Documentación de productos
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
Ver PDF

Instalar y configurar

April 28, 2026
Contribución de: 
C C

Secuencia de instalación y configuración

  1. Instalar el Servicio de autenticación federada (FAS)
  2. Habilitar el complemento de FAS en los almacenes de StoreFront
  3. Configurar el Delivery Controller
  4. Configurar la directiva de grupo
  5. Usa la consola de administración de FAS para:
    1. Implementar plantillas de certificados
    2. Configurar entidades de certificación
    3. Autorizar a FAS para usar tus entidades de certificación
    4. Configurar reglas
    5. Conectar FAS a Citrix Cloud (opcional)

  • Instalar el Servicio de autenticación federada

  • Por motivos de seguridad, Citrix recomienda instalar el Servicio de autenticación federada (FAS) en un servidor dedicado. Este servidor debe protegerse de forma similar a un controlador de dominio o una entidad de certificación. FAS se puede instalar desde:

  • el instalador de Citrix Virtual Apps and Desktops™ (desde el botón Federated Authentication Service en la pantalla de inicio de ejecución automática cuando se inserta el ISO), o

  • el archivo de instalación independiente de FAS (disponible como archivo MSI en Citrix Downloads).

  • Estos instalan los siguientes componentes:

  • Servicio de autenticación federada
  • Cmdlets de complemento de PowerShell para la configuración avanzada de FAS
  • Consola de administración de FAS
  • Plantillas de directiva de grupo de FAS (CitrixFederatedAuthenticationService.admx/adml)
  • Archivos de plantilla de certificados
  • Contadores de rendimiento y registros de eventos

Actualizar FAS

Puedes actualizar FAS a una versión más reciente mediante una actualización in situ. Antes de actualizar, ten en cuenta lo siguiente:

  • Todas las configuraciones del servidor FAS se conservan al realizar una actualización in situ.
  • Asegúrate de cerrar la consola de administración de FAS antes de actualizar FAS.
  • Asegúrate de que al menos un servidor FAS esté siempre disponible. Si ningún servidor es accesible para un servidor StoreFront™ habilitado para el Servicio de autenticación federada, los usuarios no podrán iniciar sesión ni iniciar aplicaciones.

Para iniciar una actualización, instala FAS desde el instalador de Citrix Virtual Apps and Desktops o desde el archivo de instalación independiente de FAS.

Habilitar el complemento de FAS en los almacenes de StoreFront

Nota:

No necesitas este paso si solo usas FAS con Citrix Cloud.

Para obtener más detalles sobre cómo habilitar el complemento de FAS en los almacenes de StoreFront, consulta https://docs.citrix.com/en-us/storefront/current-release/configure-authentication-and-delegation/fas.

Configurar el Delivery Controller™

Nota:

No necesitas este paso si solo usas FAS con Citrix Cloud.

Para usar FAS, configura el Delivery Controller de Citrix Virtual Apps o Citrix Virtual Desktops™ para que confíe en los servidores StoreFront que se conectan a él: ejecuta el cmdlet de PowerShell Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true. Ejecuta este comando una vez por sitio, independientemente del número de Delivery Controllers en el sitio.

Configurar la directiva de grupo

Después de instalar FAS, usa las plantillas de directiva de grupo proporcionadas en la instalación para especificar los nombres de dominio completos (FQDN) de los servidores en la directiva de grupo.

Importante:

Asegúrate de que los servidores StoreFront que solicitan tickets y los Virtual Delivery Agents (VDA) que canjean tickets tengan una configuración idéntica de FQDN, incluida la numeración automática de servidores aplicada por el objeto de directiva de grupo.

Para simplificar, los siguientes ejemplos configuran una única directiva a nivel de dominio que se aplica a todas las máquinas. Sin embargo, esto no es obligatorio. FAS funciona siempre que los servidores StoreFront, los VDA y la máquina que ejecuta la consola de administración de FAS vean la misma lista de FQDN. Consulta el Paso 6.

Paso 1. En el servidor donde instalaste FAS, busca los archivos C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx y CitrixBase.admx, y la carpeta en-US.

imagen localizada

  • Paso 2. Copia estos archivos en tus controladores de dominio y colócalos en las subcarpetas C:\Windows\PolicyDefinitions y en-US.

Paso 3. Ejecuta la Consola de administración de Microsoft (mmc.exe desde la línea de comandos). En la barra de menú, selecciona Archivo > Agregar o quitar complemento. Agrega el Editor de administración de directivas de grupo.

