Documentación de productos
XenApp and XenDesktop
7.15 LTSR
Ver PDF

Servicio de autenticación federada

May 20, 2026
Contribución de: 
C C

El Citrix Federated Authentication Service (FAS) es un componente privilegiado diseñado para integrarse con los Servicios de certificados de Active Directory. Emite certificados dinámicamente para los usuarios, lo que les permite iniciar sesión en un entorno de Active Directory como si tuvieran una tarjeta inteligente. FAS permite a StoreFront™ utilizar una gama más amplia de opciones de autenticación, como las aserciones SAML (Security Assertion Markup Language). SAML se utiliza comúnmente como alternativa a las cuentas de usuario tradicionales de Windows en Internet.

El siguiente diagrama muestra la integración de FAS con una autoridad de certificación para proporcionar servicios a StoreFront y a los Virtual Delivery Agents (VDA) de XenApp y XenDesktop®.

imagen localizada

Los servidores StoreFront de confianza se ponen en contacto con el Servicio de autenticación federada (FAS) cuando los usuarios solicitan acceso al entorno de Citrix. El FAS concede un tíquet que permite que una única sesión de XenApp® o XenDesktop se autentique con un certificado para esa sesión. Cuando un VDA necesita autenticar a un usuario, se conecta a FAS y canjea el tíquet. Solo FAS tiene acceso a la clave privada del certificado del usuario. El VDA envía a FAS cada operación de firma y descifrado que requiere con el certificado.

Requisitos

El Servicio de autenticación federada es compatible con servidores Windows (Windows Server 2008 R2 o posterior).

  • Citrix recomienda instalar FAS en un servidor que no tenga otros componentes de Citrix.
  • El Windows Server debe estar protegido. Tiene acceso a un certificado de autoridad de registro y a la clave privada correspondiente. El servidor utiliza estos accesos para emitir el certificado a los usuarios del dominio. Una vez emitido, el servidor también tiene acceso a los certificados de usuario y a las claves privadas.
  • El SDK de PowerShell de FAS requiere Windows PowerShell de 64 bits instalado en el servidor FAS.
  • Se requiere una autoridad de certificación, como Microsoft Enterprise o cualquier otra autoridad de certificación validada en el programa Citrix Ready, para emitir certificados de usuario.

  • Para autoridades de certificación que no sean de Microsoft, asegúrese de lo siguiente:

En el sitio de XenApp o XenDesktop:

  • Los Delivery Controllers deben ser al menos de la versión 7.15.
  • Los VDA deben ser al menos de la versión 7.15. Asegúrese de aplicar la configuración de la Directiva de grupo de FAS a los VDA antes de crear el Catálogo de máquinas. Para obtener más información, consulte Configurar la Directiva de grupo.
  • El servidor StoreFront debe ser al menos de la versión 3.12 (la ISO de XenApp y XenDesktop 7.15 es compatible con la versión 3.12 de StoreFront).

Al planificar la implementación de este servicio, revise la sección Consideraciones de seguridad.

Referencias:

  • Servicios de certificados de Active Directory

https://docs.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831740(v=ws.11)?redirectedfrom=MSDN

  • Configuración de Windows para el inicio de sesión con certificado

https://support.citrix.com/article/CTX206156

Secuencia de instalación y configuración

  1. Instalar el servicio de autenticación federada
  2. Habilitar el complemento del servicio de autenticación federada en los servidores StoreFront
  3. Configurar la Directiva de grupo
  4. Utilice la consola de administración del servicio de autenticación federada para: (a) Implementar las plantillas proporcionadas, (b) Configurar las entidades de certificación y (c) Autorizar al servicio de autenticación federada a usar su entidad de certificación
  5. Configurar reglas de usuario

Instalar el Servicio de autenticación federada

Por motivos de seguridad, Citrix recomienda instalar FAS en un servidor dedicado, similar al controlador de dominio o a la entidad de certificación. FAS se puede instalar desde el botón Servicio de autenticación federada en la pantalla de inicio automático al insertar la ISO.

