Implementaciones de tarjetas inteligentes
Esta versión del producto y los entornos mixtos que la contienen admiten los siguientes tipos de implementaciones de tarjetas inteligentes. Otras configuraciones podrían funcionar, pero no son compatibles.
| Tipo | Conectividad de StoreFront™ |
|---|---|
| Equipos locales unidos a un dominio | Conectados directamente |
| Acceso remoto desde equipos unidos a un dominio | Conectados a través de Citrix Gateway |
| Equipos no unidos a un dominio | Conectados directamente |
| Acceso remoto desde equipos no unidos a un dominio | Conectados a través de Citrix Gateway |
| Equipos no unidos a un dominio y clientes ligeros que acceden al sitio de Desktop Appliance | Conectados a través de sitios de Desktop Appliance |
| Equipos unidos a un dominio y clientes ligeros que acceden a StoreFront a través de la URL de servicios de XenApp® | Conectado a través de URL de servicios de XenApp |
Los tipos de implementación se definen por las características del dispositivo de usuario al que está conectado el lector de tarjetas inteligentes:
- Si el dispositivo está unido a un dominio o no.
- Cómo se conecta el dispositivo a StoreFront.
- Qué software se utiliza para ver escritorios virtuales y aplicaciones.
Además, en estas implementaciones se pueden utilizar aplicaciones habilitadas para tarjetas inteligentes, como Microsoft Word y Microsoft Excel. Esas aplicaciones permiten a los usuarios firmar o cifrar documentos digitalmente.
Autenticación bimodal
Siempre que sea posible en cada una de estas implementaciones, Receiver admite la autenticación bimodal ofreciendo al usuario la opción de usar una tarjeta inteligente o introducir su nombre de usuario y contraseña. Esto es útil si la tarjeta inteligente no se puede usar (por ejemplo, el usuario la ha olvidado en casa o el certificado de inicio de sesión ha caducado).
Dado que los usuarios de dispositivos no unidos a un dominio inician sesión directamente en Receiver para Windows, puede permitir que los usuarios recurran a la autenticación explícita. Si configura la autenticación bimodal, se les pedirá inicialmente a los usuarios que inicien sesión con sus tarjetas inteligentes y PIN, pero tendrán la opción de seleccionar la autenticación explícita si experimentan algún problema con sus tarjetas inteligentes.
Si implementa Citrix Gateway, los usuarios inician sesión en sus dispositivos y Receiver para Windows les solicita que se autentiquen en Citrix Gateway. Esto se aplica tanto a dispositivos unidos a un dominio como a los que no lo están. Los usuarios pueden iniciar sesión en Citrix Gateway utilizando sus tarjetas inteligentes y PIN, o con credenciales explícitas. Esto le permite proporcionar a los usuarios autenticación bimodal para los inicios de sesión de Citrix Gateway. Configure la autenticación de paso de Citrix Gateway a StoreFront y delegue la validación de credenciales a Citrix Gateway para los usuarios de tarjetas inteligentes, de modo que los usuarios se autentiquen de forma silenciosa en StoreFront.
Consideraciones sobre varios bosques de Active Directory
En un entorno Citrix, las tarjetas inteligentes son compatibles dentro de un único bosque. Los inicios de sesión con tarjeta inteligente entre bosques requieren una confianza de bosque bidireccional directa para todas las cuentas de usuario. Las implementaciones multiforestales más complejas que implican tarjetas inteligentes (es decir, donde las confianzas son unidireccionales o de diferentes tipos) no son compatibles.
Puede usar tarjetas inteligentes en un entorno Citrix que incluya escritorios remotos. Esta función se puede instalar localmente (en el dispositivo de usuario al que está conectada la tarjeta inteligente) o de forma remota (en el escritorio remoto al que se conecta el dispositivo de usuario).
Directiva de extracción de tarjetas inteligentes
La directiva de extracción de tarjetas inteligentes establecida en el producto determina qué sucede si se extrae la tarjeta inteligente del lector durante una sesión. La directiva de extracción de tarjetas inteligentes se configura y gestiona a través del sistema operativo Windows.
| Configuración de directiva | Comportamiento del escritorio |
|---|---|
| Ninguna acción | Ninguna acción. |
| Bloquear estación de trabajo | La sesión de escritorio se desconecta y el escritorio virtual se bloquea. |
| Forzar cierre de sesión | Se fuerza el cierre de sesión del usuario. Si se pierde la conexión de red y esta configuración está habilitada, la sesión puede cerrarse y el usuario puede perder datos. |
| Desconectar si es una sesión remota de Terminal Services | La sesión se desconecta y el escritorio virtual se bloquea. |
Comprobación de revocación de certificados
Si la comprobación de revocación de certificados está habilitada y un usuario inserta una tarjeta inteligente con un certificado no válido en un lector de tarjetas, el usuario no puede autenticarse ni acceder al escritorio o la aplicación relacionados con el certificado. Por ejemplo, si el certificado no válido se utiliza para el descifrado de correo electrónico, el correo electrónico permanece cifrado. Si otros certificados de la tarjeta, como los utilizados para la autenticación, siguen siendo válidos, esas funciones permanecen activas.
