Autenticación
Tarjeta inteligente
La aplicación Citrix Workspace para ChromeOS admite lectores de tarjetas inteligentes USB con StoreFront. Puede usar tarjetas inteligentes con estos fines:
- Autenticación del inicio de sesión con tarjetas inteligentes en la aplicación Citrix Workspace.
- Aplicaciones publicadas para acceder a dispositivos locales de tarjeta inteligente.
- Tarjetas inteligentes para firmar documentos y correos electrónicos. Por ejemplo, Microsoft Word y Outlook que se inician en sesiones ICA.
Las tarjetas inteligentes compatibles (con lectores de tarjetas inteligentes USB) incluyen:
- Personal Identity Verification (PIV)
- Tarjetas CAC (Common Access Card)
Requisitos previos
- Versión 3.6 de StoreFront o una posterior
- XenDesktop 7.6 o versiones posteriores
- XenApp 6.5 o versiones posteriores
- Citrix Virtual Apps and Desktops 1808 o versiones posteriores
- Aplicación Citrix Workspace 1808 o versiones posteriores
Importante:
Para la autenticación con tarjeta inteligente en StoreFront 3.5 y versiones anteriores, necesita un script personalizado para habilitar la autenticación con tarjeta inteligente. Contacte con Citrix Support para obtener ayuda.
Para acceder a la información más reciente sobre las versiones compatibles, consulte los hitos del ciclo de vida de la aplicación Citrix Workspace y Citrix Virtual Apps and Desktops.
Requisitos previos para la configuración de dispositivos
-
Google Smart Card Connector es una aplicación que interactúa con los lectores de tarjetas inteligentes USB del dispositivo. La aplicación conectora expone las API de Personal Computer Smart Card (PCSC) Lite a otras aplicaciones, incluida la aplicación Citrix Workspace.
-
Los proveedores de certificados son las aplicaciones de middleware escritas por proveedores que interactúan con el conector de tarjetas inteligentes. Las aplicaciones de middleware acceden al lector de tarjetas inteligentes, leen certificados y proporcionan certificados de tarjetas inteligentes a ChromeOS.
Las aplicaciones de middleware también implementan una funcionalidad de firma mediante solicitudes de PIN. Por ejemplo, CACKey.
Para obtener más información, consulte Deploy smart cards on ChromeOS.
-
Al configurar la autenticación con tarjetas inteligentes en StoreFront, la aplicación Citrix Workspace solicita a ChromeOS que proporcione certificados del cliente en la tarjeta inteligente. ChromeOS presenta los certificados tal y como los recibe de los proveedores. Las solicitudes de PIN hacen referencia a la autenticación.
La aplicación Citrix Workspace tiene una lista aprobada de sistemas operativos permitidos para la autenticación con tarjetas inteligentes. StoreFront 3.6 y versiones posteriores también aprueban ChromeOS. Para versiones anteriores de StoreFront, puede usar un script personalizado para permitir la autenticación con tarjetas inteligentes en ChromeOS. Contacte con la asistencia de Citrix para obtener scripts personalizados.
-
La aplicación Citrix Workspace no controla el flujo de trabajo de la autenticación con tarjetas inteligentes con StoreFront. Sin embargo, en algunos casos, StoreFront puede solicitarle que cierre el explorador web para borrar las cookies.
Para borrar todas las cookies y cargar de nuevo la URL del almacén, haga clic en el botón de recarga de la aplicación Citrix Workspace para ChromeOS.
En ocasiones, para borrar las cookies, puede cerrar sesión en el dispositivo ChromeOS.
-
Al intentar iniciar una sesión de aplicación o escritorio, la aplicación Citrix Workspace no usa la redirección de tarjetas inteligentes. En su lugar, interactúa con la aplicación conectora de tarjetas inteligentes para las API de PC/SC lite.
Las solicitudes de PIN necesarias para iniciar sesión en Windows aparecen en la sesión. En este caso, los proveedores de certificados no tienen ningún rol. La aplicación Citrix Workspace administra las actividades de la sesión, como el doble salto o la firma de correos electrónicos.
Limitaciones de las tarjetas inteligentes
- Al extraer la tarjeta inteligente del dispositivo ChromeOS, el certificado de la tarjeta inteligente se almacena en la caché. Este comportamiento es un problema conocido de Google Chrome. Reinicie el dispositivo ChromeOS para borrar la caché.
- Al reempaquetar la aplicación Citrix Workspace para ChromeOS, como administrador, obtenga la aprobación de appID por parte de Google. Con ello, se confirma que la aplicación conectora de tarjetas inteligentes puede acceder.
