Configurar Citrix Gateway
Use Citrix Gateways para proporcionar autenticación y acceso remoto a StoreFront y sus Virtual Delivery Agents (VDA). Los Citrix Gateways se ejecutan en un NetScaler ADC de hardware o software.
Para obtener más información sobre la configuración del Gateway, consulte Integrar NetScaler Gateway con StoreFront.
Debe configurar la puerta de enlace en StoreFront para que StoreFront permita el acceso a través de esa puerta de enlace.
Ver dispositivos Gateway
Para ver las puertas de enlace configuradas en StoreFront, seleccione el nodo Almacenes en el panel izquierdo de la consola y el panel de administración de Citrix StoreFront y haga clic en Administrar dispositivos Citrix Gateway. Se muestra la ventana Administrar dispositivos Citrix Gateway.
PowerShell
Para obtener una lista de dispositivos Gateway y su configuración, llame a Get-STFRoamingGateway.
Agregar Citrix Gateway
-
En la ventana Administrar dispositivos Citrix Gateway, haga clic en Agregar.
-
En la ficha Parámetros generales, introduzca los parámetros y, a continuación, presione Siguiente.
-
Especifique un nombre simplificado para la implementación de Citrix Gateway que ayude a los usuarios a identificarla.
Los usuarios verán el nombre simplificado que especifique en la aplicación Citrix Workspace, de modo que debe incluir la información relevante en el nombre para ayudarlos a decidir si utilizar esa implementación o no. Por ejemplo: puede incluir la ubicación geográfica en los nombres simplificados para las implementaciones de Citrix Gateway, de modo que los usuarios puedan identificar fácilmente la implementación más conveniente en función de su ubicación.
-
Introduzca la URL de la puerta de enlace.
El nombre de dominio completo (FQDN) de la implementación de StoreFront debe ser único y diferente del FQDN del servidor virtual de Citrix Gateway. No se admite el uso de un mismo FQDN para StoreFront y para el servidor virtual de Citrix Gateway. La puerta de enlace agrega la URL al encabezado HTTP
X-Citrix-Via
. StoreFront usa este encabezado para determinar qué puerta de enlace se está usando.Con la GUI solo es posible agregar una única URL de puerta de enlace. Si se puede acceder a una puerta de enlace mediante varias URL, debe agregar la misma puerta de enlace dos veces con la misma configuración, aparte de la URL. Para simplificar la configuración, puede configurar una URL secundaria que se utilice para acceder a la puerta de enlace. Esta opción no está disponible mediante la GUI, por lo que debe configurarla con PowerShell. Debe cerrar la consola de administración antes de ejecutar comandos de PowerShell. Por ejemplo, si tiene varias puertas de enlace detrás de un equilibrador de carga de servidor global, normalmente es útil agregar tanto la URL del GSLB como una URL que se pueda usar para acceder a cada puerta de enlace regional específica, como, por ejemplo, con fines de prueba o para solucionar problemas. Una vez que haya creado la puerta de enlace
Set-STFRoamingGateway
, puede agregar una URL adicional con el parámetro-GSLBurl
de la URL secundaria. Aunque se llama al parámetroGSLBurl
, puede usarse para cualquier situación en la que quiera agregar una segunda URL. Por ejemplo:Set-STFRoamingGateway -Name "Europe Gateway" -GSLBurl "eugateway.example.com" -GatewayUrl "gslb.example.com" <!--NeedCopy-->
Nota:
Aunque no sea intuitivo, en este ejemplo, el parámetro
GSLBurl
contiene la URL regional, mientras que el parámetroGatewayUrl
contiene la URL del GSLB. Para la mayoría de los casos, las URL se tratan de manera idéntica y, si solo se accede al almacén a través de un explorador web, se pueden configurar de cualquiera de las dos maneras. Sin embargo, al acceder a StoreFront a través de la aplicación Citrix Workspace, este lee lasGatewayUrl
de StoreFront y, posteriormente, las usa para el acceso remoto, por lo que es preferible configurarlo para que siempre se conecte a la URL del GSLB.Si necesita más de dos URL, tendrá que configurarlo como una puerta de enlace independiente.
-
Seleccione el uso o el rol:
Uso o rol Descripción Autenticación y redirección de HDX Use el dispositivo Gateway tanto para proporcionar acceso remoto a StoreFront como para acceder a los VDA. Solo autenticación Seleccione esta opción si la puerta de enlace se usa solo para el acceso remoto a StoreFront. Esta opción impide que Citrix Workspace Launcher funcione. Por lo tanto, si necesita usar inicios híbridos, elija Autenticación y redirección de HDX incluso cuando la puerta de enlace solo se use para la autenticación. Solo redirección de HDX Seleccione esta opción si la puerta de enlace se usa solo para proporcionar acceso HDX a los VDA, como, por ejemplo, en un sitio que no tiene ninguna instancia de StoreFront.
-
-
Rellene los parámetros en la ficha Secure Ticketing Authority.
Secure Ticketing Authority emite tíquets de sesión en respuesta a solicitudes de conexión. Estos tiquets de sesión constituyen la base de la autenticación y autorización para la detección de aplicaciones de Citrix Workspace y el acceso a los VDA.
-
Introduzca al menos una URL de servidor de Secure Ticket Authority. Si usa Citrix Virtual Apps and Desktops, puede usar el Delivery Controller como STA. Si utiliza Citrix Desktop as a Service, puede introducir los Cloud Connectors, que envían por proxy las solicitudes a la autoridad de emisión de tíquets de Citrix Cloud. Las entradas de esta lista deben coincidir exactamente con las de la lista configurada en Citrix Gateway. No es posible agregar claves de seguridad mediante la GUI; consulte el paso posterior para agregarlas con PowerShell.
