Autenticación

Para maximizar la seguridad del entorno, debe proteger las conexiones entre la aplicación Citrix Workspace y los recursos que publique. Puede configurar diversos tipos de autenticación para la aplicación Citrix Workspace: autenticación con tarjeta inteligente, autenticación PassThrough de dominio y autenticación PassThrough con Kerberos.

Autenticación PassThrough de dominio

Single Sign-On permite autenticarse en un dominio y usar Citrix Virtual Apps and Desktops y Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service) sin necesidad de volver a autenticarse.

Cuando inicia sesión en la aplicación Citrix Workspace, las credenciales se transfieren a StoreFront, junto con las aplicaciones, los escritorios y los parámetros del menú Inicio. Después de configurar el tipo de inicio de sesión Single Sign-On, puede iniciar sesión en la aplicación Citrix Workspace e iniciar sesiones de aplicaciones y escritorios virtuales sin tener que volver a escribir las credenciales.

Todos los exploradores web necesitarán que configure Single Sign-On mediante la plantilla administrativa de objetos de directiva de grupo (GPO). Para obtener más información sobre cómo configurar Single Sign-On mediante la plantilla administrativa de objetos de directiva de grupo (GPO), consulte Configurar Single Sign-On en Citrix Gateway.

Puede configurar el inicio Single Sign-On tanto en una instalación nueva como en una actualización mediante cualquiera de las siguientes opciones:

  • Interfaz de la línea de comandos
  • Interfaz gráfica (GUI)

Configurar Single Sign-On durante una instalación nueva

Para configurar Single Sign-On durante una instalación nueva, siga estos pasos:

  1. Configuración en StoreFront.
  2. Configure servicios XML de confianza en el Delivery Controller.
  3. Modifique parámetros de Internet Explorer.
  4. Instale la aplicación Citrix Workspace con Single Sign-On.

Configurar Single Sign-On en StoreFront

Single Sign-On le permite autenticarse en un dominio y usar Citrix Virtual Apps and Desktops y Citrix DaaS desde el mismo dominio sin tener que autenticarse de nuevo para cada aplicación o escritorio.

Cuando agrega un almacén mediante la utilidad Storebrowse, las credenciales se transfieren al servidor de Citrix Gateway, junto con las aplicaciones y los escritorios enumerados para usted, incluidos los parámetros del menú Inicio. Después de configurar el inicio Single Sign-On, puede agregar el almacén, enumerar sus aplicaciones y escritorios e iniciar los recursos necesarios sin tener que escribir sus credenciales varias veces.

Según la implementación de Citrix Virtual Apps and Desktops, la autenticación Single Sign-On se puede configurar en StoreFront desde la consola de administración.

Utilice esta tabla para ver los diferentes casos de uso y su configuración respectiva:

Caso de uso Detalles de configuración Información adicional
SSON configurado en StoreFront Inicie Citrix Studio, vaya a Almacenes > Administrar métodos de autenticación - Almacén y habilite PassThrough de dominio. Cuando la aplicación Citrix Workspace no está configurada con Single Sign-On, cambia automáticamente el método de autenticación de PassThrough de dominio a Nombre de usuario y contraseña, si está disponible.
Cuando se necesita Workspace para Web Inicie Almacenes > Sitios de Workspace para Web > Administrar métodos de autenticación - Almacén y habilite PassThrough de dominio. Cuando la aplicación Citrix Workspace no está configurada con Single Sign-On, cambia automáticamente el método de autenticación de PassThrough de dominio a Nombre de usuario y contraseña, si está disponible.

Configurar Single Sign-On en Citrix Gateway

El inicio Single Sign-On en Citrix Gateway se habilita a través de la plantilla administrativa del GPO.

  1. Abra la plantilla administrativa del GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
  2. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios, y seleccione Single Sign-On para Citrix Gateway.
  3. Seleccione Habilitado.
  4. Haga clic en Aplicar y Aceptar.
  5. Reinicie la aplicación Citrix Workspace para que los cambios surtan efecto.

Configurar servicios XML de confianza en el Delivery Controller

En Citrix Virtual Apps and Desktops y Citrix DaaS, ejecute el siguiente comando de PowerShell como administrador en el Delivery Controller:

asnp Citrix* ; Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

Modificar los parámetros de Internet Explorer

  1. Agregar el servidor de StoreFront a la lista de sitios de confianza mediante Internet Explorer. Para agregarlo:
    1. Inicie Opciones de Internet desde el Panel de control.
    2. Haga clic en Seguridad > Internet local y, a continuación, haga clic en Sitios.

      Aparecerá la ventana Intranet local.

