Documentación de productos
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
Ver PDF

Autenticar

April 16, 2026
Contribución de: 
C C

Para maximizar la seguridad de tu entorno, debes proteger las conexiones entre la aplicación Citrix Workspace y los recursos que publicas. Puedes configurar varios tipos de autenticación para tu aplicación Citrix Workspace, incluyendo el inicio de sesión único de dominio, la tarjeta inteligente y el inicio de sesión único de Kerberos.

Autenticación de inicio de sesión único de dominio

  • El inicio de sesión único te permite autenticarte en un dominio y usar Citrix Virtual Apps and Desktops™ y Citrix DaaS (anteriormente servicio Citrix Virtual Apps and Desktops) sin tener que volver a autenticarte.

Cuando inicias sesión en la aplicación Citrix Workspace, tus credenciales se transfieren a StoreFront, junto con las aplicaciones y escritorios y la configuración del menú Inicio. Después de configurar el inicio de sesión único, puedes iniciar sesión en la aplicación Citrix Workspace e iniciar sesiones de aplicaciones y escritorios virtuales sin tener que volver a escribir tus credenciales.

Todos los navegadores web requieren que configures el inicio de sesión único usando la plantilla administrativa de Objeto de directiva de grupo (GPO). Para obtener más información sobre cómo configurar el inicio de sesión único usando la plantilla administrativa de Objeto de directiva de grupo (GPO), consulta Configurar el inicio de sesión único con Citrix Gateway.

Puedes configurar el inicio de sesión único tanto en una instalación nueva como en una actualización, usando cualquiera de las siguientes opciones:

  • Interfaz de línea de comandos
    • GUI

Configurar el inicio de sesión único durante una instalación nueva

Para configurar el inicio de sesión único durante una instalación nueva, sigue estos pasos:

  1. Configuración en StoreFront.
  2. Configura los servicios de confianza XML en el Delivery Controller.
  3. Modifica la configuración de Internet Explorer.
  4. Instala la aplicación Citrix Workspace con inicio de sesión único.

Configurar el inicio de sesión único en StoreFront

El inicio de sesión único te permite autenticarte en un dominio y usar Citrix Virtual Apps and Desktops y Citrix DaaS desde el mismo dominio sin tener que volver a autenticarte en cada aplicación o escritorio.

Cuando agregas un almacén usando la utilidad Storebrowse, tus credenciales pasan por el servidor Citrix Gateway, junto con las aplicaciones y escritorios enumerados para ti, incluyendo la configuración de tu menú Inicio. Después de configurar el inicio de sesión único, puedes agregar el almacén, enumerar tus aplicaciones y escritorios, e iniciar los recursos requeridos sin tener que escribir tus credenciales varias veces.

Dependiendo de la implementación de Citrix Virtual Apps and Desktops, la autenticación de inicio de sesión único se puede configurar en StoreFront usando la Consola de administración.

Usa la siguiente tabla para diferentes casos de uso y su configuración respectiva:

Caso de uso Detalles de configuración Información adicional
SSON configurado en StoreFront Inicia Citrix Studio, ve a Stores > Manage Authentication Methods - Store > habilita Domain pass-through. Cuando la aplicación Citrix Workspace no está configurada con inicio de sesión único, cambia automáticamente el método de autenticación de Domain pass-through a User name and password, si está disponible.
Cuando se requiere workspace para web Inicia Stores > Workspace for Web Sites > Manage Authentication Methods - Store > habilita Domain pass-through. Cuando la aplicación Citrix Workspace no está configurada con inicio de sesión único, cambia automáticamente el método de autenticación de Domain pass-through a User name and password, si está disponible.

Configurar el inicio de sesión único con Citrix Gateway

Habilitas el inicio de sesión único con Citrix Gateway usando la plantilla administrativa de Objeto de directiva de grupo.

  1. Abre la plantilla administrativa de GPO de la aplicación Citrix Workspace ejecutando gpedit.msc.
  2. Debajo del nodo Computer Configuration, ve a Administrative Template > Citrix Components > Citrix Workspace > User Authentication, y selecciona la política Single Sign-on for Citrix Gateway.
  3. Selecciona Enabled.
  4. Haz clic en Apply y OK.
  5. Reinicia la aplicación Citrix Workspace para que los cambios surtan efecto.

Configurar los servicios de confianza XML en el Delivery Controller

En Citrix Virtual Apps and Desktops y Citrix DaaS™, ejecuta el siguiente comando de PowerShell como administrador en el Delivery Controller:

asnp Citrix* ; Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

Modificar la configuración de Internet Explorer

  1. Agrega el servidor StoreFront a la lista de sitios de confianza usando Internet Explorer. Para agregar:
    1. Inicia Opciones de Internet desde el Panel de control.