-
Marque Equilibrar la carga de varios servidores STA para distribuir las solicitudes entre los servidores STA. Si la opción está desmarcada, StoreFront probará los servidores en el orden en que aparecen en la lista.
-
Si StoreFront no puede acceder a un servidor STA, evita usar ese servidor durante un período de tiempo. De forma predeterminada, lo evita durante 1 hora, pero se puede personalizar este valor.
-
Si quiere que Citrix Virtual Apps and Desktops mantenga abiertas las sesiones desconectadas mientras la aplicación Citrix Workspace intenta reconectarse automáticamente, seleccione Habilitar fiabilidad de la sesión.
-
Si configuró varios STA y quiere que la fiabilidad de la sesión esté siempre disponible, seleccione Solicitar tíquets de dos STA, si están disponibles.
Cuando la opción Solicitar tíquets de dos STA, si están disponibles está seleccionada, StoreFront obtiene tíquets de sesión de dos STA diferentes con el fin de que las sesiones de usuario no se interrumpan si un STA no está disponible durante el curso de la sesión. Si, por algún motivo, StoreFront no puede establecer contacto con dos STA, vuelve a utilizar un solo STA.
Una vez que haya rellenado los parámetros, presione Siguiente.
-
-
Rellene los parámetros en la ficha Parámetros de autenticación.
-
Elija la versión de NetScaler.
-
Si hay varias puertas de enlace con la misma URL (normalmente, cuando se utiliza un equilibrador de carga de servidor global) y ha introducido una URL de respuesta, debe introducir la VIP de la puerta de enlace. Esto permite a StoreFront determinar de qué puerta de enlace proviene la solicitud y, por lo tanto, con qué servidor contactar mediante la URL de respuesta. De lo contrario, puede dejar este parámetro vacío.
-
En la lista Tipo de inicio de sesión, seleccione el método de autenticación configurado en el dispositivo para los usuarios de la aplicación Citrix Workspace.
La información que proporcione sobre la configuración de su dispositivo Citrix Gateway se agrega al archivo de aprovisionamiento para el almacén. Eso permite que la aplicación Citrix Workspace envíe la solicitud de conexión pertinente al comunicarse con el dispositivo por primera vez.
- Si es necesario que los usuarios introduzcan sus credenciales de dominio de Microsoft Active Directory, seleccione Dominio.
- Si es necesario que los usuarios introduzcan un código de token obtenido de un token de seguridad, seleccione Token de seguridad.
- Si es necesario que los usuarios introduzcan sus credenciales de dominio y un código de token obtenido de un token de seguridad, seleccione Dominio y token de seguridad.
- Si es necesario que los usuarios introduzcan una contraseña de un solo uso enviada por mensaje de texto, seleccione Autenticación por SMS.
- Si es necesario que los usuarios presenten una tarjeta inteligente e introduzcan un PIN, seleccione Tarjeta inteligente.
Si configura la autenticación con tarjeta inteligente con un método secundario de autenticación (al que los usuarios puedan recurrir en caso de tener problemas con su tarjeta inteligente), seleccione el método secundario de autenticación en la lista Alternativa a tarjeta inteligente.
- Si quiere, introduzca la URL de acceso interno de la puerta de enlace en el cuadro URL de respuesta. Esto permite que StoreFront contacte con el servicio de autenticación de Citrix Gateway para verificar que las solicitudes recibidas desde Citrix Gateway provienen de ese dispositivo. Es necesario para el acceso inteligente y para los casos de autenticación sin contraseña, como una tarjeta inteligente o SAML; de lo contrario, puede dejarlo vacío. Si tiene varios dispositivos Citrix Gateway con la misma URL, esta URL debe ser para el servidor de Gateway específico.
Una vez que haya rellenado los parámetros, presione Siguiente.
-
-
Haga clic en Crear para aplicar la configuración.
-
Una vez que la implementación se haya aplicado, haga clic en Finalizar.
-
Si ha configurado claves de seguridad (recomendado), debe cerrar la consola de administración y configurarlas con PowerShell. Por ejemplo:
$gateway = Get-STFRoamingGateway -Name [Gateway name] $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret] $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret] Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2 <!--NeedCopy-->
-
Para permitir que los usuarios accedan a sus almacenes a través de Citrix Gateway, configure el acceso de usuarios remotos.
-
De forma predeterminada, StoreFront usa la puerta de enlace que autenticó al usuario para la redirección de HDX a sus recursos. Si quiere, puede configurar StoreFront para que use la puerta de enlace al acceder a determinados recursos mediante Redirección óptima de XDX.
SDK de PowerShell
Para agregar un dispositivo Gateway mediante el SDK de PowerShell, llame al cmdlet New-STFRoamingGateway.
Modificar Citrix Gateway
-
En la ventana Administrar dispositivos Citrix Gateway, haga clic en la puerta de enlace que quiera cambiar y presione Modificar.
Para obtener una descripción de los parámetros, consulte Agregar Citrix Gateway.
-
Presione Guardar para guardar los cambios.
SDK de PowerShell
Para modificar la configuración del dispositivo Gateway mediante el SDK de PowerShell, llame al cmdlet Set-STFRoamingGateway.
Quitar Citrix Gateway
-
En la ventana Administrar dispositivos Citrix Gateway, haga clic en la puerta de enlace que quiera cambiar y presione Quitar.
-
En la ventana de confirmación, presione Sí.
SDK de PowerShell
Para quitar la puerta de enlace mediante el SDK de PowerShell, llame a Remove-STFRoamingGateway.