    3. Seleccione Opciones avanzadas.
    4. Agregue la URL del FQDN de StoreFront con los protocolos HTTP o HTTPS correspondientes.
    5. Haga clic en Aplicar y Aceptar.
  2. Modifique los parámetros de Autenticación del usuario en Internet Explorer. Para modificarlos:
    1. Inicie Opciones de Internet desde el Panel de control.
    2. Haga clic en la ficha Seguridad > Sitios de confianza.
    3. Haga clic en Nivel personalizado. Aparecerá la ventana Configuración de seguridad: zona de sitios de confianza.
    4. En el panel Autenticación del usuario, seleccione Inicio de sesión automático con el nombre de usuario y contraseña actuales.

      Autenticación de usuarios

    5. Haga clic en Aplicar y Aceptar.

Configurar Single Sign-On mediante la interfaz de línea de comandos

Instale la aplicación Citrix Workspace con el modificador de línea de comandos /includeSSON y reiníciela para que los cambios surtan efecto.

Nota:

Al instalar la aplicación Citrix Workspace para Windows sin el componente Single Sign-On, no se permite actualizarla a la versión más reciente de Citrix Workspace con el modificador de línea de comandos /includeSSON.

Configurar Single Sign-On mediante la GUI

  1. Busque el archivo de instalación de la aplicación Citrix Workspace (CitrixWorkspaceApp.exe).
  2. Haga doble clic en CitrixWorkspaceApp.exe para iniciar el instalador.
  3. En el asistente de instalación Habilitar Single Sign-On, seleccione la opción Habilitar Single Sign-On.
  4. Haga clic en Siguiente y siga las instrucciones para completar la instalación.

Ahora puede iniciar sesión en un almacén existente (o configurar un almacén nuevo) mediante la aplicación Citrix Workspace sin introducir credenciales de usuario.

Configurar Single Sign-On en Citrix Workspace para Web

Puede configurar Single Sign-On en Workspace para Web mediante la plantilla administrativa del objeto de directiva de grupo.

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace para Web. Para ello, ejecute gpedit.msc.
  2. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios.
  3. Seleccione la directiva Nombre de usuario y contraseña locales y habilítela.
  4. Haga clic en Habilitar autenticación PassThrough. Esta opción permite a Workspace para Web usar las credenciales de inicio de sesión para autenticarse en el servidor remoto.
  5. Haga clic en Permitir autenticación PassThrough para todas las conexiones ICA. Esta opción omite las restricciones de autenticación y permite que las credenciales se transfieran en todas las conexiones.
  6. Haga clic en Aplicar y Aceptar.
  7. Reinicie Citrix Workspace para Web para que los cambios surtan efecto.

Verifique si Single Sign-On está habilitado. Para ello, inicie el Administrador de tareas y compruebe que el proceso ssonsvr.exe se está ejecutando.

Configurar Single Sign-On mediante Active Directory

Complete los pasos siguientes para configurar la aplicación Citrix Workspace para la autenticación PassThrough mediante la directiva de grupo de Active Directory. En este caso, puede obtener la autenticación Single Sign-On sin utilizar las herramientas de implementación del software de empresa, como Microsoft System Center Configuration Manager.

  1. Descargue el archivo de instalación de la aplicación Citrix Workspace (CitrixWorkspaceApp.exe) y colóquelo en un recurso compartido de red adecuado. Se debe poder acceder a ese recurso desde las máquinas de destino en las que instale la aplicación Citrix Workspace.

  2. Puede obtener la CheckAndDeployWorkspacePerMachineStartupScript.batplantilla desde la página de descargas de la aplicación Citrix Workspace para Windows.

  3. Modifique el contenido para adaptarlo a la ubicación y la versión de CitrixWorkspaceApp.exe.

  4. En la Consola de administración de directivas de grupo de Active Directory, escriba CheckAndDeployWorkspacePerMachineStartupScript.bat como script de inicio. Para obtener más información sobre cómo implementar los script de inicio, consulte la sección Active Directory.

  5. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Agregar o quitar plantillas para agregar el archivo receiver.adml.

  6. Después de agregar la plantilla receiver.adml, vaya a Configuración del equipo > Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios. Para obtener más información sobre cómo agregar los archivos de plantilla, consulte Plantilla administrativa de objeto de directiva de grupo.