Ejemplo de implementación: equipos unidos a un dominio
Esta implementación implica dispositivos de usuario unidos a un dominio que ejecutan Desktop Viewer y se conectan directamente a StoreFront.
Un usuario inicia sesión en un dispositivo con una tarjeta inteligente y un PIN. Receiver autentica al usuario en un servidor StoreFront mediante la autenticación integrada de Windows (IWA). StoreFront pasa los identificadores de seguridad de usuario (SID) a Citrix Virtual Apps o Citrix Virtual Desktops. Cuando el usuario inicia un escritorio o una aplicación virtual, no se le vuelve a pedir un PIN porque la función de inicio de sesión único está configurada en Receiver.
Esta implementación se puede ampliar a un doble salto con la adición de un segundo servidor StoreFront y un servidor que aloja aplicaciones. Un Receiver del escritorio virtual se autentica en el segundo servidor StoreFront. Se puede utilizar cualquier método de autenticación para esta segunda conexión. La configuración mostrada para el primer salto se puede reutilizar en el segundo salto o utilizarse solo en el segundo salto.
Ejemplo de implementación: acceso remoto desde equipos unidos a un dominio
Esta implementación implica dispositivos de usuario unidos a un dominio que ejecutan Desktop Viewer y se conectan a StoreFront a través de Citrix Gateway/Access Gateway.
Un usuario inicia sesión en un dispositivo con una tarjeta inteligente y un PIN, y luego vuelve a iniciar sesión en Citrix Gateway/Access Gateway. Este segundo inicio de sesión puede ser con la tarjeta inteligente y el PIN o con un nombre de usuario y una contraseña, ya que Receiver permite la autenticación bimodal en esta implementación.
El usuario inicia sesión automáticamente en StoreFront, que pasa los identificadores de seguridad de usuario (SID) a Citrix Virtual Apps™ o Citrix Virtual Desktops. Cuando el usuario inicia un escritorio o una aplicación virtual, no se le vuelve a pedir un PIN porque la función de inicio de sesión único está configurada en Receiver.
Esta implementación se puede ampliar a un doble salto con la adición de un segundo servidor StoreFront y un servidor que aloja aplicaciones. Un Receiver del escritorio virtual se autentica en el segundo servidor StoreFront. Se puede utilizar cualquier método de autenticación para esta segunda conexión. La configuración mostrada para el primer salto se puede reutilizar en el segundo salto o utilizarse solo en el segundo salto.
Ejemplo de implementación: equipos no unidos a un dominio
Esta implementación implica dispositivos de usuario no unidos a un dominio que ejecutan Desktop Viewer y se conectan directamente a StoreFront.
Un usuario inicia sesión en un dispositivo. Normalmente, el usuario introduce un nombre de usuario y una contraseña, pero, dado que el dispositivo no está unido a un dominio, las credenciales para este inicio de sesión son opcionales. Como la autenticación bimodal es posible en esta implementación, Receiver solicita al usuario una tarjeta inteligente y un PIN o un nombre de usuario y una contraseña. A continuación, Receiver se autentica en StoreFront.
StoreFront pasa los identificadores de seguridad de usuario (SID) a Citrix Virtual Apps o Citrix Virtual Desktops. Cuando el usuario inicia un escritorio o una aplicación virtual, se le vuelve a pedir un PIN porque la función de inicio de sesión único no está disponible en esta implementación.
Esta implementación se puede ampliar a un doble salto con la adición de un segundo servidor StoreFront y un servidor que aloja aplicaciones. Un Receiver del escritorio virtual se autentica en el segundo servidor StoreFront. Se puede utilizar cualquier método de autenticación para esta segunda conexión. La configuración mostrada para el primer salto se puede reutilizar en el segundo salto o utilizarse solo en el segundo salto.
Ejemplo de implementación: acceso remoto desde equipos no unidos a un dominio
Esta implementación implica dispositivos de usuario no unidos a un dominio que ejecutan Desktop Viewer y se conectan directamente a StoreFront.
Un usuario inicia sesión en un dispositivo. Normalmente, el usuario introduce un nombre de usuario y una contraseña, pero, dado que el dispositivo no está unido a un dominio, las credenciales para este inicio de sesión son opcionales. Debido a que la autenticación bimodal es posible en esta implementación, Receiver solicita al usuario una tarjeta inteligente y un PIN o un nombre de usuario y una contraseña. A continuación, Receiver se autentica en StoreFront.
StoreFront pasa los identificadores de seguridad de usuario (SID) a Citrix Virtual Apps o Citrix Virtual Desktops. Cuando el usuario inicia un escritorio o una aplicación virtual, se le solicita un PIN de nuevo porque la función de inicio de sesión único no está disponible en esta implementación.
