas de grupo.

Haz clic en Crear (o en Crear regla en la ficha “Reglas”) para iniciar el asistente de creación de reglas que recopila la información para crear la regla. La ficha “Reglas” muestra un resumen de cada regla.

El asistente recopila la siguiente información:

Plantilla: La plantilla de certificado que se usa para emitir certificados de usuario. Debe ser la plantilla Citrix_SmartcardLogon o una copia modificada de ella (consulta Plantillas de certificados).

Entidad de certificación: La entidad de certificación que emite certificados de usuario. La plantilla debe ser publicada por la entidad de certificación. FAS admite agregar varias entidades de certificación para la conmutación por error y el equilibrio de carga. Asegúrate de que el estado muestre “Plantilla disponible” para la entidad de certificación que elijas. Consulta Administración de la entidad de certificación.

Uso en la sesión: La opción Permitir el uso en la sesión controla si se puede usar un certificado después de iniciar sesión en el VDA.

• Permitir el uso en la sesión no seleccionada (predeterminado, recomendado)—el certificado se usa solo para el inicio de sesión o la reconexión, y los usuarios no tienen acceso al certificado después de autenticarse.

• Permitir el uso en la sesión seleccionada—los usuarios tienen acceso al certificado después de autenticarse. La mayoría de los clientes no deberían seleccionar esta opción. Se puede acceder a los recursos a los que se accede desde la sesión de VDA, como sitios web de intranet o recursos compartidos de archivos, mediante el inicio de sesión único de Kerberos y, por lo tanto, no se requiere un certificado en la sesión.

  Si seleccionas Permitir el uso en la sesión, la directiva de grupo Comportamiento en la sesión también debe estar habilitada y aplicada al VDA. Los certificados se colocan en el almacén de certificados personal del usuario después del inicio de sesión para su uso en aplicaciones. Por ejemplo, si necesitas autenticación TLS en servidores web dentro de la sesión de VDA, Internet Explorer puede usar el certificado.

Control de acceso: La lista de máquinas de servidor de StoreFront de confianza que están autorizadas a solicitar certificados para el inicio de sesión o la reconexión de usuarios. Para todos estos permisos, puedes agregar objetos o grupos individuales de AD.

Importante:

La configuración de Control de acceso es crítica para la seguridad y debe administrarse con cuidado.

Nota:

Si utilizas el servidor FAS solo con Citrix Cloud, no necesitas configurar el Control de acceso. Cuando Citrix Cloud utiliza una regla, se omiten los permisos de acceso de StoreFront. Puedes usar la misma regla con Citrix Cloud y con una implementación de StoreFront local. Los permisos de acceso de StoreFront se siguen aplicando cuando una implementación de StoreFront local utiliza la regla.

El permiso predeterminado (se permite “Afirmar identidad”) deniega todo. Por lo tanto, debes permitir explícitamente tus servidores StoreFront.

Restricciones: La lista de máquinas VDA que pueden iniciar sesión de usuarios mediante FAS y la lista de usuarios a los que se les pueden emitir certificados a través de FAS.

• Administrar permisos de VDA te permite especificar qué VDA pueden usar FAS para iniciar sesión del usuario. La lista de VDA predeterminada es Equipos del dominio.

• Administrar permisos de usuario te permite especificar qué usuarios pueden usar FAS para iniciar sesión en un VDA. La lista de usuarios predeterminada es Usuarios del dominio.

Nota:

Si el servidor FAS se encuentra en un dominio diferente al de los VDA y los usuarios, se deben modificar las restricciones predeterminadas.

Regla de la nube: Indica si la regla se aplica cuando se reciben aserciones de identidad de Citrix Workspace. Cuando te conectas a Citrix Cloud, eliges qué regla usar para Citrix Cloud. También puedes cambiar la regla después de conectarte a Citrix Cloud desde un enlace en la sección Conectar a Citrix Cloud.

Conectar a Citrix Cloud

Puedes conectar el servidor FAS a Citrix Cloud con Citrix Workspace. Consulta este artículo de Citrix Workspace.

1. En la ficha Configuración inicial, en Conectar a Citrix Cloud, haz clic en Conectar.

   

2. Selecciona la nube a la que quieres conectarte y haz clic en Siguiente.

   

   Nota

   Solo Citrix Cloud está disponible en la vista previa.

3. La ventana muestra un código de registro único, que debe aprobarse en Citrix Cloud. Para obtener más información, consulta Registrar productos locales con Citrix Cloud.

   

4. Una vez validado el código de registro, selecciona la Ubicación de recursos deseada en la lista desplegable.

   

5. Selecciona la cuenta de cliente, si corresponde, y selecciona la ubicación de recursos donde quieres conectar el servidor FAS. Haz clic en Continuar y, a continuación, cierra la ventana de confirmación.

6. En la sección Elegir una regla, usa una regla existente o crea una. Haz clic en Siguiente.

   

7. En la sección Resumen, haz clic en Finalizar para completar la conexión a Citrix Cloud.

   

Citrix Cloud registra el servidor FAS y lo muestra en la página Ubicaciones de recursos de tu cuenta de Citrix Cloud.

Desconectarse de Citrix Cloud

Después de quitar el servidor FAS de la ubicación de recursos de Citrix Cloud, como se describe en este artículo de Citrix Workspace, en Conectar a Citrix Cloud, selecciona Deshabilitar.