Autenticación con tarjeta inteligente
Los usuarios realizan la autenticación con tarjetas inteligentes y PIN cuando acceden a los almacenes. Al instalar StoreFront, la autenticación con tarjeta inteligente se inhabilita de forma predeterminada. La autenticación con tarjeta inteligente puede habilitarse para los usuarios que se conectan a los almacenes a través de la aplicación Citrix Workspace, exploradores web y las direcciones URL de XenApp Services.
Use la autenticación con tarjeta inteligente para agilizar el proceso de inicio de sesión para sus usuarios y al mismo tiempo mejorar la seguridad del acceso de los usuarios a su infraestructura. El acceso a la red corporativa interna está protegido por la autenticación de dos factores basada en un certificado con infraestructura de clave pública. Las claves privadas están protegidas por controles de hardware y nunca salen de la tarjeta inteligente. Los usuarios obtienen la comodidad de acceder a sus escritorios y aplicaciones desde una serie de dispositivos de la empresa con sus tarjetas inteligentes y sus PIN.
Puede usar tarjetas inteligentes para la autenticación de usuarios a través de StoreFront en los escritorios y las aplicaciones que proporcionan Citrix Virtual Apps and Desktops. Los usuarios de tarjetas inteligentes que inician sesión en StoreFront también pueden acceder a las aplicaciones proporcionadas por Endpoint Management. No obstante, los usuarios deben volver a autenticarse para acceder a las aplicaciones web de Endpoint Management que usan la autenticación de certificados del cliente.
Para habilitar la autenticación con tarjeta inteligente, las cuentas de los usuarios deben configurarse ya sea en el dominio de Microsoft Active Directory que contiene los servidores de StoreFront, o bien, en un dominio que tenga una relación de confianza bidireccional directa con el dominio del servidor de StoreFront. Se admiten las implementaciones multibosque de confianza bidireccional.
La configuración de la autenticación con tarjeta inteligente para StoreFront depende de los dispositivos del usuario, de los clientes instalados y de si los dispositivos están unidos a un dominio o no. En este contexto, la unión a un dominio se refiere a dispositivos que se han vinculado a un dominio del bosque de Active Directory que contiene los servidores de StoreFront.
El documento Configuración de tarjetas inteligentes para entornos Citrix describe cómo configurar un entorno de Citrix para tarjetas inteligentes con un tipo de tarjeta inteligente específico. Para tarjetas inteligentes de otros proveedores hay que seguir un proceso similar.
Requisitos previos
- Asegúrese de que las cuentas de todos los usuarios estén configuradas ya sea en el dominio Microsoft Active Directory en el que planea implementar los servidores de StoreFront, o bien, dentro de un dominio que tenga una relación de confianza bidireccional directa con el dominio del servidor de StoreFront.
- Si tiene pensado habilitar la autenticación PassThrough con tarjeta inteligente, asegúrese de que los tipos de lector de tarjeta inteligente, el tipo y la configuración de middleware y la directiva de almacenamiento en caché de PIN del middleware lo permiten.
- Instale el middleware de la tarjeta inteligente de su proveedor en las máquinas virtuales o físicas con el Virtual Delivery Agent que proporcionan los escritorios y las aplicaciones a los usuarios. Para obtener más información acerca del uso de tarjetas inteligentes con Citrix Virtual Desktops, consulte Tarjetas inteligentes.
- Asegúrese de que la infraestructura de clave pública está configurada correctamente. Compruebe que la asignación de certificados a cuentas está configurada correctamente para el entorno de Active Directory y de que la validación de certificados de usuario puede realizarse correctamente.
Configurar StoreFront
-
Debe utilizar HTTPS para las comunicaciones entre los dispositivos de los usuarios y StoreFront para habilitar la autenticación con tarjeta inteligente. Consulte Proteger StoreFront con HTTPS.
-
Para habilitar la autenticación con tarjeta inteligente al conectarse a un almacén mediante las aplicaciones de Citrix Workspace, en Métodos de autenticación marque o desmarque Tarjeta inteligente.
-
Al habilitar la autenticación con tarjeta inteligente para un almacén de forma predeterminada, también se habilita para todos los sitios web de ese almacén. Puede habilitar o inhabilitar de forma independiente la autenticación con tarjeta inteligente para un sitio web específico en la ficha Métodos de autenticación de Administrar un sitio de Receiver para Web.