  7. Seleccione la directiva Nombre de usuario y contraseña locales y habilítela.

  8. Seleccione Habilitar autenticación PassThrough y haga clic en Aplicar.

  9. Reinicie la máquina para que los cambios surtan efecto.

Configurar Single Sign-On en StoreFront

Configurar StoreFront

  1. Inicie Citrix Studio en el servidor de StoreFront y seleccione Almacenes > Administrar métodos de autenticación - Almacén.
  2. Seleccione PassThrough de dominio.

alt_text

Tokens de autenticación

Los tokens de autenticación se cifran y se almacenan en el disco local para que no tenga que volver a escribir sus credenciales al reiniciar el sistema o la sesión. La aplicación Citrix Workspace ofrece una opción para inhabilitar el almacenamiento de tokens de autenticación en el disco local.

Para mejorar la seguridad, ahora proporcionamos una directiva de objeto de directiva de grupo (GPO) para configurar el almacenamiento de tokens de autenticación.

Nota:

Esta configuración solo se puede aplicar en implementaciones en la nube.

Para inhabilitar el almacenamiento de tokens de autenticación mediante la directiva de objeto de directiva de grupo (GPO):

  1. Ejecute gpedit.msc para abrir la plantilla administrativa de GPO de la aplicación Citrix Workspace.
  2. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Componentes de Citrix > Autoservicio.
  3. En la directiva Almacenar tokens de autenticación, seleccione una de estas opciones:

    • Habilitado: Indica que los tokens de autenticación se almacenan en el disco. De forma predeterminada, habilítela.
    • Inhabilitado: Indica que los tokens de autenticación no se almacenan en el disco. Introduzca de nuevo sus credenciales al reiniciar el sistema o la sesión.
  4. Haga clic en Aplicar y Aceptar.

A partir de la versión 2106, la aplicación Citrix Workspace ofrece otra opción para inhabilitar el almacenamiento de tokens de autenticación en el disco local. Junto con la configuración de GPO existente, también puede inhabilitar el almacenamiento de tokens de autenticación en el disco local mediante Global App Configuration Service.

En Global App Configuration Service, establezca el atributo Store Authentication Tokens en False.

Para obtener más información, consulte la documentación de Global App Configuration Service.

Configuration Checker

Configuration Checker le permite ejecutar pruebas para comprobar si Single Sign-On está configurado correctamente. Las pruebas se ejecutan en varios puntos de control de la configuración de Single Sign-On y muestran los resultados de la configuración.

  1. Haga clic con el botón secundario en el icono de la aplicación Citrix Workspace situado en el área de notificaciones y, a continuación, haga clic en Preferencias avanzadas. Aparecerá el cuadro de diálogo Preferencias avanzadas.
  2. Haga clic en Configuration Checker. Aparecerá la ventana Citrix Configuration Checker.

    Configuration Checker

  3. Seleccione SSONChecker desde el panel Seleccionar.
  4. Haga clic en Ejecutar. Aparecerá la barra de progreso, que muestra el estado de la prueba.

La ventana de Configuration Checker consta de las siguientes columnas:

  1. Estado: Muestra el resultado de una prueba en un punto de control concreto.

    • Una marca de verificación (✓) verde indica que el punto de control está configurado correctamente.
    • Una I azul indica información sobre el punto de control.
    • Una X roja indica que ese punto de control no está configurado correctamente.
  2. Proveedor: Muestra el nombre del módulo en que se ejecuta la prueba. En este caso, Single Sign-On.
  3. Suite: Indica la categoría de la prueba. Por ejemplo, Instalación.
  4. Prueba: Indica el nombre de la prueba específica que se ejecuta.
  5. Detalles: Proporciona información adicional sobre la prueba, independientemente del resultado de esta.

El usuario puede ver más información sobre cada punto de control y los resultados correspondientes.

Se realizan estas pruebas:

  1. Instalado con Single Sign-On.
  2. Captura de credenciales de inicio de sesión.
  3. Registro de proveedores de red: El resultado de la prueba de registro de proveedores de red muestra una marca de verificación verde solo cuando “Citrix Single Sign-On” figura en primer lugar en la lista de proveedores de red. Si Citrix Single Sign-On aparece en algún otro lugar de la lista, el resultado de la prueba Registro de proveedores de red es una barra azul y se ofrece información adicional.
  4. Proceso de Single Sign-On en ejecución.
  5. Directiva de grupo: De manera predeterminada, esta directiva está configurada en el cliente.
  6. Parámetros de Internet para zonas de seguridad: Compruebe que ha agregado la URL del almacén o del servicio XenApp a la lista de zonas de seguridad en las Opciones de Internet. Si las zonas de seguridad están configuradas mediante una directiva de grupo, cualquier cambio en la directiva requiere que la ventana Preferencias avanzadas se vuelva a abrir para que los cambios surtan efecto y para mostrar el estado correcto de la prueba.
  7. Método de autenticación para StoreFront.

