Autenticar

• Protege las conexiones entre la aplicación Citrix Workspace y los recursos publicados para maximizar la seguridad. Puedes configurar los siguientes tipos de autenticación:

• Paso a través de dominio
• Tarjeta inteligente
• Paso a través de Kerberos

Autenticación de paso a través de dominio

El inicio de sesión único te permite autenticarte y usar las aplicaciones y escritorios virtuales sin tener que volver a autenticarte.

• Al iniciar sesión en la aplicación Citrix Workspace, tus credenciales y los recursos enumerados se pasan a StoreFront.

En versiones anteriores, al usar Google Chrome, Microsoft Edge o Mozilla Firefox, podías iniciar sesiones de inicio de sesión único incluso si la función no estaba habilitada.

A partir de la versión 1905, todos los navegadores web requieren que configures el inicio de sesión único mediante la plantilla administrativa de objetos de directiva de grupo. Para obtener más información sobre cómo configurar el inicio de sesión único mediante la plantilla administrativa de objetos de directiva de grupo, consulta Configurar el inicio de sesión único con Citrix Gateway.

Puedes configurar el inicio de sesión único tanto en una instalación nueva como en una actualización, utilizando cualquiera de las siguientes opciones:

-  Interfaz de línea de comandos
-  Interfaz gráfica de usuario (GUI)

Configurar el inicio de sesión único durante una instalación nueva

Configuración del inicio de sesión único durante una instalación nueva:

1. Configuración en StoreFront o en la interfaz web.
2. Configura los servicios de confianza XML en el Delivery Controller.
3. Modifica la configuración de Internet Explorer.
4. Instala la aplicación Citrix Workspace con inicio de sesión único.

Configurar el inicio de sesión único en StoreFront o en la interfaz web

Según el tipo de implementación de Citrix Virtual Apps and Desktops, el inicio de sesión único se puede configurar en StoreFront o en la interfaz web mediante la consola de administración.

Usa la siguiente tabla para diferentes casos de uso y su configuración respectiva:

Configurar el inicio de sesión único con Citrix Gateway

Habilitas el inicio de sesión único con Citrix Gateway mediante la plantilla administrativa de objetos de directiva de grupo.

1. Abre la plantilla administrativa GPO de la aplicación Citrix Workspace ejecutando gpedit.msc.
2. En el nodo Configuración del equipo, ve a Plantilla administrativa > Componentes de Citrix > Citrix Workspace > Autenticación de usuario.
3. Selecciona la directiva Inicio de sesión único para Citrix Gateway.
4. Selecciona Habilitado.
5. Haz clic en Aplicar y Aceptar.
6. Reinicia la aplicación Citrix Workspace para que los cambios surtan efecto.

Configurar los servicios de confianza XML en el Delivery Controller

En Citrix Virtual Apps and Desktops™ y Citrix DaaS (anteriormente servicio Citrix Virtual Apps and Desktops), ejecuta el siguiente comando de PowerShell como administrador en el Delivery Controller:

[[CODE_BLOCK_0]]

Modificar la configuración de Internet Explorer

1. Agrega el servidor StoreFront a la lista de sitios de confianza usando Internet Explorer. Para ello:
   1. Inicia Opciones de Internet desde el Panel de control.
   2. Haz clic en Seguridad > Internet local y haz clic en Sitios. Aparece la ventana Intranet local.
   3. Selecciona Avanzadas.
   4. Agrega la URL del FQDN de StoreFront o de la interfaz web con los protocolos HTTP o HTTPS apropiados.
   5. Haz clic en Aplicar y Aceptar.
2. Modifica la configuración de Autenticación de usuario en Internet Explorer. Para ello:
   1. Inicia Opciones de Internet desde el Panel de control.
   2. Haz clic en la ficha Seguridad > Sitios de confianza.
   3. Haz clic en Nivel personalizado. Aparece la ventana Configuración de seguridad – Zona de sitios de confianza.
   4. En el panel Autenticación de usuario, selecciona Inicio de sesión automático con el nombre de usuario y la contraseña actuales.

   

   1. Haz clic en Aplicar y Aceptar.

Configurar el inicio de sesión único mediante la interfaz de línea de comandos

Instala la aplicación Citrix Workspace para Windows con el modificador /includeSSON y reinicia la aplicación Citrix Workspace para que los cambios surtan efecto.

