Instalación y configuración
Secuencia de instalación y configuración
- Instalar el Servicio de autenticación federada (FAS)
- Habilitar el plug-in de FAS en servidores de StoreFront
- Configurar el Delivery Controller
- Configurar la directiva de grupo
- Use la consola de administración de FAS para:
Instalar el Servicio de autenticación federada
Por motivos de seguridad, Citrix recomienda instalar el Servicio de autenticación federada (FAS) en un servidor dedicado. Este servidor debe estar protegido del mismo modo que un controlador de dominio o una entidad de certificación. FAS se puede instalar desde:
- el instalador de Citrix Virtual Apps and Desktops (con el botón Servicio de autenticación federada en la pantalla de inicio de ejecución automática que aparece cuando se inserta la ISO), o bien
- el archivo del instalador independiente de FAS (disponible como archivo MSI en Citrix Downloads).
Ambos instalan los siguientes componentes:
- Servicio de autenticación federada
- Cmdlets del complemento PowerShell para la configuración avanzada de FAS
- Consola de administración de FAS
- Plantillas de directiva de grupo de FAS (CitrixFederatedAuthenticationService.admx/adml)
- Archivos de plantillas de certificado
- Contadores de rendimiento y registros de eventos
Actualizar FAS
Puede actualizar FAS a una versión más reciente mediante una actualización en contexto. Antes de actualizar, tenga en cuenta lo siguiente:
- Todos los parámetros de servidor de FAS se conservan cuando se realiza una actualización en contexto.
- Compruebe que la consola de administración de FAS esté cerrada antes de actualizar FAS.
- Al menos un servidor de FAS debe estar disponible en todo momento. Si un servidor de StoreFront habilitado para el Servicio de autenticación federada no puede establecer contacto con ningún servidor, los usuarios no podrán iniciar sesión ni iniciar aplicaciones.
Para iniciar una actualización, instale FAS desde el instalador de Citrix Virtual Apps and Desktops o desde el archivo del instalador independiente de FAS.
Habilitar el plug-in de FAS en servidores de StoreFront
Nota:
Este paso no es necesario si usa FAS solo con Citrix Cloud.
Para habilitar la integración de FAS en un almacén de StoreFront, ejecute los siguientes cmdlets de PowerShell con una cuenta de administrador. Si el almacén tiene otro nombre, modifique $StoreVirtualPath
.
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->
Para dejar de usar FAS, utilice el siguiente script de PowerShell:
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->
Configurar el Delivery Controller
Nota:
Este paso no es necesario si usa FAS solo con Citrix Cloud.
Para usar FAS, configure el Delivery Controller de Citrix Virtual Apps o Citrix Virtual Desktops para que confíe en los servidores de StoreFront que se conectan a él: Ejecute el cmdlet de PowerShell Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true. Ejecute este comando una vez por sitio, independientemente de la cantidad de Delivery Controllers que haya en el sitio.
Configurar la directiva de grupo
Después de instalar FAS, especifique los nombres de dominio completo (FQDN) de los servidores de la directiva de grupo con las plantillas de directiva de grupo suministradas en la instalación.
Importante:
Compruebe que los servidores de StoreFront que solicitan tíquets y los agentes Virtual Delivery Agent (VDA) que canjean los tíquets tienen una configuración idéntica de nombres de dominio completo, incluida la numeración automática de los servidores que aplica el objeto de directiva de grupo.
Para simplificar la tarea, los siguientes ejemplos configuran una sola directiva en el nivel de dominio que se aplica a todas las máquinas. Sin embargo, esto no es necesario. FAS funciona siempre que los servidores de StoreFront, los VDA y la máquina que ejecuta la consola de administración de FAS vean la misma lista de nombres de dominio completo. Consulte el paso 6.
Paso 1. En el servidor donde instaló FAS, busque los archivos C:\Archivos de programa\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx y CitrixBase.admx, y la carpeta en-US.
Paso 2. Copie estos archivos en los controladores de dominio y colóquelos en la unidad C:\Windows\PolicyDefinitions y en la subcarpeta en-US.
Paso 3. Ejecute Microsoft Management Console (mmc.exe desde la línea de comandos). En la barra de menús, seleccione Archivo > Agregar o quitar complemento. Agregue el Editor de administración de directivas de grupo.
Cuando se le solicite un objeto de directiva de grupo, seleccione Examinar y, a continuación, seleccione Directiva predeterminada de dominio. De forma alternativa, puede crear y seleccionar un objeto de directiva adecuado para el entorno, mediante las herramientas de su elección. La directiva debe aplicarse a todas las máquinas que ejecutan el software de Citrix afectado (VDA, servidores de StoreFront, herramientas de administración).