Nota:

  • Si accede a Workspace para Web, los resultados de la prueba no se aplican.
  • Si la aplicación Citrix Workspace está configurada con varios almacenes, la prueba del método de autenticación se ejecuta en todos los almacenes configurados.
  • Puede guardar como informes los resultados de la prueba. El formato predeterminado del informe es TXT.

Ocultar la opción Configuration Checker de la ventana Preferencias avanzadas

  1. Abra la plantilla administrativa del GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
  2. Vaya a Componentes de Citrix > Citrix Workspace > Autoservicio > DisableConfigChecker.
  3. Haga clic en Habilitado para ocultar la opción Configuration Checker de la ventana Preferencias avanzadas.
  4. Haga clic en Aplicar y Aceptar.
  5. Ejecute el comando gpupdate /force.

Limitación:

Configuration Checker no incluye el punto de control de la configuración de confianza en solicitudes enviadas a XML Service en los servidores de Citrix Virtual Apps and Desktops.

Prueba de baliza

La aplicación Citrix Workspace permite realizar una prueba de baliza mediante la herramienta de comprobación de balizas que está disponible como parte de la herramienta Configuration Checker. La prueba de baliza ayuda a confirmar si se puede acceder a la baliza (ping.citrix.com). Con esta prueba de diagnóstico, se puede descartar una de las muchas causas posibles para la enumeración lenta de recursos (es decir, que la baliza no esté disponible). Para ejecutar la prueba, haga clic con el botón secundario en la aplicación Citrix Workspace en el área de notificaciones y seleccione Preferencias avanzadas > Configuration Checker. Seleccione la opción Beacon Checker de la lista “Pruebas” y haga clic en Ejecutar.

Los resultados de la prueba pueden ser uno de los siguientes:

  • Accesible: La aplicación Citrix Workspace puede contactar con la baliza.
  • No accesible: La aplicación Citrix Workspace no puede contactar con la baliza.
  • Parcialmente accesible: La aplicación Citrix Workspace puede contactar intermitentemente con la baliza.

Nota:

  • Los resultados de la prueba no se aplican a Workspace para Web.
  • Puede guardar como informes los resultados de la prueba. El formato predeterminado del informe es TXT.

Autenticación PassThrough de dominio con Kerberos

Lo descrito en este artículo se aplica solo a conexiones entre la aplicación Citrix Workspace para Windows y StoreFront, Citrix Virtual Apps and Desktops y Citrix DaaS.

La aplicación Citrix Workspace admite Kerberos para la autenticación PassThrough de dominio en implementaciones que usan tarjetas inteligentes. Kerberos es uno de los métodos de autenticación incluidos en la autenticación de Windows integrada (IWA).

Al habilitarse, Kerberos se autentica sin contraseña en la aplicación Citrix Workspace. Así, impide ataques de tipo troyano que intentan acceder a las contraseñas del dispositivo de usuario. Los usuarios pueden iniciar sesión con cualquier método de autenticación y acceder a recursos publicados; por ejemplo, un autenticador biométrico (un lector de huellas digitales).

Cuando inicie sesión con una tarjeta inteligente en la aplicación Citrix Workspace, StoreFront, Citrix Virtual Apps and Desktops y Citrix DaaS configurados para la autenticación con tarjeta inteligente, la aplicación Citrix Workspace:

  1. Captura el PIN de la tarjeta inteligente durante Single Sign-On.
  2. Usa IWA (Kerberos) para autenticar al usuario en StoreFront. A continuación, StoreFront proporciona a la aplicación Citrix Workspace información sobre las instancias disponibles de Citrix Virtual Apps and Desktops y Citrix DaaS.

    Nota

    Habilite Kerberos para evitar una solicitud extra de PIN. Si no se usa la autenticación Kerberos, la aplicación Citrix Workspace se autentica en StoreFront con las credenciales de la tarjeta inteligente.

  3. HDX Engine (antes conocido como cliente ICA) pasa el PIN de la tarjeta inteligente al VDA para iniciar la sesión del usuario en la aplicación Citrix Workspace. A continuación, Citrix Virtual Apps and Desktops y Citrix DaaS entregan los recursos solicitados.

Para usar la autenticación Kerberos en la aplicación Citrix Workspace, compruebe si la configuración de Kerberos cumple estos requisitos.

  • Kerberos solo funciona entre la aplicación Citrix Workspace y los servidores que pertenecen a los mismos dominios de Windows o a dominios que son de confianza. Se confía en los servidores para la delegación, una opción que se configura a través de la herramienta de administración de usuarios y equipos de Active Directory.
  • Kerberos debe estar habilitado tanto en el dominio como en Citrix Virtual Apps and Desktops y en Citrix DaaS. Para mayor seguridad y para asegurarse de que se utiliza Kerberos, inhabilite las demás opciones que no sean Kerberos IWA en el dominio.
  • El inicio de sesión con Kerberos no está disponible para conexiones de Servicios de escritorio remoto configuradas para usar la autenticación básica, para usar siempre la información de inicio de sesión especificada o para pedir siempre una contraseña.