-
Si se configura tanto la autenticación con nombre de usuario y contraseña como la autenticación con tarjeta inteligente, primero se solicita a los usuarios que inicien sesión con sus tarjetas inteligentes y sus PIN. En caso de problemas con las tarjetas inteligentes, también tendrán la opción de seleccionar la autenticación explícita.
Configurar Delivery Controller para que confíe en StoreFront
Cuando se utiliza la autenticación con tarjeta inteligente, StoreFront no tiene acceso a las credenciales del usuario, por lo que no puede autenticarse en Citrix Virtual Apps and Desktops. Por lo tanto, debe configurar Delivery Controller para que confíe en las solicitudes de StoreFront. Consulte Consideraciones y prácticas recomendadas de seguridad de Citrix Virtual Apps and Desktops.
Acceso remoto a través de Citrix Gateway
Para el acceso remoto, puede habilitar la tarjeta inteligente en el dispositivo Citrix Gateway y, a continuación, habilitar la autenticación PassThrough en StoreFront con autenticación delegada. Para obtener más información, consulte PassThrough con Gateway.
Para garantizar que los usuarios no reciban una solicitud adicional de credenciales en el servidor virtual cuando se establezcan las conexiones a sus recursos, cree una segunda puerta de enlace e inhabilite la autenticación del cliente en los parámetros de la Capa de sockets seguros (SSL). Para obtener más información, consulte Configurar la autenticación con tarjeta inteligente. Al acceder a StoreFront a través de una puerta de enlace con autenticación con tarjeta inteligente. Configure la redirección óptima de Citrix Gateway a través de este servidor virtual para las conexiones a las implementaciones que proporcionan los escritorios y las aplicaciones del almacén. Para ver más información, consulte Configurar la redirección óptima de HDX Gateway para un almacén.
Single Sign-On en los VDA
Puede habilitar Single Sign-On en los VDA con PassThrough de credenciales con tarjeta inteligente de los usuarios. Se puede acceder al almacén mediante un explorador web o la aplicación Citrix Workspace para Windows, pero el recurso debe abrirse en la aplicación Citrix Workspace para Windows. En otros sistemas operativos o cuando se accede a los recursos mediante un explorador web, los usuarios deben volver a introducir sus credenciales al conectarse a un VDA.
-
Incluya el componente Single Sign-On al instalar Citrix Workspace para Windows y configúrelo para Single Sign-On. Consulte Configurar la autenticación PassThrough de dominio.
-
Use un editor de texto para abrir el archivo default.ica del almacén. Consulte Parámetros ICA predeterminados.
-
Para habilitar la autenticación PassThrough de credenciales con tarjeta inteligente para usuarios que acceden a almacenes sin Citrix Gateway, agregue el siguiente parámetro a la sección [Aplicaciones].
DisableCtrlAltDel=Off
Este parámetro se aplica a todos los usuarios del almacén. Si quiere habilitar tanto la autenticación PassThrough de dominio como la autenticación PassThrough con tarjeta inteligente para acceder a los escritorios y las aplicaciones, debe crear almacenes independientes para cada método de autenticación. A continuación, debe dirigir a los usuarios al almacén adecuado para su método de autenticación.
-
Para habilitar la autenticación PassThrough de credenciales con tarjeta inteligente para usuarios que acceden a almacenes a través de Citrix Gateway, agregue el siguiente parámetro a la sección [Aplicaciones].
UseLocalUserAndPassword=On
Este parámetro se aplica a todos los usuarios del almacén. Si quiere habilitar la autenticación PassThrough para algunos usuarios y requerir que otros inicien sesión para acceder a sus escritorios y aplicaciones, debe crear almacenes independientes para cada grupo de usuarios. A continuación, debe dirigir a los usuarios al almacén adecuado para su método de autenticación.
Single Sign-On en los VDA mediante FAS
Como alternativa, puede configurar el Servicio de autenticación federada para Single Sign-On en los VDA cuando use la aplicación Citrix Workspace instalada localmente, pero no la aplicación Citrix Workspace para HTML5.
Consideraciones importantes
El uso de tarjetas inteligentes para la autenticación de usuarios con StoreFront está sujeto a los siguientes requisitos y restricciones.