    2. Haz clic en Seguridad > Internet local y haz clic en Sitios.

      Aparece la ventana Intranet local.

    3. Selecciona Avanzado.
    4. Agrega la URL del FQDN de StoreFront con los protocolos HTTP o HTTPS apropiados.
    5. Haz clic en Aplicar y Aceptar.
  2. Modifica la configuración de Autenticación de usuario en Internet Explorer. Para modificar:
    1. Inicia Opciones de Internet desde el Panel de control.
    2. Haz clic en la ficha Seguridad > Sitios de confianza.
    3. Haz clic en Nivel personalizado. Aparece la ventana Configuración de seguridad – Zona de sitios de confianza.

    4. En el panel Autenticación de usuario, selecciona Inicio de sesión automático con el nombre de usuario y la contraseña actuales.

      Autenticación de usuario

    5. Haz clic en Aplicar y Aceptar.

Configurar el inicio de sesión único mediante la interfaz de línea de comandos

Instala la aplicación Citrix Workspace con el modificador /includeSSON y reinicia la aplicación Citrix Workspace para que los cambios surtan efecto.

Nota:

Cuando instalas la aplicación Citrix Workspace para Windows sin el componente de inicio de sesión único, la actualización a la última versión de la aplicación Citrix Workspace con el modificador /includeSSON no es compatible.

Configurar el inicio de sesión único mediante la GUI

  1. Localiza el archivo de instalación de la aplicación Citrix Workspace (CitrixWorkspaceApp.exe).
  2. Haz doble clic en CitrixWorkspaceApp.exe para iniciar el instalador.
  3. En el asistente de instalación de inicio de sesión único, selecciona la opción Habilitar inicio de sesión único.
  4. Haz clic en Siguiente y sigue las indicaciones para completar la instalación.

Ahora puedes iniciar sesión en un almacén existente (o configurar uno nuevo) mediante la aplicación Citrix Workspace sin introducir las credenciales de usuario.

-  ### Configurar el inicio de sesión único en Workspace para Web

Puedes configurar el inicio de sesión único en Workspace para Web mediante la plantilla administrativa de objeto de directiva de grupo.

  1. Abre la plantilla administrativa de GPO de Workspace para Web ejecutando gpedit.msc.
  2. En el nodo Configuración del equipo, ve a Plantilla administrativa > Componente de Citrix > Citrix Workspace > Autenticación de usuario.
  3. Selecciona la directiva Nombre de usuario y contraseña locales y establécela en Habilitado.
  4. Haz clic en Habilitar autenticación de paso a través. Esta opción permite que Workspace para Web use tus credenciales de inicio de sesión para la autenticación en el servidor remoto.
  5. Haz clic en Permitir autenticación de paso a través para todas las conexiones ICA®. Esta opción omite cualquier restricción de autenticación y permite que las credenciales pasen a través de todas las conexiones.
  6. Haz clic en Aplicar y Aceptar.
  7. Reinicia Workspace para Web para que los cambios surtan efecto.

Verifica que el inicio de sesión único esté habilitado iniciando el Administrador de tareas y comprobando si el proceso ssonsvr.exe se está ejecutando.

Configurar el inicio de sesión único mediante Active Directory

Completa los siguientes pasos para configurar la aplicación Citrix Workspace para la autenticación de paso a través mediante la directiva de grupo de Active Directory. En este escenario, puedes lograr la autenticación de inicio de sesión único sin usar las herramientas de implementación de software empresarial, como Microsoft System Center Configuration Manager.

-  1.  Descarga y coloca el archivo de instalación de la aplicación Citrix Workspace ([CitrixWorkspaceApp.exe](https://www.citrix.com/downloads/workspace-app/windows/workspace-app-for-windows-latest.html)) en un recurso compartido de red adecuado. Debe ser accesible para las máquinas de destino en las que instales la aplicación Citrix Workspace.

  1. Obtén la plantilla CheckAndDeployWorkspacePerMachineStartupScript.bat de la página Descarga de la aplicación Citrix Workspace para Windows.

  2. Modifica el contenido para que refleje la ubicación y la versión de CitrixWorkspaceApp.exe.

  3. En la consola de Administración de directivas de grupo de Active Directory, escribe CheckAndDeployWorkspacePerMachineStartupScript.bat como script de inicio. Para obtener más información sobre la implementación de scripts de inicio, consulta la sección Active Directory.

  4. En el nodo Configuración del equipo, ve a Plantillas administrativas > Agregar o quitar plantillas para agregar el archivo receiver.adml.

  5. Después de agregar la plantilla receiver.adml, ve a Configuración del equipo > Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuario. Para obtener más información sobre cómo agregar los archivos de plantilla, consulta la plantilla administrativa de objeto de directiva de grupo.

