StoreFront

Autenticación con nombre de usuario y contraseña

Con la autenticación con nombre de usuario y contraseña, los usuarios introducen sus credenciales de Active Directory.

Captura de pantalla de la pantalla de autenticación con nombre de usuario y contraseña.

Para habilitar o inhabilitar la autenticación con nombre de usuario y contraseña para un almacén al conectarse a través de aplicaciones Workspace, en la ventana Métodos de autenticación, marque o desmarque Nombre de usuario y contraseña.

Al habilitar la autenticación con nombre de usuario y contraseña para un almacén de forma predeterminada, también se habilita para todos los sitios web de ese almacén. Puede inhabilitar la autenticación con nombre de usuario y contraseña para un sitio web específico en la ficha Métodos de autenticación de Administrar un sitio de Receiver para Web.

Configurar dominios de usuarios de confianza

Puede restringir el acceso a los almacenes por parte de usuarios que inician sesión con credenciales de dominio explícitas, ya sea directamente o a través de la autenticación PassThrough desde Citrix Gateway.

  1. Seleccione el nodo “Almacenes” en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione el método de autenticación apropiado. En el panel Acciones, haga clic en Administrar métodos de autenticación.

  2. En la lista Nombre de usuario y contraseña > Parámetros, seleccione Configurar dominios de confianza.

  3. Seleccione Solo dominios de confianza y haga clic en Agregar para introducir el nombre de un dominio de confianza. Los usuarios con cuentas en ese dominio pueden iniciar sesiones en todos los almacenes que usen el servicio de autenticación. Para modificar un nombre de dominio, seleccione la entrada correspondiente en Dominios de confianza y haga clic en Modificar. Para interrumpir el acceso a los almacenes para las cuentas de usuario en ese dominio, seleccione un dominio de la lista y haga clic en Quitar.

    La manera en que se especifica el nombre del dominio determina el formato en el que los usuarios deben introducir sus credenciales. Si quiere que los usuarios introduzcan sus credenciales en un formato de nombre de usuario de dominio, agregue el nombre NetBIOS a la lista. Para exigir que los usuarios introduzcan sus credenciales en el formato de nombre principal de usuario, agregue el FQDN a la lista. Si quiere permitir que los usuarios introduzcan sus credenciales en el formato de nombre de usuario de dominio y en el formato de nombre principal de usuario, debe agregar el nombre NetBIOS y el FQDN a la lista.

  4. Si configura varios dominios de confianza, seleccione de la lista Dominio predeterminado el dominio que aparece seleccionado de forma predeterminada cuando los usuarios inician sesión en StoreFront.

  5. Si quiere ver una lista de los dominios de confianza en la página de inicio de sesión, marque la casilla Mostrar lista de dominios en la página de inicio de sesión.

Captura de pantalla de la pantalla de dominio de confianza

Permitir que los usuarios cambien sus contraseñas

Puede permitir que los usuarios cambien sus contraseñas cuando quieran. También puede restringir los cambios de contraseña a los usuarios cuyas contraseñas han caducado. De esta manera, los usuarios siempre podrán acceder a sus escritorios y aplicaciones, aunque su contraseña haya caducado.

La funcionalidad de cambio de contraseña está disponible en estos clientes:

Aplicaciones Citrix Workspace El usuario puede cambiar una contraseña caducada si esta función está habilitada en StoreFront Se notifica al usuario que la contraseña va a caducar El usuario puede cambiar la contraseña antes de que caduque si esta función está habilitada en StoreFront
Windows    
Mac    
Android      
iOS      
Linux    
Web

La configuración predeterminada impide que los usuarios de la aplicación Citrix Workspace y del explorador web cambien sus contraseñas aunque estas hayan caducado. Si decide habilitar esta función, asegúrese de que las directivas para los dominios que contengan los servidores no impidan a los usuarios cambiar sus contraseñas. Cuando se permite a los usuarios cambiar las contraseñas, algunas funciones importantes de seguridad se dejan a merced de cualquier persona que pueda acceder a los almacenes a través del servicio de autenticación. Si su organización cuenta con una directiva de seguridad que solo permite utilizar las funciones de cambio de contraseñas de los usuarios para uso interno, asegúrese de que no se pueda acceder a los almacenes desde fuera de la red corporativa.