Este proceso instala los siguientes componentes:

  • Servicio de autenticación federada
  • cmdlets de complemento de PowerShell(/es-es/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service.html#powershell-sdk) para configurar de forma remota el Servicio de autenticación federada
  • Consola de administración(/es-es/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service.html#using-the-federated-authentication-service-administration-console) del Servicio de autenticación federada
  • Plantillas de directiva de grupo del Servicio de autenticación federada (CitrixFederatedAuthenticationService.admx/adml)
  • Archivos de plantilla de certificado para una configuración sencilla de la entidad de certificación
  • Contadores de rendimiento(/es-es/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service.html#performance-counters) y registros de eventos(/es-es/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service.html#event-logs)

Habilitar el complemento del Servicio de autenticación federada en un almacén de StoreFront

Para habilitar la integración del Servicio de autenticación federada en un almacén de StoreFront, ejecute los siguientes cmdlets de PowerShell con una cuenta de administrador. Si tiene más de un almacén, o si el almacén tiene un nombre diferente, el siguiente texto de ruta puede variar.

```
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module

$StoreVirtualPath = "/Citrix/Store"

$store = Get-STFStoreService -VirtualPath $StoreVirtualPath

$auth = Get-STFAuthenticationService -StoreService $store

Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"

Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy--> ```

Para dejar de usar FAS, utilice el siguiente script de PowerShell:

```
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module

$StoreVirtualPath = "/Citrix/Store"

$store = Get-STFStoreService -VirtualPath $StoreVirtualPath

$auth = Get-STFAuthenticationService -StoreService $store

Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"

Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy--> ```

Configurar el Delivery Controller™

Para usar FAS, configure el Delivery Controller de XenApp o XenDesktop para que confíe en los servidores de StoreFront que se pueden conectar a él: ejecute el cmdlet de PowerShell Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true.

Configurar la Directiva de grupo

Después de instalar FAS, especifique las direcciones DNS completas de los servidores FAS en la Directiva de grupo (Group Policy) utilizando las plantillas de Directiva de grupo que se proporcionan durante la instalación.

Importante: Asegúrese de que los servidores StoreFront que solicitan tickets y los VDA que canjean tickets tengan una configuración idéntica de direcciones DNS, incluida la numeración automática de servidores aplicada por el objeto de Directiva de grupo.

Los siguientes ejemplos configuran una única directiva a nivel de dominio que se aplica a todas las máquinas. Sin embargo, FAS funciona siempre que los servidores StoreFront, los VDA y la máquina que ejecuta la consola de administración de FAS vean la misma lista de direcciones DNS. El objeto de Directiva de grupo añade un número de índice a cada entrada, que también debe coincidir si se utiliza más de un objeto.

Paso 1. En el servidor donde instaló FAS, localice el archivo C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx y la carpeta en-US.

imagen localizada

Paso 2. Copie los archivos y la carpeta en su controlador de dominio y colóquelos en C:\Windows\PolicyDefinitions y en la subcarpeta en-US.

Paso 3. Ejecute la Consola de administración de Microsoft (mmc.exe desde la línea de comandos). En la barra de menú, seleccione Archivo > Agregar o quitar complemento. Agregue el Editor de administración de directivas de grupo.

Cuando se le solicite un objeto de Directiva de grupo, seleccione Examinar y, a continuación, seleccione Directiva de dominio predeterminada. También puede crear y seleccionar un objeto de directiva adecuado para su entorno, utilizando las herramientas de su elección. La directiva debe aplicarse a todas las máquinas que ejecutan el software de Citrix afectado (VDA, servidores StoreFront, herramientas de administración).

imagen localizada

Paso 4. Vaya a la directiva de Federated Authentication Service en Configuración del equipo/Directivas/Plantillas administrativas/Componentes de Citrix/Autenticación.

imagen localizada

Paso 5. Abra la directiva de Federated Authentication Service y seleccione Habilitado. Esta opción le permite seleccionar el botón Mostrar, donde configurará las direcciones DNS de sus servidores FAS.

imagen localizada

Paso 6. Introduzca las direcciones DNS de los servidores que alojan su Federated Authentication Service.

Recuerde: Si introduce más de 1 dirección, el orden de la lista, incluidas las entradas en blanco o no utilizadas, debe ser coherente entre los servidores StoreFront y los VDA.