- Solo se admite un lector de tarjeta inteligente a la vez.
- No se admiten tarjetas inteligentes virtuales ni tarjetas inteligentes rápidas.
- Las tarjetas inteligentes no se admiten en Citrix Workspace (nube).
Para configurar la compatibilidad con tarjetas inteligentes en el dispositivo ChromeOS
-
Instale la aplicación de conector de tarjeta inteligente. La aplicación de tarjeta inteligente es necesaria para la compatibilidad con Personal Computer Smart Card (PCSC) en el dispositivo ChromeOS. Esta aplicación lee la tarjeta inteligente mediante la interfaz USB. Esta aplicación puede instalarse desde el sitio Web de Chrome.
-
Instale la aplicación de middleware. Se necesita una aplicación de middleware como interfaz que se comunique con la tarjeta inteligente y los demás certificados de cliente. Por ejemplo, Charismathics o CACKey:
-
Para instalar la extensión de tarjeta inteligente de Charismathics o CACKey, consulte las instrucciones descritas en el sitio web de Chrome.
-
Para obtener más información sobre las aplicaciones de middleware y la autenticación con tarjeta inteligente, consulte el sitio de asistencia técnica de Google.
-
-
Configure la autenticación con tarjeta inteligente mediante:
- Citrix Gateway
- Consola de administración de StoreFront
Para obtener información, consulte Configuring Smart Card Authentication y Configurar el servicio de autenticación en la documentación de Citrix Gateway.
Autenticación SAML
Para configurar Single Sign-On:
-
Configure el proveedor de identidades (IdP) de terceros para la autenticación SAML si todavía no lo tiene configurado. Por ejemplo, ADFS 2.0.
Para obtener más información, consulte el artículo de Knowledge Center CTX133919.
-
Configure Single Sign-On con Google Apps mediante el proveedor de identidades de SAML. La configuración permite a los usuarios aplicar una identidad de terceros para usar aplicaciones de Google en lugar de la cuenta de Google Enterprise.
Para obtener más información, consulte Set-up single sign-on for managed Google Accounts using third-party Identity providers en la asistencia técnica de Google.
-
Configure los dispositivos Chrome para que inicien sesión a través del IdP de SAML. La configuración permite a los usuarios iniciar sesión en dispositivos Chrome con un proveedor de identidad de terceros.
Para obtener más información, consulte Configure SAML Single Sign-On for Chrome devices en Google Support.
-
Configure Citrix Gateway para que inicie sesión a través del IdP de SAML. La configuración permite a los usuarios iniciar sesión en Citrix Gateway mediante un proveedor de identidades de terceros.
Para obtener más información, consulte Configuración de la autenticación SAML.
-
Configure Citrix Virtual Apps and Desktops para la autenticación federada con el fin iniciar sesión en sesiones de Citrix Virtual Apps and Desktops mediante certificados generados dinámicamente. Puede hacerlo después del proceso de inicio de sesión de SAML en lugar de escribir las combinaciones de nombre de usuario y contraseña.
Para obtener más información, consulte Servicio de autenticación federada.
Para lograr el SSO para aplicaciones y escritorios virtuales, debe implementar un Servicio de autenticación federada (FAS).
Nota:
Sin FAS, se le pedirán el nombre de usuario y la contraseña de Active Directory. Para obtener más información, consulte Habilitar Single Sign-On para espacios de trabajo con el Servicio de autenticación federada de Citrix.
-
Instale y configure la extensión SAML SSO para la aplicación Chrome en los dispositivos Chrome. Para obtener más información, consulte este sitio web de Google. Esta extensión obtiene cookies de SAML del explorador web y las suministra la aplicación Citrix Workspace. Esta extensión tiene que estar configurada con la siguiente directiva para permitir que Citrix Workspace obtenga las cookies de SAML:
Si reempaqueta la aplicación Citrix Workspace para ChromeOS, cambie el valor de appId correctamente. Luego, cambie el dominio por el dominio del proveedor de identidades de SAML de su empresa.
{ "whitelist" : { "Value" : [ { "appId" : "haiffjcadagjlijoggckpgfnoeiflnem", "domain" : "saml.yourcompany.com" } ] } } <!--NeedCopy-->
-
Configure Citrix Workspace para usar Citrix Gateway configurado para el inicio de sesión SAML. La configuración permite a los usuarios usar Citrix Gateway configurado para el inicio de sesión SAML. Para obtener más información sobre la configuración de ChromeOS, consulte el artículo CTX141844 de Knowledge Center.