Documentación de productos
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
Ver PDF

Configuración de seguridad y red

April 28, 2026
Contribución de: 
C

El Servicio de autenticación federada (FAS) está estrechamente integrado con Microsoft Active Directory y la autoridad de certificación de Microsoft. Asegúrate de que el sistema se administre y proteja adecuadamente, desarrollando una política de seguridad como lo harías para un controlador de dominio u otra infraestructura crítica.

Este documento proporciona una descripción general de los problemas de seguridad que debes considerar al implementar FAS. También ofrece una descripción general de las funciones disponibles que podrían ayudarte a proteger tu infraestructura.

Arquitectura de red y seguridad

El siguiente diagrama muestra los componentes principales y los límites de seguridad utilizados en una implementación de FAS.

El servidor FAS forma parte de la infraestructura de seguridad crítica, junto con la autoridad de certificación y el controlador de dominio. En un entorno federado, Citrix Gateway y Citrix StoreFront son componentes que realizan la autenticación de usuarios. Otros componentes de Citrix Virtual Apps and Desktops™ no se ven afectados por la introducción de FAS.

Diagrama que muestra servidores y protocolos

| Servidor | Conexiones | |——————————————————————————————————————-|——————————————————————————————————————|

  • Servicio de autenticación federada [entrada] HTTP con seguridad Kerberos desde StoreFront™ y VDA, [salida] DCOM a la autoridad de certificación de Microsoft
  • Citrix Gateway [entrada] HTTPS desde máquinas cliente, [entrada/salida] HTTPS hacia/desde el servidor StoreFront, [salida] HDX a VDA
  • StoreFront [entrada] HTTPS desde Citrix Gateway, [salida] HTTPS a Delivery Controller™, [salida] HTTP con seguridad Kerberos a FAS
  • Delivery Controller [entrada] HTTPS desde el servidor StoreFront, [entrada/salida] HTTP con seguridad Kerberos desde VDA
    VDA [entrada/salida] HTTP con seguridad Kerberos desde Delivery Controller, [entrada] HDX desde Citrix Gateway, [salida] HTTP con seguridad Kerberos a FAS
    Autoridad de certificación de Microsoft [entrada] DCOM desde FAS

  • Comunicación entre StoreFront y FAS

  • Cuando inicias un VDA, el servidor StoreFront se comunica con el servidor FAS para obtener un ticket de un solo uso que el Citrix Virtual Delivery Agent (VDA) necesita para iniciar sesión con el usuario.

  • StoreFront se conecta a FAS mediante SOAP sobre HTTP. Por defecto, usa el puerto 80.

  • Se autentica mediante Kerberos mutuo con la identidad Kerberos HOST/fqdn del servidor FAS y la identidad de cuenta de máquina Kerberos del servidor StoreFront.

  • Los datos se cifran mediante seguridad a nivel de mensaje. No se requiere ninguna configuración adicional para habilitar el cifrado.

Comunicación entre VDA y FAS 

-  Cuando una sesión HDX™ se conecta al VDA, el VDA se comunica con el servidor FAS para solicitar un certificado.

-  El VDA se conecta al servidor FAS mediante SOAP sobre HTTP. Por defecto, usa el puerto 80.

-  Se autentica mediante Kerberos mutuo con la identidad Kerberos HOST/fqdn del servidor FAS y la identidad de máquina Kerberos del VDA. Además, el VDA debe proporcionar el "identificador de credencial" para acceder al certificado y la clave privada.

Comunicación entre FAS y la autoridad de certificación de Microsoft 

-  Cuando un usuario inicia un VDA, si el servidor FAS aún no tiene un certificado para el usuario, se comunica con la autoridad de certificación para solicitar un certificado. La autoridad de certificación requiere que el servidor FAS proporcione un paquete CMC firmado por un certificado de agente de inscripción de confianza.

  • El servidor FAS se comunica con la autoridad de certificación de Microsoft mediante DCOM. Para obtener información sobre los puertos necesarios, consulta la documentación de Microsoft.

    • Se autentica mediante Kerberos.

Conexiones entre Citrix Federated Authentication Service y Citrix Cloud™

Si estás conectando FAS a Citrix Cloud, tus servidores FAS deben poder acceder a las siguientes direcciones a través del puerto HTTPS 443.