Nota:

Si la aplicación Citrix Workspace para Windows se instala sin el componente de inicio de sesión único, no se admite la actualización a la versión más reciente de la aplicación Citrix Workspace con el modificador /includeSSON.

Configurar el inicio de sesión único mediante la interfaz gráfica de usuario

1. Localiza el archivo de instalación de la aplicación Citrix Workspace (CitrixWorkspaceApp.exe).
2. Haz doble clic en CitrixWorkspaceApp.exe para iniciar el instalador.
3. En el asistente de instalación de inicio de sesión único, selecciona la opción Habilitar inicio de sesión único.
4. Haz clic en Siguiente y sigue las indicaciones para completar la instalación.

Ahora puedes iniciar sesión con la aplicación Citrix Workspace sin proporcionar credenciales de usuario.

Configurar el inicio de sesión único en Citrix Workspace para Web

Puedes configurar el inicio de sesión único en Workspace para Web usando la plantilla administrativa de objeto de directiva de grupo.

1. Abre la plantilla administrativa de GPO de Workspace para Web ejecutando gpedit.msc.
   • 1. En el nodo Configuración del equipo, ve a Plantilla administrativa > Componente de Citrix > Citrix Workspace > Autenticación de usuario.
   • 1. Selecciona la directiva Contraseña de nombre de usuario local y establécela en Habilitado.
   • 1. Haz clic en Habilitar autenticación de paso a través. Esta opción permite que Workspace para Web use tus credenciales de inicio de sesión para la autenticación en el servidor remoto.
2. Haz clic en Permitir autenticación de paso a través para todas las conexiones ICA®. Esta opción omite cualquier restricción de autenticación y permite que las credenciales pasen a través de todas las conexiones.
3. Haz clic en Aplicar y Aceptar.
4. Reinicia Workspace para Web para que los cambios surtan efecto.

Verifica que el inicio de sesión único esté habilitado iniciando el Administrador de tareas y comprueba si el proceso ssonsvr.exe se está ejecutando.

Configurar el inicio de sesión único usando Active Directory

Puedes configurar la autenticación de inicio de sesión único usando Active Directory. En este caso, no necesitas usar herramientas de implementación, como Microsoft System Center Configuration Manager.

1. Descarga y coloca el archivo de instalación de la aplicación Citrix Workspace (CitrixWorkspaceApp.exe) en un recurso compartido de red adecuado. Debe ser accesible por las máquinas de destino en las que instales la aplicación Citrix Workspace.

2. Obtén la plantilla CheckAndDeployWorkspacePerMachineStartupScript.bat de la página Descarga de la aplicación Citrix Workspace para Windows.

3. Modifica la ubicación y la versión de CitrixWorkspaceApp.exe.

4. En la consola Administración de directivas de grupo de Active Directory, escribe CheckAndDeployWorkspacePerMachineStartupScript.bat como script de inicio. Para obtener más información sobre la implementación de scripts de inicio, consulta la sección Active Directory.

5. En el nodo Configuración del equipo, ve a Plantillas administrativas > Agregar o quitar plantillas para agregar el archivo icaclient.adm.

6. Después de agregar la plantilla icaclient.adm, ve a Configuración del equipo > Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuario.

7. Selecciona la directiva Contraseña de nombre de usuario local y establécela en Habilitado.

8. Selecciona Habilitar autenticación de paso a través y haz clic en Aplicar.

9. Reinicia la máquina para que los cambios surtan efecto.

Configurar el inicio de sesión único en StoreFront y Web Interface

• Configuración de StoreFront

• Abre Citrix Studio en el servidor de StoreFront y selecciona Autenticación > Agregar o quitar métodos de autenticación. Selecciona Paso a través de dominio.

  

Comprobador de configuración

El Comprobador de configuración te permite ejecutar una prueba para asegurarte de que el inicio de sesión único esté configurado correctamente. La prueba se ejecuta en diferentes puntos de control de la configuración de inicio de sesión único y muestra los resultados de la configuración.