Paso 7. Haga clic en Aceptar para salir del asistente de Directiva de grupo y aplicar los cambios de directiva de grupo. Es posible que deba reiniciar sus máquinas (o ejecutar gpupdate /force desde la línea de comandos) para que el cambio surta efecto.

Habilitar la compatibilidad con certificados en la sesión y la desconexión al bloquear

imagen localizada

Compatibilidad con certificados en la sesión

La plantilla de Directiva de grupo incluye compatibilidad para configurar el sistema para certificados en la sesión. Esto coloca los certificados en el almacén de certificados personal del usuario después del inicio de sesión para su uso en aplicaciones. Por ejemplo, si necesita autenticación TLS en servidores web dentro de la sesión de VDA, Internet Explorer puede usar el certificado. Los VDA no permitirán el acceso a los certificados después del inicio de sesión de forma predeterminada.

Desconexión al bloquear

Si esta directiva está habilitada, la sesión del usuario se desconecta automáticamente cuando bloquea la pantalla. Este comportamiento es similar a la directiva de “desconexión al retirar la tarjeta inteligente” y es útil cuando los usuarios no tienen credenciales de inicio de sesión de Active Directory.

Nota:

La directiva de desconexión al bloquear se aplica a todas las sesiones en el VDA.

Uso de la consola de administración de Federated Authentication Service

La consola de administración de Federated Authentication Service se instala como parte de Federated Authentication Service. Se coloca un icono (Citrix Federated Authentication Service) en el menú Inicio.

La consola intenta localizar automáticamente los servidores FAS en su entorno mediante la configuración de Directiva de grupo. Si este proceso falla, consulte la sección Configurar Directiva de grupo.

imagen localizada

Si su cuenta de usuario no es miembro del grupo Administradores en la máquina que ejecuta Federated Authentication Service, se le pedirán las credenciales.

imagen localizada

La primera vez que utiliza la consola de administración, esta le guía a través de un proceso de tres pasos que realiza lo siguiente:

  • Implementa plantillas de certificados.
  • Configura la entidad de certificación.
  • Autoriza a Federated Authentication Service a utilizar la entidad de certificación.

Puede utilizar las herramientas de configuración del sistema operativo para completar algunos de los pasos manualmente.

imagen localizada

Implementar plantillas de certificados

Para evitar problemas de interoperabilidad con otro software, Federated Authentication Service proporciona tres plantillas de certificados de Citrix para su propio uso.

  • Citrix_RegistrationAuthority_ManualAuthorization
  • Citrix_RegistrationAuthority
  • Citrix_SmartcardLogon

Estas plantillas deben registrarse en un Active Directory. Si la consola no puede localizarlas, la herramienta Implementar plantillas de certificados puede instalarlas. Esta herramienta debe ejecutarse como una cuenta que tenga permisos para administrar su bosque de Enterprise.

imagen localizada

La configuración de las plantillas se encuentra en los archivos XML con extensión .certificatetemplate que se instalan con Federated Authentication Service en:

C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates

Si no tiene permiso para instalar estos archivos de plantilla, entrégueselos a su administrador de Active Directory.