Paso 4. Vaya a la directiva de Servicio de autenticación federada (Federated Authentication Service) en Configuración del equipo/Directivas/Plantillas administrativas/Componentes de Citrix/Autenticación.
Nota:
La configuración de directiva del Servicio de autenticación federada solo está disponible en el GPO del dominio después de agregarse el archivo de plantilla CitrixBase.admx o CitrixBase.adml a la carpeta PolicyDefinitions. Después del paso 3, la configuración de directiva del Servicio de autenticación federada aparece en la carpeta Plantillas administrativas > Componentes de Citrix > Autenticación.
Paso 5. Abra la directiva Federated Authentication Service y seleccione Habilitada. Eso permite seleccionar el botón Mostrar con el que puede configurar los nombres de dominio completo de los servidores del servicio FAS.
Paso 6. Introduzca los FQDN de los servidores FAS.
Importante:
Si introduce varios FQDN, el orden de la lista debe ser coherente con el que ven los VDA, los servidores de StoreFront (si los hay) y los servidores de FAS. Consulte Configuración de directivas de grupo.
Paso 7. Haga clic en Aceptar para salir del asistente de directivas de grupo y aplicar los cambios de la directiva de grupo. Es posible que tenga que reiniciar las máquinas (o ejecutar gpupdate /force desde la línea de comandos) para que el cambio surta efecto.
In-session Behavior (Comportamiento durante la sesión)
Esta directiva activa un proceso de agente en la sesión de VDA del usuario que admite certificados de sesión, consentimiento y desconexión al bloquear. Los certificados de sesión solo están disponibles si esta directiva está habilitada y si la regla FAS utilizada para crear el certificado tiene permitido el uso durante la sesión. Consulte Configurar reglas.
Enable Habilita esta directiva y permite que se ejecute un proceso de agente de FAS en la sesión de VDA del usuario.
Disable Inhabilita la directiva y detiene la ejecución del proceso del agente de FAS.
Prompt Scope (Ámbito de la solicitud)
Si esta directiva está habilitada, Prompt Scope controla cómo se pide a los usuarios el consentimiento para permitir que una aplicación utilice un certificado de sesión. Existen tres opciones:
- No consent required (No se requiere consentimiento): Esta opción inhabilita la solicitud de seguridad y las claves privadas se utilizan silenciosamente.
- Per-process consent (Consentimiento para cada proceso): Cada programa que se ejecute solicita el consentimiento individualmente.
- Per-session consent (Consentimiento para cada sesión): Una vez que el usuario haya hecho clic en OK, esta opción se aplica a todos los programas de la sesión.
Consent Timeout (Tiempo de espera del consentimiento)
Si esta directiva está habilitada, Consent Timeout controla cuánto tiempo (en segundos) dura el consentimiento. Por ejemplo, con 300 segundos, los usuarios ven un mensaje de solicitud cada cinco minutos. Con el valor cero, se solicita a los usuarios el consentimiento para cada operación de clave privada.
Desconexión por bloqueo
Si esta directiva está habilitada, la sesión del usuario se desconecta automáticamente cuando este bloquea la pantalla. Este comportamiento es parecido al de la directiva “disconnect on smart card removal” (desconectar al quitar la tarjeta inteligente). Utilice esta función cuando los usuarios no tengan credenciales de inicio de sesión de Active Directory.
Nota:
La directiva de desconexión por bloqueo se aplica a todas las sesiones del VDA.
Usar la consola de administración de los Servicios de autenticación federada
Nota:
Aunque la consola de administración de FAS es adecuada para la mayor parte de las implementaciones, la interfaz de PowerShell ofrece opciones más avanzadas. Para obtener información sobre los cmdlets de PowerShell de FAS, consulte Cmdlets de PowerShell.
La consola de administración de FAS se instala como parte de FAS. Se coloca el icono Citrix Federated Authentication Service en el menú Inicio.
La primera vez que utilice la consola de administración, le guiará a través de los siguientes procesos:
- Implementar plantillas de certificado
- Configurar la entidad de certificación.
- Autorizar a FAS a usar la entidad de certificación.
También puede usar las herramientas de configuración del sistema operativo para completar algunos de los pasos manualmente.
La consola de administración de FAS se conecta al servicio FAS local de forma predeterminada. Si fuera necesario, puede conectarse a un servicio remoto mediante Connect to another server en la parte superior derecha de la consola.
Implementar plantillas de certificado
Para evitar problemas de interoperabilidad con otros programas de software, FAS proporciona tres plantillas de certificado de Citrix para su propio uso.
