Autenticarse

Autenticación de certificados de cliente

Importante:

  • Al usar StoreFront, la aplicación Citrix Workspace para iOS admite a partir de la versión 9.3 de Citrix Access Gateway Enterprise Edition y hasta la versión 11 de NetScaler Gateway.
  • La autenticación con certificados del cliente se admite en la aplicación Citrix Workspace para iOS.
  • Solo Access Gateway Enterprise Edition 9.x y 10.x (y versiones posteriores) admiten la autenticación con certificados del cliente.
  • Los tipos de autenticación de doble origen deben ser CERT y LDAP.
  • La aplicación Citrix Workspace para iOS también admite la autenticación opcional con certificados del cliente.
  • Solo se admiten certificados con formato P12.

Los usuarios que inician sesiones en un servidor Citrix Gateway virtual pueden ser autenticados también basándose en los atributos del certificado del cliente que se presenta ante el servidor virtual. La autenticación con certificados del cliente también puede utilizarse con otro tipo de autenticación, LDAP, para ofrecer autenticación de doble origen.

Para autenticar usuarios basándose en los atributos del certificado del cliente, la autenticación de clientes debe estar habilitada en el servidor virtual y se debe solicitar el certificado del cliente. Es necesario vincular un certificado raíz al servidor virtual en Citrix Gateway.

Cuando los usuarios inician sesiones en el servidor Citrix Gateway virtual, después de la autenticación, la información de nombre de usuario y dominio se extrae del campo especificado del certificado. Esta información debe estar en el campo SubjectAltName:OtherName:MicrosoftUniversalPrincipalName del certificado. Está en el formato “nombreDeUsuario@dominio”. Si el nombre de usuario y el dominio se extraen correctamente, y el usuario suministra la otra información requerida (por ejemplo, una contraseña), se autenticará al usuario. Si el usuario no presenta un certificado y credenciales válidas, o si falla la extracción del nombre de usuario y el dominio, la autenticación también fallará.

Se puede autenticar usuarios basándose en el certificado del cliente, definiendo el tipo de autenticación predeterminado para que use el certificado del cliente. También se puede crear una acción de certificado que defina lo que hay que hacer durante la autenticación basada en un certificado SSL del cliente.

Para configurar el sitio de servicios XenApp

Si aún no ha creado un sitio de servicios XenApp, en la consola de Citrix Virtual Apps o en la consola de la Interfaz Web (según la versión de Citrix Virtual Apps instalada), cree un sitio de servicios XenApp para dispositivos móviles.

El software de la aplicación Citrix Workspace para iOS para dispositivos móviles utiliza un sitio de servicios XenApp para obtener información sobre las aplicaciones a las que un usuario tiene derecho, y las presenta en la aplicación que se ejecuta en el dispositivo. Esto es similar al modo en que se utiliza la Interfaz Web para las conexiones tradicionales de Citrix Virtual Apps basadas en SSL para las que se puede configurar un dispositivo Citrix Gateway.

Configure el sitio de servicios XenApp para que la aplicación Citrix Workspace para iOS para dispositivos móviles admita conexiones provenientes de una conexión de Citrix Gateway.

  1. En el sitio de servicios XenApp, seleccione Administrar el acceso seguro > Modificar parámetros de acceso seguro.
  2. Cambie el método de acceso a Directa con Gateway.
  3. Escriba el nombre de dominio completo del dispositivo Citrix Gateway.
  4. Escriba la información de Secure Ticket Authority (STA).

Para configurar el dispositivo Citrix Gateway

La autenticación con el certificado del cliente requiere configurar Citrix Gateway con la autenticación de dos factores mediante dos directivas de autenticación: Cert y LDAP.

  1. Cree una directiva de sesión en Citrix Gateway para permitir las conexiones entrantes de Citrix Virtual Apps desde la aplicación Citrix Workspace para iOS y especifique la ubicación del sitio de servicios XenApp creado recientemente.
    • Cree una directiva de sesión nueva para identificar que la conexión proviene de la aplicación Citrix Workspace para iOS para dispositivos móviles. Cuando cree la directiva de sesión, configure la siguiente expresión y elija Hacer coincidir todas las expresiones como el operador de la expresión:

      REQ.HTTP.HEADER User-Agent CONTAINS CitrixWorkspace

    • En la configuración del perfil asociado para la directiva de sesión, en la ficha Security, configure Default Authorization con el valor Allow (Permitir).

      En la ficha “Published Applications”, si no es un parámetro global (es decir, la casilla “Override Global” está marcada), compruebe que el campo “ICA Proxy” esté desactivado.

      En el campo “Web Interface Address”, escriba la dirección URL, incluido el archivo config.xml, del sitio de servicios XenApp que utilizan los usuarios del dispositivo; por ejemplo, //XenAppServerName/Citrix/PNAgent/config.xml o /XenAppServerName/CustomPath/config.xml.

    • Vincule la directiva de sesión con un servidor virtual.

