Autenticación
A partir de la aplicación Citrix Workspace 2012, puede ver el cuadro de diálogo de autenticación dentro de la aplicación Citrix Workspace y los detalles del almacén en la pantalla de inicio de sesión. Esta mejora ofrece una mejor experiencia de usuario.
Los tokens de autenticación se cifran y se almacenan para que no tenga que introducir credenciales de nuevo cuando se reinicie el sistema o la sesión.
Nota:
Esta mejora de la autenticación solo se aplica a implementaciones en la nube.
Requisito previo:
Instale la biblioteca libsecret
.
Esta función está habilitada de manera predeterminada.
Storebrowse
Mejora de la autenticación para A partir de la versión 2205, el cuadro de diálogo de autenticación está presente en la aplicación Citrix Workspace, y los detalles del almacén se muestran en la pantalla de inicio de sesión para mejorar la experiencia de usuario. Los tokens de autenticación se cifran y se almacenan para que no tenga que introducir credenciales de nuevo cuando se reinicie el sistema o la sesión.
La mejora de la autenticación permite usar storebrowse
para estas operaciones:
-
Storebrowse -E
: Muestra los recursos disponibles. -
Storebrowse -L
: Inicia una conexión con un recurso publicado. -
Storebrowse -S
: Enumera los recursos suscritos. -
Storebrowse -T
: Cierra todas las sesiones del almacén especificado. -
Storebrowse -Wr
: Conecta de nuevo las sesiones desconectadas, pero todavía activas, del almacén especificado. La opción [r] conecta de nuevo todas las sesiones desconectadas. -
storebrowse -WR
: Conecta de nuevo las sesiones desconectadas, pero todavía activas, del almacén especificado. La opción [R] conecta de nuevo todas las sesiones activas y desconectadas. -
Storebrowse -s
: Suscribe el recurso especificado de un almacén. -
Storebrowse -u
: Cancela la suscripción del recurso especificado de un almacén. -
Storebrowse -q
: Inicia una aplicación mediante la URL directa. Este comando solo funciona para almacenes de StoreFront.
Nota:
- Puede seguir usando los comandos de
storebrowse
restantes como se usaban antes (con AuthManagerDaemon).- La mejora de la autenticación solo se aplica a las implementaciones de la nube.
- Con esta mejora, está disponible la función de inicio de sesión persistente.
Compatibilidad con más de 200 grupos en Azure AD
A partir de la versión 2305, un usuario de Azure AD que forme parte de más de 200 grupos puede ver las aplicaciones y escritorios que tiene asignados. Anteriormente, el mismo usuario no podía ver estas aplicaciones y escritorios.
Para habilitar esta función, lleve a cabo lo siguiente:
-
Vaya a $ICAROOT/config/AuthManConfig.xml y agregue las siguientes entradas:
<compressedGroupsEnabled>true</compressedGroupsEnabled> <!--NeedCopy-->
Nota:
Para habilitar esta función, los usuarios deben cerrar sesión en la aplicación Citrix Workspace e iniciarla de nuevo.
Mejora de la autenticación para la configuración de Storebrowse
De forma predeterminada, la función de mejora de la autenticación está inhabilitada.
Si gnome-keyring no está disponible, el token se almacena en la memoria del proceso de autoservicio.
Para forzar el almacenamiento del token en la memoria, siga estos pasos para inhabilitar gnome-keyring:
- Vaya a
/opt/Citrix/ICAClient/config/AuthmanConfig.xml
. -
Agregue la siguiente entrada:
<GnomeKeyringDisabled>true</GnomeKeyringDisabled> <!--NeedCopy-->
Tarjeta inteligente
Para configurar la compatibilidad con tarjetas inteligentes en la aplicación Citrix Workspace para Linux, debe configurar el servidor de StoreFronta través de la consola de StoreFront.
La aplicación Citrix Workspace admite lectores de tarjetas inteligentes compatibles con los controladores PCSC-Lite y PKCS #11. Ahora, la aplicación Citrix Workspace busca opensc-pkcs11.so
en una de las ubicaciones estándares de forma predeterminada.