Si permite que los usuarios cambien sus contraseñas en cualquier momento, los usuarios locales cuyas contraseñas están a punto de caducar reciben una advertencia cuando inician sesión. De forma predeterminada, el período de notificación para un usuario se determina mediante la configuración de directiva de Windows correspondiente. También puede configurar un período de notificación personalizado.

  1. En la ventana Administrar métodos de autenticación, en el menú desplegable Nombre de usuario y contraseña > Parámetros, seleccione Administrar opciones de contraseña.

  2. Para permitir que los usuarios cambien las contraseñas, marque Allow users to change passwords.

    Nota: Si no selecciona esta opción, deberá organizar cómo ofrecer asistencia a los usuarios que no puedan acceder a los escritorios y aplicaciones porque sus contraseñas hayan caducado.

  3. Elija si permitir que los usuarios cambien las contraseñas Solo cuando caduquen o En cualquier momento.

  4. Elija si enviar un recordatorio a los usuarios antes de que caduquen sus contraseñas.

Captura de pantalla de Administrar opciones de contraseñas

Nota 1:

StoreFront no admite directivas específicas de contraseña (fine-grained) en Active Directory.

Nota 2:

Asegúrese de que haya suficiente espacio en disco en los servidores de StoreFront para almacenar los perfiles de todos los usuarios. Para comprobar si la contraseña de un usuario está a punto de caducar, StoreFront crea un perfil local para ese usuario en el servidor. StoreFront debe poder ponerse en contacto con el controlador de dominio para cambiar las contraseñas de los usuarios.

Nota 3:

Si habilita o inhabilita el cambio de contraseñas en cualquier momento, eso también afectará a los parámetros de Administrar las opciones de contraseña para la autenticación PassThrough desde Citrix Gateway.

Validación de la contraseña en las credenciales

Normalmente, StoreFront se comunica directamente con Active Directory para validar las credenciales.

Si StoreFront no está en el mismo dominio que Citrix Virtual Apps and Desktops y no se pueden establecer relaciones de confianza de Active Directory, puede configurar StoreFront para que use Delivery Controllers de Citrix Virtual Apps and Desktops en la autenticación de las credenciales de nombre de usuario y contraseña de los usuarios:

  1. En la ventana Administrar métodos de autenticación, en el menú Nombre de usuario y contraseña > Parámetros, seleccione Configurar validación de contraseñas.

    Cuadro de diálogo Administrar métodos de autenticación

  2. En la lista Validar contraseñas mediante, seleccione Delivery Controllers y haga clic en Configurar.

    Panel Configurar validación de contraseñas

  3. Siga las instrucciones de las pantallas Configurar Delivery Controllers para agregar uno o varios Delivery Controllers para validar las credenciales de usuario y haga clic en Aceptar.

    Panel Modificar Delivery Controller

Usar Active Directory

  1. En la página Administrar métodos de autenticación, en el menú Nombre de usuario y contraseña > Parámetros, seleccione Configurar validación de contraseñas.
  2. En el menú desplegable Validar contraseñas mediante, seleccione Active Directory y haga clic en Aceptar.

Single Sign-On en los VDA

Cuando los usuarios inician un recurso, StoreFront usa las credenciales que el usuario usó para iniciar sesión en el almacén para iniciar sesión con Single Sign-On en los VDA.

Personalizar la pantalla de inicio de sesión

La pantalla de inicio de sesión se genera a partir de una plantilla, que normalmente se encuentra en C:\inetpub\wwwroot\Citrix\[Nombre del almacén]Auth\App_Data\Templates\ UsernamePassword.tfrm. Puede personalizar la pantalla.