Cuando se te solicite un objeto de directiva de grupo, selecciona Examinar y luego selecciona Directiva de dominio predeterminada. Alternativamente, puedes crear y seleccionar un objeto de directiva apropiado para tu entorno, usando las herramientas de tu elección. La directiva debe aplicarse a todas las máquinas que ejecutan software Citrix afectado (VDA, servidores StoreFront, herramientas de administración).

imagen localizada

Paso 4. Navega hasta la directiva Federated Authentication Service en Configuración del equipo/Directivas/Plantillas administrativas/Componentes de Citrix/Autenticación.

Plantillas de autenticación.

Nota:

La configuración de la directiva del Servicio de autenticación federada solo está disponible en la GPO de dominio cuando agregas el archivo de plantilla CitrixBase.admx/CitrixBase.adml a la carpeta PolicyDefinitions. Después del Paso 3, la configuración de la directiva del Servicio de autenticación federada aparece en la carpeta Plantillas administrativas > Componentes de Citrix > Autenticación.

  • Paso 5. Abre la directiva del Servicio de autenticación federada y selecciona Habilitado. Esto te permite seleccionar el botón Mostrar, donde configuras los FQDN de tus servidores FAS.

Nombres de dominio completos.

Paso 6. Introduce los FQDN de los servidores FAS.

Importante:

  • Si introduces varios FQDN, el orden de la lista debe ser coherente tal como lo ven los VDA, los servidores StoreFront (si están presentes) y los servidores FAS. Consulta Configuración de la directiva de grupo.

Paso 7. Haz clic en Aceptar para salir del asistente de Directiva de grupo y aplicar los cambios de la directiva de grupo. Es posible que debas reiniciar tus máquinas (o ejecutar gpupdate /force desde la línea de comandos) para que el cambio surta efecto.

Comportamiento en la sesión

Esta directiva activa un proceso de agente en la sesión VDA del usuario que admite certificados en la sesión, consentimiento y desconexión al bloquear. Los certificados en la sesión solo están disponibles si esta directiva está habilitada y si la regla de FAS utilizada para crear el certificado permite el uso en la sesión. Consulta Configurar reglas.

Comportamiento en la sesión.

Habilitar habilita esta directiva y permite que un proceso de agente de FAS se ejecute en la sesión VDA del usuario.

Deshabilitar deshabilita la directiva y detiene la ejecución del proceso de agente de FAS.

Ámbito de la solicitud

Si esta directiva está habilitada, Ámbito de la solicitud controla cómo se solicita a los usuarios su consentimiento para permitir que una aplicación use un certificado en la sesión. Hay tres opciones:

  • No se requiere consentimiento—Esta opción deshabilita la solicitud de seguridad y las claves privadas se usan de forma silenciosa.
  • Consentimiento por proceso—Cada programa en ejecución solicita el consentimiento individualmente.
  • Consentimiento por sesión—Una vez que el usuario ha hecho clic en Aceptar, esta opción se aplica a todos los programas de la sesión.

Tiempo de espera del consentimiento

Si esta directiva está habilitada, Tiempo de espera del consentimiento controla cuánto tiempo (en segundos) dura el consentimiento. Por ejemplo, con 300 segundos, los usuarios ven una solicitud cada cinco minutos. Un valor de cero solicita a los usuarios cada operación de clave privada.

Desconexión al bloquear

Si esta directiva está habilitada, la sesión del usuario se desconecta automáticamente cuando bloquea la pantalla. Este comportamiento es similar a la directiva de “desconexión al retirar la tarjeta inteligente”. Usa esta función cuando los usuarios no tengan credenciales de inicio de sesión de Active Directory.

Nota:

La directiva de desconexión al bloquear se aplica a todas las sesiones en el VDA.

Uso de la consola de administración de Federated Authentication Service

  • Nota:

  • Aunque la consola de administración de FAS es adecuada para la mayoría de las implementaciones, la interfaz de PowerShell ofrece opciones más avanzadas. Para obtener información sobre los cmdlets de PowerShell de FAS, consulta Cmdlets de PowerShell.

La consola de administración de FAS se instala como parte de FAS. Se coloca un icono (Citrix Federated Authentication Service) en el menú Inicio.

La primera vez que usas la consola de administración, te guía a través de los siguientes procesos para:

  • Implementar plantillas de certificado.
  • Configurar la autoridad de certificación.
  • Autorizar a FAS para usar la autoridad de certificación.

También puedes usar las herramientas de configuración del sistema operativo para completar algunos de los pasos manualmente.

La consola de administración de FAS se conecta al servicio FAS local de forma predeterminada. Si es necesario, puedes conectarte a un servicio remoto usando Conectarse a otro servidor en la parte superior derecha de la consola.

imagen localizada

Implementar plantillas de certificado

Para evitar problemas de interoperabilidad con otro software, FAS proporciona tres plantillas de certificado de Citrix para su propio uso.