La aplicación Citrix Workspace puede encontrar opensc-pkcs11.so
en una ubicación no estándar u otro controlador de PKCS\#11
. Puede almacenar la ubicación respectiva mediante este procedimiento:
- Busque el archivo de configuración:
$ICAROOT/config/AuthManConfig.xml
. -
Busque la línea <key>PKCS11module</key> y agregue la ubicación del controlador al elemento <value> que hay justo después de la línea.
Nota:
Si indica un nombre de archivo para la ubicación del controlador, la aplicación Citrix Workspace va a ese archivo en el directorio
$ICAROOT/PKCS\ #11
. También puede usar una ruta absoluta que comience por “/”.
Después de extraer una tarjeta inteligente, debe configurar el comportamiento de la aplicación Citrix Workspace. Para ello, siga estos pasos para actualizar SmartCardRemovalAction
:
- Busque el archivo de configuración:
$ICAROOT/config/AuthManConfig.xml
. - Busque la línea <key>SmartCardRemovalAction</key> y agregue
noaction
oforcelogoff
al elemento <value> que hay justo después de la línea.
El comportamiento predeterminado es noaction
. No se realiza ninguna acción para borrar las credenciales almacenadas y los tokens generados al extraer la tarjeta inteligente.
La acción forcelogoff
borra todas las credenciales y todos los tokens que hubiera en StoreFront al extraer la tarjeta inteligente.
Limitación:
- Es posible que no se puedan iniciar sesiones de VDA de servidor mediante la autenticación con tarjeta inteligente en el caso de una tarjeta inteligente con varios usuarios. [HDX-44255]
Habilitar la compatibilidad con tarjetas inteligentes
La aplicación Citrix Workspace admite varios lectores de tarjetas inteligentes si la tarjeta inteligente está habilitada tanto en el servidor como en la aplicación Citrix Workspace.
Puede usar tarjetas inteligentes con estos fines:
- Autenticación de inicio de sesión con tarjeta inteligente: Le autentica en servidores de Citrix Virtual Apps and Desktops o Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service).
- Compatibilidad con aplicaciones de tarjetas inteligente: Permite que las aplicaciones publicadas compatibles con tarjetas inteligentes puedan acceder a dispositivos de tarjetas inteligentes locales.
Los datos de la tarjeta inteligente contienen información confidencial de seguridad, y deben transmitirse a través de un canal autenticado y seguro, como TLS.
La compatibilidad con tarjetas inteligentes tiene los siguientes requisitos previos:
- Sus lectores de tarjetas inteligentes y aplicaciones publicadas deben ser compatibles con el estándar de la industria PC/SC.
- Instale el controlador apropiado para su tarjeta inteligente.
- Instale el paquete PC/SC Lite.
- Debe instalar y ejecutar el demonio
pcscd
, lo que proporciona al middleware acceso mediante PC/SC a las tarjetas inteligentes. - En un sistema de 64 bits, las versiones de 32 y 64 bits del paquete “libpscslite1” deben estar presentes.
Para obtener más información sobre cómo configurar la compatibilidad con tarjetas inteligentes en los servidores, consulte Tarjetas inteligentes en la documentación de Citrix Virtual Apps and Desktops.
Mejora en la compatibilidad con tarjetas inteligentes
A partir de la versión 2112, la aplicación Citrix Workspace admite la funcionalidad Plug and Play para el lector de tarjetas inteligentes.
Al insertar una tarjeta inteligente, el lector de tarjetas inteligentes detecta la tarjeta inteligente en el servidor y en el cliente.
Puede conectar y usar directamente distintas tarjetas al mismo tiempo, y todas se detectan.
Requisitos previos:
Instale la biblioteca libpcscd
en el cliente Linux.
Nota:
Es posible que esta biblioteca se instale de forma predeterminada en las versiones recientes de la mayoría de las distribuciones de Linux. Sin embargo, es posible que deba instalar la biblioteca
libpcscd
en versiones anteriores de algunas distribuciones de Linux, como Ubuntu 1604.
Para inhabilitar esta mejora:
- Vaya a la carpeta
<ICAROOT>/config/module.ini
. - Vaya a la sección
SmartCard
. - Configure esta opción:
DriverName=VDSCARD.DLL
.
