Sincronización de credenciales mediante la asociación de cuentas

En las empresas que mantienen varios dominios de Windows, los usuarios también pueden tener varias cuentas de Windows. Single Sign-on incluye un servicio denominado Sincronización de credenciales para activar la asociación de cuentas.

Con la asociación de cuentas los usuarios pueden iniciar sesión en cualquier aplicación desde una o varias cuentas de Windows. Como Single Sign-on normalmente vincula las credenciales de usuario a una sola cuenta, la información de credenciales no se sincroniza automáticamente entre las distintas cuentas que posee un usuario. No obstante, los administradores pueden configurar la asociación de cuentas para sincronizar las credenciales de usuario. Los usuarios que tienen configurada la asociación de cuentas disponen de acceso a todas las aplicaciones desde cualquiera de sus cuentas en su entorno de Single Sign-on. Cuando las credenciales de usuario se cambian, agregan o eliminan de una cuenta, se sincronizarán automáticamente con cada una de las cuentas asociadas del usuario.

Sin la asociación de cuentas, una persona con varias cuentas de Windows está obligada a cambiar manualmente su información de inicio de sesión independientemente en cada cuenta de Windows.

Para configurar la asociación de cuentas, los administradores de dominio de Windows de la empresa deben realizar las siguientes tareas en el orden indicado:

  1. Elegir un dominio en el que se instalará y ejecutará el módulo de sincronización de credenciales, que forma parte del Servicio Single Sign-on.
  2. Instalar el certificado raíz de confianza en todos los equipos de la empresa que utilizarán la asociación de cuentas.
  3. Sincronizar manualmente las definiciones de aplicación entre los dominios.
  4. Configurar los parámetros de usuario de la asociación de cuentas en otros dominios para conectarse con el módulo de sincronización de credenciales.
  5. Poner la herramienta de asociación de cuentas a disposición de los usuarios como una aplicación publicada.

Cada usuario debe activar la asociación de cuentas en el Single Sign-on Plug-in.

Elección y configuración de un dominio para alojar el módulo de sincronización de credenciales

Elija el dominio que contiene las cuentas de todos los usuarios de la empresa que utilizarán la asociación de cuentas. El módulo de sincronización de credenciales actúa de concentrador de toda la información de credenciales de usuario en la empresa. Instale este módulo en el dominio del mismo modo que cualquier otro Servicio Single Sign-on.

Importante: Póngase en contacto con el administrador de red para determinar si es necesario realizar algunos cambios en el servidor de seguridad y si éstos son compatibles con las directivas de la compañía.

Después de haber instalado el módulo de sincronización de credenciales, se deben crear o editar las configuraciones de usuario desde Citrix AppCenter para autorizar a las cuentas de usuario individuales el uso del módulo de sincronización de credenciales.

Para configurar las funciones de sincronización de credenciales en el dominio host

Abra la consola desde el dominio que aloja el módulo de sincronización de credenciales. Algunos dominios pueden acceder a varios almacenes centrales. Asegúrese de que la consola que utiliza está configurada para conectarse al mismo almacén central que el servicio del módulo de sincronización de credenciales.

  1. Haga clic en Inicio > Todos los programas > Citrix > Consolas de administración > Citrix AppCenter.
  2. Expanda el nodo Single Sign-On y seleccione Configuraciones de usuario.
  3. Seleccione una configuración de usuario existente o cree una nueva.
    • Si va a crear una nueva configuración de usuario, las siguientes opciones están disponibles en el botón Configuración avanzada de la página Configurar la interacción con el plug-in del Asistente de configuración de usuarios.
    • Si va a editar una configuración de usuario existente, las siguientes opciones están disponibles en la página de propiedades Modificar configuración de usuario.
  4. Haga clic en Sincronización y seleccione Permitir acceso a credenciales de usuario a través del módulo de sincronización.
  5. Haga clic en Aceptar y repita los pasos 3 y 4 para cada configuración de usuario existente y nueva.

Para sincronizar manualmente las definiciones de aplicación entre los dominios

Las cuentas también se pueden sincronizar entre distintas configuraciones de usuario. Por ejemplo, una configuración de usuario puede estar asociada a una jerarquía de Active Directory (unidad organizativa o usuario) en un dominio y a un grupo de Active Directory en otro dominio. Siempre que los nombres de definición de aplicación sean los mismos en cada configuración, la función de asociación de cuentas sincronizará las credenciales.

