StoreFront

PassThrough desde Citrix Gateway

Los usuarios se autentican en Citrix Gateway y su sesión se inicia automáticamente cuando acceden a sus almacenes. La autenticación PassThrough desde Citrix Gateway está habilitada de forma predeterminada al configurar el acceso remoto a un almacén. Los usuarios pueden conectarse a través de Citrix Gateway a almacenes mediante la aplicación Citrix Workspace instalada localmente o un explorador web. Para obtener más información acerca de la configuración de StoreFront para Citrix Gateway, consulte Configurar Citrix Gateway.

StoreFront admite la autenticación PassThrough con los siguientes métodos de autenticación de Citrix Gateway.

  • Los usuarios de dominio inician sesión con su nombre de usuario y su contraseña de Active Directory.
  • Los usuarios de RSA inician sesión en Citrix Gateway mediante códigos de acceso derivados de tokencodes generados por tokens de seguridad combinados, en algunos casos, con códigos PIN. Si habilita la autenticación PassThrough con token de seguridad solamente, asegúrese de que los recursos disponibles no requieren formas de autenticación adicionales o alternativas, como credenciales de dominio de Microsoft Active Directory.
  • Los usuarios con tarjeta inteligente inician sesión con tarjetas inteligentes
  • Los usuarios de RSA y dominio que inician sesión en Citrix Gateway deben introducir sus credenciales de dominio y los códigos de acceso de tokens de seguridad.

Si en el dispositivo Citrix Gateway inhabilitó la autenticación o Single Sign-On, no se utiliza PassThrough, y debe configurar uno de los otros métodos de autenticación.

Si quiere configurar la autenticación de doble origen en Citrix Gateway para usuarios remotos que accedan a los almacenes desde la aplicación Citrix Workspace, debe crear dos directivas de autenticación en Citrix Gateway. Configure RADIUS (Servicio de autenticación remota telefónica de usuario) como el método principal de autenticación y LDAP (Protocolo ligero de acceso a directorios) como el método secundario. Modifique el índice de credenciales para usar el método secundario de autenticación en el perfil de sesión, de manera que las credenciales de LDAP se transfieran a StoreFront. Cuando agregue el dispositivo Citrix Gateway a su configuración de StoreFront, configure el tipo de inicio de sesión en Dominio y token de seguridad. Para obtener más información, consulte http://support.citrix.com/article/CTX125364

Para habilitar la autenticación multidominio a través de Citrix Gateway en StoreFront, configure el atributo de nombre del SSO en userPrincipalName en la directiva de autenticación LDAP de Citrix Gateway para cada dominio. Es posible que deba especificar un dominio a los usuarios en la página de inicio de sesión de Citrix Gateway para que se pueda determinar la directiva de LDAP correspondiente. Al configurar los perfiles de sesión de Citrix Gateway para las conexiones con StoreFront, no especifique un dominio Single Sign-On. Debe configurar las relaciones de confianza entre cada uno de los dominios. Asegúrese de permitir que los usuarios inicien sesión en StoreFront desde cualquier dominio al no restringir el acceso a solo aquellos dominios que sean explícitamente de confianza.

Cuando la implementación de Citrix Gateway lo admita, puede utilizar SmartAccess para controlar el acceso de los usuarios a los recursos de Citrix Virtual Apps and Desktops sobre la base de las directivas de sesión de Citrix Gateway.

Habilitar PassThrough con Gateway

Para habilitar o inhabilitar la autenticación de PassThrough con Gateway para un almacén cuando se conecta a través de aplicaciones Workspace, en la ventana Métodos de autenticación, marque o desmarque la opción PassThrough desde Citrix Gateway.

Al habilitar la autenticación PassThrough con Citrix Gateway para un almacén de forma predeterminada, también se habilita para todos los sitios web de ese almacén. Puede inhabilitar la autenticación con nombre de usuario y contraseña para un sitio web específico en la ficha Métodos de autenticación.

Configurar dominios de usuarios de confianza

Si su Citrix Gateway está configurado para usar autenticación LDAP, puede restringir el acceso a dominios específicos.

  1. En la ventana “Administrar métodos de autenticación”, en el menú desplegable PassThrough desde Citrix Gateway > Parámetros, seleccione Configurar dominios de confianza.

  2. Seleccione Solo dominios de confianza y haga clic en Agregar para introducir el nombre de un dominio de confianza. Los usuarios con cuentas en ese dominio pueden iniciar sesiones en todos los almacenes que usen el servicio de autenticación. Para modificar un nombre de dominio, seleccione la entrada correspondiente en Dominios de confianza y haga clic en Modificar. Para interrumpir el acceso a los almacenes para las cuentas de usuario en ese dominio, seleccione un dominio de la lista y haga clic en Quitar.

    La manera en que se especifica el nombre del dominio determina el formato en el que los usuarios deben introducir sus credenciales. Si quiere que los usuarios introduzcan sus credenciales en un formato de nombre de usuario de dominio, agregue el nombre NetBIOS a la lista. Para exigir que los usuarios introduzcan sus credenciales en el formato de nombre principal de usuario, agregue el FQDN a la lista. Si quiere permitir que los usuarios introduzcan sus credenciales en el formato de nombre de usuario de dominio y en el formato de nombre principal de usuario, debe agregar el nombre NetBIOS y el FQDN a la lista.