  6. Selecciona la directiva Nombre de usuario y contraseña locales y establécela en Habilitado.

  7. Selecciona Habilitar autenticación de paso a través y haz clic en Aplicar.

  8. Reinicia la máquina para que los cambios surtan efecto.

Configurar el inicio de sesión único en StoreFront

Configuración de StoreFront

  1. Inicia Citrix Studio en el servidor de StoreFront y selecciona Almacenes > Administrar métodos de autenticación - Almacén.
  2. Selecciona Paso a través de dominio.

Captura de pantalla de la configuración de métodos de autenticación en StoreFront

Tokens de autenticación

Los tokens de autenticación se cifran y almacenan en el disco local para que no tengas que volver a introducir tus credenciales cuando el sistema o la sesión se reinicien. La aplicación Citrix Workspace ofrece una opción para inhabilitar el almacenamiento de tokens de autenticación en el disco local.

Para mejorar la seguridad, ahora ofrecemos una directiva de objeto de directiva de grupo (GPO) para configurar el almacenamiento de tokens de autenticación.

-  > **Nota:**
-  > > Esta configuración solo se aplica a las implementaciones en la nube.

Para inhabilitar el almacenamiento de tokens de autenticación mediante la directiva de objeto de directiva de grupo (GPO):

  1. Abre la plantilla administrativa de objeto de directiva de grupo de la aplicación Citrix Workspace ejecutando gpedit.msc.
  2. En el nodo Configuración del equipo, ve a Plantillas administrativas > Componentes de Citrix > SelfService.

  3. En la directiva Almacenar tokens de autenticación, selecciona una de las siguientes opciones:

    • Habilitado: Indica que los tokens de autenticación se almacenan en el disco. De forma predeterminada, está establecido en Habilitado.
    • Inhabilitado: Indica que los tokens de autenticación no se almacenan en el disco. Vuelve a introducir tus credenciales cuando el sistema o la sesión se reinicien.
  4. Haz clic en Aplicar y Aceptar.

A partir de la versión 2106, la aplicación Citrix Workspace ofrece otra opción para inhabilitar el almacenamiento de tokens de autenticación en el disco local. Además de la configuración GPO existente, también puedes inhabilitar el almacenamiento de tokens de autenticación en el disco local mediante el servicio de configuración global de aplicaciones.

En el servicio de configuración global de aplicaciones, establece el atributo Store Authentication Tokens en False.

Comprobador de configuración

El Comprobador de configuración te permite ejecutar una prueba para verificar si el inicio de sesión único está configurado correctamente. La prueba se ejecuta en diferentes puntos de control de la configuración de inicio de sesión único y muestra los resultados de la configuración.

  1. Haz clic con el botón derecho en el icono de la aplicación Citrix Workspace en el área de notificación y haz clic en Preferencias avanzadas. Aparece el cuadro de diálogo Preferencias avanzadas.
    1. Haz clic en Comprobador de configuración. Aparece la ventana Comprobador de configuración de Citrix.

    Comprobador de configuración

  1. Selecciona SSONChecker en el panel Seleccionar.
  2. Haz clic en Ejecutar. Aparece una barra de progreso que muestra el estado de la prueba.

La ventana Comprobador de configuración tiene las siguientes columnas:

  1. Estado: Muestra el resultado de una prueba en un punto de control específico.

    • Una marca de verificación verde indica que el punto de control específico está configurado correctamente.
    • Una “I” azul indica información sobre el punto de control.
    • Una “X” roja indica que el punto de control específico no está configurado correctamente.
  2. Proveedor: Muestra el nombre del módulo en el que se ejecuta la prueba. En este caso, inicio de sesión único.
  3. Conjunto: Indica la categoría de la prueba. Por ejemplo, Instalación.
  4. Prueba: Indica el nombre de la prueba específica que se ejecuta.
  5. Detalles: Proporciona información adicional sobre la prueba, tanto si se supera como si falla.

El usuario obtiene más información sobre cada punto de control y los resultados correspondientes.

Se realizan las siguientes pruebas:

  1. Instalado con inicio de sesión único.
  2. Captura de credenciales de inicio de sesión.
  3. Registro del proveedor de red: El resultado de la prueba de registro del proveedor de red muestra una marca de verificación verde solo cuando “Citrix Single Sign-on” se establece como el primero en la lista de proveedores de red. Si Citrix Single Sign-on aparece en cualquier otro lugar de la lista, el resultado de la prueba de registro del proveedor de red aparece con una “I” azul e información adicional.
    1. El proceso de inicio de sesión único se está ejecutando.
        1. Directiva de grupo: De forma predeterminada, esta directiva está configurada en el cliente.
        1. Configuración de Internet para zonas de seguridad: Asegúrate de agregar la URL del servicio Store/XenApp a la lista de zonas de seguridad en las Opciones de Internet. Si las zonas de seguridad se configuran mediante la directiva de grupo, cualquier cambio en la directiva requiere que se vuelva a abrir la ventana Preferencias avanzadas para que los cambios surtan efecto y se muestre el estado correcto de la prueba.
    1. Método de autenticación para StoreFront.