Para instalar las plantillas manualmente, puede usar los siguientes comandos de PowerShell:

```
$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")

 $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService

 $CertEnrol.InitializeImport($template)

 $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
$writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable

 $writabletemplate.Initialize($comtemplate)

 $writabletemplate.Commit(1, $NULL)
 <!--NeedCopy--> ```

Configurar los servicios de certificados de Active Directory

Después de instalar las plantillas de certificados de Citrix, debe publicarlas en uno o más servidores de entidad de certificación. Consulte la documentación de Microsoft sobre cómo implementar los servicios de certificados de Active Directory.

Si las plantillas no están publicadas en al menos un servidor, la herramienta Configurar entidad de certificación ofrece publicarlas. Debe ejecutar esta herramienta como un usuario que tenga permisos para administrar la entidad de certificación.

(Las plantillas de certificados también se pueden publicar mediante la consola de la entidad de certificación de Microsoft).

imagen localizada

Autorizar el servicio de autenticación federada

El paso final de configuración en la consola inicia la autorización del servicio de autenticación federada. La consola de administración utiliza la plantilla Citrix_RegistrationAuthority_ManualAuthorization para generar una solicitud de certificado. Luego, envía la solicitud a una de las entidades de certificación que publica esa plantilla.

imagen localizada

Una vez enviada la solicitud, puede verla en la lista de Solicitudes pendientes de la consola de la entidad de certificación de Microsoft. El administrador de la entidad de certificación debe elegir Emitir o Denegar la solicitud antes de que la configuración del servicio de autenticación federada pueda continuar. La solicitud de autorización aparece como una Solicitud pendiente de la cuenta de máquina de FAS.

imagen localizada

Haga clic con el botón derecho en Todas las tareas y, a continuación, seleccione Emitir o Denegar para la solicitud de certificado. La consola de administración del servicio de autenticación federada detecta automáticamente cuándo se completa este proceso. Este paso puede tardar un par de minutos.

imagen localizada

Configurar reglas de usuario

Una regla de usuario autoriza la emisión de certificados para el inicio de sesión de VDA y el uso en la sesión, según lo indique StoreFront. Cada regla especifica lo siguiente:

  • Servidores StoreFront de confianza para solicitar certificados.
  • Conjunto de usuarios para los que puede solicitar los certificados.
  • Conjunto de máquinas VDA autorizadas a usar los certificados.

El administrador debe definir la regla predeterminada para completar la configuración del Servicio de autenticación federada. Para definir la regla predeterminada, vaya a la ficha Reglas de usuario de la consola de administración de FAS, seleccione una entidad de certificación en la que esté publicada la plantilla Citrix_SmartcardLogon y edite la lista de servidores StoreFront. La lista de VDA se establece de forma predeterminada en Equipos de dominio y la lista de usuarios en Usuarios de dominio; estos valores se pueden cambiar si los predeterminados no son adecuados.

imagen localizada

Campos:

Entidad de certificación y plantilla de certificado: La plantilla de certificado y la entidad de certificación que se utilizan para emitir certificados de usuario. La plantilla debe ser la plantilla Citrix_SmartcardLogon, o una copia modificada de la misma, en una de las entidades de certificación en las que esté publicada la plantilla.

FAS admite la adición de varias entidades de certificación para la conmutación por error y el equilibrio de carga, mediante comandos de PowerShell. Del mismo modo, se pueden configurar opciones más avanzadas de generación de certificados mediante la línea de comandos y los archivos de configuración. Consulte las secciones PowerShell y Módulos de seguridad de hardware.

Certificados en la sesión: La casilla de verificación Disponible después del inicio de sesión controla si un certificado también se puede usar como certificado en la sesión. Si la casilla no está seleccionada, el certificado se usa solo para el inicio de sesión o la reconexión, y el usuario no tendrá acceso al certificado después de autenticarse.

