Autenticarse

Para maximizar la seguridad del entorno, las conexiones entre la aplicación Citrix Workspace y los recursos que se publiquen deben ser seguras. Puede configurar diversos tipos de autenticación para la aplicación Citrix Workspace: autenticación con tarjeta inteligente, autenticación PassThrough de dominio y autenticación PassThrough con Kerberos.

Autenticación PassThrough de dominio

Single Sign-On permite autenticarse en un dominio y usar las aplicaciones y los escritorios publicados de Citrix Virtual Apps and Desktops sin necesidad de volver a autenticarse.

Cuando inicia sesión en la aplicación Citrix Workspace, las credenciales se transfieren a StoreFront, junto con las aplicaciones y los escritorios enumerados, y los parámetros del menú Inicio. Después de configurar el tipo de inicio de sesión Single Sign-On, puede iniciar sesión en la aplicación Citrix Workspace e iniciar sesiones de Citrix Virtual Apps and Desktops sin tener que volver a escribir las credenciales.

Nota:

Single Sign-On no se admite si la aplicación Citrix Workspace está conectada a Citrix Virtual Apps and Desktops mediante Citrix Gateway.

Con versiones anteriores, al usar Google Chrome, Microsoft Edge o Mozilla Firefox, los usuarios podían iniciar sesiones mediante Single Sign-On aunque la función no estuviera habilitada por un administrador.

A partir de la versión 1905, todos los exploradores web necesitarán que configure Single Sign-On mediante la plantilla administrativa de objeto de directiva de grupo. Para obtener más información sobre cómo configurar Single Sign-On mediante la plantilla administrativa de objetos de directiva de grupo, consulte Configurar Single Sign-On en Citrix Gateway.

Puede configurar el inicio Single Sign-On tanto en una instalación nueva como en una actualización, utilizando para ello cualquiera de las siguientes opciones:

  • Interfaz de línea de comandos
  • Interfaz gráfica de usuario

Configurar Single Sign-On durante una instalación nueva

Para configurar Single Sign-On durante una instalación nueva de la aplicación Citrix Workspace, realice los siguientes pasos:

  1. Configure Single Sign-On en StoreFront o la Interfaz Web.
  2. Configure servicios XML de confianza en el Delivery Controller.
  3. Modifique parámetros de Internet Explorer.
  4. Instale la aplicación Citrix Workspace con Single Sign-On.

Configurar Single Sign-On en StoreFront o la Interfaz Web

Según la implementación de Citrix Virtual Apps and Desktops, la autenticación Single Sign-On se puede configurar en StoreFront o la Interfaz Web mediante la consola de administración.

Utilice la siguiente tabla para los diferentes casos de uso y su configuración respectiva:

Caso de uso Detalles de configuración Información adicional
SSON configurado en StoreFront y la Interfaz Web Inicie Citrix Studio, vaya a Almacén > Administrar métodos de autenticación y habilite PassThrough de dominio. Cuando la aplicación Citrix Workspace no está configurada con Single Sign-On, cambia automáticamente el método de autenticación de PassThrough de dominio a Nombre de usuario y contraseña, si está disponible.
Cuando se necesita Workspace para Web Inicie Almacén > Workspace para Web > Administrar métodos de autenticación y habilite PassThrough de dominio. Cuando la aplicación Citrix Workspace no está configurada con Single Sign-On, cambia automáticamente el método de autenticación de “PassThrough de dominio” a “Nombre de usuario y contraseña”, si está disponible.
Cuando StoreFront no está configurado Si la Interfaz Web está configurada en un servidor Citrix Virtual Apps and Desktops, inicie el sitio de servicios XenApp > Métodos de autenticación y habilite PassThrough. Cuando la aplicación Citrix Workspace no está configurada con Single Sign-On, cambia automáticamente el método de autenticación de PassThrough a Explícita, si está disponible.