Advertencia

Es posible que el uso incorrecto del Editor del Registro del sistema cause problemas graves que puedan obligarle a reinstalar el sistema operativo. Citrix no puede garantizar que los problemas derivados de un uso incorrecto del Editor del Registro puedan resolverse. Use el Editor del Registro bajo su propia responsabilidad. Haga una copia de seguridad del Registro antes de modificarlo.

Autenticación PassThrough de dominio con Kerberos para usarla con tarjetas inteligentes

Antes de continuar, consulte la sección Proteger la implementación en el documento de Citrix Virtual Apps and Desktops.

Cuando instale la aplicación Citrix Workspace para Windows, incluya la opción siguiente en la línea de comandos:

  • /includeSSON

    Esta opción instala el componente Single Sign-On en el equipo unido a un dominio, lo que habilita a Citrix Workspace para autenticarse en StoreFront mediante IWA (Kerberos). El componente Single Sign-On guarda el PIN de la tarjeta inteligente que el motor HDX utiliza cuando comunica de forma remota el hardware de la tarjeta inteligente y las credenciales a Citrix Virtual Apps and Desktops y Citrix DaaS. Citrix Virtual Apps and Desktops y Citrix DaaS seleccionan automáticamente un certificado desde la tarjeta inteligente y obtienen el PIN desde el motor HDX.

    La opción relacionada ENABLE_SSON está habilitada de forma predeterminada.

Si una directiva de seguridad le impide habilitar el inicio Single Sign-On en un dispositivo, configure la aplicación Citrix Workspace mediante la plantilla administrativa del objeto de directiva de grupo.

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
  2. Elija Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios > Nombre de usuario y contraseña locales.
  3. Seleccione Habilitar autenticación PassThrough.
  4. Reinicie la aplicación Citrix Workspace para que los cambios surtan efecto.

    Habilitar autenticación PassThrough

Para configurar StoreFront:

Durante la configuración del servicio de autenticación en el servidor de StoreFront, seleccione la opción PassThrough de dominio. Este parámetro habilita la autenticación de Windows integrada (IWA). No es necesario seleccionar la opción “Tarjeta inteligente” a menos que también tenga clientes que no estén unidos a un dominio conectándose a StoreFront con tarjeta inteligente.

Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulte Configurar el servicio de autenticación en la documentación de StoreFront.

Compatibilidad del Acceso condicional con Azure Active Directory

El Acceso condicional es una herramienta utilizada por Azure Active Directory para aplicar directivas de organización. Los administradores de Workspace pueden configurar y aplicar directivas de acceso condicional de Azure Active Directory a usuarios que se autentican en la aplicación Citrix Workspace. La máquina Windows que ejecute la aplicación Citrix Workspace debe tener instalada la versión 92 de Microsoft Edge WebView2 Runtime o una versión posterior.

Para obtener información e instrucciones completas sobre cómo configurar directivas de acceso condicional con Azure Active Directory, consulte la documentación sobre el Acceso condicional de Azure AD en docs.microsoft.com/es-es/azure/active-directory/conditional-access/.

Nota:

Esta función solo está disponible en implementaciones de Workspace (Cloud).

Otras formas de autenticarse en Citrix Workspace

Puede configurar estos mecanismos de autenticación con la aplicación Citrix Workspace. Para que estos mecanismos de autenticación funcionen como es debido, la máquina Windows que ejecuta la aplicación Citrix Workspace debe tener instalada la versión 92 de Microsoft Edge WebView2 Runtime o una versión posterior.

  1. Autenticación por Windows Hello: Para obtener instrucciones sobre cómo configurar la autenticación por Windows Hello, consulte Configure Windows Hello for Business Policy settings - Certificate Trust en _docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-cert-trust-policy-settings.

Nota:

No se admite la autenticación basada en Windows Hello con PassThrough de dominio.