Esta implementación se puede extender a un doble salto con la adición de un segundo servidor StoreFront y un servidor que aloje aplicaciones. Un Receiver del escritorio virtual se autentica en el segundo servidor StoreFront. Se puede utilizar cualquier método de autenticación para esta segunda conexión. La configuración mostrada para el primer salto se puede reutilizar en el segundo salto o utilizarse solo en el segundo salto.
Ejemplo de implementación: equipos no unidos a un dominio y clientes ligeros que acceden al sitio de Desktop Appliance
Esta implementación implica dispositivos de usuario no unidos a un dominio que pueden ejecutar Desktop Lock y conectarse a StoreFront a través de sitios de Desktop Appliance.
Desktop Lock es un componente independiente que se lanza con Citrix Virtual Apps, Citrix Virtual Desktops y VDI-in-a-Box. Es una alternativa a Desktop Viewer y está diseñado principalmente para equipos Windows reutilizados y clientes ligeros Windows. Desktop Lock reemplaza el shell de Windows y el Administrador de tareas en estos dispositivos de usuario, impidiendo que los usuarios accedan a los dispositivos subyacentes. Con Desktop Lock, los usuarios pueden acceder a escritorios de máquinas con Windows Server y escritorios de máquinas con Windows. La instalación de Desktop Lock es opcional.
Un usuario inicia sesión en un dispositivo con una tarjeta inteligente. Si Desktop Lock se está ejecutando en el dispositivo, este se configura para iniciar un sitio de Desktop Appliance a través de Internet Explorer ejecutándose en modo Kiosco. Un control ActiveX en el sitio solicita al usuario un PIN y lo envía a StoreFront. StoreFront pasa los identificadores de seguridad de usuario (SID) a Citrix Virtual Apps o Citrix Virtual Desktops. Se inicia el primer escritorio disponible en la lista alfabética de un grupo de escritorios asignado.
Esta implementación se puede extender a un doble salto con la adición de un segundo servidor StoreFront y un servidor que aloje aplicaciones. Un Receiver del escritorio virtual se autentica en el segundo servidor StoreFront. Se puede utilizar cualquier método de autenticación para esta segunda conexión. La configuración mostrada para el primer salto se puede reutilizar en el segundo salto o utilizarse solo en el segundo salto.
Ejemplo de implementación: equipos unidos a un dominio y clientes ligeros que acceden a StoreFront a través de la URL de XenApp Services
Esta implementación implica dispositivos de usuario unidos a un dominio que ejecutan Desktop Lock y se conectan a StoreFront a través de las URL de XenApp Services.
Desktop Lock es un componente independiente que se lanza con Citrix Virtual Apps, Citrix Virtual Desktops y VDI-in-a-Box. Es una alternativa a Desktop Viewer y está diseñado principalmente para equipos Windows reutilizados y clientes ligeros Windows. Desktop Lock reemplaza el shell de Windows y el Administrador de tareas en estos dispositivos de usuario, impidiendo que los usuarios accedan a los dispositivos subyacentes. Con Desktop Lock, los usuarios pueden acceder a escritorios de máquinas con Windows Server y escritorios de máquinas con Windows. La instalación de Desktop Lock es opcional.
Un usuario inicia sesión en un dispositivo usando una tarjeta inteligente y un PIN. Si Desktop Lock se está ejecutando en el dispositivo, autentica al usuario en un servidor StoreFront usando la Autenticación Integrada de Windows (IWA). StoreFront pasa los identificadores de seguridad del usuario (SIDs) a Citrix Virtual Apps o Citrix Virtual Desktops. Cuando el usuario inicia un escritorio virtual, no se le solicita el PIN de nuevo porque la función de inicio de sesión único está configurada en Receiver.
Esta implementación se puede extender a un doble salto con la adición de un segundo servidor StoreFront y un servidor que aloje aplicaciones. Un Receiver desde el escritorio virtual se autentica en el segundo servidor StoreFront. Se puede usar cualquier método de autenticación para esta segunda conexión. La configuración mostrada para el primer salto se puede reutilizar en el segundo salto o usarse solo en el segundo salto.
En este artículo
- Autenticación bimodal
- Consideraciones sobre varios bosques de Active Directory
- Directiva de extracción de tarjetas inteligentes
- Comprobación de revocación de certificados
- Ejemplo de implementación: equipos unidos a un dominio
- Ejemplo de implementación: acceso remoto desde equipos unidos a un dominio
- Ejemplo de implementación: equipos no unidos a un dominio
- Ejemplo de implementación: acceso remoto desde equipos no unidos a un dominio
- Ejemplo de implementación: equipos no unidos a un dominio y clientes ligeros que acceden al sitio de Desktop Appliance
- Ejemplo de implementación: equipos unidos a un dominio y clientes ligeros que acceden a StoreFront a través de la URL de XenApp Services