Citrix Virtual Apps and Desktops

Smart card

Le smart card e le tecnologie equivalenti sono supportate nell’ambito delle linee guida descritte in questo articolo. Per utilizzare smart card con Citrix Virtual Apps o Citrix Virtual Desktops:

  • Avere chiari i criteri di sicurezza dell’organizzazione relativi all’utilizzo delle smart card. Tali criteri potrebbero, ad esempio, indicare come vengono emesse le smart card e come devono proteggerle gli utenti. Alcuni aspetti di questi criteri potrebbero dover essere rivalutati in un ambiente Citrix Virtual Apps o Citrix Virtual Desktops.
  • Determinare quali tipi di dispositivi utente, sistemi operativi e applicazioni pubblicate devono essere utilizzati con le smart card.
  • Prendere dimestichezza con la tecnologia smart card e l’hardware e il software del fornitore di smart card prescelto.
  • Sapere come distribuire i certificati digitali in un ambiente distribuito.

Nota:

La registrazione con smart card non è supportata con smart card veloci. La registrazione di smart card potrebbe funzionare quando la smart card veloce è disabilitata, ma questo dipende dal tipo di smart card e middleware. Contattare il fornitore di smart card e middleware per informazioni sulla loro integrazione con Citrix Virtual Apps and Desktops e per ricevere supporto per la registrazione di smart card nelle sessioni virtuali.

Tipi di smart card

Le smart card aziendali e consumer hanno in comune le dimensioni, i connettori elettrici e i lettori.

Le smart card per uso aziendale contengono certificati digitali. Queste smart card supportano l’accesso a Windows e possono essere utilizzate anche con applicazioni per la firma digitale e la crittografia di documenti ed e-mail. Citrix Virtual Apps and Desktops supporta questi utilizzi.

Le smart card per uso consumer non contengono certificati digitali, ma contengono un segreto condiviso. Queste smart card possono supportare i pagamenti (ad esempio una carta di credito con chip che richiede la firma o con chip che richiede un PIN). Non supportano l’accesso a Windows o le tipiche applicazioni Windows. Per l’utilizzo con queste smart card sono necessarie applicazioni Windows specializzate e un’infrastruttura software adatta (inclusa, ad esempio, una connessione a una rete di carte di pagamento). Contattare il rappresentante Citrix per informazioni sul supporto di queste applicazioni specializzate in Citrix Virtual Apps o Citrix Virtual Desktops.

Per le smart card aziendali, esistono equivalenti compatibili che possono essere utilizzati in modo simile.

  • Un token USB equivalente a una smart card si collega direttamente a una porta USB. Questi token USB sono solitamente delle dimensioni di un’unità flash USB, ma possono essere piccoli come una scheda SIM per telefono cellulare. Essi sono visualizzati come la combinazione di una smart card e un lettore di smart card USB.
  • Una smart card virtuale che utilizza un TPM (Trusted Platform Module) di Windows viene visualizzata come smart card. Queste smart card virtuali sono supportate in Windows 8 e Windows 10, mediante l’app Citrix Workspace (versione minima Citrix Receiver 4.3).
    • Le versioni di Citrix Virtual Apps and Desktops (precedentemente XenApp e XenDesktop) precedenti a XenApp e XenDesktop 7.6 FP3 non supportano le smart card virtuali.
    • Per ulteriori informazioni sulle smart card virtuali, vedere Panoramica delle smart card virtuali.

    Nota: il termine “smart card virtuale” viene utilizzato anche per descrivere un certificato digitale memorizzato nel computer dell’utente. Questi certificati digitali non sono strettamente equivalenti alle smart card.

Il supporto delle smart card Citrix Virtual Apps and Desktops si basa sulle specifiche standard Microsoft Personal Computer/Smart Card (PC/SC). Un requisito minimo è che le smart card e i dispositivi smart card devono essere supportati dal sistema operativo Windows sottostante e devono essere approvati dai Microsoft Windows Hardware Quality Labs (WHQL) per essere utilizzati su computer che eseguono sistemi operativi Windows idonei. Per ulteriori informazioni sulla conformità hardware PC/SC, vedere la documentazione Microsoft. Altri tipi di dispositivi utente possono essere conformi allo standard PS/SC. Per ulteriori informazioni, vedere il programma Citrix Ready.