  1. Autenticación por claves de seguridad FIDO2: Las claves de seguridad FIDO2 ofrecen un método intuitivo para que los empleados se autentiquen sin introducir nombres de usuario ni contraseñas. Puede configurar la autenticación por claves de seguridad FIDO2 en Citrix Workspace. Si quiere que los usuarios se autentiquen en Citrix Workspace con su cuenta de Azure AD mediante una clave de seguridad FIDO2, consulte Habilitación del inicio de sesión con clave de seguridad sin contraseña en docs.microsoft.com/es-es/azure/active-directory/authentication/howto-authentication-passwordless-security-key.
  2. También puede configurar Single Sign-On (SSO) en la aplicación Citrix Workspace desde máquinas unidas a Microsoft Azure Active Directory (AAD) con AAD como un proveedor de identidades Para obtener más información detallada sobre la configuración de Azure Active Directory Domain Services, consulte Configurar Azure Active Directory Domain Services en docs.microsoft.com/es-es/azure/active-directory-domain-services/overview. Para obtener información sobre cómo conectar Azure Active Directory a Citrix Cloud, consulte Conectar Azure Active Directory a Citrix Cloud.

Tarjeta inteligente

La aplicación Citrix Workspace para Windows admite la siguiente autenticación con tarjeta inteligente:

  • Autenticación PassThrough (Single Sign-On): La autenticación PassThrough captura las credenciales de la tarjeta inteligente cuando los usuarios inician sesión en la aplicación Citrix Workspace. La aplicación Citrix Workspace usa las credenciales capturadas de la siguiente manera:

    • Los usuarios de dispositivos unidos a un dominio que inician sesión en la aplicación Citrix Workspace con una tarjeta inteligente pueden iniciar aplicaciones y escritorios virtuales sin necesidad de volver a autenticarse.
    • Los usuarios de dispositivos no unidos a ningún dominio que inician sesión en la aplicación Citrix Workspace con credenciales de tarjeta inteligente deben escribir de nuevo sus credenciales para poder iniciar una aplicación o escritorio virtual.

    La autenticación PassThrough debe configurarse tanto en StoreFront como en la aplicación Citrix Workspace.

  • Autenticación bimodal: La autenticación bimodal ofrece a los usuarios la opción de usar una tarjeta inteligente o escribir su nombre de usuario y contraseña. Esta función es efectiva cuando no se puede usar la tarjeta inteligente; por ejemplo, cuando el certificado de inicio de sesión ha caducado. Para permitir la autenticación bimodal, deben configurarse almacenes dedicados para cada sitio siguiendo el método de DisableCtrlAltDel establecido en el valor False para permitir el uso de tarjetas inteligentes. La autenticación bimodal requiere una configuración de StoreFront.

    Con la autenticación bimodal, el administrador de StoreFront puede permitir autenticarse tanto con nombre y contraseña como con tarjeta inteligente en un mismo almacén. Para ello, el administrador debe seleccionar estas dos opciones en la consola de StoreFront. Consulte la documentación de StoreFront.

  • Varios certificados: Pueden emplearse varios certificados para una única tarjeta inteligente, y también si se utilizan varias tarjetas inteligentes. Cuando se inserta una tarjeta inteligente en el lector de tarjetas, los certificados se aplican a todas las aplicaciones ejecutadas en el dispositivo del usuario, incluida la aplicación Citrix Workspace.

  • Autenticación por certificado del cliente: La autenticación por certificado del cliente requiere la configuración de Citrix Gateway y StoreFront.

    • Para acceder a StoreFront a través de Citrix Gateway, debe volver a autenticarse después de extraer la tarjeta inteligente.
    • Cuando la configuración SSL de Citrix Gateway está definida como Autenticación por certificado de cliente obligatoria, la operación es más segura. No obstante, la autenticación por certificado de cliente obligatoria no es compatible con la autenticación bimodal.
  • Sesiones de doble salto: Si es necesario el doble salto, se establece una conexión entre la aplicación Citrix Workspace y el escritorio virtual del usuario.

  • Aplicaciones habilitadas para tarjeta inteligente: Las aplicaciones habilitadas para tarjeta inteligente, como Microsoft Outlook y Microsoft Office, permiten a los usuarios cifrar o firmar digitalmente los documentos disponibles en las sesiones de aplicaciones y escritorios virtuales.

Limitaciones:

  • Los certificados deben guardarse en una tarjeta inteligente, no en el dispositivo del usuario.
  • La aplicación Citrix Workspace no guarda la elección de certificado del usuario, pero guarda el PIN si se configura así. El PIN se almacena en caché solo en la memoria no paginada durante la sesión del usuario. No se guarda en el disco.
  • La aplicación Citrix Workspace no se reconecta a sesiones cuando se inserta una tarjeta inteligente.
  • Cuando está configurada para la autenticación con tarjeta inteligente, la aplicación Citrix Workspace no admite ni el Preinicio de sesiones ni Single Sign-On en redes privadas virtuales (VPN). Para usar una VPN con la autenticación con tarjeta inteligente, instale Citrix Gateway Plug-in. Inicie sesión en una página web con sus tarjetas inteligentes y sus PIN para autenticarse en cada paso. La autenticación PassThrough en StoreFront con Citrix Gateway Plug-in no está disponible para los usuarios de tarjeta inteligente.
  • Las comunicaciones de Citrix Workspace Updater con citrix.com y Merchandising Server no son compatibles con la autenticación por tarjeta inteligente en Citrix Gateway.