Configurar Single Sign-On en Citrix Gateway

El inicio Single Sign-On en Citrix Gateway se habilita a través de la plantilla administrativa del GPO.

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
  2. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios.
  3. Seleccione la directiva Single Sign-On para Citrix Gateway.
  4. Seleccione Habilitada.
  5. Haga clic en Aplicar y, a continuación, en Aceptar.
  6. Reinicie la aplicación Citrix Workspace para que los cambios surtan efecto.

Configurar servicios XML de confianza en el Delivery Controller

En Citrix Virtual Apps and Desktops, ejecute el siguiente comando de PowerShell como administrador en el Delivery Controller:

asnp Citrix* Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

Modificar los parámetros de Internet Explorer

  1. Agregar el servidor StoreFront a la lista de sitios de confianza usando Internet Explorer. Para hacerlo:
    1. Abra Internet Explorer.
    2. Seleccione Herramientas > Opciones de Internet > Seguridad > Internet local y haga clic en Sitios. Aparecerá la ventana Intranet local.
    3. Seleccione Avanzado.
    4. Agregue la URL del FQDN de StoreFront o de la Interfaz Web con los protocolos HTTP o HTTPS correspondientes.
    5. Haga clic en Aplicar y, a continuación, en Aceptar.
  2. Modifique los parámetros de Autenticación de usuarios en Internet Explorer. Para hacerlo:
    1. Abra Internet Explorer.
    2. En la ficha Opciones de Internet > Seguridad, haga clic en Sitios de confianza.
    3. Haga clic en Nivel personalizado. Aparecerá la ventana Configuración de seguridad: zona de sitios de confianza.
    4. En el panel Autenticación de usuario, seleccione Inicio de sesión automático con el nombre de usuario y contraseña actuales.

    Autenticación de usuarios

    1. Haga clic en Aplicar y, a continuación, en Aceptar.

Configurar Single Sign-On mediante la interfaz de línea de comandos

Instale la aplicación Citrix Workspace para Windows con el modificador de línea de comandos /includeSSON y reiníciela para que los cambios surtan efecto.

Nota:

Si la aplicación Citrix Workspace para Windows se instala sin el componente Single Sign-On, no se admite actualizar a la versión más reciente de Citrix Workspace con el modificador de línea de comandos /includeSSON.

Configurar Single Sign-On mediante la interfaz gráfica de usuario

  1. Busque el archivo de instalación de la aplicación Citrix Workspace (CitrixWorkspaceApp.exe).
  2. Haga doble clic en CitrixWorkspaceApp.exe para iniciar el instalador.
  3. En el asistente de instalación Habilitar Single Sign-On, seleccione la opción Habilitar Single Sign-On.
  4. Haga clic en Siguiente y siga las instrucciones para completar la instalación.

Ahora puede iniciar sesión en un almacén existente (o configurar un almacén nuevo) mediante la aplicación Citrix Workspace sin proporcionar credenciales de usuario.

Configurar Single Sign-On en Citrix Workspace para Web

Puede configurar Single Sign-On en Workspace para Web mediante la plantilla administrativa del objeto de directiva de grupo.

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace para Web. Para ello, ejecute gpedit.msc.
  2. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace para Windows > Autenticación de usuarios.
  3. Seleccione la directiva Nombre de usuario y contraseña locales y establézcala en Habilitada.
  4. Haga clic en Habilitar autenticación PassThrough. Esta opción permite a la aplicación Citrix Workspace para Web usar las credenciales de inicio de sesión para autenticarse en el servidor remoto.
  5. Haga clic en Permitir autenticación PassThrough para todas las conexiones ICA. Esta opción omite las restricciones de autenticación y permite que las credenciales se transfieran en todas las conexiones.
  6. Haga clic en Aplicar y, a continuación, en Aceptar.
  7. Reinicie Citrix Workspace para Web para que los cambios surtan efecto.