Citrix Cloud:

-  Consola de administración de FAS que se ejecuta bajo la cuenta del usuario
-  `*.cloud.com`
-  `*.citrixworkspacesapi.net`
-  Direcciones requeridas por un proveedor de identidades de terceros, si se utiliza uno en tu entorno
  • Servicio FAS que se ejecuta bajo la cuenta de Servicio de red:
    • *.citrixworkspacesapi.net
    • *.citrixnetworkapi.net

Citrix Cloud Japan:

  • Consola de administración de FAS, bajo la cuenta del usuario
    • *.citrixcloud.jp
    • *.citrixworkspacesapi.jp
    • Direcciones requeridas por un proveedor de identidades de terceros, si se utiliza uno en tu entorno
    • Servicio FAS, bajo la cuenta de Servicio de red:
    • *.citrixworkspacesapi.jp
    • *.citrixnetworkapi.jp

Si tu entorno incluye servidores proxy, configura el proxy de usuario con las direcciones para la consola de administración de FAS. Además, asegúrate de que la dirección para la cuenta de Servicio de red esté configurada usando netsh o una herramienta similar.

Más información

Para obtener información sobre cómo proteger la comunicación entre otros componentes de Citrix, consulta los siguientes artículos:

Consideraciones de seguridad

FAS tiene un certificado de autoridad de registro que le permite emitir certificados de forma autónoma para tus usuarios de dominio. Ayuda a desarrollar e implementar una política de seguridad para proteger los servidores FAS y restringir sus permisos.

Agentes de inscripción delegados

FAS emite certificados de usuario actuando como agente de inscripción. La Autoridad de certificación de Microsoft te permite restringir los agentes de inscripción, las plantillas de certificado y los usuarios para los que los agentes de inscripción pueden emitir certificados.

Cuadro de diálogo Agentes de inscripción

Puedes usar el cuadro de diálogo proporcionado para asegurarte de que:

  • La lista de Agentes de inscripción contiene solo servidores FAS.
  • La lista de Plantillas de certificado contiene solo las plantillas FAS.
  • La lista de Permisos contiene los usuarios a los que se les permite usar FAS. Por ejemplo, se recomienda no emitir certificados a los administradores o al grupo de usuarios protegidos.

Configuración de la lista de control de acceso

Como se describe en la sección Configurar reglas, debes configurar una lista de servidores StoreFront. Estos servidores StoreFront afirman las identidades de usuario a FAS cuando se emiten certificados. Del mismo modo, puedes restringir a qué usuarios se les emiten certificados y a qué máquinas VDA pueden autenticarse. Esta función se suma a cualquier función de seguridad estándar de Active Directory o de la entidad de certificación que configures.

El instalador de FAS puede configurar opcionalmente el firewall de Windows. Para obtener más información, consulta Opciones del instalador de FAS.

Cambiar el puerto del servidor FAS

El servidor FAS usa el puerto 80 de forma predeterminada. Puedes personalizar el puerto:

Nota:

Puedes cambiar el puerto del servidor FAS al puerto 443, pero esto no cambia el protocolo usado por FAS. FAS no usa HTTPS aunque esté configurado en el puerto 443.

  1. Ejecuta la siguiente línea de comandos en tu servidor FAS:

    "C:\Program Files\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe" /SVCPORT [port] /CONFIGUREFIREWALL
<!--NeedCopy-->

    Reemplaza [port] por el número de puerto que quieras usar.

    El modificador /CONFIGUREFIREWALL hace que actualice el firewall de Windows para permitir conexiones entrantes en el puerto especificado.

    1. Reinicia el servicio FAS.

  1. En el objeto de directiva de grupo de FAS, actualiza la lista de servidores FAS para incluir el puerto (por ejemplo, fas.example.com:[port]).

  2. Propaga el cambio al servidor FAS, StoreFront y el VDA (por ejemplo, usando gpupdate /force)

Supervisión del registro de eventos

FAS y el VDA escriben información en el registro de eventos de Windows. Este registro se puede usar para supervisar y auditar información. La sección Registros de eventos enumera las entradas del registro de eventos que se pueden generar.