1. Haz clic con el botón derecho en el icono de la aplicación Citrix Workspace en el área de notificación y haz clic en Preferencias avanzadas. Aparece el cuadro de diálogo Preferencias avanzadas.
2. Haz clic en Comprobador de configuración. Aparece la ventana Comprobador de configuración de Citrix.

• 

• 1. Selecciona SSONChecker en el panel Seleccionar.

1. Haz clic en Ejecutar. Aparece una barra de progreso que muestra el estado de la prueba.

La ventana Comprobador de configuración tiene las siguientes columnas:

1. Estado: Muestra el resultado de una prueba en un punto de control específico.

   • Una marca de verificación verde indica que el punto de control específico está configurado correctamente.
   • Una I azul indica información sobre el punto de control.
   • Una X roja indica que el punto de control específico no está configurado correctamente.
2. Proveedor: Muestra el nombre del módulo en el que se ejecuta la prueba. En este caso, inicio de sesión único.
3. Conjunto: Indica la categoría de la prueba. Por ejemplo, Instalación.
4. Prueba: Indica el nombre de la prueba específica que se ejecuta.
5. Detalles: Proporciona información adicional sobre la prueba.

El usuario obtiene más información sobre cada punto de control y los resultados correspondientes.

Se realizan las siguientes pruebas:

1. Instalado con inicio de sesión único.

• 1. Captura de credenciales de inicio de sesión.
     • 1. Registro del proveedor de red: El resultado de la prueba de registro del proveedor de red muestra una marca de verificación verde solo cuando “Citrix Single Sign-on” se establece como el primero en la lista de proveedores de red. Si Citrix Single Sign-on aparece en cualquier otro lugar de la lista, el resultado de la prueba de registro del proveedor de red aparece con una “I” azul e información adicional.
     • 1. El proceso de inicio de sesión único está en ejecución.

1. Directiva de grupo: De forma predeterminada, esta directiva está configurada en el cliente.
   • 1. Configuración de Internet para zonas de seguridad: Asegúrate de agregar la URL del servicio Store/XenApp a la lista de zonas de seguridad en las opciones de Internet. Si las zonas de seguridad se configuran mediante una directiva de grupo, cualquier cambio en la directiva requiere que se vuelva a abrir la ventana Preferencias avanzadas para que los cambios surtan efecto y se muestre el estado correcto de la prueba.

• 1. Método de autenticación para Web Interface/StoreFront.

Nota:

• Los resultados de las pruebas no son aplicables a las configuraciones de Workspace para Web.

• En una configuración de varias tiendas, la prueba del método de autenticación se ejecuta en todas las tiendas configuradas.

• Puedes guardar los resultados de las pruebas como informes. El formato de informe predeterminado es .txt.

• Ocultar la opción Configuration Checker de la ventana Preferencias avanzadas

• 1. Abre la plantilla administrativa de objeto de directiva de grupo de la aplicación Citrix Workspace ejecutando gpedit.msc.
• 1. Ve a Citrix Components > Citrix Workspace > Self Service > DisableConfigChecker.

1. Haz clic en Habilitado para ocultar la opción Configuration Checker de la ventana Preferencias avanzadas.
2. Haz clic en Aplicar y Aceptar.
3. Ejecuta el comando gpupdate /force.

Limitación:

Configuration Checker no incluye el punto de control para la configuración de las solicitudes de confianza enviadas al servicio XML en el VDA.

Prueba de baliza

Beacon checker forma parte de la utilidad Configuration Checker. Te permite realizar una prueba de baliza para confirmar si la baliza (ping.citrix.com) es accesible. Esta prueba ayuda a eliminar una de las muchas posibles causas de la enumeración lenta de recursos, que es que la baliza no esté disponible. Para ejecutar la prueba, haz clic con el botón derecho en la aplicación Citrix Workspace en el área de notificación y selecciona Preferencias avanzadas > Configuration Checker. Selecciona Beacon checker de la lista de pruebas y haz clic en Ejecutar.

• Los resultados de la prueba pueden ser cualquiera de los siguientes:

• Accesible: La aplicación Citrix Workspace puede contactar con la baliza correctamente.
• No accesible: La aplicación Citrix Workspace no puede contactar con la baliza.
• Parcialmente accesible: La aplicación Citrix Workspace puede contactar con la baliza de forma intermitente.