Verifique si Single Sign-On está habilitado. Para ello, inicie el Administrador de tareas y compruebe que el proceso ssonsvr.exe se está ejecutando.

Configurar Single Sign-On mediante Active Directory

Complete los pasos siguientes para configurar la aplicación Citrix Workspace para la autenticación PassThrough mediante la directiva de grupo de Active Directory. En este caso, puede obtener la autenticación Single Sign-On sin utilizar las herramientas de implementación del software de empresa, como Microsoft System Center Configuration Manager.

  1. Descargue el archivo de instalación de la aplicación Citrix Workspace (CitrixWorkspaceApp.exe) y colóquelo en un recurso compartido de red adecuado. Se debe poder acceder a ese recurso desde las máquinas de destino en las que instale la aplicación Citrix Workspace.

  2. Obtenga la plantilla CheckAndDeployWorkspacePerMachineStartupScript.bat de la página de descargas de la aplicación Citrix Workspace para Windows.

  3. Modifique el contenido para adaptarlo a la ubicación y la versión de CitrixWorkspaceApp.exe.

  4. En la Consola de administración de directivas de grupo de Active Directory, escriba CheckAndDeployWorkspacePerMachineStartupScript.bat como script de inicio. Para obtener más información sobre cómo implementar los scripts de inicio, consulte la sección Active Directory.

  5. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Agregar o quitar plantillas para agregar el archivo icaclient.adm.

  6. Después de agregar la plantilla icaclient.adm, vaya a Configuración del equipo > Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios.

  7. Seleccione la directiva Nombre de usuario y contraseña locales y habilítela.

  8. Seleccione Habilitar autenticación PassThrough y haga clic en Aplicar.

  9. Reinicie la máquina para que los cambios surtan efecto.

Configurar Single Sign-On en StoreFront y la Interfaz Web

Configurar StoreFront

Abra Citrix Studio en el servidor StoreFront y seleccione Autenticación > Agregar o quitar métodos de autenticación. Seleccione PassThrough de dominio.

alt_text

Configuration Checker

Configuration Checker permite ejecutar pruebas para comprobar que Single Sign-On está configurado correctamente. Las pruebas se ejecutan en varios puntos de control de la configuración de Single Sign-On y muestran los resultados de la configuración.

  1. Haga clic con el botón secundario en el icono de la aplicación Citrix Workspace situado en el área de notificaciones y, a continuación, haga clic en Preferencias avanzadas. Aparecerá el cuadro de diálogo Preferencias avanzadas.
  2. Haga clic en Configuration Checker. Aparecerá la ventana de Citrix Configuration Checker.

    Configuration Checker

  3. Seleccione SSONChecker desde el panel Seleccionar.
  4. Haga clic en Ejecutar. Aparecerá la barra de progreso, que muestra el estado de la prueba.

La ventana de Configuration Checker consta de las siguientes columnas:

  1. Estado: Muestra el resultado de una prueba en un punto de control concreto.

    • Una marca de verificación (✓) verde indica que el punto de control está configurado correctamente.
    • Una I azul indica información sobre el punto de control.
    • Una X roja indica que ese punto de control no está configurado correctamente.
  2. Proveedor: Muestra el nombre del módulo en que se ejecuta la prueba. En este caso, Single Sign-On.
  3. Suite: Indica la categoría de la prueba. Por ejemplo, Instalación.
  4. Prueba: Indica el nombre de la prueba específica que se ejecuta.
  5. Detalles: Ofrece información adicional acerca de la prueba, independientemente del resultado.

El usuario puede ver más información sobre cada punto de control y los resultados correspondientes.