Compatibilidad con nuevas tarjetas PIV
A partir de la versión 2303, la aplicación Citrix Workspace admite estas tarjetas nuevas de verificación de identificación personal (PIV):
- Tarjeta inteligente IDEMIA de nueva generación
- Tarjeta inteligente TicTok de DELL
Optimización del rendimiento del controlador de tarjetas inteligentes
La versión 2303 de la aplicación Citrix Workspace incluye correcciones y optimizaciones relacionadas con el rendimiento para el controlador de tarjetas inteligentes VDSCARDV2.DLL
. Estas mejoras ayudan a superar a la versión 1 VDSCARD.DLL
.
Compatibilidad con autenticación de varios factores (nFactor)
La autenticación de varios factores mejora la seguridad de las aplicaciones porque requiere que los usuarios proporcionen pruebas de identificación adicionales para obtener acceso.
La autenticación de varios factores hace que el administrador pueda configurar los pasos de autenticación y los formularios de recopilación de credenciales asociados.
La aplicación Citrix Workspace nativa admite este protocolo a partir de la funcionalidad de formularios de inicio de sesión ya implementada para StoreFront. Las páginas de inicio de sesión web de los servidores virtuales de Citrix Gateway y Traffic Manager también usa n este protocolo.
Para obtener más información, consulte SAML authentication y Multi-Factor (nFactor) authentication en la documentación de Citrix ADC.
Compatibilidad con la autenticación mediante FIDO2 en sesiones HDX
A partir de la versión 2303, puede autenticarse dentro de una sesión HDX mediante claves de seguridad FIDO2 sin contraseña. Las claves de seguridad FIDO2 ofrecen un modo intuitivo de autenticación para empleados corporativos en aplicaciones o escritorios compatibles con FIDO2 sin necesidad de introducir un nombre de usuario o una contraseña. Para obtener más información sobre FIDO2, consulte Autenticación FIDO2.
Nota:
Si usa el dispositivo FIDO2 mediante la redirección de USB, quite la regla de redirección de USB de su dispositivo FIDO2. Puede acceder a esta regla desde el archivo
usb.conf
en la carpeta$ICAROOT/
. Esta actualización le ayuda a cambiar al canal virtual FIDO2.
De forma predeterminada, la autenticación FIDO2 está inhabilitada. Para habilitar la autenticación FIDO2, haga lo siguiente:
- Vaya al archivo
<ICAROOT>/config/module.ini
. - Vaya a la sección
ICA 3.0
. - Defina
FIDO2= On
.
Esta función admite actualmente autenticadores móviles (solo USB) con código PIN y funciones táctiles. Puede configurar la autenticación basada en claves de seguridad FIDO2. Para obtener información sobre los requisitos previos y el uso de esta función, consulte Autorización local y autenticación virtual mediante FIDO2.
Al acceder a una aplicación o un sitio web que admite FIDO2, aparece un mensaje que solicita acceso a la clave de seguridad. Si ya ha registrado su clave de seguridad con un PIN, debe introducir el PIN al iniciar sesión. El PIN puede tener un mínimo de 4 y un máximo de 64 caracteres.
Si ya registró su clave de seguridad sin un PIN, solo tiene que tocar la clave de seguridad para iniciar sesión.
Limitación:
Es posible que no pueda registrar el segundo dispositivo en una misma cuenta mediante la autenticación FIDO2.
Compatibilidad con varias claves de acceso en una sesión HDX
Anteriormente, cuando había varias claves de acceso asociadas a una clave de seguridad o un dispositivo FIDO2, no tenía la opción de seleccionar una clave de paso adecuada. De forma predeterminada, se utilizó la primera clave de paso para la autenticación.