Nota:

  • Si accedes a Workspace para web, los resultados de la prueba no son aplicables.
  • Si la aplicación Citrix Workspace está configurada con varias tiendas, la prueba del método de autenticación se ejecuta en todas las tiendas configuradas.
  • Puedes guardar los resultados de la prueba como informes. El formato de informe predeterminado es .txt.

Ocultar la opción Comprobador de configuración de la ventana Preferencias avanzadas

    1. Abre la plantilla administrativa de GPO de la aplicación Citrix Workspace ejecutando gpedit.msc.
    1. Ve a Componentes de Citrix > Citrix Workspace > Self Service > DisableConfigChecker.
        1. Haz clic en Habilitado para ocultar la opción Comprobador de configuración de la ventana Preferencias avanzadas.
        1. Haz clic en Aplicar y Aceptar.
  1. Ejecuta el comando gpupdate /force.

Limitación:

El Comprobador de configuración no incluye el punto de control para la configuración de las solicitudes de confianza enviadas al servicio XML en los servidores de Citrix Virtual Apps and Desktops.

Prueba de baliza

La aplicación Citrix Workspace te permite realizar una prueba de baliza utilizando el comprobador de balizas que está disponible como parte de la utilidad Configuration Checker. La prueba de baliza ayuda a confirmar si la baliza (ping.citrix.com) es accesible. Esta prueba de diagnóstico ayuda a eliminar una de las muchas posibles causas de la enumeración lenta de recursos, que es la falta de disponibilidad de la baliza. Para ejecutar la prueba, haz clic con el botón derecho en la aplicación Citrix Workspace en el área de notificación y selecciona Preferencias avanzadas > Configuration Checker. Selecciona la opción Beacon checker de la lista de pruebas y haz clic en Ejecutar.

Los resultados de la prueba pueden ser cualquiera de los siguientes:

  • Accesible: la aplicación Citrix Workspace puede contactar con la baliza correctamente.
  • No accesible: la aplicación Citrix Workspace no puede contactar con la baliza.
  • Parcialmente accesible: la aplicación Citrix Workspace puede contactar con la baliza de forma intermitente.

Nota:

  • Los resultados de la prueba no son aplicables al espacio de trabajo web.
  • Los resultados de la prueba se pueden guardar como informes. El formato predeterminado para el informe es .txt.

Autenticación de paso de dominio con Kerberos

Este tema se aplica solo a las conexiones entre la aplicación Citrix Workspace para Windows y StoreFront, Citrix Virtual Apps and Desktops y Citrix DaaS.

La aplicación Citrix Workspace es compatible con Kerberos para la autenticación de paso de dominio en implementaciones que utilizan tarjetas inteligentes. Kerberos es uno de los métodos de autenticación incluidos en la Autenticación integrada de Windows (IWA).

Cuando está habilitado, Kerberos autentica sin contraseñas para la aplicación Citrix Workspace. Como resultado, evita ataques de tipo caballo de Troya en el dispositivo del usuario que intentan obtener acceso a las contraseñas. Los usuarios pueden iniciar sesión utilizando cualquier método de autenticación y acceder a los recursos publicados, por ejemplo, un autenticador biométrico como un lector de huellas dactilares.

  • Cuando inicias sesión con una tarjeta inteligente en la aplicación Citrix Workspace, StoreFront, Citrix Virtual Apps and Desktops y Citrix DaaS configurados para la autenticación con tarjeta inteligente, la aplicación Citrix Workspace:

    1. Captura el PIN de la tarjeta inteligente durante el inicio de sesión único.
    1. Utiliza IWA (Kerberos) para autenticar al usuario en StoreFront. StoreFront proporciona a tu aplicación Citrix Workspace información sobre los Citrix Virtual Apps and Desktops y Citrix DaaS disponibles.

  • Nota

  • Habilita Kerberos para evitar una solicitud de PIN adicional. Si no se utiliza la autenticación Kerberos, la aplicación Citrix Workspace se autentica en StoreFront utilizando las credenciales de la tarjeta inteligente.

    1. El motor HDX (anteriormente conocido como cliente ICA) pasa el PIN de la tarjeta inteligente al VDA para iniciar la sesión del usuario en la aplicación Citrix Workspace. Citrix Virtual Apps and Desktops y Citrix DaaS entregan los recursos solicitados.

Para usar la autenticación Kerberos con la aplicación Citrix Workspace, comprueba si la configuración de Kerberos se ajusta a lo siguiente.