Advertencia

Algunas configuraciones requieren modificaciones del Registro. Es posible que el uso incorrecto del Editor del Registro del sistema cause problemas que puedan requerir la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de un uso incorrecto del Editor del Registro puedan resolverse. Haga una copia de seguridad del Registro antes de modificarlo.

Para habilitar la autenticación Single Sign-On para tarjeta inteligente:

Para configurar la aplicación Citrix Workspace para Windows, incluya la siguiente opción de línea de comandos cuando la instale:

  • ENABLE_SSON=Yes

    Single Sign-On es otro término para el paso de credenciales/autenticación PassThrough. Habilitar este parámetro impide que la aplicación Citrix Workspace muestre una segunda solicitud de PIN.

  • En el Editor del Registro, vaya a esta ruta de acceso y establezca la cadena SSONCheckEnabled en False si no instaló el componente Single Sign-On.

    HKEY_CURRENT_USER\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

    HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

    La clave impide que Authentication Manager de la aplicación Citrix Workspace busque el componente Single Sign-On y permite que la aplicación Citrix Workspace se autentique en StoreFront.

Para habilitar la autenticación en StoreFront con tarjeta inteligente en lugar de Kerberos, instale la aplicación Citrix Workspace para Windows con las siguientes opciones de la línea de comandos.

  • /includeSSON instala Single Sign-On (autenticación PassThrough). Habilita el almacenamiento en caché de credenciales y el uso de la autenticación PassThrough de dominio.

  • Si el usuario inicia sesión en el dispositivo de punto final con otro método de autenticación como, por ejemplo, nombre de usuario y contraseña, la línea de comandos es:

    /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

Este tipo de autenticación evita la captura de las credenciales al iniciar sesión y permite que la aplicación Citrix Workspace almacene el PIN durante el inicio de sesión en la aplicación Citrix Workspace.

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
  2. Vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios > Nombre de usuario y contraseña locales.
  3. Seleccione Habilitar autenticación PassThrough. Dependiendo de la configuración y los parámetros de seguridad, seleccione la opción Permitir autenticación PassThrough para todas las conexiones ICA para que la autenticación PassThrough funcione.

Para configurar StoreFront:

  • Al configurar el servicio de autenticación, marque la casilla Tarjeta inteligente.

Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulte Configurar el servicio de autenticación en la documentación de StoreFront.

Para habilitar los dispositivos de los usuarios para el uso de tarjetas inteligentes:

  1. Importe el certificado raíz de la entidad de certificación en el almacén de claves del dispositivo.
  2. Instale el middleware de su proveedor de servicios criptográficos.
  3. Instale y configure la aplicación Citrix Workspace.

Para cambiar cómo se seleccionan los certificados:

De manera predeterminada, si hay varios certificados válidos, la aplicación Citrix Workspace pide al usuario que elija uno de la lista. En su lugar, puede configurar la aplicación Citrix Workspace para que use el certificado predeterminado (por proveedor de tarjeta inteligente) o el certificado con la fecha de caducidad más lejana. Si no hay certificados de inicio de sesión válidos, se notifica esto al usuario y se le da la opción de usar un método de inicio de sesión alternativo, si hay alguno disponible.

Un certificado válido debe reunir estas características:

  • La fecha y hora actuales según el reloj del equipo local está dentro del período de validez del certificado.
  • La clave pública Sujeto debe usar el algoritmo de RSA y tener una longitud de 1024, 2048 o 4096 bits.
  • El uso de claves debe incluir la firma digital.
  • Las sesiones de Citrix Virtual Apps se cierran al extraer la tarjeta inteligente.
  • El campo “Uso mejorado de claves” debe incluir Inicio de sesión de tarjeta inteligente y Autenticación del cliente o Todos los usos de la clave.
  • Una de las entidades de certificación en la cadena de emisores del certificado debe coincidir con uno de los nombres distintivos (DN) permitidos que haya enviado el servidor durante el protocolo de enlace TLS.

Cambie el modo en que se seleccionan los certificados mediante uno de estos métodos:

  • En la línea de comandos de la aplicación Citrix Workspace, especifique la opción AM_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry }.