Lista de servidores StoreFront que pueden usar esta regla: La lista de máquinas de servidor StoreFront de confianza que están autorizadas a solicitar certificados para el inicio de sesión o la reconexión de usuarios. Esta configuración es crítica para la seguridad y debe administrarse con cuidado.

imagen localizada

Lista de escritorios y servidores VDA a los que se puede iniciar sesión con esta regla: La lista de máquinas VDA que pueden iniciar sesión de usuarios mediante el sistema del Servicio de autenticación federada.

imagen localizada

Lista de usuarios que StoreFront puede iniciar sesión con esta regla: La lista de usuarios a los que se pueden emitir certificados a través del Servicio de autenticación federada.

imagen localizada

Uso avanzado

Puede crear más reglas para hacer referencia a diferentes plantillas y autoridades de certificados, y configurarlas para que tengan diferentes propiedades y permisos. Puede configurar estas reglas para que las utilicen diferentes servidores StoreFront. Configure los servidores StoreFront para que soliciten la regla personalizada por su nombre mediante las opciones de configuración de directivas de grupo.

De forma predeterminada, StoreFront solicita default al ponerse en contacto con el Servicio de autenticación federada. Esto se puede cambiar mediante las opciones de configuración de directivas de grupo.

Para crear una plantilla de certificado, duplique la plantilla Citrix_SmartcardLogon en la consola de la entidad de certificación de Microsoft, cámbiele el nombre (por ejemplo, Citrix_SmartcardLogon2) y modifíquela según sea necesario. Cree una regla de usuario haciendo clic en Agregar para hacer referencia a la nueva plantilla de certificado.

Consideraciones sobre la actualización

  • Todas las configuraciones del servidor del Servicio de autenticación federada se conservan al realizar una actualización in situ.
  • Actualice el Servicio de autenticación federada ejecutando el instalador completo de XenApp y XenDesktop.
  • Antes de actualizar el Servicio de autenticación federada de 7.15 LTSR a 7.15 LTSR CU2 (o una CU posterior compatible), actualice el Controller y los VDA (y otros componentes principales) a la versión requerida.
  • Asegúrese de que la consola del Servicio de autenticación federada esté cerrada antes de actualizar el Servicio de autenticación federada.
  • Asegúrese de que al menos un servidor del Servicio de autenticación federada esté siempre disponible. Si ningún servidor es accesible para un servidor StoreFront habilitado para el Servicio de autenticación federada, los usuarios no podrán iniciar sesión ni iniciar aplicaciones.

Consideraciones de seguridad

El Servicio de autenticación federada tiene un certificado de autoridad de registro que le permite emitir certificados de forma autónoma para los usuarios de su dominio. Es importante desarrollar e implementar una política de seguridad para proteger los servidores FAS y restringir sus permisos.

Agentes de inscripción delegados

FAS emite certificados de usuario actuando como agente de inscripción. La entidad de certificación de Microsoft controla las plantillas que el servidor FAS puede usar. También determina los usuarios para los que el servidor FAS puede emitir certificados.

imagen localizada

Citrix recomienda encarecidamente configurar estas opciones para que el Servicio de autenticación federada solo pueda emitir certificados para los usuarios previstos. Por ejemplo, es una buena práctica evitar que el Servicio de autenticación federada emita certificados a usuarios de un grupo de Administración o de Usuarios protegidos.

Configuración de la lista de control de acceso

Tal como se describe en la sección Configurar reglas de usuario, debe configurar una lista de servidores StoreFront de confianza para afirmar las identidades de los usuarios al Servicio de autenticación federada cuando se emiten certificados. Del mismo modo, puede restringir a qué usuarios se les emiten certificados y a qué máquinas VDA pueden autenticarse. Este paso se suma a cualquier función de seguridad estándar de Active Directory o de la entidad de certificación que configure.

Configuración del firewall

Toda la comunicación con los servidores FAS utiliza conexiones de red Kerberos de Windows Communication Foundation (WCF) autenticadas mutuamente a través del puerto 80.

Supervisión del registro de eventos