Se realizan las siguientes pruebas:

  1. Instalado con Single Sign-On.
  2. Captura de credenciales de inicio de sesión.
  3. Registro de proveedores de red: El resultado de la prueba de registro de proveedor de red muestra una marca de verificación verde solo cuando “Citrix Single Sign-On” figura en primer lugar en la lista de proveedores de red. Si Citrix Single Sign-On aparece en algún otro lugar de la lista, el resultado de la prueba Registro de proveedores de red es una barra azul y se ofrece información adicional.
  4. Proceso de Single Sign-On en ejecución.
  5. Directiva de grupo: De manera predeterminada, esta directiva está configurada en el cliente.
  6. Parámetros de Internet para zonas de seguridad: Compruebe que ha agregado la URL del almacén o del servicio XenApp a la lista de zonas de seguridad en las Opciones de Internet. Si las zonas de seguridad están configuradas mediante una directiva de grupo, cualquier cambio en la directiva requiere que la ventana Preferencias avanzadas se vuelva a abrir para que los cambios surtan efecto y para mostrar el estado correcto de la prueba.
  7. Método de autenticación para la Interfaz Web o StoreFront.

Nota:

  • Si el usuario accede a Citrix Workspace para Web, los resultados de la prueba no se aplican.
  • Si la aplicación Citrix Workspace está configurada con varios almacenes, la prueba del método de autenticación se ejecuta en todos los almacenes configurados.
  • Puede guardar como informes los resultados de la prueba. El formato predeterminado del informe es TXT.

Ocultar la opción Configuration Checker de la ventana Preferencias avanzadas

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
  2. Vaya a Componentes de Citrix > Citrix Workspace para Windows > Autoservicio > DisableConfigChecker.
  3. Haga clic en Habilitada para ocultar la opción “Configuration Checker” de la ventana Preferencias avanzadas.
  4. Haga clic en Aplicar y, a continuación, en Aceptar.
  5. Ejecute el comando gpupdate /force.

Limitación:

Configuration Checker no incluye el punto de control de la configuración “Confiar en las solicitudes enviadas a XML Service” en los servidores Citrix Virtual Apps and Desktops.

Prueba de baliza

La aplicación Citrix Workspace permite realizar una prueba de baliza utilizando la herramienta de comprobación de balizas que está disponible como parte de la herramienta Configuration Checker. La prueba de baliza ayuda a confirmar si se puede acceder a la baliza (ping.citrix.com). Con esta prueba de diagnóstico, se puede descartar una de las muchas causas posibles para la enumeración lenta de recursos (es decir, que la baliza no esté disponible). Para ejecutar la prueba, haga clic con el botón secundario en la aplicación Citrix Workspace en el área de notificaciones y seleccione Preferencias avanzadas > Configuration Checker. Seleccione Beacon Checker de la lista “Pruebas” y haga clic en Ejecutar.

Los resultados de la prueba pueden ser uno de los siguientes:

  • Accesible: La aplicación Citrix Workspace puede contactar con la baliza.
  • No accesible: La aplicación Citrix Workspace no puede contactar con la baliza.
  • Parcialmente accesible: La aplicación Citrix Workspace puede contactar intermitentemente con la baliza.

Nota:

  • Los resultados de la prueba no se aplican a Workspace para Web.
  • Puede guardar como informes los resultados de la prueba. El formato predeterminado del informe es TXT.

Autenticación PassThrough de dominio con Kerberos

Lo descrito en este artículo se aplica solo a conexiones entre la aplicación Citrix Workspace para Windows y StoreFront, Citrix Virtual Apps and Desktops.

La aplicación Citrix Workspace admite Kerberos para la autenticación PassThrough de dominio en implementaciones que usan tarjetas inteligentes. Kerberos es uno de los métodos de autenticación incluidos en la autenticación de Windows integrada (IWA).

Cuando está habilitada, Kerberos autentica sin contraseña en la aplicación Citrix Workspace, y así impide ataques de tipo troyano que intentan obtener acceso a las contraseñas del dispositivo de usuario. Los usuarios pueden iniciar sesión utilizando cualquier método de autenticación y acceder a los recursos publicados. Por ejemplo, pueden usar un autenticador biométrico como un lector de huellas dactilares.