Autenticación de paso a través de dominio con Kerberos

Este tema se aplica solo a las conexiones entre la aplicación Citrix Workspace para Windows y StoreFront, Citrix Virtual Apps and Desktops y Citrix DaaS.

La aplicación Citrix Workspace es compatible con Kerberos para la autenticación de paso a través de dominio en implementaciones que utilizan tarjetas inteligentes. Kerberos es uno de los métodos de autenticación incluidos en la autenticación integrada de Windows (IWA).

Kerberos autentica sin contraseñas para la aplicación Citrix Workspace. De este modo, se evitan los ataques de tipo troyano en el dispositivo del usuario que intentan obtener acceso a las contraseñas. Los usuarios pueden iniciar sesión utilizando cualquier método de autenticación y acceder a los recursos publicados. Por ejemplo, un autenticador biométrico como un lector de huellas dactilares.

Cuando inicias sesión con una tarjeta inteligente en la aplicación Citrix Workspace, StoreFront, Citrix Virtual Apps and Desktops y Citrix DaaS configurados para la autenticación con tarjeta inteligente, la aplicación Citrix Workspace:

• 1. Captura el PIN de la tarjeta inteligente durante el inicio de sesión único.
• 1. Utiliza IWA (Kerberos) para autenticar al usuario en StoreFront. StoreFront, a continuación, proporciona a tu aplicación Citrix Workspace información sobre los Citrix Virtual Apps and Desktops y Citrix DaaS disponibles.

• Nota

• Habilita Kerberos para evitar una solicitud de PIN adicional. Si no se utiliza la autenticación Kerberos, la aplicación Citrix Workspace se autentica en StoreFront utilizando las credenciales de la tarjeta inteligente.

  1. El motor HDX pasa el PIN de la tarjeta inteligente al VDA para iniciar la sesión del usuario en la aplicación Citrix Workspace. Citrix Virtual Apps and Desktops y Citrix DaaS, a continuación, entregan los recursos solicitados.

Para usar la autenticación Kerberos con la aplicación Citrix Workspace, asegúrate de que tu configuración de Kerberos cumple lo siguiente.

• Kerberos funciona solo entre la aplicación Citrix Workspace y los servidores que pertenecen al mismo dominio de Windows Server o a dominios de Windows Server de confianza.
• Los servidores también deben ser de confianza para la delegación, una opción que se configura mediante la herramienta de administración Usuarios y equipos de Active Directory.
• Kerberos debe estar habilitado tanto en el dominio como en Citrix Virtual Apps and Desktops y Citrix DaaS. Para mejorar la seguridad y garantizar el uso de Kerberos, deshabilita cualquier opción de IWA que no sea Kerberos en el dominio.

• El inicio de sesión de Kerberos no está disponible para las conexiones de Servicios de Escritorio remoto que están configuradas para usar la autenticación básica, usar siempre la información de inicio de sesión especificada o solicitar siempre una contraseña.

• Advertencia

  El uso incorrecto del Editor del Registro puede causar problemas graves que pueden requerir la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas resultantes del uso incorrecto del Editor del Registro puedan resolverse. Utiliza el Editor del Registro bajo tu propio riesgo. Asegúrate de hacer una copia de seguridad del registro antes de editarlo.

• Autenticación de paso a través de dominio con Kerberos para usar con tarjetas inteligentes

Consulta la información sobre tarjetas inteligentes presente en la sección Protege tu implementación de la documentación de Citrix Virtual Apps and Desktops antes de continuar.

Cuando instalas la aplicación Citrix Workspace para Windows, incluye la siguiente opción de línea de comandos:

• /includeSSON

  Esta opción instala el componente de inicio de sesión único en el equipo unido a un dominio, lo que permite que tu espacio de trabajo se autentique en StoreFront utilizando IWA (Kerberos). El componente de inicio de sesión único almacena el PIN de la tarjeta inteligente, que es utilizado por el motor HDX cuando remotiza el hardware y las credenciales de la tarjeta inteligente a Citrix Virtual Apps and Desktops y Citrix DaaS. Citrix Virtual Apps and Desktops y Citrix DaaS seleccionan automáticamente un certificado de la tarjeta inteligente y obtienen el PIN del motor HDX.