El Servicio de autenticación federada y el VDA escriben información en el registro de eventos de Windows. Este registro se puede utilizar para supervisar y auditar información. La sección Registros de eventos enumera las entradas del registro de eventos que se pueden generar.

Módulos de seguridad de hardware

Todas las claves privadas, incluidas las claves de certificados de usuario emitidas por el Servicio de autenticación federada, se almacenan como claves privadas no exportables mediante la cuenta de Servicio de red. El Servicio de autenticación federada admite el uso de un módulo de seguridad de hardware criptográfico, si su política de seguridad lo requiere.

La configuración criptográfica de bajo nivel está disponible en el archivo FederatedAuthenticationService.exe.config. Estos parámetros se aplican cuando se crean por primera vez las claves privadas. Por lo tanto, se pueden utilizar diferentes configuraciones para las claves privadas de la autoridad de registro (por ejemplo, 4096 bits, protegidas por TPM) y los certificados de usuario en tiempo de ejecución.

Parámetro Descripción
ProviderLegacyCsp Cuando se establece en true, FAS utiliza Microsoft CryptoAPI (CAPI). De lo contrario, FAS utiliza la API Microsoft Cryptography Next Generation (CNG).
ProviderName Nombre del proveedor CAPI o CNG que se va a utilizar.
ProviderType Se refiere a la propiedad Microsoft KeyContainerPermissionAccessEntry.ProviderType PROV_RSA_AES 24. Debe ser siempre 24, a menos que utilice un HSM con CAPI y el proveedor de HSM especifique lo contrario.
KeyProtection Controla la marca “Exportable” de las claves privadas. También permite el uso del almacenamiento de claves del Módulo de plataforma segura (TPM), si el hardware lo admite.
KeyLength Longitud de clave para claves privadas RSA. Los valores admitidos son 1024, 2048 y 4096 (predeterminado: 2048).

SDK de PowerShell

Aunque la consola de administración del Servicio de autenticación federada es adecuada para implementaciones sencillas, la interfaz de PowerShell ofrece opciones más avanzadas. Cuando utilice opciones que no están disponibles en la consola, Citrix recomienda usar solo PowerShell para la configuración.

El siguiente comando agrega los cmdlets de PowerShell:

Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1

Utilice Get-Help <nombre del cmdlet> para mostrar la ayuda del cmdlet. La siguiente tabla enumera varios comandos donde * representa un verbo estándar de PowerShell (como New, Get, Set, Remove).

Comandos Información general
*-FasServer Enumera y reconfigura los servidores FAS en el entorno actual.
*-FasAuthorizationCertificate Administra el certificado de la entidad de registro.
*-FasCertificateDefinition Controla los parámetros que utiliza FAS para generar certificados.
*-FasRule Administra las reglas de usuario configuradas en el Servicio de autenticación federada.
*-FasUserCertificate Enumera y administra los certificados almacenados en caché por el Servicio de autenticación federada.

Los cmdlets de PowerShell se pueden usar de forma remota especificando la dirección de un servidor FAS.

También puede descargar un archivo zip que contiene todos los archivos de ayuda de los cmdlets de PowerShell de FAS; consulte el artículo PowerShell SDK.

Contadores de rendimiento

El Servicio de autenticación federada incluye un conjunto de contadores de rendimiento para fines de seguimiento de carga.

imagen localizada

La siguiente tabla enumera los contadores disponibles. La mayoría de los contadores son promedios móviles de cinco minutos.

Nombre Descripción
Sesiones activas Número de conexiones rastreadas por el Servicio de autenticación federada.
CSR simultáneas Número de solicitudes de certificado procesadas al mismo tiempo.
Operaciones de clave privada Número de operaciones de clave privada realizadas por minuto.
Tiempo de solicitud Tiempo necesario para generar y firmar un certificado.
Recuento de certificados Número de certificados almacenados en caché en el Servicio de autenticación federada.
CSR por minuto Número de CSR procesadas por minuto.
Bajo/Medio/Alto Estimaciones de la carga que el Servicio de autenticación federada puede aceptar en términos de «CSRs por minuto». Superar el umbral de «Carga alta» podría provocar que los inicios de sesión fallen.

Registros de eventos

Las siguientes tablas enumeran las entradas del registro de eventos generadas por el Servicio de autenticación federada.