- Citrix_RegistrationAuthority_ManualAuthorization
- Citrix_RegistrationAuthority
- Citrix_SmartcardLogon
Estas plantillas deben registrarse en Active Directory. Haga clic en el botón Deploy y luego en OK.
La configuración de las plantillas se encuentra en los archivos XML con la extensión .certificatetemplate. Estos archivos se instalan con FAS en:
C:\Archivos de programa\Citrix\Federated Authentication Service\CertificateTemplates
Si no dispone de permiso para instalar estos archivos de plantilla, déselas al administrador de Active Directory.
Para instalar manualmente las plantillas, puede ejecutar los siguientes comandos de PowerShell desde la carpeta que contiene las plantillas:
$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
$CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
$CertEnrol.InitializeImport($template)
$comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
$writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
$writabletemplate.Initialize($comtemplate)
$writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->
Configurar los Servicios de certificados de Active Directory
Después de instalar las plantillas de certificado de Citrix, deben publicarse en al menos uno de los servidores de entidad de certificación empresarial de Microsoft. Consulte la documentación de Microsoft acerca de cómo implementar Servicios de certificados de Active Directory.
Un usuario que tenga permisos para administrar la entidad de certificación debe publicar las plantillas en al menos un servidor. Use la herramienta Set Up Certificate Authority para publicarlas.
(También se pueden publicar plantillas de certificado mediante la consola de Entidad de certificación de Microsoft.)
Autorizar el Servicio de autenticación federada
Este paso inicia la autorización de FAS. La consola de administración utiliza la plantilla Citrix_RegistrationAuthority_ManualAuthorization para generar una solicitud de certificado y, a continuación, la envía a una de las entidades de certificación que publican esa plantilla.
Después de enviar la solicitud, esta aparece en la lista Solicitudes pendientes de la consola de la entidad de certificación de Microsoft como una solicitud pendiente que procede de la cuenta de máquina de FAS. El administrador de la entidad de certificación debe emitir o rechazar la solicitud para que la configuración de FAS continúe.
La consola de administración de FAS muestra un icono giratorio (proceso en curso) hasta que el administrador elija Emitir o Denegar.
En la consola de la entidad de certificación de Microsoft, haga clic con el botón secundario en Todas las tareas y, a continuación, seleccione Emitir o Denegar Si selecciona Emitir, la consola de administración de FAS muestra el certificado de autorización. Si elige Denegar, la consola muestra un mensaje de error.
La consola de administración de FAS detecta automáticamente cuando se completa el proceso. Esto puede tardar unos minutos.
Configurar reglas
FAS utiliza las reglas para autorizar la emisión de certificados para el inicio de sesión en los VDA y uso dentro de sesiones, según lo indique StoreFront.
Cada regla especifica lo siguiente:
- Servidores StoreFront en los que se confía para solicitar los certificados.
- Conjunto de usuarios para los que se solicitan los certificados.
- Conjunto de máquinas VDA que pueden utilizar los certificados.
Citrix recomienda crear una regla con el nombre “default”, ya que StoreFront solicita una regla con el mismo nombre al contactar con FAS.
Puede crear otras reglas personalizadas para hacer referencia a diferentes plantillas de certificado y entidades de certificado, y configurarlas para que tengan propiedades y permisos diferentes. Estas reglas se pueden configurar para usarlas con Workspace o diferentes servidores de StoreFront. Puede configurar los servidores de StoreFront para que soliciten la regla personalizada indicando el nombre de esta. Puede hacerlo desde las opciones de configuración de directivas de grupo.
Haga clic en Create (o Create rule en la ficha “Rules”) para iniciar el asistente de creación de reglas que recopila la información para crear la regla. La ficha “Rules” muestra un resumen de cada regla.
El asistente recopila la siguiente información:
Template: La plantilla de certificado que se utiliza para emitir certificados de usuario. Debe ser la plantilla Citrix_SmartcardLogon, o una copia modificada de la misma (consulte Plantillas de certificado).
Certificate Authority: La entidad de certificación que emite los certificados de usuario y publica la plantilla. FAS admite varias entidades de certificación para la conmutación por error y el equilibrio de carga. El estado de la entidad de certificación que elija debe ser “Template available” (Plantilla disponible). Consulte Administrar la entidad de certificación.
In-Session Use: La opción Allow in-session use controla si se puede utilizar un certificado después de iniciar sesión en el VDA.
- Allow in-session use no seleccionada (valor predeterminado Recommended): El certificado se usa solamente para iniciar sesión o reconectarse, y el usuario no tendrá acceso al certificado después de autenticarse.
-
Allow in-session use seleccionada: Los usuarios tendrán acceso al certificado después de autenticarse. La mayoría de los clientes no deben seleccionar esta opción. Los recursos a los que se accede en la sesión del VDA (como sitios web de la intranet o archivos de los recursos compartidos) son accesibles mediante el inicio SSO con Kerberos, por lo que no se requiere un certificado en la sesión.