  • Kerberos funciona solo entre la aplicación Citrix Workspace y los servidores que pertenecen al mismo dominio de Windows Server o a dominios de Windows Server de confianza. Los servidores son de confianza para la delegación, una opción que se configura a través de la herramienta de administración Usuarios y equipos de Active Directory.
  • Kerberos debe estar habilitado tanto en el dominio como en Citrix Virtual Apps and Desktops y Citrix DaaS. Para mejorar la seguridad y asegurarte de que se utiliza Kerberos, deshabilita cualquier opción de IWA que no sea Kerberos en el dominio.
  • El inicio de sesión de Kerberos no está disponible para las conexiones de Servicios de Escritorio remoto que están configuradas para usar autenticación básica, usar siempre la información de inicio de sesión especificada o solicitar siempre una contraseña.

Advertencia

El uso incorrecto del editor del Registro puede causar problemas graves que pueden requerir la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas resultantes del uso incorrecto del editor del Registro puedan resolverse. Utiliza el editor del Registro bajo tu propia responsabilidad. Asegúrate de hacer una copia de seguridad del registro antes de editarlo.

Autenticación de paso de dominio con Kerberos para usar con tarjetas inteligentes

Antes de continuar, consulta la sección Protege tu implementación en el documento de Citrix Virtual Apps and Desktops.

Cuando instales la aplicación Citrix Workspace para Windows, incluye la siguiente opción de línea de comandos:

  • /includeSSON

    Esta opción instala el componente de inicio de sesión único en el equipo unido al dominio, lo que permite que tu espacio de trabajo se autentique en StoreFront mediante IWA (Kerberos). El componente de inicio de sesión único almacena el PIN de la tarjeta inteligente, utilizado por el motor HDX cuando remota el hardware y las credenciales de la tarjeta inteligente a Citrix Virtual Apps and Desktops y Citrix DaaS. Citrix Virtual Apps and Desktops y Citrix DaaS seleccionan automáticamente un certificado de la tarjeta inteligente y obtienen el PIN del motor HDX.

    Una opción relacionada, ENABLE_SSON, está habilitada de forma predeterminada.

Si una política de seguridad te impide habilitar el inicio de sesión único en un dispositivo, configura la aplicación Citrix Workspace mediante la plantilla administrativa de objeto de directiva de grupo.

  1. Abre la plantilla administrativa de objeto de directiva de grupo de la aplicación Citrix Workspace ejecutando gpedit.msc.
    1. Elige Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuario > Nombre de usuario y contraseña locales
    1. Selecciona Habilitar autenticación de paso.

  1. Reinicia la aplicación Citrix Workspace para que los cambios surtan efecto.

    Habilitar autenticación de paso

Para configurar StoreFront:

Cuando configures el servicio de autenticación en el servidor de StoreFront, selecciona la opción de paso de dominio. Esa configuración habilita la autenticación integrada de Windows. No es necesario que selecciones la opción de tarjeta inteligente a menos que también tengas clientes no unidos al dominio que se conecten a StoreFront mediante tarjetas inteligentes.

Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulta Configurar el servicio de autenticación en la documentación de StoreFront.

Compatibilidad con el acceso condicional con Azure Active Directory

El acceso condicional es una herramienta utilizada por Azure Active Directory para aplicar las políticas de la organización. Los administradores de Workspace pueden configurar y aplicar políticas de acceso condicional de Azure Active Directory para los usuarios que se autentican en la aplicación Citrix Workspace. El equipo Windows que ejecuta la aplicación Citrix Workspace debe tener instalada la versión 92 o posterior de Microsoft Edge WebView2 Runtime.

Para obtener detalles e instrucciones completas sobre cómo configurar políticas de acceso condicional con Azure Active Directory, consulta la documentación de acceso condicional de Azure AD.

Nota:

Esta función solo es compatible con implementaciones de Workspace (Cloud).

Otras formas de autenticarse en Citrix Workspace

Puedes configurar los siguientes mecanismos de autenticación con la aplicación Citrix Workspace. Para que los siguientes mecanismos de autenticación funcionen como se espera, el equipo Windows que ejecuta la aplicación Citrix Workspace debe tener instalada la versión 92 o posterior de Microsoft Edge WebView2 Runtime.

  1. Autenticación basada en Windows Hello: para obtener instrucciones sobre cómo configurar la autenticación basada en Windows Hello, consulta Configurar la configuración de la política de Windows Hello para empresas - Confianza de certificados.

Nota:

La autenticación basada en Windows Hello con transferencia de dominio no es compatible.

