Citrix Gateway

Configurar la autenticación con tarjeta inteligente

Puede configurar Citrix Gateway para que utilice una tarjeta inteligente criptográfica para autenticar a los usuarios.

Para configurar una tarjeta inteligente para que funcione con Citrix Gateway, debe hacer lo siguiente:

  • Cree una directiva de autenticación de certificados. Para obtener más información, consulte Configuración de la autenticación con certificados del cliente.
  • Enlazar la directiva de autenticación a un servidor virtual.
  • Agregue el certificado raíz de la entidad emisora de certificados (CA) que emite los certificados de cliente a Citrix Gateway. Para obtener más información, consulte Para instalar un certificado raíz en Citrix Gateway.

    Importante: Al agregar el certificado raíz al servidor virtual para la autenticación con tarjeta inteligente, debe seleccionar el certificado en el cuadro desplegable Seleccionar certificado de CA, como se muestra en la figura siguiente. Imagen 1. Agregar un certificado raíz para la autenticación de tarjeta inteligente

    Imagen localizada

Después de crear el certificado de cliente, puede escribir el certificado, conocido como flash, en la tarjeta inteligente. Cuando complete ese paso, puede probar la tarjeta inteligente.

Si configura la Interfaz Web para la autenticación de paso a través de tarjeta inteligente, si existe alguna de las siguientes condiciones, se producirá un error de inicio de sesión único en la Interfaz Web:

  • Si establece el dominio en la ficha Aplicaciones publicadas como mydomain.com en lugar mydomain.
  • Si no establece el nombre de dominio en la ficha Aplicaciones publicadas y ejecuta el comando wi-sso-split-upn estableciendo el valor en 1. En este caso, UserPrincipalName contiene el nombre de dominio “midominio.com. “

Puede utilizar la autenticación con tarjeta inteligente para optimizar el proceso de inicio de sesión de los usuarios, al tiempo que mejora la seguridad del acceso de los usuarios a la infraestructura. El acceso a la red corporativa interna está protegido por la autenticación de dos fases basada en un certificado con infraestructura de clave pública. Las claves privadas están protegidas por controles de hardware y nunca salen de la tarjeta inteligente. Los usuarios obtienen la comodidad de acceder a sus escritorios y aplicaciones desde una serie de dispositivos de la empresa con sus tarjetas inteligentes y sus PIN.

Puede usar tarjetas inteligentes para la autenticación de usuarios a través de StoreFront en los escritorios y las aplicaciones que proporcionan Citrix Virtual Apps and Desktops. Los usuarios de tarjetas inteligentes que inician sesión en StoreFront también pueden acceder a las aplicaciones proporcionadas por Citrix Endpoint Management. Sin embargo, los usuarios deben autenticarse de nuevo para acceder a las aplicaciones web de Endpoint Management que utilizan la autenticación de certificados de cliente.

Para obtener más información, consulte Configurar la autenticación con tarjeta inteligente en la documentación de StoreFront.

Configuración de la autenticación de tarjeta inteligente con conexiones seguras ICA

Los usuarios que inician sesión y establecen una conexión ICA segura mediante una tarjeta inteligente con inicio de sesión único configurado en Citrix Gateway pueden recibir solicitudes de su número de identificación personal (PIN) en dos momentos diferentes: Al iniciar sesión y al intentar iniciar un recurso publicado. Esta situación se produce si el explorador web y la aplicación Citrix Workspace utilizan el mismo servidor virtual que está configurado para utilizar certificados de cliente. La aplicación Citrix Workspace no comparte un proceso o una conexión SSL (Secure Sockets Layer) con el explorador web. Por lo tanto, cuando la conexión ICA completa el protocolo de enlace SSL con Citrix Gateway, se requiere el certificado de cliente por segunda vez.

Para evitar que los usuarios reciban el segundo mensaje de PIN, debe cambiar dos configuraciones:

  • La autenticación de cliente en el servidor virtual VPN debe estar inhabilitada.
  • La renegociación SSL debe estar habilitada.

Después de configurar el servidor virtual, vincule uno o más servidores STA al servidor virtual, como se describe en Configurar la configuración de Citrix Gateway en la Interfaz Web 5.3.

También es posible que quiera probar la autenticación con tarjeta inteligente.

Para inhabilitar la autenticación de cliente:

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway y, a continuación, haga clic en Servidores virtuales.
  2. Seleccione el servidor virtual pertinente en el panel de detalles principal y, a continuación, haga clic en Modificar.
  3. En el panel Opciones avanzadas, haga clic en Parámetros SSL.
  4. Desactive la casilla de verificación Autenticación de cliente.
  5. Haga clic en Done.

Para habilitar la renegociación SSL:

  1. Con la utilidad de configuración, desde la ficha Configuración, desplácese hasta Administración del tráfico y, a continuación, haga clic en SSL.
  2. En el panel principal, haga clic en Cambiar configuración avanzada de SSL.
  3. En el menú Denegar renegociación SSL, seleccione NO.

Para probar la autenticación de tarjeta inteligente:

  1. Conecte la tarjeta inteligente al dispositivo del usuario.
  2. Abra su explorador web e inicie sesión en Citrix Gateway.
Configurar la autenticación con tarjeta inteligente