  Una opción relacionada, ENABLE\_SSON, está habilitada de forma predeterminada.

Si una directiva de seguridad te impide habilitar el inicio de sesión único en un dispositivo, configura la aplicación Citrix Workspace utilizando la plantilla administrativa de objeto de directiva de grupo.

1. Abre la plantilla administrativa de objeto de directiva de grupo de la aplicación Citrix Workspace ejecutando gpedit.msc.
2. Elige Administrative Templates > Citrix Components > Citrix Workspace > User authentication > Local user name and password
3. Selecciona Habilitar autenticación de paso a través.

4. Reinicia la aplicación Citrix Workspace para que los cambios surtan efecto.

   

Para configurar StoreFront:

Cuando configuras el servicio de autenticación en el servidor de StoreFront, selecciona la opción de paso a través de dominio. Esta configuración habilita la autenticación integrada de Windows. No necesitas seleccionar la opción de tarjeta inteligente a menos que también tengas clientes no unidos a un dominio que se conecten a StoreFront usando tarjetas inteligentes.

Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulta Configurar el servicio de autenticación en la documentación de StoreFront.

Tarjeta inteligente

La aplicación Citrix Workspace para Windows es compatible con la siguiente autenticación de tarjeta inteligente:

• Autenticación de paso a través (Single Sign-on) - La autenticación de paso a través captura las credenciales de la tarjeta inteligente cuando los usuarios inician sesión en la aplicación Citrix Workspace. La aplicación Citrix Workspace usa las credenciales capturadas de la siguiente manera:

  • Los usuarios de dispositivos unidos a un dominio que inician sesión en la aplicación Citrix Workspace con credenciales de tarjeta inteligente pueden iniciar escritorios y aplicaciones virtuales sin necesidad de volver a autenticarse.
  • La aplicación Citrix Workspace que se ejecuta en dispositivos no unidos a un dominio con credenciales de tarjeta inteligente debe escribir sus credenciales de nuevo para iniciar un escritorio o una aplicación.

  La autenticación de paso a través requiere configuración tanto en StoreFront como en la aplicación Citrix Workspace.

• Autenticación bimodal - La autenticación bimodal ofrece a los usuarios la opción de usar una tarjeta inteligente o escribir el nombre de usuario y la contraseña. Esta función es eficaz cuando no puedes usar la tarjeta inteligente. Por ejemplo, el certificado de inicio de sesión ha caducado. Se deben configurar almacenes dedicados por sitio para permitir la autenticación bimodal, usando el método DisableCtrlAltDel establecido en False para permitir las tarjetas inteligentes. La autenticación bimodal requiere la configuración de StoreFront.

  Usando la autenticación bimodal, el administrador de StoreFront puede permitir al usuario tanto el nombre de usuario y la contraseña como la autenticación de tarjeta inteligente en el mismo almacén, seleccionándolos en la consola de StoreFront. Consulta la documentación de StoreFront.

• Varios certificados - Pueden estar disponibles varios certificados para una sola tarjeta inteligente y si se usan varias tarjetas inteligentes.

• Autenticación de certificado de cliente - La autenticación de certificado de cliente requiere la configuración de Citrix Gateway y StoreFront.

  • Para acceder a StoreFront a través de Citrix Gateway, es posible que tengas que volver a autenticarte después de quitar una tarjeta inteligente.
  • Cuando la configuración SSL de Citrix Gateway está establecida en autenticación de certificado de cliente obligatoria, la operación es más segura. Sin embargo, la autenticación de certificado de cliente obligatoria no es compatible con la autenticación bimodal.

• Sesiones de doble salto - Si se requiere un doble salto, se establece una conexión entre la aplicación Citrix Workspace y el escritorio virtual del usuario. Las implementaciones que admiten dobles saltos se describen en la documentación de Citrix Virtual Apps and Desktops.

• Aplicaciones habilitadas para tarjetas inteligentes - Las aplicaciones habilitadas para tarjetas inteligentes, como Microsoft Outlook y Microsoft Office, permiten a los usuarios firmar o cifrar digitalmente documentos disponibles en sesiones de aplicaciones y escritorios virtuales.