Eventos de administración

[Event Source: Citrix.Authentication.FederatedAuthenticationService]

FAS registra estos eventos en respuesta a los cambios de configuración en el servidor FAS.

Códigos de registro
[S001] ACCESO DENEGADO: El usuario [{0}] no es miembro del grupo de administradores
[S002] ACCESO DENEGADO: El usuario [{0}] no es administrador del rol [{1}]
[S003] El administrador [{0}] está estableciendo el modo de mantenimiento en [{1}]
[S004] El administrador [{0}] se está inscribiendo en la CA [{1}] con las plantillas [{2} y {3}]
[S005] El administrador [{0}] está desautorizando la CA [{1}]
[S006] El administrador [{0}] está creando una nueva definición de certificado [{1}]
[S007] El administrador [{0}] está actualizando la definición de certificado [{1}]
[S008] El administrador [{0}] está eliminando la definición de certificado [{1}]
[S009] El administrador [{0}] está creando un nuevo rol [{1}]
[S010] El administrador [{0}] está actualizando el rol [{1}]
[S011] El administrador [{0}] está eliminando el rol [{1}]
[S012] El administrador [{0}] está creando un certificado [upn: {0} sid: {1} rol: {2}][Definición de certificado: {3}]
[S013] El administrador [{0}] está eliminando certificados [upn: {0} rol: {1} Definición de certificado: {2}]
Códigos de registro
[S401] Realizando la actualización de la configuración – [De la versión {0}][a la versión {1}]
[S402] ERROR: El servicio de autenticación federada de Citrix debe ejecutarse como Servicio de red [actualmente se ejecuta como: {0}]

Creación de aserciones de identidad [Federated Authentication Service]

Estos eventos se registran en tiempo de ejecución en el servidor de Federated Authentication Service cuando un servidor de confianza afirma un inicio de sesión de usuario.

Códigos de registro
[S101] El servidor [{0}] no está autorizado para afirmar identidades en el rol [{1}]
[S102] El servidor [{0}] no pudo afirmar UPN [{1}] (Excepción: {2}{3})
[S103] El servidor [{0}] solicitó UPN [{1}] SID {2}, pero la búsqueda devolvió SID {3}
[S104] El servidor [{0}] no pudo afirmar el UPN [{1}] (UPN no permitido por el rol [{2}])
[S105] El servidor [{0}] emitió la aserción de identidad [upn: {0}, rol {1}, Contexto de seguridad: [{2}]]
 
[S120] Emisión de certificado a [upn: {0} rol: {1} Contexto de seguridad: [{2}]]
[S121] Emisión de certificado a [upn: {0} rol: {1}] en nombre de la cuenta {2}
[S122] Advertencia: El servidor está sobrecargado [upn: {0} rol: {1}][Solicitudes por minuto {2}]

Actuar como parte de confianza [Federated Authentication Service]

Estos eventos se registran en tiempo de ejecución en el servidor del Servicio de autenticación federada cuando un VDA inicia sesión de un usuario.

Códigos de registro
[S201] La parte de confianza [{0}] no tiene acceso a una contraseña.
[S202] La parte de confianza [{0}] no tiene acceso a un certificado.
[S203] La parte de confianza [{0}] no tiene acceso al CSP de inicio de sesión
[S204] La parte de confianza [{0}] accede al CSP de inicio de sesión [Operación: {1}]
[S205] La cuenta que llama [{0}] no es una parte de confianza en el rol [{1}]
[S206] La cuenta que llama [{0}] no es una parte de confianza
[S207] La parte de confianza [{0}] afirmando identidad [upn: {1}] en el rol: [{2}]
[S208] Error en la operación de clave privada [Operación: {0}][upn: {1} rol: {2} definiciónCertificado {3}][Error {4} {5}].

Servidor de certificados en sesión [Servicio de autenticación federada]

Estos eventos se registran en el servidor del Servicio de autenticación federada cuando un usuario utiliza un certificado en sesión.

Códigos de registro
[S301] Acceso denegado: El usuario [{0}] no tiene acceso a una tarjeta inteligente virtual
[S302] El usuario [{0}] solicitó una tarjeta inteligente virtual desconocida [huella digital: {1}]
[S303] El usuario [{0}] no coincide con la tarjeta inteligente virtual [upn: {1}]
[S304] El usuario [{1}] ejecutando el programa [{2}] en el equipo [{3}] utilizando la tarjeta inteligente virtual [upn: {4} rol: {5}] para la operación de clave privada: [{6}]
[S305] Error en la operación de clave privada [Operación: {0}][upn: {1} rol: {2} nombreContenedor {3}][Error {4} {5}].

Inicio de sesión [VDA]

[Origen del evento: Citrix.Authentication.IdentityAssertion]

Estos eventos se registran en el VDA durante la fase de inicio de sesión.

Códigos de registro
