Instalar y configurar

Secuencia de instalación y configuración

1. Instalar el Servicio de autenticación federada (FAS)
2. Habilitar el complemento de FAS en los almacenes de StoreFront
3. Configurar el Delivery Controller
4. Configurar la Directiva de grupo
5. Usa la consola de administración de FAS para:
   1. Implementar plantillas de certificado
   2. Configurar autoridades de certificación
   3. Autorizar a FAS para usar tus autoridades de certificación
   4. Configurar reglas
   5. Conectar FAS a Citrix Cloud (opcional)

• Instalar el Servicio de autenticación federada

Por motivos de seguridad, Citrix recomienda instalar el Servicio de autenticación federada (FAS) en un servidor dedicado. Este servidor debe protegerse de forma similar a un controlador de dominio o una autoridad de certificación. Puedes instalar FAS desde cualquiera de las siguientes opciones:

• el instalador de Citrix Virtual Apps and Desktops™, desde el botón Federated Authentication Service en la pantalla de inicio automático cuando se inserta la ISO
• XenDesktopFasSetup.exe ubicado en la ISO de Citrix Virtual Apps and Desktops en x64\XenDesktop Setup\XenDesktopFasSetup.exe

• FasSetup_xxxx.exe, el archivo de instalación independiente de FAS, disponible en el archivo de instalación independiente de FAS (disponible en Citrix Downloads)

• Cualquiera de estas opciones instala los siguientes componentes:

• Servicio de autenticación federada
• Cmdlets de complemento de PowerShell para la configuración avanzada de FAS
• Consola de administración de FAS
• Plantillas de Directiva de grupo de FAS (CitrixFederatedAuthenticationService.admx o CitrixFederatedAuthenticationService.adml)
• Archivos de plantilla de certificado
• Contadores de rendimiento y registros de eventos
• Servicio de telemetría de Citrix, que proporciona asistencia para el rastreo siempre activo de FAS
• Citrix Scout, una aplicación que puedes usar para recopilar diagnósticos como el rastreo siempre activo

Para obtener más información sobre los instaladores, consulta Opciones de línea de comandos para instalar FAS.

Actualizar FAS

Puedes actualizar FAS a una versión más reciente mediante una actualización in situ. Antes de actualizar, ten en cuenta lo siguiente:

• Todos los ajustes del servidor FAS se conservan cuando realizas una actualización in situ.
• Asegúrate de cerrar la consola de administración de FAS antes de actualizar FAS.
• Asegúrate de que al menos un servidor FAS esté siempre disponible. Si ningún servidor es accesible para un servidor StoreFront™ habilitado para el Servicio de autenticación federada, los usuarios no podrán iniciar sesión ni iniciar aplicaciones.

Para iniciar una actualización, instala FAS desde el instalador de Citrix Virtual Apps and Desktops o desde el archivo de instalación independiente de FAS.

Habilitar el complemento de FAS en los almacenes de StoreFront

Nota:

No necesitas este paso si usas FAS solo con Citrix Cloud.

Para obtener más detalles sobre cómo habilitar el complemento de FAS en los almacenes de StoreFront, consulta https://docs.citrix.com/en-us/storefront/current-release/configure-authentication-and-delegation/fas.

Configurar el Delivery Controller™

Nota:

No necesitas este paso si usas FAS solo con Citrix Cloud.

Para usar FAS, configura el Delivery Controller de Citrix Virtual Apps o Citrix Virtual Desktops™ para que confíe en los servidores StoreFront que se conectan a él: ejecuta el cmdlet de PowerShell Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true. Ejecuta este comando una vez por sitio, independientemente del número de Delivery Controllers en el sitio.

Configurar la Directiva de grupo

Después de instalar FAS, usa las plantillas de Directiva de grupo proporcionadas en la instalación para especificar los nombres de dominio completos (FQDN) de los servidores en la Directiva de grupo.

Importante:

Asegúrate de que los servidores StoreFront que solicitan tickets y los Virtual Delivery Agents (VDA) que canjean tickets tengan una configuración idéntica de FQDN, incluida la numeración automática de servidores aplicada por el objeto de Directiva de grupo.

Para simplificar, los siguientes ejemplos configuran una única directiva a nivel de dominio que se aplica a todas las máquinas. Sin embargo, esto no es obligatorio. FAS funciona siempre que los servidores StoreFront, los VDA y la máquina que ejecuta la consola de administración de FAS vean la misma lista de FQDN. Consulta el Paso 6.

Paso 1. En el servidor donde instalaste FAS, busca los archivos C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx y CitrixBase.admx, y la carpeta en-US.