Módulos de seguridad de hardware

Todas las claves privadas, incluidas las claves de certificado de usuario emitidas por FAS, se almacenan como claves privadas no exportables por la cuenta de servicio de red. FAS admite el uso de un módulo de seguridad de hardware criptográfico, si tu política de seguridad lo requiere.

La configuración criptográfica de bajo nivel está disponible mediante los comandos de PowerShell. Se pueden usar diferentes configuraciones para las claves privadas de los certificados de autorización de FAS y las claves de los certificados de usuario. Para obtener más detalles, consulta Protección de clave privada

Responsabilidades de administración

La administración del entorno se puede dividir en los siguientes grupos:

Nombre Responsabilidad
Administrador de empresa Instalar y proteger plantillas de certificado en el bosque
Administrador de dominio Configurar los ajustes de la directiva de grupo
Administrador de entidad de certificación Configurar la entidad de certificación
Administrador de FAS Instalar y configurar el servidor FAS
Administrador de StoreFront/Citrix Gateway Configurar la autenticación de usuario
Administrador de Citrix Virtual Desktops™ Configurar VDA y Controllers

Cada administrador controla diferentes aspectos del modelo de seguridad general, lo que permite un enfoque de defensa en profundidad para proteger el sistema.

Configuración de la directiva de grupo

Las máquinas FAS de confianza se identifican mediante una tabla de búsqueda de “número de índice -> FQDN” configurada a través de la directiva de grupo. Al contactar con un servidor FAS, los clientes verifican la identidad Kerberos HOST\<fqdn\> del servidor FAS. Todos los servidores que acceden al servidor FAS deben tener configuraciones FQDN idénticas para el mismo índice; de lo contrario, StoreFront y los VDA pueden contactar con diferentes servidores FAS.

Citrix recomienda aplicar una única directiva a todas las máquinas del entorno para evitar una configuración incorrecta. Ten cuidado al modificar la lista de servidores FAS, especialmente al quitar o reordenar entradas.

El control de esta GPO debe limitarse a los administradores de FAS (y/o administradores de dominio) que instalan y desmantelan servidores FAS. Ten cuidado de no reutilizar un nombre FQDN de máquina poco después de desmantelar un servidor FAS.

Plantillas de certificado

Si no quieres usar la plantilla de certificado Citrix_SmartcardLogon suministrada con FAS, puedes modificar una copia de ella. Se admiten las siguientes modificaciones.

Cambiar el nombre de una plantilla de certificado

Si quieres cambiar el nombre de Citrix_SmartcardLogon para que coincida con el estándar de nomenclatura de plantillas de tu organización, debes:

  • Crea una copia de la plantilla de certificado y cámbiale el nombre para que coincida con el estándar de nomenclatura de plantillas de tu organización.
  • Usa los comandos de PowerShell de FAS para administrar FAS, en lugar de la interfaz de usuario administrativa. (La interfaz de usuario administrativa solo está diseñada para usarse con los nombres de plantilla predeterminados de Citrix).
    • Usa el complemento Plantillas de certificado de Microsoft MMC o el comando Publish-FasMsTemplate para publicar tu plantilla, y
    • Usa el comando New-FasCertificateDefinition para configurar FAS con el nombre de tu plantilla.

Modificar las propiedades generales

Por defecto, la vida útil de un certificado de usuario es de siete días. Puedes modificar el periodo de validez en la plantilla de certificado.

No modifiques el periodo de renovación. FAS ignora esta configuración en la plantilla de certificado. FAS renueva automáticamente el certificado a mitad de su periodo de validez.

Modificar las propiedades de gestión de solicitudes

No modifiques estas propiedades. FAS ignora esta configuración en la plantilla de certificado. FAS siempre desmarca Permitir la exportación de la clave privada y desmarca Renovar con la misma clave.

  • Modificar las propiedades de criptografía

  • No modifiques estas propiedades. FAS ignora esta configuración en la plantilla de certificado.

Consulta Protección de clave privada para ver la configuración equivalente que proporciona FAS.

Modificar las propiedades de atestación de clave

No modifiques estas propiedades. FAS no admite la atestación de clave.

Modificar las propiedades de plantillas reemplazadas

No modifiques estas propiedades. FAS no admite el reemplazo de plantillas.