  1. Autenticación basada en claves de seguridad FIDO2: las claves de seguridad FIDO2 proporcionan una forma sencilla para que los empleados de la empresa se autentiquen sin introducir un nombre de usuario o una contraseña. Puedes configurar la autenticación basada en claves de seguridad FIDO2 para Citrix Workspace. Si quieres que tus usuarios se autentiquen en Citrix Workspace con su cuenta de Azure AD mediante una clave de seguridad FIDO2, consulta Habilitar el inicio de sesión sin contraseña con clave de seguridad.
  2. También puedes configurar el inicio de sesión único (SSO) en la aplicación Citrix Workspace desde equipos unidos a Microsoft Azure Active Directory (AAD) con AAD como proveedor de identidades. Para obtener más detalles sobre cómo configurar los servicios de dominio de Azure Active Directory, consulta Configurar los servicios de dominio de Azure Active Directory. Para obtener información sobre cómo conectar Azure Active Directory a Citrix Cloud, consulta Conectar Azure Active Directory a Citrix Cloud.

Tarjeta inteligente

La aplicación Citrix Workspace para Windows admite la siguiente autenticación con tarjeta inteligente:

  • Autenticación de transferencia (inicio de sesión único): la autenticación de transferencia captura las credenciales de la tarjeta inteligente cuando los usuarios inician sesión en la aplicación Citrix Workspace. La aplicación Citrix Workspace utiliza las credenciales capturadas de la siguiente manera:

    • Los usuarios de dispositivos unidos a un dominio que inician sesión en la aplicación Citrix Workspace con la tarjeta inteligente pueden iniciar escritorios virtuales y aplicaciones sin necesidad de volver a autenticarse.
    • La aplicación Citrix Workspace que se ejecuta en dispositivos no unidos a un dominio con las credenciales de la tarjeta inteligente debe volver a escribir sus credenciales para iniciar un escritorio o una aplicación virtual.

    La autenticación de transferencia requiere configuración tanto en StoreFront como en la aplicación Citrix Workspace.

  • Autenticación bimodal: la autenticación bimodal ofrece a los usuarios la opción de usar una tarjeta inteligente o escribir el nombre de usuario y la contraseña. Esta función es eficaz cuando no puedes usar la tarjeta inteligente. Por ejemplo, si el certificado de inicio de sesión ha caducado. Se deben configurar almacenes dedicados por sitio para permitir la autenticación bimodal, utilizando el método DisableCtrlAltDel establecido en False para permitir las tarjetas inteligentes. La autenticación bimodal requiere la configuración de StoreFront.

    Mediante la autenticación bimodal, el administrador de StoreFront puede permitir tanto la autenticación con nombre de usuario y contraseña como con tarjeta inteligente en el mismo almacén seleccionándolos en la consola de StoreFront. Consulta la documentación de StoreFront.

  • Varios certificados: se pueden utilizar varios certificados para una sola tarjeta inteligente y si se utilizan varias tarjetas inteligentes. Cuando insertas una tarjeta inteligente en un lector de tarjetas, los certificados se aplican a todas las aplicaciones que se ejecutan en el dispositivo del usuario, incluida la aplicación Citrix Workspace.

  • Autenticación de certificado de cliente: la autenticación de certificado de cliente requiere la configuración de Citrix Gateway y StoreFront.

    • Para acceder a StoreFront a través de Citrix Gateway, debes volver a autenticarte después de quitar la tarjeta inteligente.
    • Cuando la configuración SSL de Citrix Gateway se establece en Autenticación obligatoria de certificado de cliente, el funcionamiento es más seguro. Sin embargo, la autenticación obligatoria de certificado de cliente no es compatible con la autenticación bimodal.

  • Sesiones de doble salto: si se requiere un doble salto, se establece una conexión entre la aplicación Citrix Workspace y el escritorio virtual del usuario.

  • Aplicaciones habilitadas para tarjetas inteligentes: las aplicaciones habilitadas para tarjetas inteligentes, como Microsoft Outlook y Microsoft Office, permiten a los usuarios firmar o cifrar digitalmente documentos disponibles en sesiones de aplicaciones y escritorios virtuales.

Limitaciones:

  • Los certificados deben almacenarse en la tarjeta inteligente y no en el dispositivo del usuario.
  • La aplicación Citrix Workspace no guarda la elección del certificado de usuario, pero almacena el PIN cuando está configurada. El PIN se almacena en caché en la memoria no paginada solo durante la sesión del usuario y no se guarda en el disco.
  • La aplicación Citrix Workspace no se vuelve a conectar a una sesión cuando se inserta una tarjeta inteligente.
  • Cuando está configurada para la autenticación con tarjeta inteligente, la aplicación Citrix Workspace no admite el inicio de sesión único de red privada virtual (VPN) ni el inicio previo de sesión. Para usar VPN con autenticación de tarjeta inteligente, instala el complemento de Citrix Gateway. Inicia sesión a través de una página web usando tus tarjetas inteligentes y PIN para autenticarte en cada paso. La autenticación de transferencia a StoreFront con el complemento de Citrix Gateway no está disponible para los usuarios de tarjetas inteligentes.
  • Las comunicaciones del actualizador de la aplicación Citrix Workspace con citrix.com y el servidor de merchandising no son compatibles con la autenticación con tarjeta inteligente en Citrix Gateway.