Cuando inicie sesión utilizando una tarjeta inteligente en la aplicación Citrix Workspace, StoreFront, Citrix Virtual Apps and Desktops configurados para la autenticación con tarjeta inteligente, la aplicación Citrix Workspace:

  1. Captura el PIN de la tarjeta inteligente durante Single Sign-On.
  2. Usa IWA (Kerberos) para autenticar al usuario en StoreFront. A continuación, StoreFront ofrece información sobre las aplicaciones y los escritorios virtuales disponibles a la aplicación Citrix Workspace.

    Nota

    Habilite Kerberos para evitar una solicitud extra de PIN. Si no se usa la autenticación Kerberos, la aplicación Citrix Workspace se autentica en StoreFront con las credenciales de la tarjeta inteligente.

  3. El motor de HDX (antes conocido como cliente ICA) pasa el PIN de la tarjeta inteligente al VDA para iniciar la sesión del usuario en la aplicación Citrix Workspace. A continuación, Citrix Virtual Apps and Desktops entrega los recursos solicitados.

Para usar la autenticación Kerberos en la aplicación Citrix Workspace, la configuración de Kerberos debe cumplir los siguientes requisitos.

  • Kerberos solo funciona entre la aplicación Citrix Workspace y los servidores que pertenecen a los mismos dominios de Windows o a dominios que son de confianza. Los servidores también deben ser de confianza para la delegación, una opción que se configura a través de la herramienta de administración de usuarios y equipos de Active Directory.
  • Kerberos debe estar habilitado tanto en el dominio como en Citrix Virtual Apps and Desktops. Para mayor seguridad y para asegurarse de que se utiliza Kerberos, inhabilite las demás opciones que no sean Kerberos IWA en el dominio.
  • El inicio de sesión con Kerberos no está disponible para conexiones de Servicios de escritorio remoto configuradas para usar la autenticación básica, para usar siempre la información de inicio de sesión especificada o para pedir siempre una contraseña.

Advertencia

El uso incorrecto del Editor del Registro del sistema puede causar problemas graves que pueden hacer necesaria la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Si utiliza el Editor del Registro, será bajo su propia responsabilidad. Haga una copia de seguridad del Registro antes de modificarlo.

Autenticación PassThrough de dominio con Kerberos para usarla con tarjetas inteligentes

Antes de continuar, consulte la información de tarjeta inteligente que se indica en la sección Protección de la seguridad del entorno en la documentación de Citrix Virtual Apps and Desktops.

Cuando instale la aplicación Citrix Workspace para Windows, incluya la opción siguiente en la línea de comandos:

  • /includeSSON

    Esta opción instala el componente Single Sign-On en el equipo unido a un dominio, lo que habilita a Citrix Workspace para autenticarse en StoreFront usando IWA (Kerberos). El componente Single Sign-On guarda el PIN de la tarjeta inteligente. El motor HDX utiliza ese PIN cuando comunica de forma remota el hardware de la tarjeta inteligente y las credenciales a Citrix Virtual Apps and Desktops. Citrix Virtual Apps and Desktops selecciona automáticamente un certificado desde la tarjeta inteligente y obtiene el PIN desde el motor HDX.

    La opción relacionada ENABLE\_SSON está habilitada de forma predeterminada.

Si una directiva de seguridad le impide habilitar el inicio Single Sign-On en un dispositivo, configure la aplicación Citrix Workspace utilizando la plantilla administrativa del objeto de directiva de grupo.

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
  2. Elija Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios > Nombre de usuario y contraseña locales.
  3. Seleccione Habilitar autenticación PassThrough.
  4. Reinicie la aplicación Citrix Workspace para que los cambios surtan efecto.