    • Cree directivas de autenticación para Cert y LDAP.

    • Vincule las directivas de autenticación con el servidor virtual.

    • Configure el servidor virtual para que solicite certificados de cliente en la conexión TLS (en la ficha Certificate (Certificado), abra SSL Parameters (Parámetros SSL), y para Client Authentication (Autenticación de cliente), defina Client Certificate (Certificado del cliente) como Mandatory (Obligatorio).

    Importante:

    Si el certificado de servidor que se utiliza en Citrix Gateway forma parte de una cadena de certificados (con un certificado intermedio), compruebe que los certificados intermedios también estén instalados correctamente en Citrix Gateway. Para obtener más información sobre la instalación de certificados, consulte la documentación de Citrix Gateway.

Para configurar el dispositivo móvil

Si la autenticación de certificados del cliente está habilitada en Citrix Gateway, los usuarios se autenticarán basándose en ciertos atributos del certificado del cliente. Una vez completada con éxito la autenticación, el nombre de usuario y el dominio se extraen del certificado y se aplican las directivas especificadas para dicho usuario.

  1. En la aplicación Citrix Workspace para iOS, abra la cuenta y, en el campo “Servidor”, introduzca el nombre FQDN correspondiente a su servidor Citrix Gateway, por ejemplo, ServidorCertificadosClienteGateway.empresa.com. La aplicación Citrix Workspace para iOS detecta automáticamente que se necesita el certificado del cliente.
  2. Los usuarios pueden instalar un certificado nuevo o bien seleccionar uno de la lista de certificados ya instalados. La autenticación con certificado del cliente iOS requiere que solo la aplicación Citrix Workspace para iOS descargue e instale el certificado.
  3. Después de seleccionar un certificado válido, los campos de nombre de usuario y dominio en la pantalla de inicio de sesión se rellenan con la información del nombre de usuario del certificado, y los usuarios introducen la información restante, incluida la contraseña.
  4. Si la autenticación con certificado del cliente es optativa, los usuarios pueden omitir la selección de certificado. Para ello, deberán presionar el botón Atrás en la página de certificados. En este caso, la aplicación Citrix Workspace para iOS continúa con la conexión y presenta al usuario la pantalla de inicio de sesión.
  5. Después de que los usuarios completan el inicio de sesión, pueden iniciar las aplicaciones sin tener que proporcionar el certificado nuevamente. La aplicación Citrix Workspace para iOS almacena el certificado de la cuenta y lo utiliza automáticamente para solicitudes de inicio de sesión futuras.

Tarjetas inteligentes

La aplicación Citrix Workspace para iOS admite el uso de tarjetas inteligentes SITHS solo en conexiones dentro de la sesión.

Si usa dispositivos Citrix Gateway FIPS, configure sus sistemas para rechazar renegociaciones SSL. Para obtener información detallada, consulte Cómo configurar el parámetro -denySSLReneg.

Se admiten los productos y las configuraciones siguientes:

  • Lectores admitidos:
    • Precise Biometrics Tactivo para iPad Mini Firmware versión 3.8.0
    • Precise Biometrics Tactivo para iPad (4.ª generación) y Tactivo para iPad (3.ª generación) y iPad 2 Firmware versión 3.8.0
    • Lectores de tarjeta inteligente BaiMobile 301MP y 301MP-L Se admite middleware de tarjeta inteligente para VDA
    • ActiveIdentity
  • Tarjetas inteligentes admitidas:
    • Tarjetas PIV
    • Tarjetas CAC (Common Access Card)
  • Configuraciones admitidas:
    • Autenticación con tarjeta inteligente en Citrix Gateway con StoreFront 2.x y XenDesktop 7.x o versiones posteriores, o XenApp 6.5 o versiones posteriores

Autenticación con RSA SecurID

La autenticación con RSA SecurID para la aplicación Citrix Workspace para iOS es compatible con las configuraciones de Secure Web Gateway (mediante la Interfaz Web solamente) y todas las configuraciones de Citrix Gateway.

Se requiere un esquema de URL para el token de software en la aplicación Citrix Workspace para iOS: El token de software de RSA SecurID usado por la aplicación Citrix Workspace para iOS registra solamente el esquema de URL com.citrix.securid.

Si los usuarios han instalado las aplicaciones Citrix Workspace para iOS y RSA SecurID en sus dispositivos iOS, deberán seleccionar el esquema de URL “com.citrix.securid” para importar el token de software de RSA SecurID a los dispositivos con la aplicación Citrix Workspace para iOS.

Para importar un token de software de RSA SecurID

Para usar un token de software de RSA con la aplicación Citrix Workspace para iOS, indique a sus usuarios que sigan este procedimiento.

La directiva de longitud de PIN, el tipo de PIN (solo numérico, alfanumérico) y los límites de reutilización de un PIN se especifican en el servidor de administración de RSA.