Limitaciones:

• Los certificados deben almacenarse en una tarjeta inteligente y no en el dispositivo del usuario.
• La aplicación Citrix Workspace no guarda la elección del certificado de usuario, pero almacena el PIN cuando está configurado. El PIN se almacena en caché solo en la memoria no paginada y no se guarda en el disco.
• La aplicación Citrix Workspace no se vuelve a conectar a una sesión cuando se inserta una tarjeta inteligente.
• Cuando está configurada para la autenticación con tarjeta inteligente, la aplicación Citrix Workspace no es compatible con el inicio de sesión único de red privada virtual (VPN) ni con el inicio previo de sesión. Para usar VPN con autenticación de tarjeta inteligente, instala el complemento de Citrix Gateway e inicia sesión a través de una página web, usando sus tarjetas inteligentes y PIN para autenticarse en cada paso. La autenticación de paso a través a StoreFront con el complemento de Citrix Gateway no está disponible para los usuarios de tarjetas inteligentes.
• Las comunicaciones del actualizador de la aplicación Citrix Workspace con citrix.com y el servidor de merchandising no son compatibles con la autenticación de tarjeta inteligente en Citrix Gateway.

Advertencia

Algunas configuraciones requieren ediciones del registro. El uso incorrecto del Editor del Registro puede causar problemas que pueden requerir que reinstales el sistema operativo. Citrix no puede garantizar que los problemas resultantes del uso incorrecto del Editor del Registro puedan resolverse. Asegúrate de hacer una copia de seguridad del registro antes de editarlo.

Para habilitar el inicio de sesión único para la autenticación con tarjeta inteligente:

Para configurar la aplicación Citrix Workspace para Windows, incluye la siguiente opción de línea de comandos durante la instalación:

• ENABLE\_SSON=Yes

  El inicio de sesión único es otro término para la autenticación de paso a través. Habilitar esta configuración evita que la aplicación Citrix Workspace muestre una segunda solicitud de PIN.

• Establece SSONCheckEnabled en false si el componente de inicio de sesión único no está instalado. La clave evita que el administrador de autenticación de la aplicación Citrix Workspace compruebe el componente de inicio de sesión único, lo que permite que la aplicación Citrix Workspace se autentique en StoreFront.

  HKEY\_CURRENT\_USER\Software\Citrix\AuthManager\protocols\integratedwindows\

  HKEY\_LOCAL\_MACHINE\Software\Citrix\AuthManager\protocols\integratedwindows\

Para habilitar la autenticación con tarjeta inteligente en StoreFront en lugar de Kerberos, instala la aplicación Citrix Workspace para Windows con las siguientes opciones de línea de comandos:

• /includeSSON instala la autenticación de inicio de sesión único (paso a través). Habilita el almacenamiento en caché de credenciales y el uso de la autenticación de paso a través basada en dominio.

• Si el usuario inicia sesión en el punto final con un método diferente al de la tarjeta inteligente para la autenticación de la aplicación Citrix Workspace para Windows (por ejemplo, nombre de usuario y contraseña), la línea de comandos es:

  /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

Esto evita que las credenciales se capturen al iniciar sesión y permite que la aplicación Citrix Workspace almacene el PIN al iniciar sesión en la aplicación Citrix Workspace.

1. Abre la plantilla administrativa del objeto de directiva de grupo de la aplicación Citrix Workspace ejecutando gpedit.msc.
2. Ve a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuario > Nombre de usuario y contraseña locales.
3. Selecciona Habilitar autenticación de paso. Según la configuración y los ajustes de seguridad, selecciona Permitir autenticación de paso para todas las opciones de ICA para que la autenticación de paso funcione.

Para configurar StoreFront:

• Cuando configures el servicio de autenticación, selecciona la casilla de verificación Tarjeta inteligente.

Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulta Configurar el servicio de autenticación en la documentación de StoreFront.

Para habilitar los dispositivos de usuario para el uso de tarjetas inteligentes:

1. Importa el certificado raíz de la autoridad de certificación en el almacén de claves del dispositivo.
2. Instala el middleware criptográfico de tu proveedor.
3. Instala y configura la aplicación Citrix Workspace.