    Habilitar autenticación PassThrough

Para configurar StoreFront:

Durante la configuración del servicio de autenticación en el servidor StoreFront, seleccione la opción “PassThrough de dominio”. Este parámetro habilita la autenticación de Windows integrada (IWA). No es necesario seleccionar la opción “Tarjeta inteligente” a menos que también tenga clientes que no estén unidos a un dominio conectándose a StoreFront con tarjeta inteligente.

Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulteConfigurar el servicio de autenticación en la documentación de StoreFront.

Tarjeta inteligente

La aplicación Citrix Workspace para Windows admite la siguiente autenticación con tarjeta inteligente:

  • Autenticación PassThrough (Single Sign-On): La autenticación PassThrough captura las credenciales de la tarjeta inteligente cuando los usuarios inician sesión en la aplicación Citrix Workspace. La aplicación Citrix Workspace usa las credenciales capturadas de la siguiente manera:

    • Los usuarios de dispositivos unidos a dominio que inician sesión en la aplicación Citrix Workspace con tarjeta inteligente pueden iniciar aplicaciones y escritorios virtuales sin necesidad de volver a autenticarse.
    • Los usuarios de dispositivos no unidos a ningún dominio que inician sesión en la aplicación Citrix Workspace con credenciales de tarjeta inteligente deben escribir de nuevo sus credenciales para poder iniciar una aplicación o escritorio virtual.

    La autenticación PassThrough debe configurarse tanto en StoreFront como en la aplicación Citrix Workspace.

  • Autenticación bimodal: La autenticación bimodal ofrece a los usuarios la opción de usar una tarjeta inteligente o escribir su nombre de usuario y contraseña. Esta función es efectiva cuando no se puede usar la tarjeta inteligente; por ejemplo, cuando el certificado de inicio de sesión ha caducado. Para permitir la autenticación bimodal, deben configurarse almacenes dedicados para cada sitio siguiendo el método de DisableCtrlAltDel establecido en el valor False para permitir el uso de tarjetas inteligentes. La autenticación bimodal requiere una configuración de StoreFront.

    Con la autenticación bimodal, el administrador de StoreFront puede ofrecer al usuario la posibilidad de autenticarse con nombre y contraseña o con tarjeta inteligente en un mismo almacén. Para ello, el administrador debe seleccionar estas dos opciones en la consola de StoreFront. Consulte la documentación de StoreFront.

  • Varios certificados: Puede haber varios certificados disponibles para una única tarjeta inteligente y si se utilizan varias tarjetas inteligentes. Cuando se inserta una tarjeta inteligente en el lector de tarjetas, los certificados se aplican a todas las aplicaciones ejecutadas en el dispositivo del usuario, incluida la aplicación Citrix Workspace.

  • Autenticación por certificado del cliente: La autenticación por certificado del cliente requiere la configuración de Citrix Gateway y StoreFront.

    • Para acceder a StoreFront a través de Citrix Gateway, puede que deba volver a autenticarse después de extraer la tarjeta inteligente.
    • Cuando la configuración SSL de Citrix Gateway está definida como autenticación por certificado de cliente obligatoria, la operación es más segura. No obstante, la autenticación por certificado de cliente obligatoria no es compatible con la autenticación bimodal.
  • Sesiones de doble salto: Si es necesario el doble salto, se establece una conexión entre la aplicación Citrix Workspace y el escritorio virtual del usuario. Las implementaciones que respaldan el doble salto se describen en la documentación de Citrix Virtual Apps and Desktops.

  • Aplicaciones habilitadas para tarjeta inteligente: Las aplicaciones habilitadas para tarjeta inteligente, como Microsoft Outlook y Microsoft Office, permiten a los usuarios cifrar o firmar digitalmente los documentos disponibles en las sesiones de Citrix Virtual Apps and Desktops.