• 

• Paso 2. Copia estos archivos en tus controladores de dominio y colócalos en las subcarpetas C:\Windows\PolicyDefinitions y en-US.

Paso 3. Ejecuta la Consola de administración de Microsoft (mmc.exe desde la línea de comandos). En la barra de menú, selecciona Archivo > Agregar o quitar complemento. Agrega el Editor de administración de directivas de grupo.

Cuando se te pida un objeto de Directiva de grupo, selecciona Examinar y luego selecciona Directiva de dominio predeterminada. Alternativamente, puedes crear y seleccionar un objeto de directiva apropiado para tu entorno, usando las herramientas de tu elección. La directiva debe aplicarse a todas las máquinas que ejecutan el software de Citrix afectado (VDA, servidores StoreFront, herramientas de administración).

Paso 4. Navega a la directiva Servicio de autenticación federada en Configuración del equipo/Directivas/Plantillas administrativas/Componentes de Citrix/Autenticación.

Nota:

• La configuración de la directiva del Servicio de autenticación federada solo está disponible en la GPO de dominio cuando agregas el archivo de plantilla CitrixBase.admx/CitrixBase.adml a la carpeta PolicyDefinitions. Después del Paso 3, la configuración de la directiva del Servicio de autenticación federada aparece en la carpeta Plantillas administrativas > Componentes de Citrix > Autenticación.

• Paso 5. Abre la política del Servicio de autenticación federada y selecciona Habilitado. Esto te permite seleccionar el botón Mostrar, donde configuras los FQDN de tus servidores FAS.

Paso 6. Introduce los FQDN de los servidores FAS.

• Importante:

• Si introduces varios FQDN, el orden de la lista debe ser coherente tal como lo ven los VDA, los servidores StoreFront (si están presentes) y los servidores FAS. Consulta Configuración de la política de grupo.

Paso 7. Haz clic en Aceptar para salir del asistente de Política de grupo y aplicar los cambios de la política de grupo. Es posible que tengas que reiniciar tus máquinas (o ejecutar gpupdate /force desde la línea de comandos) para que el cambio surta efecto.

Comportamiento en la sesión

Esta política activa un proceso de agente en la sesión VDA del usuario, que admite certificados en la sesión, consentimiento y desconexión al bloquear. Los certificados en la sesión solo están disponibles si esta política está habilitada y si la regla FAS utilizada para crear el certificado permite el uso en la sesión, consulta Configurar reglas.

Habilitar habilita esta política y permite que un proceso de agente FAS se ejecute en la sesión VDA del usuario.

Deshabilitar deshabilita la política e impide que el proceso de agente FAS se ejecute.

Ámbito de la solicitud

Si esta política está habilitada, el Ámbito de la solicitud controla cómo se solicita a los usuarios su consentimiento para permitir que una aplicación use un certificado en la sesión. Hay tres opciones:

• No se requiere consentimiento—Esta opción deshabilita la solicitud de seguridad y las claves privadas se usan de forma silenciosa.
• Consentimiento por proceso—Cada programa en ejecución solicita el consentimiento individualmente.
• Consentimiento por sesión—Una vez que el usuario ha hecho clic en Aceptar, esta opción se aplica a todos los programas de la sesión.

Tiempo de espera del consentimiento

Si esta política está habilitada, el Tiempo de espera del consentimiento controla cuánto tiempo (en segundos) dura el consentimiento. Por ejemplo, con 300 segundos, los usuarios ven una solicitud cada cinco minutos. Un valor de cero solicita a los usuarios cada operación de clave privada.

Desconexión al bloquear

Si esta política está habilitada, la sesión del usuario se desconecta automáticamente cuando bloquea la pantalla. Este comportamiento es similar a la política de “desconexión al retirar la tarjeta inteligente”. Usa esta función cuando los usuarios no tienen credenciales de inicio de sesión de Active Directory.

Nota:

La política de desconexión al bloquear se aplica a todas las sesiones en el VDA.

• Uso de la consola de administración del Servicio de autenticación federada

• Nota:

  Aunque la consola de administración de FAS es adecuada para la mayoría de las implementaciones, la interfaz de PowerShell ofrece opciones más avanzadas. Para obtener información sobre los cmdlets de PowerShell de FAS, consulta Cmdlets de PowerShell.

La consola de administración de FAS se instala como parte de FAS. Se coloca un icono (Citrix Federated Authentication Service) en el menú Inicio.

La primera vez que usas la consola de administración, te guía a través de los siguientes procesos para:

• Implementar plantillas de certificado.
• Configurar la autoridad de certificación.
• Autorizar a FAS para usar la autoridad de certificación.