Si selecciona Allow in-session use, la directiva de grupo In-session Behavior también debe habilitarse y aplicarse al VDA. Así, los certificados se colocan en el almacén de certificados personal del usuario después del inicio de sesión para el uso de aplicaciones. Por ejemplo, si necesita usar autenticación TLS en los servidores web dentro de la sesión de VDA, Internet Explorer puede usar el certificado.
Access control: La lista de máquinas de servidor de StoreFront de confianza que están autorizadas para solicitar certificados para el inicio de sesión o la reconexión de usuarios. Para todos estos permisos, puede agregar objetos o grupos de AD individuales.
Importante:
Tenga en cuenta que el parámetro Access control es fundamental para la seguridad y es necesario configurarlo cuidadosamente.
Nota:
Si utiliza el servidor de FAS solo con Citrix Cloud, no es necesario configurar Access control. Sin embargo, cuando Citrix Cloud usa una regla, se ignoran los permisos de acceso de StoreFront. Puede usar la misma regla con Citrix Cloud y con una implementación local de StoreFront. Los permisos de acceso de StoreFront se siguen aplicando cuando una implementación local de StoreFront utiliza esta regla.
El permiso predeterminado (“Assert Identity” permitido) deniega todo. Por lo tanto, debe permitir explícitamente los servidores de StoreFront.
Restrictions: La lista de máquinas VDA que pueden iniciar sesión para los usuarios mediante FAS y la lista de usuarios a los que se pueden emitir certificados a través de FAS.
-
Manage VDA permissions: Permite especificar qué agentes VDA pueden usar FAS para iniciar la sesión del usuario. El valor predeterminado de la lista de agentes VDA es Domain Computers (máquinas de dominio).
-
Manage user permissions: Permite especificar qué usuarios pueden usar FAS para iniciar sesión en un VDA. El valor predeterminado de la lista de usuarios es Domain Users.
Nota:
Si el servidor de FAS se encuentra en un dominio distinto del de los VDA y de los usuarios, se deben modificar las restricciones predeterminadas.
Cloud rule: Indica si la regla se aplica cuando se reciben aserciones de identidad procedentes de Citrix Workspace. Al conectarse a Citrix Cloud, debe elegir qué regla usar para Citrix Cloud. También puede cambiar la regla después de conectarse a Citrix Cloud desde un enlace de la sección Connect to Citrix Cloud.
Conectarse a Citrix Cloud
Puede conectar el servidor de FAS con Citrix Cloud para usarlo con Citrix Workspace. Consulte este artículo de Citrix Workspace.
-
En la ficha Initial Setup, en la opción Connect to Citrix Cloud, haga clic en Connect.
-
Seleccione la nube a la que quiera conectarse y haga clic en Next.
Nota
Solo Citrix Cloud está disponible en Tech Preview.
-
La ventana muestra un código de registro único, que debe aprobarse en Citrix Cloud. Para obtener más información, consulte Registrar productos locales en Citrix Cloud.
-
Una vez que se haya validado el código de registro, seleccione la ubicación de recursos necesaria en la lista desplegable.
-
Seleccione la cuenta de cliente, si procede, y elija la ubicación de recursos a la que quiere conectar el servidor de FAS. Haga clic en Continue y, luego, cierre la ventana de confirmación.
-
En la sección Choose a rule, utilice una regla existente o cree una. Haga clic en Siguiente.
-
En la section Summary, haga clic en Finish para completar la conexión con Citrix Cloud.
Citrix Cloud registra el servidor de FAS y lo muestra en la página Ubicaciones de recursos de su cuenta de Citrix Cloud.
Nota
Un servidor FAS local puede emitir certificados de usuario para permitir el acceso a Citrix Cloud y Citrix Virtual Apps and Desktops al mismo tiempo.
Desconectarse de Citrix Cloud
Después de quitar el servidor de FAS de la ubicación de recursos de Citrix Cloud, tal y como se describe en este artículo de Citrix Workspace, en Connect to Citrix Cloud, seleccione Disable.
En este artículo
- Secuencia de instalación y configuración
- Instalar el Servicio de autenticación federada
- Habilitar el plug-in de FAS en servidores de StoreFront
- Configurar el Delivery Controller
- Configurar la directiva de grupo
- Usar la consola de administración de los Servicios de autenticación federada
- Implementar plantillas de certificado
- Configurar los Servicios de certificados de Active Directory
- Autorizar el Servicio de autenticación federada
- Configurar reglas
- Conectarse a Citrix Cloud