Modificar las propiedades de extensiones

Puedes modificar esta configuración para que coincida con la política de tu organización.

Nota:

Una configuración de extensiones inadecuada puede causar problemas de seguridad o dar lugar a certificados inutilizables.

Modificar las propiedades de seguridad

Citrix recomienda que modifiques esta configuración para permitir los permisos de Lectura e Inscripción solo para las cuentas de máquina de los servidores FAS. El servicio FAS no requiere ningún otro permiso. Sin embargo, al igual que con otras plantillas de certificado, puedes:

  • permitir a los administradores leer o escribir la plantilla
  • permitir a los usuarios autenticados leer la plantilla

imagen localizada

Modificar las propiedades de nombre de sujeto

Citrix recomienda que no modifiques estas propiedades.

La plantilla tiene seleccionada la opción Crear a partir de esta información de Active Directory, lo que hace que la autoridad de certificación incluya el SID del usuario en una extensión de certificado, lo que proporciona una asignación sólida a la cuenta de Active Directory del usuario.

Modificar las propiedades del servidor

Aunque Citrix no lo recomienda, puedes modificar esta configuración para que coincida con la política de tu organización, si es necesario.

Modificar las propiedades de requisitos de emisión

No modifiques esta configuración. Esta configuración debe ser como se muestra:

imagen localizada

Modificar las propiedades de compatibilidad

Puedes modificar esta configuración. La configuración debe ser al menos CA de Windows Server 2003 (versión de esquema 2). Sin embargo, FAS solo admite CA de Windows Server 2008 y posteriores. Además, como se explicó anteriormente, FAS ignora la configuración adicional disponible al seleccionar CA de Windows Server 2008 (versión de esquema 3) o CA de Windows Server 2012 (versión de esquema 4).

Administración de la autoridad de certificación

El administrador de la autoridad de certificación es responsable de la configuración del servidor de la autoridad de certificación y de la clave privada del certificado de emisión que utiliza.

Publicación de plantillas

Para que una autoridad de certificación emita certificados basados en una plantilla proporcionada por el administrador de la empresa, el administrador de la autoridad de certificación debe elegir publicar esa plantilla.

Una práctica de seguridad sencilla es publicar solo las plantillas de certificado de autoridad de registro cuando se instalan los servidores FAS, o insistir en un proceso de emisión completamente sin conexión. En cualquier caso, el administrador de la autoridad de certificación debe mantener un control total sobre la autorización de las solicitudes de certificado de la autoridad de registro y tener una política para autorizar servidores FAS.

Configuración del firewall

El administrador de la autoridad de certificación tiene el control de la configuración del firewall de red de la autoridad de certificación, lo que permite controlar las conexiones entrantes. El administrador de la autoridad de certificación puede configurar reglas de firewall y DCOM TCP para que solo los servidores FAS puedan solicitar certificados.

Inscripción restringida

De forma predeterminada, cualquier titular de un certificado de autoridad de registro puede emitir certificados a cualquier usuario, mediante cualquier plantilla de certificado que permita el acceso. Esta emisión de certificados debe restringirse a un grupo de usuarios sin privilegios mediante la propiedad de autoridad de certificación “Restringir agentes de inscripción”.

localized image

Módulos de directivas y auditoría

Para implementaciones avanzadas, se pueden usar módulos de seguridad personalizados para rastrear y vetar la emisión de certificados.

Administración de FAS

FAS tiene varias funciones de seguridad.

Restringir StoreFront, usuarios y VDA a través de una ACL

En el centro del modelo de seguridad de FAS está el control de qué cuentas de Kerberos pueden acceder a la funcionalidad:

Vector de acceso Descripción
StoreFront [IdP] Estas cuentas de Kerberos son de confianza para declarar que un usuario se ha autenticado correctamente. Si una de estas cuentas se ve comprometida, se pueden crear certificados y usarlos para los usuarios permitidos por la configuración de FAS.
VDA [Parte de confianza] Estas son las máquinas a las que se permite acceder a los certificados y las claves privadas. También se necesita un identificador de credencial recuperado por el IdP, por lo que una cuenta de VDA comprometida en este grupo tiene un alcance limitado para atacar el sistema.
Usuarios Esta opción controla qué usuarios puede afirmar el IdP. Ten en cuenta que hay una superposición con las opciones de configuración de “Agente de inscripción restringido” en la autoridad de certificación. En general, es aconsejable incluir solo cuentas sin privilegios en esta lista. Esto evita que una cuenta de StoreFront comprometida escale privilegios a un nivel administrativo superior. En particular, las cuentas de administrador de dominio no deben permitirse mediante esta ACL.