  • Citrix_RegistrationAuthority_ManualAuthorization
  • Citrix_RegistrationAuthority
  • Citrix_SmartcardLogon

Estas plantillas deben registrarse en Active Directory. Haz clic en el botón Implementar y luego haz clic en Aceptar.

imagen localizada

La configuración de las plantillas se encuentra en los archivos XML con extensión .certificatetemplate que se instalan con FAS en:

C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates

Carpeta de plantillas de certificado.

Si no tienes permiso para instalar estos archivos de plantilla, dáselos a tu administrador de Active Directory.

Para instalar las plantillas manualmente, puedes ejecutar los siguientes comandos de PowerShell desde la carpeta que contiene las plantillas:

    $template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
    $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
    $CertEnrol.InitializeImport($template)
    $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
    $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
    $writabletemplate.Initialize($comtemplate)
    $writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->

Configurar los Servicios de certificados de Active Directory

Después de instalar las plantillas de certificado de Citrix, debes publicarlas en uno o varios servidores de la entidad de certificación empresarial de Microsoft. Consulta la documentación de Microsoft sobre cómo implementar los Servicios de certificados de Active Directory.

Un usuario que tenga permisos para administrar la entidad de certificación debe publicar las plantillas en al menos un servidor. Usa Configurar entidad de certificación para publicarlas.

(Las plantillas de certificado también se pueden publicar mediante la consola de la entidad de certificación de Microsoft.)

imagen localizada

Autorizar el Servicio de autenticación federada

Este paso inicia la autorización de FAS. La consola de administración usa la plantilla Citrix_RegistrationAuthority_ManualAuthorization para generar una solicitud de certificado y, a continuación, la envía a una de las entidades de certificación que publican esa plantilla.

imagen localizada

Una vez enviada la solicitud, aparece en la lista Solicitudes pendientes de la consola de la entidad de certificación de Microsoft como una solicitud pendiente de la cuenta de máquina de FAS. El administrador de la entidad de certificación debe emitir o denegar la solicitud antes de que la configuración de FAS pueda continuar.

La consola de administración de FAS muestra un ‘indicador de carga’ hasta que el administrador elige Emitir o Denegar.

En la consola de la entidad de certificación de Microsoft, haz clic con el botón secundario en Todas las tareas y, a continuación, selecciona Emitir o Denegar para la solicitud de certificado. Si eliges Emitir, la consola de administración de FAS muestra el certificado de autorización. Si eliges Denegar, la consola muestra un mensaje de error.

imagen localizada

La consola de administración de FAS detecta automáticamente cuándo finaliza este proceso. Esto puede tardar un par de minutos.

imagen localizada

Configurar reglas

FAS usa las reglas para autorizar la emisión de certificados para el inicio de sesión de VDA y el uso en la sesión, según las indicaciones de StoreFront.

Cada regla especifica lo siguiente:

  • Servidores StoreFront de confianza para solicitar los certificados.
  • Conjunto de usuarios para los que se solicitan los certificados.
  • Conjunto de máquinas VDA a las que se permite usar los certificados.

Citrix recomienda crear una regla con el nombre “default”, ya que StoreFront solicita una regla con el mismo nombre al contactar con FAS.

Puedes crear más reglas personalizadas para hacer referencia a diferentes plantillas de certificado y entidades de certificación, y configurarlas para que tengan diferentes propiedades y permisos. Estas reglas se pueden configurar para que las usen diferentes servidores StoreFront o Workspace. Configura los servidores StoreFront para que soliciten la regla personalizada por nombre mediante las opciones de configuración de directivas de grupo.

Haz clic en Crear (o en Crear regla en la ficha “Reglas”) para iniciar el asistente de creación de reglas que recopila la información para crear la regla. La ficha “Reglas” muestra un resumen de cada regla.

imagen localizada

El asistente recopila la siguiente información:

Plantilla: La plantilla de certificado que se usa para emitir certificados de usuario. Debe ser la plantilla Citrix_SmartcardLogon o una copia modificada de ella (consulta Plantillas de certificado).

Entidad de certificación: La entidad de certificación que emite certificados de usuario y publica la plantilla. FAS admite agregar varias entidades de certificación para la conmutación por error y el equilibrio de carga. Asegúrate de que el estado muestre “Plantilla disponible” para la entidad de certificación que elijas. Consulta Administración de la entidad de certificación.

Uso en la sesión: La opción Permitir el uso en la sesión controla si se puede usar un certificado después de iniciar sesión en el VDA.

  • Permitir el uso en la sesión no seleccionada (predeterminado, recomendado)—el certificado se usa solo para el inicio de sesión o la reconexión, y los usuarios no tienen acceso al certificado después de autenticarse.