    La opción predeterminada es “Prompt” (Preguntar). Para SmartCardDefault o LatestExpiry, si hay varios certificados que cumplen esos criterios, la aplicación Citrix Workspace pide al usuario que elija un certificado.

  • Agregue el siguiente valor a la clave de Registro HKEY_CURRENT_USER OR HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager: CertificateSelectionMode= {Prompt SmartCardDefault LatestExpiry }.

Los valores definidos en HKEY_CURRENT_USER tienen preferencia sobre los valores definidos en HKEY_LOCAL_MACHINE para facilitar al usuario la selección de un certificado.

Para usar solicitudes de PIN del proveedor de servicios criptográficos (CSP):

De manera predeterminada, los diálogos de PIN que se presentan a los usuarios provienen de la aplicación Citrix Workspace para Windows, en lugar de venir del proveedor CSP (Cryptographic Service Provider) de la tarjeta inteligente. La aplicación Citrix Workspace pide a los usuarios que escriban un PIN cuando es necesario, y luego pasa el PIN al proveedor CSP de la tarjeta inteligente. Si el sitio o la tarjeta inteligente tienen unos requisitos de seguridad más estrictos (por ejemplo, prohibir el almacenamiento del PIN en caché por proceso o por sesión), puede configurar la aplicación Citrix Workspace para que use los componentes del CSP para gestionar las entradas de PIN, incluida la solicitud del PIN.

Cambie el modo en que se gestiona la introducción de PIN mediante uno de estos métodos:

  • En la línea de comandos de la aplicación Citrix Workspace, especifique la opción AM_SMARTCARDPINENTRY=CSP.
  • Agregue el siguiente valor a la clave de Registro HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager: SmartCardPINEntry=CSP.

Cambios en la extracción y la compatibilidad de tarjetas inteligentes

Las sesiones de Citrix Virtual Apps se cierran al extraer la tarjeta inteligente. Si la aplicación Citrix Workspace está configurada con tarjeta inteligente como método de autenticación, configure la directiva correspondiente en la aplicación Citrix Workspace para Windows para que se aplique el cierre de las sesiones de Citrix Virtual Apps. La sesión del usuario sigue abierta en la aplicación Citrix Workspace.

Limitación:

Cuando inicia sesión en el sitio de la aplicación Citrix Workspace mediante la autenticación con tarjeta inteligente, el nombre de usuario aparece como Conectado.

Tarjeta inteligente rápida

La tarjeta inteligente rápida es una mejora con respecto a la redirección HDX existente de tarjetas inteligentes basada en PC/SC. Mejora el rendimiento cuando se usan tarjetas inteligentes en entornos WAN con latencia alta.

Las tarjetas inteligentes rápidas solo son compatibles con Windows VDA.

Para habilitar el inicio de sesión con tarjeta inteligente rápida en la aplicación Citrix Workspace:

El inicio de sesión con tarjeta inteligente rápida está habilitado de forma predeterminada en VDA e inhabilitado de forma predeterminada en la aplicación Citrix Workspace. Para habilitarlo, incluya el siguiente parámetro en el archivo default.ica del sitio asociado de StoreFront:

copy[WFClient]
SmartCardCryptographicRedirection=On
<!--NeedCopy-->

Para inhabilitar el inicio de sesión con tarjeta inteligente rápida en la aplicación Citrix Workspace:

Para inhabilitar el inicio de sesión con tarjeta inteligente rápida en la aplicación Citrix Workspace, quite el parámetro SmartCardCryptographicRedirection del archivo default.ica del sitio asociado de StoreFront.

Para obtener más información, consulte Tarjetas inteligentes.

Autenticación silenciosa para Citrix Workspace

La aplicación Citrix Workspace presenta una directiva de objeto de directiva de grupo (GPO) para habilitar la autenticación silenciosa en Citrix Workspace. Esta directiva permite a la aplicación Citrix Workspace iniciar sesión en Citrix Workspace automáticamente al iniciar el sistema. Utilice esta directiva solo cuando la autenticación PassThrough de dominio (Single Sign-On) esté configurada para Citrix Workspace en dispositivos unidos a un dominio.

Para que esta directiva funcione, se deben cumplir los siguientes criterios:

  • Single Sign-On debe estar habilitado.
  • La clave SelfServiceMode debe establecerse en Off en el editor del Registro.

Habilitar la autenticación silenciosa:

  1. Ejecute gpedit.msc para abrir la plantilla administrativa de GPO de la aplicación Citrix Workspace.
  2. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Citrix Workspace > Autoservicio.
  3. Haga clic en la directiva Autenticación silenciosa para Citrix Workspace y habilítela.
  4. Haga clic en Aplicar y Aceptar.
Autenticación