In genere, è necessario un driver di periferica separato per ogni smart card o equivalente di ciascun fornitore. Tuttavia, se le smart card sono conformi a uno standard come lo standard PIV (Personal Identity Verification) NIST, potrebbe essere possibile utilizzare un singolo driver di periferica per una serie di smart card. Il driver di periferica deve essere installato sia sul dispositivo utente che su Virtual Delivery Agent (VDA). Il driver di periferica viene spesso fornito come parte di un pacchetto middleware smart card disponibile da un partner Citrix; il pacchetto middleware smart card offrirà funzionalità avanzate. Il driver di periferica può anche essere descritto come provider di servizi di crittografia (CSP), Key Storage Provider (KSP) o minidriver.

Le seguenti combinazioni di smart card e middleware per sistemi Windows sono state testate da Citrix come esempi rappresentativi del loro tipo. Tuttavia, è possibile utilizzare anche altre smart card e middleware. Per ulteriori informazioni sulle smart card e sui middleware compatibili con Citrix, vedere http://www.citrix.com/ready.

Middleware Carte abbinate
Gemalto Mini Driver per scheda .NET Gemalto .NET v2+

Per informazioni sull’utilizzo delle smart card con altri tipi di dispositivi, vedere la documentazione dell’app Citrix Workspace relativa a tale dispositivo.

Accesso remoto al PC

Le smart card sono supportate solo per l’accesso remoto ai PC fisici dell’ufficio che eseguono Windows 10, Windows 8 o Windows 7.

Le seguenti smart card sono state testate con Accesso remoto PC:

Middleware Carte abbinate
Minidriver Gemalto .NET Gemalto .NET v2+

Smart card veloce

La smart card veloce è un miglioramento rispetto al reindirizzamento delle smart card HDX PC/SC esistente. Migliora le prestazioni quando le smart card vengono utilizzate in situazioni WAN ad alta latenza.

La smart card veloce è abilitata per impostazione predefinita sui computer host con Windows VDA attualmente supportati. Per disattivare la smart card veloce sul lato host, ad esempio per scopi diagnostici, impostare l’impostazione del Registro di sistema “Disable Cryptographic Redirection” su qualsiasi valore diverso da zero:

HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->

Sul lato client, per abilitare la smart card veloce, includere il parametro ICA SmartCardCryptographicRedirection nel file default.ica del sito StoreFront associato:

[WFClient]
SmartCardCryptographicRedirection=On

Limitazioni:

  • Solo Citrix Receiver per Windows supporta le smart card veloci. Se si configurano smart card veloci nel file default.ica, i Citrix Receiver che non sono per Windows funzionano comunque con il reindirizzamento PC/SC esistente.
  • Gli unici scenari a doppio hop supportati dalle smart card veloci sono ICA > ICA con smart card veloce abilitata su entrambi gli hop. Poiché la smart card veloce non supporta gli scenari ICA > RDP a doppio hop, questi scenari non funzionano.
  • Le smart card veloci non supportano CNG (Cryptography Next Generation). Pertanto, le smart card veloci non supportano le smart card ECC (Elliptic Curve Cryptography).
  • Le smart card veloci supportano solo operazioni di contenitori di chiavi di sola lettura.
  • La smart card veloce non supporta la modifica del PIN della smart card.

Tipi di lettori di smart card

Un lettore di smart card può essere integrato nel dispositivo utente o essere collegato al dispositivo utente a parte (in genere tramite USB o Bluetooth). Sono supportati lettori di schede contatto conformi alle specifiche Chip/Smart Card Interface Devices (CCID) USB. Contengono uno slot o un dispositivo di scorrimento in cui l’utente inserisce la smart card. Lo standard Deutsche Kreditwirtschaft (DK) definisce quattro classi di lettori di schede contatto.