  • Permitir el uso en la sesión seleccionada—los usuarios tienen acceso al certificado después de autenticarse. La mayoría de los clientes no deben seleccionar esta opción. Se puede acceder a los recursos desde la sesión de VDA, como sitios web de intranet o recursos compartidos de archivos, mediante el inicio de sesión único de Kerberos y, por lo tanto, no se requiere un certificado en la sesión.

    Si seleccionas Permitir el uso en la sesión, la directiva de grupo Comportamiento en la sesión también debe estar habilitada y aplicada al VDA. Los certificados se colocan en el almacén de certificados personal del usuario después del inicio de sesión para el uso de la aplicación. Por ejemplo, si requieres autenticación TLS en servidores web dentro de la sesión de VDA, Internet Explorer puede usar el certificado.

Control de acceso: La lista de máquinas de servidor StoreFront de confianza que están autorizadas a solicitar certificados para el inicio de sesión o la reconexión de usuarios. Para todos estos permisos, puedes agregar objetos o grupos individuales de AD.

Importante:

La configuración de Control de acceso es crítica para la seguridad y debe administrarse con cuidado.

Nota:

Si usas el servidor FAS solo con Citrix Cloud, no necesitas configurar el Control de acceso. Cuando Citrix Cloud usa una regla, se ignoran los permisos de acceso de StoreFront. Puedes usar la misma regla con Citrix Cloud y con una implementación de StoreFront local. Los permisos de acceso de StoreFront se siguen aplicando cuando una implementación de StoreFront local usa la regla.

El permiso predeterminado (“Afirmar identidad” permitido) deniega todo. Por lo tanto, debes permitir explícitamente tus servidores StoreFront.

localized image

Restricciones: La lista de máquinas VDA que pueden iniciar sesión de usuarios mediante FAS y la lista de usuarios a los que se les pueden emitir certificados a través de FAS.

  • Administrar permisos de VDA te permite especificar qué VDA pueden usar FAS para iniciar sesión del usuario. La lista de VDA predeterminada es “Domain Computers”.

  • Administrar permisos de usuario te permite especificar qué usuarios pueden usar FAS para iniciar sesión en un VDA. La lista de usuarios predeterminada es “Domain Users”.

Nota:

Si el dominio del servidor FAS difiere del de los VDA y los usuarios, las restricciones predeterminadas deben modificarse.

localized image

localized image

Regla de la nube: Indica si la regla se aplica cuando se reciben aserciones de identidad de Citrix Workspace. Cuando te conectas a Citrix Cloud, eliges qué regla usar para Citrix Cloud. También puedes cambiar la regla después de conectarte a Citrix Cloud desde un enlace en la sección Conectar a Citrix Cloud.

localized image

Conectar a Citrix Cloud

Puedes conectar el servidor FAS a Citrix Cloud con Citrix Workspace. Consulta este artículo de Citrix Workspace.

  1. En la ficha Configuración inicial, en Conectar a Citrix Cloud, haz clic en Conectar.

    Initial setup

  2. Selecciona la nube a la que quieres conectarte y haz clic en Siguiente.

    Choose Citrix Cloud

    Nota

    Solo Citrix Cloud está disponible en la vista previa.

  3. La ventana muestra un código de registro único, que debe aprobarse en Citrix Cloud. Para obtener más información, consulta Registrar productos locales con Citrix Cloud.

    Confirmation

  4. Una vez validado el código de registro, selecciona la Ubicación de recursos requerida en la lista desplegable.

    Resource location

  5. Selecciona la cuenta de cliente, si corresponde, y selecciona la ubicación de recursos donde quieres conectar el servidor FAS. Haz clic en Continuar y, a continuación, cierra la ventana de confirmación.

  6. En la sección Elegir una regla, usa una regla existente o crea una regla. Haz clic en Siguiente.

    Choose a rule

  7. En la sección Resumen, haz clic en Finalizar para completar la conexión a Citrix Cloud.

    Connect to Cloud Summary

Citrix Cloud registra el servidor FAS y lo muestra en la página Ubicaciones de recursos de tu cuenta de Citrix Cloud.

Nota:

Un servidor FAS local puede emitir certificados de usuario para permitir el acceso a Citrix Cloud y a Citrix Virtual Apps and Desktops al mismo tiempo.

Desconectarse de Citrix Cloud

Después de quitar el servidor FAS de tu ubicación de recursos de Citrix Cloud, como se describe en este artículo de Citrix Workspace, en Conectar a Citrix Cloud, selecciona Deshabilitar.

Instalar y configurar
April 28, 2026
Contribución de: 
C C
April 28, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.