Inicio de sesión único de Azure Active Directory
Nota:
Desde julio de 2023, Microsoft ha renombrado Azure Active Directory (Azure AD) a Microsoft Entra ID. En este documento, cualquier referencia a Azure Active Directory, Azure AD o AAD ahora se refiere a Microsoft Entra ID.
Citrix Federated Authentication Service (FAS) proporciona inicio de sesión único (SSO) a los Virtual Delivery Agents (VDA) unidos a un dominio. FAS logra el SSO al proporcionar al VDA un certificado de usuario, que el VDA utiliza para autenticar al usuario en Active Directory (AD). Una vez que inicias sesión en la sesión del VDA, puedes acceder a los recursos de AD sin volver a autenticarte.
Es común implementar Microsoft Entra ID (ME-ID) con sincronización entre tu AD y Microsoft Entra ID, lo que crea identidades híbridas tanto para usuarios como para equipos. Este artículo describe la configuración adicional necesaria para lograr el SSO en Microsoft Entra ID desde tu sesión de VDA al usar FAS, lo que permite al usuario acceder a las aplicaciones protegidas por Microsoft Entra ID sin volver a autenticarse.
Nota:
- No necesitas ninguna configuración especial para que FAS use el SSO para Microsoft Entra ID.
- No necesitas los certificados de FAS en la sesión.
- Puedes usar cualquier versión de FAS.
- Puedes usar cualquier versión del VDA que sea compatible con FAS.
Las técnicas para el SSO de Microsoft Entra ID se resumen en la siguiente tabla:
-
Tipo de autenticación de ME-ID VDA unido a un dominio VDA unido de forma híbrida -
Administrado Usa el SSO sin interrupciones de ME-ID Usa la autenticación basada en certificados de ME-ID Federado a Active Directory Federation Services (ADFS) Habilita la autenticación de Windows en ADFS Asegúrate de que el punto de conexión certificatemixed de WS-Trust esté habilitado Federado a un proveedor de identidades de terceros Usa una solución de terceros Usa una solución de terceros -
Un dominio de Microsoft Entra ID administrado es aquel en el que la autenticación del usuario se realiza en Microsoft Entra ID, a veces denominado autenticación nativa de Microsoft Entra ID.
-
Un dominio de Microsoft Entra ID federado es aquel en el que Microsoft Entra ID está configurado para redirigir la autenticación a otro lugar. Por ejemplo, a ADFS o a un proveedor de identidades de terceros.
- Un VDA unido de forma híbrida está unido a AD y a Microsoft Entra ID.
VDA unidos a un dominio
- Para los VDA unidos a un dominio, logra el SSO en Microsoft Entra ID mediante la autenticación de Windows (tradicionalmente conocida como autenticación integrada de Windows o Kerberos). La autenticación en Microsoft Entra ID ocurre cuando el usuario accede a una aplicación protegida por Microsoft Entra ID desde la sesión del VDA. El siguiente diagrama muestra el proceso de autenticación a un alto nivel:
Los detalles exactos varían según si el dominio de Microsoft Entra ID es administrado o federado.
Para obtener información sobre la configuración del dominio de Microsoft Entra ID administrado, consulta Inicio de sesión único sin interrupciones.
Para un dominio de Microsoft Entra ID federado a ADFS, habilita la autenticación de Windows en el servidor ADFS.
Para un dominio de Microsoft Entra ID federado a un proveedor de identidades de terceros, existe una solución similar. Contacta con tu proveedor de identidades para obtener ayuda.
Nota:
También puedes usar las soluciones enumeradas para los VDA unidos a un dominio para los VDA unidos de forma híbrida. Sin embargo, no se genera un token de actualización principal (PRT) de Microsoft Entra ID al usar FAS.
VDA unidos de forma híbrida
Los VDA unidos de forma híbrida están unidos a AD y a Microsoft Entra ID al mismo tiempo. Cuando el usuario inicia sesión en el VDA, se crean los siguientes artefactos:
- Un Ticket Granting Ticket (TGT) de Kerberos, para autenticarse en los recursos de AD
- Un Primary Refresh Token (PRT), para autenticarse en los recursos de Microsoft Entra ID
El PRT contiene información tanto sobre el usuario como sobre el equipo. Esta información se utiliza en una política de acceso condicional de Microsoft Entra ID si es necesario.
Dado que FAS autentica al usuario proporcionando un certificado al VDA, un PRT solo se puede crear si se implementa la autenticación basada en certificados para Microsoft Entra ID. El siguiente diagrama muestra el proceso de autenticación a un alto nivel:
Los detalles exactos varían según si el dominio de Microsoft Entra ID es administrado o federado.
Para un dominio de Microsoft Entra ID administrado, configura Microsoft Entra ID CBA. Para obtener más información, consulta Información general sobre la autenticación basada en certificados de Azure AD. El VDA usa Microsoft Entra ID CBA para autenticar al usuario en Microsoft Entra ID con el certificado FAS del usuario.
Nota:
La documentación de Microsoft describe el inicio de sesión con un certificado de tarjeta inteligente, pero la técnica subyacente se aplica al iniciar sesión con un certificado de usuario de FAS.
Para un dominio de Microsoft Entra ID federado a ADFS, el VDA usa el punto de conexión certificatemixed de WS-Trust del servidor ADFS para autenticar al usuario en Microsoft Entra ID con el certificado FAS del usuario. Este punto de conexión está habilitado de forma predeterminada.
Para un dominio de Microsoft Entra ID federado a un proveedor de identidades de terceros, puede existir una solución similar. El proveedor de identidades debe implementar un punto de conexión certificatemixed de WS-Trust. Contacta con tu proveedor de identidades para obtener ayuda.