  • I lettori di smart card di classe 1 sono i più comuni e di solito contengono solo uno slot. I lettori di smart card di classe 1 sono supportati, di solito con un driver di periferica CCID standard fornito con il sistema operativo.
  • I lettori di smart card di classe 2 contengono inoltre un tastierino sicuro a cui non è possibile accedere dal dispositivo utente. I lettori di smart card di classe 2 possono essere integrati in una tastiera con tastierino sicuro integrato. Per i lettori di smart card di classe 2, contattare il rappresentante Citrix; potrebbe essere necessario un driver di periferica specifico per abilitare la funzionalità tastierino sicuro.
  • I lettori di smart card di classe 3 contengono anche un display sicuro. I lettori di smart card di classe 3 non sono supportati.
  • I lettori di smart card di classe 4 contengono anche un modulo di transazione sicuro. I lettori di smart card di classe 4 non sono supportati.

Nota:

La classe del lettore di smart card non è correlata alla classe di periferica USB.

I lettori di smart card devono essere installati con un driver di periferica corrispondente sul dispositivo utente.

Per informazioni sui lettori di smart card supportati, vedere la documentazione dell’app Citrix Workspace in uso. Nella documentazione dell’app Citrix Workspace, le versioni supportate sono in genere elencate in un articolo sulla smart card o nell’articolo sui requisiti di sistema.

Esperienza utente

Il supporto delle smart card è integrato in Citrix Virtual Apps and Desktops, utilizzando uno specifico canale virtuale per smart card ICA/HDX abilitato per impostazione predefinita.

Importante: non utilizzare il reindirizzamento USB generico per i lettori di smart card. Questa opzione è disattivata per impostazione predefinita per i lettori di smart card e non è supportata se attivata.

È possibile utilizzare più smart card e più lettori sullo stesso dispositivo utente, ma se è in uso l’autenticazione pass-through, è necessario inserire una sola smart card quando l’utente avvia un desktop o un’applicazione virtuale. Quando una smart card viene utilizzata all’interno di un’applicazione (ad esempio, per le funzioni di firma digitale o crittografia), potrebbero essere visualizzate ulteriori richieste di inserire una smart card o immettere un PIN. Ciò può verificarsi se sono state inserite più smart card contemporaneamente.

  • Se viene chiesto agli utenti di inserire una smart card quando la smart card è già presente nel lettore, è necessario selezionare Annulla.
  • Se viene richiesto agli utenti di immettere il PIN, è necessario immetterlo nuovamente.

È possibile reimpostare i PIN utilizzando un sistema di gestione delle schede o un’utilità fornitore.

Importante:

All’interno di una sessione Citrix Virtual Apps o Citrix Virtual Desktops, l’utilizzo di una smart card con l’applicazione Microsoft Remote Desktop Connection non è supportato. Questo è talvolta descritto come uso “doppio hop”.

Prima di distribuire le smart card

  • Ottenere un driver di periferica per il lettore di smart card e installarlo sul dispositivo utente. Molti lettori di smart card possono utilizzare il driver di periferica CCID fornito da Microsoft.
  • Ottenere un driver di dispositivo e un software CSP (provider di servizi di crittografia) dal fornitore di smart card e installarli su dispositivi utente e desktop virtuali. Il driver e il software CSP devono essere compatibili con Citrix Virtual Apps and Desktops; controllare la documentazione del fornitore per verificare la compatibilità. Per i desktop virtuali che utilizzano smart card che supportano e utilizzano il modello minidriver, i minidriver smart card dovrebbero scaricarsi automaticamente, ma è possibile ottenerli da http://catalog.update.microsoft.com o dal proprio fornitore. Inoltre, se è richiesto il middleware PKCS#11, ottenerlo dal fornitore della scheda.
  • Importante: Citrix consiglia di installare e testare i driver e il software CSP su un computer fisico prima di installare il software Citrix.
  • Aggiungere Citrix Receiver per URL Web all’elenco Siti attendibili per gli utenti che utilizzano smart card in Internet Explorer con Windows 10. In Windows 10, Internet Explorer non viene eseguito in modalità protetta per impostazione predefinita per i siti attendibili.
  • Assicurarsi che l’infrastruttura a chiave pubblica (PKI) sia configurata in modo appropriato. Ciò include la verifica che il mapping dal certificato all’account sia configurato correttamente per l’ambiente Active Directory e che la convalida del certificato utente possa essere eseguita correttamente.
  • Assicurarsi che la distribuzione soddisfi i requisiti di sistema degli altri componenti Citrix utilizzati con le smart card, tra cui Citrix Workspace app e StoreFront.
  • Assicurare l’accesso nel proprio sito ai seguenti server:
    • Il controller di dominio Active Directory per l’account utente associato a un certificato di accesso sulla smart card
    • Delivery Controller
    • Citrix StoreFront
    • Citrix Gateway/Citrix Access Gateway 10.x
    • VDA
    • (Facoltativo per l’accesso remoto al PC): Microsoft Exchange Server