Advertencia

Algunas configuraciones requieren ediciones del registro. El uso incorrecto del editor del Registro puede causar problemas que pueden requerir la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas resultantes del uso incorrecto del editor del Registro puedan resolverse. Asegúrate de hacer una copia de seguridad del registro antes de editarlo.

Para habilitar el inicio de sesión único para la autenticación con tarjeta inteligente:

Para configurar la aplicación Citrix Workspace para Windows, incluye la siguiente opción de línea de comandos durante la instalación:

  • ENABLE_SSON=Yes

    El inicio de sesión único es otro término para la autenticación de paso directo. Habilitar esta configuración evita que la aplicación Citrix Workspace muestre una segunda solicitud de PIN.

  • En el Editor del Registro, ve a la siguiente ruta y establece la cadena SSONCheckEnabled en False si no has instalado el componente de inicio de sesión único.

    HKEY_CURRENT_USER\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

    HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

    La clave evita que el administrador de autenticación de la aplicación Citrix Workspace compruebe el componente de inicio de sesión único y permite que la aplicación Citrix Workspace se autentique en StoreFront.

Para habilitar la autenticación con tarjeta inteligente en StoreFront en lugar de Kerberos, instala la aplicación Citrix Workspace para Windows con las siguientes opciones de línea de comandos:

  • /includeSSON instala la autenticación de inicio de sesión único (paso directo). Habilita el almacenamiento en caché de credenciales y el uso de la autenticación de paso directo basada en dominio.

  • Si el usuario inicia sesión en el punto final con un método de autenticación diferente, por ejemplo, nombre de usuario y contraseña, la línea de comandos es:

    /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

Este tipo de autenticación evita la captura de las credenciales en el momento del inicio de sesión y permite que la aplicación Citrix Workspace almacene el PIN durante el inicio de sesión de la aplicación Citrix Workspace.

  1. Abre la plantilla administrativa de objeto de directiva de grupo de la aplicación Citrix Workspace ejecutando gpedit.msc.
  2. Ve a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuario > Nombre de usuario y contraseña locales.
  3. Selecciona Habilitar la autenticación de paso directo. Dependiendo de la configuración y los ajustes de seguridad, selecciona Permitir la autenticación de paso directo para todas las opciones de ICA para que la autenticación de paso directo funcione.

Para configurar StoreFront:

  • Cuando configures el servicio de autenticación, selecciona la casilla de verificación Tarjeta inteligente.

Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulta Configurar el servicio de autenticación en la documentación de StoreFront.

Para habilitar los dispositivos de usuario para el uso de tarjetas inteligentes:

  1. Importa el certificado raíz de la autoridad de certificación en el almacén de claves del dispositivo.
  2. Instala el middleware criptográfico de tu proveedor.
  3. Instala y configura la aplicación Citrix Workspace.

Para cambiar cómo se seleccionan los certificados:

De forma predeterminada, si hay varios certificados válidos, la aplicación Citrix Workspace te pide que elijas un certificado de la lista. En su lugar, puedes configurar la aplicación Citrix Workspace para que use el certificado predeterminado (según el proveedor de la tarjeta inteligente) o el certificado con la fecha de caducidad más reciente. Si no hay certificados de inicio de sesión válidos, se te notificará y se te dará la opción de usar un método de inicio de sesión alternativo si está disponible.

Un certificado válido debe tener todas estas características:

  • La hora actual del reloj del equipo local está dentro del período de validez del certificado.
  • La clave pública del sujeto debe usar el algoritmo RSA y tener una longitud de clave de 1024 bits, 2048 bits o 4096 bits.
  • El uso de la clave debe incluir la firma digital.
  • El nombre alternativo del sujeto debe incluir el nombre principal de usuario (UPN).
  • El uso mejorado de la clave debe incluir el inicio de sesión con tarjeta inteligente y la autenticación de cliente, o todos los usos de la clave.
  • Una de las autoridades de certificación de la cadena de emisores del certificado debe coincidir con uno de los nombres distintivos (DN) permitidos enviados por el servidor en el protocolo de enlace TLS.

Cambia cómo se seleccionan los certificados usando cualquiera de los siguientes métodos:

  • En la línea de comandos de la aplicación Citrix Workspace, especifica la opción AM_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry }.