También puedes usar herramientas de configuración del sistema operativo para completar algunos de los pasos manualmente.

La consola de administración de FAS se conecta al servicio FAS local de forma predeterminada. Si es necesario, puedes conectarte a un servicio remoto usando Conectarse a otro servidor en la parte superior derecha de la consola.

Implementar plantillas de certificado

Para evitar problemas de interoperabilidad con otro software, FAS proporciona tres plantillas de certificado de Citrix para su propio uso.

• Citrix_RegistrationAuthority_ManualAuthorization
• Citrix_RegistrationAuthority
• Citrix_SmartcardLogon

Estas plantillas deben registrarse en Active Directory. Haz clic en el botón Implementar y luego en Aceptar.

La configuración de las plantillas se encuentra en los archivos XML con extensión .certificatetemplate que se instalan con FAS en:

C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates

Si no tienes permiso para instalar estos archivos de plantilla, entrégaselos a tu administrador de Active Directory.

Para instalar las plantillas manualmente, puedes ejecutar los siguientes comandos de PowerShell desde la carpeta que contiene las plantillas:

    $template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
    $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
    $CertEnrol.InitializeImport($template)
    $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
    $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
    $writabletemplate.Initialize($comtemplate)
    $writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->

Configurar los Servicios de certificados de Active Directory

Después de instalar las plantillas de certificados de Citrix, debes publicarlas en uno o varios servidores de la entidad de certificación empresarial de Microsoft. Consulta la documentación de Microsoft sobre cómo implementar los Servicios de certificados de Active Directory.

Un usuario con permisos para administrar la entidad de certificación debe publicar las plantillas en al menos un servidor. Usa Configurar entidad de certificación para publicarlas.

(Las plantillas de certificados también se pueden publicar mediante la consola de la entidad de certificación de Microsoft.)

Autorizar Federated Authentication Service

Este paso inicia la autorización de FAS. La consola de administración usa la plantilla Citrix_RegistrationAuthority_ManualAuthorization para generar una solicitud de certificado y, a continuación, la envía a una de las entidades de certificación que publican esa plantilla.

Una vez enviada la solicitud, aparece en la lista Solicitudes pendientes de la consola de la entidad de certificación de Microsoft como una solicitud pendiente de la cuenta de máquina de FAS. El administrador de la entidad de certificación debe emitir o denegar la solicitud antes de que la configuración de FAS pueda continuar.

La consola de administración de FAS muestra un ‘indicador de progreso’ hasta que el administrador elige Emitir o Denegar.

En la consola de la entidad de certificación de Microsoft, haz clic con el botón derecho en Todas las tareas y, a continuación, selecciona Emitir o Denegar para la solicitud de certificado. Si eliges Emitir, la consola de administración de FAS muestra el certificado de autorización. Si eliges Denegar, la consola muestra un mensaje de error.

La consola de administración de FAS detecta automáticamente cuándo finaliza este proceso. Esto puede tardar un par de minutos.

Configurar reglas

FAS usa las reglas para autorizar la emisión de certificados para el inicio de sesión de VDA y el uso en la sesión, según lo indique StoreFront.

Cada regla especifica lo siguiente:

• Servidores de StoreFront de confianza para solicitar los certificados.
• Conjunto de usuarios para los que se solicitan los certificados.
• Conjunto de máquinas VDA autorizadas para usar los certificados.

Citrix recomienda crear una regla con el nombre “default”, ya que StoreFront solicita una regla con el mismo nombre al ponerse en contacto con FAS.

Puedes crear más reglas personalizadas para hacer referencia a diferentes plantillas de certificados y entidades de certificación, y configurarlas para que tengan diferentes propiedades y permisos. Estas reglas se pueden configurar para que las usen diferentes servidores de StoreFront o Workspace. Configura los servidores de StoreFront para que soliciten la regla personalizada por nombre mediante las opciones de Configuración de directivas de grupo.

Haz clic en Crear (o en Crear regla en la ficha “Reglas”) para iniciar el asistente de creación de reglas que recopila la información para crear la regla. La ficha “Reglas” muestra un resumen de cada regla.

El asistente recopila la siguiente información:

Plantilla: La plantilla de certificado que se usa para emitir certificados de usuario. Debe ser la plantilla Citrix_SmartcardLogon o una copia modificada de ella (consulta Plantillas de certificados).

Entidad de certificación: La entidad de certificación que emite certificados de usuario y publica la plantilla. FAS admite agregar varias entidades de certificación para la conmutación por error y el equilibrio de carga. Asegúrate de que el estado muestre “Plantilla disponible” para la entidad de certificación que elijas. Consulta Administración de la entidad de certificación.