Texto de título

De forma predeterminada, cuando los usuarios inician sesión en un almacén, no se muestra ningún texto de título en el cuadro de diálogo de inicio de sesión. Es posible mostrar el texto “Please log on” o redactar un mensaje personalizado propio:

  1. Use un editor de texto para abrir el archivo UsernamePassword.tfrm del servicio de autenticación.

  2. Busque las siguientes líneas en el archivo.

    @* @Heading("ExplicitAuth:AuthenticateHeadingText") *@
    <!--NeedCopy-->
    
  3. Quite la marca de comentario de la instrucción eliminando los elementos iniciales y finales @* y *@.

    @Heading("ExplicitAuth:AuthenticateHeadingText")
    <!--NeedCopy-->
    

    Los usuarios de la aplicación Citrix Workspace ven el texto de título predeterminado “Please log on” o la versión localizada de este texto cuando inician sesión en los almacenes donde se utiliza este servicio de autenticación.

  4. Para modificar el texto de título, utilice un editor de texto para abrir el archivo ExplicitFormsCommon.xx.resx del servicio de autenticación, que suele estar en el directorio C:\inetpub\wwwroot\Citrix\[Nombre del almacén]Auth\App_Data\resources\.

  5. Localice los siguientes elementos en el archivo. Modifique el texto escrito dentro del elemento <value> para modificar el texto del título que los usuarios ven en el cuadro de diálogo de inicio de sesión al acceder a almacenes en los que se utiliza este servicio de autenticación.

    <data name="AuthenticateHeadingText" xml:space="preserve">
        <value>My Company Name</value>
    </data>
    <!--NeedCopy-->
    

    Para modificar el texto de título del cuadro de diálogo de inicio de sesión para los usuarios con otras configuraciones regionales, modifique los archivos ExplicitAuth.languagecode.resx traducidos, donde languagecode es el identificador de configuración regional.

Impedir que la aplicación Citrix Workspace para Windows almacene en caché contraseñas y nombres de usuario

De manera predeterminada, la aplicación Citrix Workspace para Windows almacena las contraseñas de los usuarios cuando inician sesión en los almacenes de StoreFront. Para evitar que la aplicación Citrix Workspace para Windows almacene en caché las contraseñas de los usuarios, modifique los archivos del servicio de autenticación.

  1. Use un editor de texto para abrir el archivo inetpub\wwwroot\Citrix\[Nombre del almacén]Auth\App_Data\Templates\UsernamePassword.tfrm.

  2. Busque la siguiente línea en el archivo.

    @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials"))
    <!--NeedCopy-->
    
  3. Comente la instrucción como se muestra a continuación.

    <!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) -->
    <!--NeedCopy-->
    

    Los usuarios deben introducir sus contraseñas cada vez que inician sesión en almacenes que utilizan este servicio de autenticación.

    De manera predeterminada, la aplicación Citrix Workspace para Windows rellena el formulario automáticamente con el último nombre de usuario que se utilizó. Para evitar que se rellene el campo de nombre de usuario o para usar otro mecanismo para suprimir el almacenamiento en caché de contraseñas, consulte Impedir que la aplicación Citrix Workspace para Windows almacene en caché contraseñas y nombres de usuario.

Acceso remoto a través de Citrix Gateway

Puede configurar su Citrix Gateway para que los usuarios inicien sesión en la puerta de enlace con su nombre de usuario y contraseña de dominio. Estas credenciales se transfieren a StoreFront para iniciar sesión en el almacén. Para configurar Citrix Gateway para la autenticación de nombre de usuario y contraseña de LDAP, consulte en la documentación de NetScaler: Autenticación LDAP. Para configurar StoreFront, consulte PassThrough desde Citrix Gateway.