Configurar reglas

Las reglas son útiles si varias implementaciones independientes de Citrix Virtual Apps™ o Citrix Virtual Desktops usan la misma infraestructura de servidor FAS. Cada regla tiene un conjunto independiente de opciones de configuración; en particular, las listas de control de acceso (ACL) de Kerberos se pueden configurar de forma independiente.

Configurar la autoridad de certificación y las plantillas

Se pueden configurar diferentes plantillas de certificado y CA para diferentes derechos de acceso. Las configuraciones avanzadas pueden optar por usar certificados menos o más potentes, según el entorno. Por ejemplo, los usuarios identificados como “externos” pueden tener un certificado con menos privilegios que los usuarios “internos”.

Certificados en sesión y de autenticación

El administrador de FAS puede controlar si el certificado utilizado para autenticarse está disponible para su uso en la sesión del usuario. Por ejemplo, un usuario puede tener solo certificados de “firma” disponibles en la sesión, y el certificado de “inicio de sesión” más potente se usa solo al iniciar sesión.

Protección de clave privada y longitud de clave

El administrador de FAS puede configurar FAS para almacenar claves privadas en un módulo de seguridad de hardware (HSM) o un módulo de plataforma segura (TPM). Citrix recomienda que, al menos, la clave privada del certificado de autorización de FAS se proteja almacenándola en un TPM.

Del mismo modo, las claves privadas de los certificados de usuario se pueden almacenar en un TPM o HSM. Todas las claves deben generarse como no exportables y tener al menos 2048 bits de longitud si se usa RSA.

Nota:

Aunque FAS puede generar y almacenar claves de certificado de usuario en un TPM o HSM, el hardware puede ser demasiado lento o tener limitaciones de tamaño para implementaciones grandes.

Para obtener más detalles, consulta Protección de clave privada.

Registros de eventos

El servidor FAS proporciona registros de eventos detallados de configuración y tiempo de ejecución (registros de eventos), que se pueden usar para auditorías y detección de intrusiones.

Acceso administrativo y herramientas de administración

FAS incluye funciones y herramientas de administración remota (Kerberos autenticado mutuamente). Los miembros del “Grupo de administradores locales” tienen control total sobre la configuración de FAS. La configuración de FAS debe mantenerse correctamente.

Administradores de Citrix Virtual Apps, Citrix Virtual Desktops y VDA

El uso de FAS no cambia el modelo de seguridad de los administradores de Delivery Controller y VDA, ya que el “identificador de credencial” de FAS simplemente reemplaza la “contraseña de Active Directory”. Los grupos de administración de Controller y VDA deben contener solo usuarios de confianza. Las auditorías y los registros de eventos deben mantenerse.

Seguridad general del servidor Windows

Todos los servidores deben estar completamente actualizados y tener disponible software de firewall y antivirus estándar. Los servidores de infraestructura críticos para la seguridad deben mantenerse en una ubicación físicamente segura, prestando atención al cifrado de disco y a las opciones de mantenimiento de máquinas virtuales.

Las auditorías y los registros de eventos deben almacenarse de forma segura en una máquina remota.

El acceso RDP debe limitarse a los administradores autorizados. Citrix recomienda el inicio de sesión con tarjeta inteligente para las cuentas de usuario, especialmente para las cuentas de autoridad de certificación y de administrador de dominio.

Compatibilidad con el Estándar Federal de Procesamiento de Información (FIPS)

FAS usa los algoritmos criptográficos validados por FIPS en equipos Windows habilitados para FIPS. Si configuras FAS para usar un TPM o HSM para el almacenamiento de claves, consulta a tu proveedor de hardware para obtener información sobre el cumplimiento de FIPS.

Información relacionada

Configuración de seguridad y red
April 28, 2026
Contribución de: 
C
April 28, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.