Para cambiar cómo se seleccionan los certificados:

De forma predeterminada, si hay varios certificados válidos, la aplicación Citrix Workspace te pide que elijas un certificado de la lista. Alternativamente, puedes configurar la aplicación Citrix Workspace para que use el certificado predeterminado (según el proveedor de la tarjeta inteligente) o el certificado con la fecha de caducidad más reciente. Si no hay certificados de inicio de sesión válidos, se te notifica y se te da la opción de usar un método de inicio de sesión alternativo si está disponible.

Un certificado válido debe tener todas estas características:

• La hora actual del reloj en el equipo local está dentro del período de validez del certificado.
• La clave pública del sujeto debe usar el algoritmo RSA y tener una longitud de clave de 1024 bits, 2048 bits o 4096 bits.
• El uso de clave debe contener Firma digital.
• El nombre alternativo del sujeto debe contener el nombre principal de usuario (UPN).
• El uso de clave mejorado debe contener Inicio de sesión con tarjeta inteligente y Autenticación de cliente, o Todos los usos de clave.
• Una de las autoridades de certificación en la cadena de emisores del certificado debe coincidir con uno de los nombres distintivos (DN) permitidos enviados por el servidor en el protocolo de enlace TLS.

Cambia cómo se seleccionan los certificados usando cualquiera de los siguientes métodos:

• En la línea de comandos de la aplicación Citrix Workspace, especifica la opción AM\_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry }.

  Prompt es el valor predeterminado. Para SmartCardDefault o LatestExpiry, si varios certificados cumplen los criterios, la aplicación Citrix Workspace te pide que elijas un certificado.

• Agrega el siguiente valor de clave a la clave de registro HKEY_CURRENT_USER o HKEY_LOCAL_MACHINE\Software[Wow6432Node]Citrix\AuthManager: CertificateSelectionMode={ Prompt

  SmartCardDefault

  LatestExpiry }.

Los valores definidos en HKEY_CURRENT_USER tienen prioridad sobre los valores en HKEY_LOCAL_MACHINE para ayudarte mejor a seleccionar un certificado.

Para usar las solicitudes de PIN de CSP:

De forma predeterminada, las solicitudes de PIN que se te presentan son proporcionadas por la aplicación Citrix Workspace para Windows en lugar del Proveedor de servicios criptográficos (CSP) de la tarjeta inteligente. La aplicación Citrix Workspace te pide que introduzcas un PIN cuando sea necesario y luego pasa el PIN al CSP de la tarjeta inteligente. Si tu sitio o tarjeta inteligente tiene requisitos de seguridad más estrictos, como no permitir el almacenamiento en caché del PIN por proceso o por sesión, puedes configurar la aplicación Citrix Workspace para que use los componentes de CSP para gestionar la entrada del PIN, incluida la solicitud de un PIN.

Cambia cómo se gestiona la entrada del PIN usando cualquiera de los siguientes métodos:

• En la línea de comandos de la aplicación Citrix Workspace, especifica la opción AM\_SMARTCARDPINENTRY=CSP.
• Agrega el siguiente valor de clave a la clave de registro HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager: SmartCardPINEntry=CSP.

Cambios en el soporte y la extracción de tarjetas inteligentes

Considera lo siguiente al conectarte a un sitio PNAgent de XenApp 6.5:

• El inicio de sesión con tarjeta inteligente es compatible con los inicios de sesión del sitio PNAgent.
• La política de extracción de tarjetas inteligentes ha cambiado en el sitio PNAgent:

Una sesión de Citrix Virtual Apps se cierra cuando se extrae la tarjeta inteligente – si el sitio PNAgent está configurado con tarjeta inteligente como método de autenticación, la política correspondiente debe configurarse en la aplicación Citrix Workspace para Windows para forzar el cierre de sesión de Citrix Virtual Apps. Habilita la itinerancia para la autenticación con tarjeta inteligente en el sitio PNAgent de XenApp y habilita la política de extracción de tarjetas inteligentes, que cierra la sesión de Citrix Virtual Apps de la sesión de la aplicación Citrix Workspace. El usuario sigue conectado a la sesión de la aplicación Citrix Workspace.

Limitación:

Cuando inicias sesión en el sitio PNAgent usando la autenticación con tarjeta inteligente, el nombre de usuario se muestra como Conectado.