-
Para utilizar túneles VPN con la autenticación mediante tarjeta inteligente, los usuarios deben instalar el plug-in de Citrix Gateway, iniciar sesión a través de una página web y utilizar las tarjetas inteligentes y los PIN en cada paso de la autenticación. La autenticación PassThrough en StoreFront con el plug-in de Citrix Gateway no está disponible para los usuarios de tarjetas inteligentes.
-
Se pueden utilizar varias tarjetas inteligentes y varios lectores en el mismo dispositivo de usuario, pero si quiere habilitar la autenticación PassThrough con tarjeta inteligente, los usuarios deben asegurarse de que haya solamente una tarjeta inteligente insertada durante el acceso a un escritorio o aplicación.
-
Cuando se utiliza una tarjeta inteligente dentro de una aplicación (por ejemplo, para las funciones de cifrado o firma digital), es posible que se muestren solicitudes adicionales para insertar una tarjeta inteligente o introducir un PIN. Esto puede suceder cuando se inserta más de una tarjeta inteligente al mismo tiempo. También puede deberse a parámetros de configuración, tales como parámetros de middleware como el caché de PIN, que se configuran generalmente con directivas de grupo. Cuando se solicite la inserción de una tarjeta inteligente y la tarjeta inteligente ya está insertada en el lector, los usuarios deben hacer clic en Cancelar. Si se solicita un PIN, los usuarios deben introducir de nuevo los PIN.
-
Si habilita la autenticación PassThrough con tarjeta inteligente en Citrix Virtual Apps and Desktops para los usuarios de la aplicación Citrix Workspace para Windows con dispositivos unidos a un dominio que no acceden a los almacenes a través de Citrix Gateway, este parámetro se aplica a todos los usuarios del almacén. Si quiere habilitar tanto la autenticación PassThrough de dominio como la autenticación PassThrough con tarjeta inteligente para acceder a los escritorios y las aplicaciones, debe crear almacenes independientes para cada método de autenticación. Los usuarios deben conectarse al almacén adecuado para su método de autenticación.
-
Si habilita la autenticación PassThrough con tarjeta inteligente en Citrix Virtual Apps and Desktops para los usuarios de la aplicación Citrix Workspace para Windows con dispositivos unidos a un dominio que acceden a los almacenes a través de Citrix Gateway, este parámetro se aplica a todos los usuarios del almacén. Si quiere habilitar la autenticación PassThrough para algunos usuarios y solicitar a otros usuarios que inicien sesión en los escritorios y aplicaciones, debe crear almacenes independientes para cada grupo de usuarios. A continuación, debe dirigir a los usuarios al almacén adecuado para su método de autenticación.
-
Solo se puede configurar un método de autenticación para cada dirección URL de XenApp Services, y solo está disponible una dirección URL por almacén. Si quiere habilitar otros tipos de autenticación (además de la autenticación con tarjeta inteligente), debe crear almacenes independientes, cada uno de ellos con una URL de XenApp Services, para cada método de autenticación. A continuación, debe dirigir a los usuarios al almacén adecuado para su método de autenticación.
-
Cuando se instala StoreFront, la configuración predeterminada de Microsoft Internet Information Services (IIS) solo requiere que se presenten certificados del cliente para conexiones HTTPS para la URL de autenticación de certificados del servicio de autenticación de StoreFront. IIS no solicita certificados del cliente para otras direcciones URL de StoreFront. Estas configuraciones le permiten ofrecer a los usuarios de tarjeta inteligente la opción de utilizar la autenticación explícita si tienen problemas con las tarjetas inteligentes. Según la configuración de las directivas de Windows, los usuarios también pueden quitar sus tarjetas inteligentes sin necesidad de volver a autenticarse.
Si decide configurar IIS para solicitar certificados del cliente en caso de conexiones HTTPS a todas las direcciones URL de StoreFront, el servicio de autenticación y los almacenes deben colocarse en el mismo servidor. Debe usar un certificado del cliente válido para todos los almacenes. Con esta configuración de sitio de IIS, los usuarios de tarjetas inteligentes no pueden conectarse a través de Citrix Gateway y no pueden utilizar la autenticación explícita. Los usuarios deben iniciar sesión de nuevo si quitan las tarjetas inteligentes de los dispositivos.