[S101] Error en el inicio de sesión de aserción de identidad. Servicio de autenticación federada no reconocido [id: {0}]
[S102] Error en el inicio de sesión de aserción de identidad. No se pudo buscar el SID para {0} [Excepción: {1}{2}]
[S103] Error de inicio de sesión de aserción de identidad. El usuario {0} tiene el SID {1}, se esperaba el SID {2}
[S104] Error de inicio de sesión de aserción de identidad. No se pudo conectar con el Servicio de autenticación federada: {0} [Error: {1} {2}]
[S105] Inicio de sesión de aserción de identidad. Iniciando sesión [Nombre de usuario: {0}][Dominio: {1}]
[S106] Inicio de sesión de aserción de identidad. Iniciando sesión [Certificado: {0}]
[S107] Error de inicio de sesión de aserción de identidad. [Excepción: {1}{2}]
[S108] Subsistema de aserción de identidad. ACCESO_DENEGADO [Llamador: {0}]

Certificados en sesión [VDA]

Estos eventos se registran en el VDA cuando un usuario intenta utilizar un certificado en sesión.

Códigos de registro
[S201] Tarjeta inteligente virtual autorizada [Usuario: {0}][PID: {1} Nombre:{2}][Certificado {3}]
[S202] Subsistema de tarjeta inteligente virtual. No hay tarjetas inteligentes disponibles en la sesión {0}
[S203] Subsistema de tarjeta inteligente virtual. Acceso denegado [llamador: {0}, sesión {1}, esperado: {2}]
[S204] Subsistema de tarjeta inteligente virtual. Compatibilidad con tarjeta inteligente deshabilitada.

Códigos de solicitud y generación de certificados [Servicio de autenticación federada]

[Origen del evento: Citrix.TrustFabric]

Estos eventos de bajo nivel se registran cuando el servidor de Federated Authentication Service realiza operaciones criptográficas a nivel de registro.

Códigos de registro
[S0001]TrustArea::TrustArea: Cadena de certificados instalada
[S0002]TrustArea::Join: La devolución de llamada ha autorizado un certificado no fiable
[S0003]TrustArea::Join: Uniéndose a un servidor de confianza
[S0004]TrustArea::Maintain: Certificado renovado
[S0005]TrustArea::Maintain: Cadena de certificados nueva recuperada
[S0006]TrustArea::Export: Exportando clave privada
[S0007]TrustArea::Import: Importando área de confianza
[S0008]TrustArea::Leave: Saliendo del área de confianza
[S0009]TrustArea::SecurityDescriptor: Estableciendo descriptor de seguridad
[S0010]CertificateVerification: Instalando nuevo certificado de confianza
[S0011]CertificateVerification: Desinstalando certificado de confianza caducado
[S0012]TrustFabricHttpClient: Intentando inicio de sesión único en {0}
[S0013]TrustFabricHttpClient: Credenciales explícitas introducidas para {0}
[S0014]Pkcs10Request::Create: Solicitud PKCS10 creada
[S0015]Pkcs10Request::Renew: Solicitud PKCS10 creada
[S0016]PrivateKey::Create
[S0017]PrivateKey::Delete
[S0018]TrustArea::TrustArea: Esperando aprobación
[S0019]TrustArea::Join: Unión retrasada
[S0020]TrustArea::Join: Unión retrasada
[S0021]TrustArea::Maintain: Cadena de certificados instalada
Códigos de registro
[S0101]TrustAreaServer::Crear certificado raíz
[S0102]TrustAreaServer::Subordinate: Unión correcta
[S0103]TrustAreaServer::PeerJoin: Unión correcta
[S0104]MicrosoftCertificateAuthority::GetCredentials: Autorizado para usar {0}
[S0104]MicrosoftCertificateAuthority::SubmitCertificateRequest Error {0}
[S0105]MicrosoftCertificateAuthority::SubmitCertificateRequest Certificado emitido {0}
[S0106]MicrosoftCertificateAuthority::PublishCRL: CRL publicada
[S0107]MicrosoftCertificateAuthority::ReissueCertificate Error {0}
[S0108]MicrosoftCertificateAuthority::ReissueCertificate Certificado emitido {0}
[S0109]MicrosoftCertificateAuthority::CompleteCertificateRequest - Todavía esperando aprobación
[S0110]MicrosoftCertificateAuthority::CompleteCertificateRequest - Certificado pendiente rechazado
[S0111]MicrosoftCertificateAuthority::CompleteCertificateRequest Certificado emitido
[S0112]MicrosoftCertificateAuthority::SubmitCertificateRequest - Esperando aprobación
[S0120]NativeCertificateAuthority::SubmitCertificateRequest Certificado emitido {0}
[S0121]NativeCertificateAuthority::SubmitCertificateRequest Error
[S0122]NativeCertificateAuthority::RootCARollover Nuevo certificado raíz
[S0123]NativeCertificateAuthority::ReissueCertificate Nuevo certificado
[S0124]NativeCertificateAuthority::RevokeCertificate
[S0125]NativeCertificateAuthority::PublishCRL

Información relacionada

Servicio de autenticación federada
May 20, 2026
Contribución de: 
C C
May 20, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.