Uso en la sesión: La opción Permitir uso en la sesión controla si se puede usar un certificado después de iniciar sesión en el VDA.

• Permitir uso en la sesión no seleccionada (predeterminado, recomendado)—el certificado se usa solo para el inicio de sesión o la reconexión, y los usuarios no tienen acceso al certificado después de autenticarse.

• Permitir uso en la sesión seleccionada—los usuarios tienen acceso al certificado después de autenticarse. La mayoría de los clientes no deben seleccionar esta opción. Se puede acceder a los recursos a los que se accede desde la sesión de VDA, como sitios web de intranet o recursos compartidos de archivos, mediante el inicio de sesión único de Kerberos y, por lo tanto, no se requiere un certificado en la sesión.

  Si seleccionas Permitir uso en la sesión, la directiva de grupo Comportamiento en la sesión también debe estar habilitada y aplicada al VDA. Los certificados se colocan entonces en el almacén de certificados personal del usuario después de iniciar sesión para su uso en aplicaciones. Por ejemplo, si necesitas autenticación TLS en servidores web dentro de la sesión del VDA, Internet Explorer puede usar el certificado.

Control de acceso: La lista de máquinas de servidor StoreFront de confianza que están autorizadas a solicitar certificados para el inicio de sesión o la reconexión de los usuarios. Para todos estos permisos, puedes agregar objetos o grupos de AD individuales.

Importante:

La configuración de Control de acceso es crítica para la seguridad y debe gestionarse con cuidado.

Nota:

Si usas el servidor FAS solo con Citrix Cloud, no necesitas configurar el Control de acceso. Cuando Citrix Cloud usa una regla, los permisos de acceso de StoreFront se ignoran. Puedes usar la misma regla con Citrix Cloud y con una implementación de StoreFront local. Los permisos de acceso de StoreFront se siguen aplicando cuando una implementación de StoreFront local usa la regla.

El permiso predeterminado (“Afirmar identidad” permitido) deniega todo. Por lo tanto, debes permitir explícitamente tus servidores StoreFront.

Restricciones: La lista de máquinas VDA que pueden iniciar sesión de usuarios mediante FAS y la lista de usuarios a los que se pueden emitir certificados a través de FAS.

• Administrar permisos de VDA te permite especificar qué VDA pueden usar FAS para iniciar sesión del usuario. La lista de VDA predeterminada es Equipos del dominio.

• Administrar permisos de usuario te permite especificar qué usuarios pueden usar FAS para iniciar sesión en un VDA. La lista de usuarios predeterminada es Usuarios del dominio.

Nota:

Si el dominio del servidor FAS difiere del de los VDA y los usuarios, las restricciones predeterminadas deben modificarse.

Regla de la nube: Indica si la regla se aplica cuando se reciben aserciones de identidad de Citrix Workspace. Cuando te conectas a Citrix Cloud, eliges qué regla usar para Citrix Cloud. También puedes cambiar la regla después de conectarte a Citrix Cloud desde un enlace en la sección Conectar a Citrix Cloud.

Conectar a Citrix Cloud

Puedes conectar el servidor FAS a Citrix Cloud con Citrix Workspace. Consulta este artículo de Citrix Workspace.

1. En la ficha Configuración inicial, en Conectar a Citrix Cloud, haz clic en Conectar.

   

2. Selecciona la nube a la que quieres conectarte y haz clic en Siguiente.

   

3. La ventana muestra un código de registro único, que debe aprobarse en Citrix Cloud. Para obtener más información, consulta Registrar productos locales en Citrix Cloud.

   

4. Una vez validado el código de registro, selecciona la Ubicación de recursos requerida en la lista desplegable.

   

5. Selecciona la cuenta de cliente, si corresponde, y selecciona la ubicación de recursos donde quieres conectar el servidor FAS. Haz clic en Continuar y, a continuación, cierra la ventana de confirmación.

6. En la sección Elegir una regla, usa una regla existente o crea una. Haz clic en Siguiente.

   

7. En la sección Resumen, haz clic en Finalizar para completar la conexión a Citrix Cloud.

   

Citrix Cloud registra el servidor FAS y lo muestra en la página Ubicaciones de recursos de tu cuenta de Citrix Cloud.

Nota:

Un servidor FAS local puede emitir certificados de usuario para permitir el acceso a Citrix Cloud y a Citrix Virtual Apps and Desktops al mismo tiempo.

Desconectarse de Citrix Cloud

Después de quitar el servidor FAS de tu ubicación de recursos de Citrix Cloud, como se describe en este artículo de Citrix Workspace, en Conectar a Citrix Cloud, selecciona Deshabilitar.