A partir de la versión 2405, puede seleccionar una clave de paso adecuada en la interfaz de usuario de la aplicación Citrix Workspace. Esta función está habilitada de manera predeterminada. Cuando hay varias claves de acceso, de forma predeterminada se selecciona la primera. No obstante, puede seleccionar la clave de paso adecuada de la siguiente manera:
Función de autenticación mediante FIDO2 al conectarse a almacenes locales
A partir de la aplicación Citrix Workspace para Linux versión 2309, los usuarios pueden autenticarse mediante claves de seguridad FIDO2 sin contraseña al iniciar sesión en almacenes locales. Las claves de seguridad admiten diferentes tipos de entradas, como números PIN, datos biométricos, lectura de tarjetas magnéticas, tarjetas inteligentes, certificados de clave pública, etc. Para obtener más información sobre FIDO2, consulte Autenticación FIDO2.
La aplicación Citrix Workspace usa Citrix Enterprise Browser como explorador predeterminado para la autenticación FIDO2. Los administradores pueden configurar el tipo de explorador para la autenticación en la aplicación Citrix Workspace.
Para habilitar la función, vaya a $ICAROOT/config/AuthManConfig.xml
y agregue estas entradas:
<key>FIDO2Enabled</key>
<value>true</value>
<!--NeedCopy-->
Para modificar el explorador predeterminado, vaya a $ICAROOT/config/AuthManConfig.xml
y modifique la configuración del explorador según sea necesario. Los valores posibles son CEB
, chromium
, firefox
y chromium-browser
.
<FIDO2AuthBrowser>CEB</FIDO2AuthBrowser>
<!--NeedCopy-->
Compatibilidad con autenticación mediante FIDO2 al conectarse a almacenes de la nube
A partir de la aplicación Citrix Workspace para Linux versión 2405, los usuarios pueden autenticarse mediante claves de seguridad FIDO2 sin contraseña al iniciar sesión en almacenes de la nube. Las claves de seguridad admiten diferentes tipos de entradas, como números PIN, datos biométricos, lectura de tarjetas magnéticas, tarjetas inteligentes, certificados de clave pública, etc. Para obtener más información, consulte Autenticación FIDO2.
La aplicación Citrix Workspace usa Citrix Enterprise Browser como explorador predeterminado para la autenticación FIDO2. Los administradores pueden configurar el tipo de explorador para la autenticación en la aplicación Citrix Workspace.
Para habilitar la función, vaya a $ICAROOT/config/AuthManConfig.xml
y agregue estas entradas:
<key>FIDO2Enabled</key>
<value>true</value>
<!--NeedCopy-->
Para modificar el explorador predeterminado, vaya a $ICAROOT/config/AuthManConfig.xml
y modifique la configuración del explorador según sea necesario. Los valores posibles son CEB, chromium, firefox y chromium-browser.
<FIDO2AuthBrowser>CEB</FIDO2AuthBrowser>
<!--NeedCopy-->
Con GACS, configure la autenticación FIDO2
Para habilitar la autenticación FIDO2 para la URL del almacén mediante GACS, siga estos pasos:
-
Inicie sesión en Citrix Cloud.
-
En la esquina superior izquierda, haga clic en el icono de hamburguesa, en Configuración de Workspace y, a continuación, en Configuración de aplicaciones.
-
Haga clic en Workspace y, a continuación, en el botón Configurar .
-
Haga clic en Seguridad y autenticación y, a continuación, en Autenticación.
-
Haga clic en Autenticación FIDO2, seleccione la casilla Linux y, a continuación, cambie la opción a Habilitado.
-
Haga clic en Publicar borrador.
Autenticación personalizada
En la tabla siguiente se proporciona una referencia a la autenticación personalizada disponible para la aplicación Citrix Workspace:
Comando | SDK | Tipo de autenticación | Bibliotecas usa das | Binarios | Detección del tipo de autenticación |
---|---|---|---|---|---|
Conexión rápida | SDK de inserción de credenciales | Nombre de usuario/contraseña/tarjeta inteligente/PassThrough de dominio | libCredInject.so | cis |
Parámetros: usa dos por integraciones de autenticadores de terceros |
Cuadro de diálogo personalizado | SDK de optimización de plataformas | Nombre de usuario/contraseña/tarjeta inteligente | UIDialogLib.so y UIDialogLibWebKit3.so | No | Detección automática: usa da por socios con clientes ligeros |
Storebrowse |
Aplicación Citrix Workspace | Nombre de usuario/contraseña | No | Storebrowse |
Parámetros |