Abilitare l’uso delle smart card

Passaggio 1. Rilasciare smart card agli utenti in base ai criteri di emissione della carta.

Passaggio 2. (Facoltativo) Impostare le smart card per consentire agli utenti l’accesso remoto al PC.

Passaggio 3. Installare e configurare il Delivery Controller e StoreFront (se non è già installato) per la comunicazione remota delle smart card.

Passaggio 4. Abilitare StoreFront per l’utilizzo di smart card. Per ulteriori informazioni, vedere Configurare l’autenticazione smart card nella documentazione di StoreFront.

Passaggio 5. Abilitare Citrix Gateway/Access Gateway per l’utilizzo delle smart card. Per ulteriori informazioni, vedere Configuring Authentication and Authorization (Configurare l’autenticazione e l’autorizzazione) e Configuring Smart Card Access with the Web Interface (Configurare l’accesso alle smart card con l’interfaccia Web) nella documentazione di NetScaler.

Passaggio 6. Abilitare i VDA per l’utilizzo di smart card.

  • Assicurarsi che il VDA disponga delle applicazioni e degli aggiornamenti necessari.
  • Installare il middleware.
  • Configurare la comunicazione remota delle smart card, consentendo la comunicazione dei dati delle smart card tra l’app Citrix Workspace su un dispositivo utente e una sessione desktop virtuale.

Passaggio 7. Abilitare i dispositivi utente (incluse le macchine aggiunte a un dominio o non aggiunte a un dominio) per l’utilizzo delle smart card. Per ulteriori informazioni, vedere Configure smart card authentication (Configurare l’autenticazione smart card) nella documentazione di StoreFront.

  • Importare il certificato radice dell’autorità di certificazione e il certificato dell’autorità di certificazione emittente nel keystore del dispositivo.
  • Installare il middleware delle smart card del fornitore.
  • Installare e configurare l’app Citrix Workspace per Windows, assicurandosi di importare icaclient.adm utilizzando la Console Gestione Criteri di gruppo e abilitare l’autenticazione smart card.

Passaggio 8. Testare la distribuzione. Assicurarsi che la distribuzione sia configurata correttamente avviando un desktop virtuale con la smart card di un utente di prova. Verificare tutti i possibili meccanismi di accesso (ad esempio, l’accesso al desktop tramite Internet Explorer e l’app Citrix Workspace).

Tenere traccia del numero di inserimenti del lettore di smart card

Con la comunicazione remota mediante smart card, è possibile utilizzare la funzione SCardGetStatusChange per tenere traccia del numero di volte in cui una smart card è stata inserita o rimossa da un lettore. La funzione aggiorna una serie di strutture dati SCARD_READERSTATE, una per ogni lettore monitorato. La parola alta (16 bit) del campo dwEventState di ogni SCARD_READERSTATE contiene il numero di lettori. Per ulteriori informazioni, vedere gli articoli Microsoft SCardGetStatusChangeA function e SCARD_READERSTATEA structure.

L’impostazione Reader Insert Count Reporting (Report conteggio inserimenti lettore) è disattivata per impostazione predefinita. Per attivare il tracciamento, aggiungere la seguente chiave del Registro di sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard

Nome: EnableReaderInsertCountReporting

Tipo: DWORD

Valore: qualsiasi valore diverso da zero

Quando la sessione si disconnette, il conteggio viene ripristinato a zero.

Reader Insert Count Reporting (Report conteggio inserimenti lettore) è compatibile con il middleware smart card di terze parti.

Smart card