Los usuarios solo tienen que hacer esto una vez, después de haberse autenticado correctamente en el servidor RSA. Después de que los usuarios verifican su PIN, también se les autentica en el servidor StoreFront y éste les presenta las aplicaciones publicadas y los escritorios disponibles.

Para utilizar un token de software de RSA

  1. Importe el token de software de RSA suministrado por su organización.

  2. En el mensaje que lleva adjunto el archivo de SecurID, seleccione Abrir en Workspace como destino de la importación. Después de importar el token de software, la aplicación Citrix Workspace para iOS se abre automáticamente.

  3. Si su organización le proporcionó una contraseña para completar la importación, introdúzcala y haga clic en Aceptar. Después de hacer clic en Aceptar, verá un mensaje donde se indica que el token se ha importado.

  4. Cierre ese mensaje de importación y, en aplicación Citrix Workspace para iOS, haga clic en Agregar cuenta.

  5. Introduzca la dirección URL del almacén que le haya facilitado su organización y haga clic en Siguiente.

  6. En la pantalla de inicio de sesión, escriba sus credenciales (nombre de usuario, contraseña y dominio). En el campo PIN, introduzca 0000, a menos que su organización le haya facilitado otro PIN predeterminado. (El PIN 0000 es el predeterminado de RSA, pero es posible que su organización lo cambie por otro, para cumplir con sus directivas de seguridad).

  7. En la parte superior izquierda, haga clic en Iniciar sesión. Después de hacer clic en el botón Iniciar sesión, se le pedirá que cree un PIN nuevo.

  8. Introduzca un PIN de entre 4 y 8 dígitos, y haga clic en Aceptar.

  9. A continuación se le pedirá que verifique el nuevo PIN. Vuelva a introducir su PIN y haga clic en Aceptar. Después de hacer clic en Aceptar, podrá acceder a sus aplicaciones y escritorios.

Siguiente tokencode

Si configura Citrix Gateway para la autenticación de RSA SecurID, la aplicación Citrix Workspace para iOS admite el modo Siguiente tokencode. Si esta función está habilitada, cuando un usuario introduce la contraseña incorrecta tres veces (valor predeterminado), Citrix Gateway plug-in solicita al usuario que espere hasta que se active el próximo token antes de iniciar una sesión. Asimismo, el servidor RSA se puede configurar para inhabilitar una cuenta de usuario si el usuario intenta iniciar una sesión demasiadas veces con la contraseña incorrecta.

Credenciales derivadas

Las credenciales derivadas de Purebred dentro de la aplicación Citrix Workspace para iOS están disponibles. Al conectarse a un almacén que permite credenciales derivadas, los usuarios pueden iniciar sesión en la aplicación Citrix Workspace para iOS con una tarjeta inteligente virtual. Esta función solo está disponible en implementaciones locales.

Nota:

Se requiere Citrix Virtual Apps and Desktops 7 1808 o versiones posteriores para usar esta función.

Para habilitar las credenciales derivadas en la aplicación Citrix Workspace para iOS:

  1. Vaya a Parámetros > Avanzado> Credenciales derivadas.
  2. Toque Credenciales derivadas.

Luego, para crear una tarjeta inteligente virtual que admita credenciales derivadas:

  1. En Parámetros > Avanzado> Credenciales derivadas, toque Agregar nueva tarjeta inteligente virtual.
  2. Modifique el nombre de la tarjeta inteligente virtual.
  3. Introduzca un PIN de solo 8 dígitos numéricos y confírmelo.
  4. Toque Next.
  5. En Certificado de autenticación, toque Importar certificado…
  6. Aparece el selector de documentos. Toque Examinar.
  7. En Ubicaciones, seleccione Llavero de Purebred.
  8. Seleccione el certificado de autenticación que desee de la lista.
  9. Toque Importar clave.
  10. Repita los pasos 5 a 9 para el Certificado de firma digital y el Certificado de cifrado, si lo desea.
  11. Toque Save.

Puede importar hasta tres certificados para su tarjeta inteligente virtual. El certificado de autenticación es necesario para que la tarjeta inteligente virtual funcione correctamente. El certificado de cifrado y el certificado de firma digital se pueden agregar para usarlos dentro de una sesión VDA.

Nota:

Al conectarse a una sesión HDX, la tarjeta inteligente virtual creada se redirige a la sesión.

Limitaciones conocidas

  • Los usuarios solo pueden tener una tarjeta activa a la vez.
  • Una vez que se haya creado una tarjeta inteligente virtual, no se puede modificar. Para realizar cambios en la tarjeta inteligente virtual, los usuarios deben eliminar la tarjeta y crear una nueva.
  • Puede introducir un PIN inválido hasta 10 veces. Después del décimo intento, la tarjeta inteligente virtual se elimina.
  • Cuando se seleccionan las credenciales derivadas, la tarjeta inteligente virtual creada anteriormente reemplaza una tarjeta inteligente física cuando se necesita una tarjeta inteligente en una sesión.