    Prompt es el valor predeterminado. Para SmartCardDefault o LatestExpiry, si varios certificados cumplen los criterios, la aplicación Citrix Workspace te pide que elijas un certificado.

  • Agrega el siguiente valor de clave a la clave del Registro HKEY_CURRENT_USER OR HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager: CertificateSelectionMode={ Prompt SmartCardDefault LatestExpiry }.

Los valores definidos en HKEY_CURRENT_USER tienen prioridad sobre los valores en HKEY_LOCAL_MACHINE para ayudarte mejor a seleccionar un certificado.

Para usar las solicitudes de PIN de CSP:

De forma predeterminada, las solicitudes de PIN que se presentan a los usuarios las proporciona la aplicación Citrix Workspace para Windows en lugar del proveedor de servicios criptográficos (CSP) de la tarjeta inteligente. La aplicación Citrix Workspace te pide que introduzcas un PIN cuando sea necesario y luego pasa el PIN al CSP de la tarjeta inteligente. Si tu sitio o tarjeta inteligente tiene requisitos de seguridad más estrictos, como no permitir el almacenamiento en caché del PIN por proceso o por sesión, puedes configurar la aplicación Citrix Workspace para que use los componentes de CSP para administrar la entrada del PIN, incluida la solicitud de un PIN.

Cambia la forma en que se gestiona la entrada del PIN usando cualquiera de los siguientes métodos:

  • En la línea de comandos de la aplicación Citrix Workspace, especifica la opción AM_SMARTCARDPINENTRY=CSP.
  • Agrega el siguiente valor de clave a la clave de registro HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager: SmartCardPINEntry=CSP.

Cambios en la compatibilidad y la extracción de tarjetas inteligentes

Una sesión de Citrix Virtual Apps se cierra cuando quitas la tarjeta inteligente. Si la aplicación Citrix Workspace está configurada con la tarjeta inteligente como método de autenticación, configura la política correspondiente en la aplicación Citrix Workspace para Windows para forzar el cierre de sesión de Citrix Virtual Apps. El usuario sigue conectado a la sesión de la aplicación Citrix Workspace.

Limitación:

Cuando inicias sesión en el sitio de la aplicación Citrix Workspace mediante la autenticación con tarjeta inteligente, el nombre de usuario se muestra como Conectado.

Tarjeta inteligente rápida

La tarjeta inteligente rápida es una mejora con respecto a la redirección de tarjetas inteligentes HDX basada en PC/SC existente. Mejora el rendimiento cuando se utilizan tarjetas inteligentes en entornos WAN de alta latencia.

Las tarjetas inteligentes rápidas solo son compatibles con VDA de Windows.

Para habilitar el inicio de sesión rápido con tarjeta inteligente en la aplicación Citrix Workspace:

El inicio de sesión rápido con tarjeta inteligente está habilitado de forma predeterminada en el VDA y deshabilitado de forma predeterminada en la aplicación Citrix Workspace. Para habilitar el inicio de sesión rápido con tarjeta inteligente, incluye el siguiente parámetro en el archivo default.ica del sitio de StoreFront asociado:

copy[WFClient]
SmartCardCryptographicRedirection=On
<!--NeedCopy-->

Para deshabilitar el inicio de sesión rápido con tarjeta inteligente en la aplicación Citrix Workspace:

Para deshabilitar el inicio de sesión rápido con tarjeta inteligente en la aplicación Citrix Workspace, quita el parámetro SmartCardCryptographicRedirection del archivo default.ica del sitio de StoreFront asociado.

Para obtener más información, consulta tarjetas inteligentes.

Autenticación silenciosa para Citrix Workspace

La aplicación Citrix Workspace introduce una política de objeto de directiva de grupo (GPO) para habilitar la autenticación silenciosa para Citrix Workspace. Esta política permite que la aplicación Citrix Workspace inicie sesión en Citrix Workspace automáticamente al iniciar el sistema. Usa esta política solo cuando el inicio de sesión único (SSO) esté configurado para Citrix Workspace en dispositivos unidos a un dominio.

Para que esta política funcione, se deben cumplir los siguientes criterios:

  • El inicio de sesión único debe estar habilitado.
  • La clave SelfServiceMode debe establecerse en Off en el editor del Registro.

Habilitar la autenticación silenciosa:

  1. Abre la plantilla administrativa de objeto de directiva de grupo de la aplicación Citrix Workspace ejecutando gpedit.msc.
  2. En el nodo Configuración del equipo, ve a Plantillas administrativas > Citrix Workspace > Autoservicio.
  3. Haz clic en la política Autenticación silenciosa para Citrix Workspace y establécela en Habilitada.
  4. Haz clic en Aplicar y Aceptar.
Autenticar
April 16, 2026
Contribución de: 
C C
April 16, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.