Autenticarse con dominios distintos
Algunas organizaciones han establecido directivas que no les permiten conceder a desarrolladores o contratistas externos el acceso a los recursos publicados en un entorno de producción. En este artículo se muestra cómo conceder acceso a los recursos publicados en un entorno de prueba. Para ello, los usuarios deberán autenticarse con un dominio a través de Citrix Gateway. Luego, puede usar otro dominio para autenticarse en StoreFront y el sitio de Receiver para Web. La autenticación a través de Citrix Gateway que se describe en este artículo se admite en caso de usuarios que inician sesión a través del sitio de Receiver para Web. Este método de autenticación no se admite en caso de usuarios nativos móviles o de escritorio procedentes de Citrix Receiver o de aplicaciones Citrix Workspace.
Configurar un entorno de prueba
En este ejemplo se usa un dominio de producción llamado “production.com” y un dominio de prueba llamado “development.com”.
Dominio production.com
Configuración del dominio production.com
utilizado en este ejemplo:
- Citrix Gateway con la directiva de autenticación LDAP configurada para
production.com
. - La autenticación a través de esa puerta de enlace se realiza con la cuenta y la contraseña production\testuser1.
Dominio development.com
Configuración del dominio development.com
utilizado en este ejemplo:
- StoreFront, Citrix Virtual Apps and Desktops y VDA se encuentran en el dominio
development.com
. - La autenticación en el sitio web de Citrix Receiver se produce con la cuenta y la contraseña development\testuser1.
- No hay ninguna relación de confianza entre los dos dominios.
Configurar Citrix Gateway para el almacén
Para configurar Citrix Gateway para el almacén:
- Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar Citrix Gateway.
- En la pantalla “Administrar Citrix Gateway”, haga clic en Agregar.
-
Complete los pasos de Parámetros generales, de Secure Ticket Authority y de Autenticación.
Nota:
Puede que deba agregar reenviadores DNS condicionales para que los servidores DNS en ejecución en ambos dominios puedan resolver los FQDN en el otro dominio. El dispositivo Citrix Gateway debe poder resolver los nombres FQDN del servidor STA en el dominio
development.com
con su servidor DNS deproduction.com
. StoreFront también debe poder resolver la URL de respuesta en el dominioproduction.com
con su servidor DNS dedevelopment.com
. Si no, también se puede utilizar un nombre FQDN dedevelopment.com
que recurra a la IP virtual (VIP) del servidor virtual de Citrix Gateway.
Habilitar PassThrough desde Citrix Gateway
- Seleccione Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación.
- En la pantalla Administrar métodos de autenticación, seleccione PassThrough desde Citrix Gateway.
- Haga clic en Aceptar.
Configurar el almacén para el acceso remoto a través de Gateway
- Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione un almacén. En el panel Acciones, haga clic en Configurar parámetros de acceso remoto.
- Seleccione Habilitar acceso remoto.
- Compruebe que ha registrado el dispositivo Citrix Gateway en el almacén. Si no lo registra, la generación de tíquets STA no funcionará.
Inhabilitar la coherencia de tokens
- Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione un almacén. En el panel Acciones, haga clic en Configurar parámetros del almacén.
- En la página Configurar parámetros del almacén, seleccione Parámetros avanzados.
-
Desmarque la casilla Requerir coherencia de token. Para obtener más información, consulte Parámetros avanzados de almacenes.
- Haga clic en Aceptar.
Nota:
El parámetro “Requerir coherencia de token” está marcado (activado) de forma predeterminada. Si lo inhabilita, las funciones de SmartAccess utilizadas para Citrix Gateway End Point Analysis (EPA) dejan de funcionar. Para obtener más información sobre SmartAccess, consulte CTX138110.
Inhabilitar la autenticación PassThrough desde Citrix Gateway para el sitio web
Importante:
Inhabilitar la autenticación PassThrough desde Citrix Gateway impide que el sitio web use las credenciales incorrectas del dominio
production.com
transferido desde el dispositivo Citrix Gateway. Inhabilitar la autenticación PassThrough desde Citrix Gateway hace que el sitio web solicite al usuario que introduzca las credenciales. Estas no son las credenciales que se utilizan para iniciar sesión a través de Citrix Gateway.
- Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront.
- Seleccione el almacén que quiere modificar.
- En el panel Acciones, haga clic en Administrar sitios de Receiver para Web.
- En Métodos de autenticación, desmarque PassThrough desde Citrix Gateway.
-
Haga clic en Aceptar.
production.com
Iniciar sesión en Gateway con el usuario y las credenciales de Para realizar pruebas, inicie sesión en Gateway con un usuario y unas credenciales de production.com
.
Después de iniciar sesión, se le solicita que introduzca las credenciales de development.com
.
Agregar una lista desplegable de dominios de confianza en StoreFront (opcional)
Este parámetro es optativo, pero puede contribuir a evitar que el usuario introduzca accidentalmente el dominio incorrecto para autenticarse a través de Citrix Gateway.
Si el nombre de usuario es el mismo para ambos dominios, introducir el dominio incorrecto es más probable. También es posible que los usuarios nuevos tiendan a dejarse el dominio cuando inicien sesión a través de Citrix Gateway. Entonces, podrían olvidarse de introducir el dominio y el nombre de usuario para el segundo dominio cuando se les pida iniciar sesión en el sitio de Receiver para Web.
- Seleccione Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel Acciones, haga clic en Administrar métodos de autenticación.
- Seleccione la flecha desplegable ubicada junto a Nombre de usuario y contraseña.
- Haga clic en Agregar para agregar
development.com
como dominio de confianza y marque la casilla Mostrar lista de dominios en la página de inicio de sesión. - Haga clic en Aceptar.
Nota:
En este caso de autenticación, no se recomienda que el explorador web tenga habilitado el almacenamiento en caché de las contraseñas. Si los usuarios tienen contraseñas diferentes para las dos cuentas de dominios distintos, el almacenamiento en caché de las contraseñas puede dar lugar a una mala experiencia del usuario.
Directiva de acción en la sesión de NetScaler
- Si se habilita el inicio Single Sign-On a aplicaciones web en la directiva de sesiones de Citrix Gateway, las credenciales incorrectas que envíe Citrix Gateway al sitio web se ignoran porque se inhabilitó el método de autenticación PassThrough desde Citrix Gateway en el sitio web. El sitio web solicita credenciales, independientemente de esta opción.
-
Completar los datos de las entradas Single Sign-On en las fichas de experiencia de cliente y de aplicación publicada en Citrix Gateway no modifica el comportamiento que se describe en este artículo.
En este artículo
- Configurar un entorno de prueba
- Configurar Citrix Gateway para el almacén
- Habilitar PassThrough desde Citrix Gateway
- Configurar el almacén para el acceso remoto a través de Gateway
- Inhabilitar la coherencia de tokens
- Inhabilitar la autenticación PassThrough desde Citrix Gateway para el sitio web
- Iniciar sesión en Gateway con el usuario y las credenciales de production.com
- Agregar una lista desplegable de dominios de confianza en StoreFront (opcional)
- Directiva de acción en la sesión de NetScaler