  3. Si configura varios dominios de confianza, seleccione de la lista Dominio predeterminado el dominio que aparece seleccionado de forma predeterminada cuando los usuarios inician sesión en StoreFront.

  4. Si quiere ver una lista de los dominios de confianza en la página de inicio de sesión, marque la casilla Mostrar lista de dominios en la página de inicio de sesión.

Captura de pantalla de la pantalla de dominio de confianza

Delegar la validación de credenciales a Citrix Gateway

De forma predeterminada, StoreFront valida el nombre de usuario y la contraseña que recibe de Citrix Gateway. Si su Citrix Gateway está configurado para usar métodos de autenticación sin contraseña, como tarjetas inteligentes, debe configurar StoreFront para que no valide las credenciales y dependa de la autenticación de Gateway. En este caso, se recomienda introducir una URL de respuesta al configurar el dispositivo Gateway para que StoreFront pueda verificar que la solicitud proviene del Citrix Gateway. Consulte Administrar dispositivos Citrix Gateway.

  1. En la ventana Administrar métodos de autenticación, en el menú desplegable PassThrough desde Citrix Gateway > Parámetros, seleccione Configurar autenticación delegada.

  2. Seleccione Delegar totalmente la validación de credenciales a Citrix Gateway.

Captura de pantalla de la ventana Configure Delegated Authentication.

SDK de PowerShell

Para configurar el almacén para delegar la autenticación en Citrix Gateway mediante el SDK de PowerShell, use el cmdlet Set-STFCitrixAGBasicOptions para establecer CredentialValidationMode en Auto. Para configurar StoreFront para que valide las credenciales, establezca CredentialValidationMode en Password.

Permitir a los usuarios cambiar contraseñas caducadas al iniciar sesión

Si su dispositivo Citrix Gateway está configurado para usar la autenticación LDAP (nombre de usuario y contraseña), puede configurar NetScaler para que permita cambiar las contraseñas caducadas al iniciar sesión.

  1. Iniciar sesión en el sitio web de administración de NetScaler
  2. En el menú lateral, vaya a Authentication > Dashboard.
  3. Haga clic en el servidor de autenticación.
  4. En Other Settings, marque Allow Password Change.

Permitir a los usuarios cambiar las contraseñas después de iniciar sesión

Puede configurar StoreFront para permitir a los usuarios cambiar sus contraseñas después de iniciar sesión. Esta funcionalidad solo está disponible cuando la puerta de enlace usa la autenticación LDAP y cuando el usuario accede al almacén a través de un explorador, no a través de la aplicación Citrix Workspace instalada localmente.

La configuración predeterminada de StoreFront impide que los usuarios cambien sus contraseñas aunque estas hayan caducado. Si decide habilitar esta función, asegúrese de que las directivas para los dominios que contengan los servidores no impidan a los usuarios cambiar sus contraseñas. Cuando se permite a los usuarios cambiar las contraseñas, algunas funciones importantes de seguridad se dejan a merced de cualquier persona que pueda acceder a los almacenes a través del servicio de autenticación. Si su organización cuenta con una directiva de seguridad que solo permite utilizar las funciones de cambio de contraseñas de los usuarios para uso interno, asegúrese de que no se pueda acceder a los almacenes desde fuera de la red corporativa.

  1. En la ventana Administrar métodos de autenticación, en el menú desplegable PassThrough desde Citrix Gateway > Parámetros, seleccione Administrar opciones de contraseña.

  2. Para permitir que los usuarios cambien las contraseñas, marque Permitir a los usuarios cambiar sus contraseñas.

Captura de pantalla de Administrar opciones de contraseña

Nota:

Si selecciona o desactiva Permitir a los usuarios cambiar sus contraseñas, eso también afectará a los parámetros de Administrar opciones de contraseña para la autenticación con Nombre de usuario y contraseña.

SDK de PowerShell

Para modificar las opciones de cambio de contraseña mediante el SDK de PowerShell, use el cmdlet Set-STFExplicitCommonOptions.

Configurar Delivery Controller para que confíe en StoreFront

Cuando Citrix Gateway está configurado con la autenticación LDAP, transfiere las credenciales a StoreFront. Para otros métodos de autenticación, StoreFront no tiene acceso a las credenciales, por lo que no puede autenticarse en Citrix Virtual Apps and Desktops. Por lo tanto, debe configurar Delivery Controller para que confíe en las solicitudes de StoreFront. Consulte Consideraciones y prácticas recomendadas de seguridad de Citrix Virtual Apps and Desktops.

Single Sign-On en los VDA mediante Servicio de autenticación federada

Cuando la puerta de enlace se configura con la autenticación LDAP, pasa las credenciales a StoreFront para que pueda iniciar sesión con Single Sign-On en los VDA. Para otros métodos de autenticación, StoreFront no tiene acceso a las credenciales, por lo que Single Sign-On no está disponible de forma predeterminada. Puede usar el Servicio de autenticación federada para proporcionar Single Sign-On.