Las credenciales de usuario se comparten únicamente para las aplicaciones que ha definido el administrador de Single Sign-on. Los administradores deben asegurarse de que cada definición de aplicación en cada dominio tenga el mismo nombre en cada almacén central.

Por ejemplo, si la definición de aplicación para SAP se denomina SAP Logon en un dominio, SAP en otro y SAP Launch Pad en otro, las credenciales de usuario para estas aplicaciones no se sincronizarán entre las cuentas de estos dominios.

Una práctica recomendada al crear una nueva definición de aplicación entre dominios consiste en utilizar las tareas Exportar definiciones de aplicación e Importar datos de administración en la consola. Estas tareas se utilizan para exportar las definiciones de aplicación recién creadas que se importarán en cada almacén central. El nombre de las aplicaciones definidas anteriormente ya existentes se debe cambiar manualmente.

Para configurar los parámetros de usuario de la asociación de cuentas en otros dominios

instale y abra la consola desde una estación de trabajo en cada dominio que no aloje el módulo de sincronización de credenciales. Algunos dominios tienen varios almacenes centrales; por lo tanto, asegúrese de configurar cada almacén central.

Todos los administradores de dominio deben permitir que los usuarios de dominio asocien sus cuentas a su cuenta de dominio host. Edite la sección de asociación de cuentas de las configuraciones de usuario adecuadas en la consola.

  1. Haga clic en Inicio > Todos los programas > Citrix > Consolas de administración > Citrix AppCenter.
  2. Expanda el nodo Single Sign-On y seleccione Configuraciones de usuario.
  3. Seleccione una configuración de usuario existente o cree una nueva.
    • Si va a crear una nueva configuración de usuario, las siguientes opciones están disponibles en el botón Configuración avanzada de la página Configurar la interacción con el plug-in del Asistente de configuración de usuarios.
    • Si va a editar una configuración de usuario existente, las siguientes opciones están disponibles en la página de propiedades Modificar configuración de usuario.
  4. Haga clic en Asociación de cuentas.
  5. Seleccione Permitir que los usuarios asocien cuentas.

    Las siguientes opciones no son obligatorias pero contribuyen a proporcionar una interacción del usuario fluida.

  6. Seleccione Suministrar la dirección del servicio predeterminado y escriba la dirección del Servicio Single Sign-on y el puerto del dominio que aloja el módulo de sincronización de credenciales.
  7. Desactive Permitir que los usuarios modifiquen la dirección del servicio.
  8. Seleccione Suministrar dominio predeterminado y el nombre del dominio que aloja el módulo de sincronización de credenciales. Si no se proporciona el dominio, es posible que los usuarios no sepan a qué cuenta de dominio deben proporcionar las credenciales de usuario.
  9. Desactive Permitir que los usuarios modifiquen el dominio.
  10. Según las directivas de seguridad de la compañía, seleccione Permitir al usuario recordar su contraseña.
  11. Haga clic en Aceptar y repita esta operación para cada configuración de usuario.

Publicación de la herramienta de asociación de cuentas

Como esta versión de Single Sign-on Plug-in no ofrece una opción de menú que permita a los usuarios activar la asociación de cuentas, se proporciona a los usuarios una herramienta para activar la asociación de cuentas como una aplicación publicada:

  1. Instale Single Sign-on Plug-in en un servidor XenApp.
  2. Busque el archivo AccAssoc.exe en el servidor XenApp.
  3. Publique el archivo AccAssoc.exe y póngalo a disposición de los usuarios.
  4. Informe a los usuarios sobre cómo acceder a la herramienta de asociación de cuentas y cómo utilizarla.
Nota: Los usuarios que ejecutan la versión 4.8 y las versiones anteriores de Single Sign-on Plug-in pueden utilizar una opción de menú del plug-in para activar la asociación de cuentas. Estos usuarios no necesitan acceso a la herramienta de asociación de cuentas como una aplicación publicada.

Contact Careers Terms of Use Privacy Governance Follow Us
© Citrix Systems, Inc. All rights reserved.