Limitaciones:

  • Los certificados deben guardarse en una tarjeta inteligente, no en el dispositivo del usuario.
  • La aplicación Citrix Workspace no guarda la elección de certificado del usuario, pero guarda el PIN si se configura así. El PIN se almacena en caché solo en la memoria no paginada durante la sesión del usuario. No se guarda en el disco.
  • La aplicación Citrix Workspace no se reconecta a sesiones cuando se inserta una tarjeta inteligente.
  • Cuando está configurada para la autenticación con tarjeta inteligente, la aplicación Citrix Workspace no admite ni el Preinicio de sesiones ni Single Sign-On en redes privadas virtuales (VPN). Para usar la red VPN con la autenticación por tarjeta inteligente, instale Citrix Gateway Plug-in e inicie sesión a través de una página web mediante la tarjeta inteligente y los PIN para autenticarse en cada paso. La autenticación PassThrough en StoreFront con Citrix Gateway Plug-in no está disponible para los usuarios de tarjeta inteligente.
  • Las comunicaciones de Citrix Workspace Updater con citrix.com y Merchandising Server no son compatibles con la autenticación por tarjeta inteligente en Citrix Gateway.

Advertencia

Algunas configuraciones requieren modificaciones del Registro. El uso incorrecto del Editor del Registro del sistema puede causar problemas que pueden hacer necesaria la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Haga una copia de seguridad del Registro antes de modificarlo.

Para habilitar la autenticación Single Sign-On para tarjeta inteligente:

Para configurar la aplicación Citrix Workspace para Windows, incluya la siguiente opción de línea de comandos cuando la instale:

  • ENABLE\_SSON=Yes

    Single Sign-On es otro término para el paso de credenciales/autenticación PassThrough. Habilitar este parámetro impide que la aplicación Citrix Workspace muestre una segunda solicitud de PIN.

  • Defina SSONCheckEnabled como “false” si el componente Single Sign-On no está instalado. La clave impide que Authentication Manager de la aplicación Citrix Workspace busque el componente Single Sign-On, lo que permite que la aplicación Citrix Workspace se autentique en StoreFront.

    HKEY\_CURRENT\_USER\Software\Citrix\AuthManager\protocols\integratedwindows\

    HKEY\_LOCAL\_MACHINE\Software\Citrix\AuthManager\protocols\integratedwindows\

Para habilitar la autenticación en StoreFront con tarjeta inteligente en lugar de Kerberos, instale la aplicación Citrix Workspace para Windows con las siguientes opciones de la línea de comandos.

  • /includeSSON instala Single Sign-On (autenticación PassThrough). Habilita el almacenamiento en caché de credenciales y el uso de la autenticación PassThrough de dominio.

  • Si el usuario está iniciando sesión en el punto final con otro método distinto de la tarjeta inteligente para autenticarse en la aplicación Citrix Workspace para Windows (por ejemplo, con nombre de usuario y contraseña), la línea de comandos es:

    /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

Lo que evita que se capturen credenciales al iniciar sesión, al mismo tiempo que permite que la aplicación Citrix Workspace almacene el PIN al iniciar sesión en Citrix Workspace.

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
  2. Vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios > Nombre de usuario y contraseña locales.
  3. Seleccione Habilitar autenticación PassThrough. Dependiendo de la configuración y los parámetros de seguridad, seleccione la opción Permitir autenticación PassThrough para todas las conexiones ICA para que la autenticación PassThrough funcione.

Para configurar StoreFront:

  • Al configurar el servicio de autenticación, marque la casilla Tarjeta inteligente.

Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulteConfigurar el servicio de autenticación en la documentación de StoreFront.

Para habilitar los dispositivos de los usuarios para el uso de tarjetas inteligentes:

  1. Importe el certificado raíz de la entidad de certificación en el almacén de claves del dispositivo.
  2. Instale el middleware de su proveedor de servicios criptográficos.
  3. Instale y configure la aplicación Citrix Workspace.

Para cambiar cómo se seleccionan los certificados:

De manera predeterminada, si hay varios certificados válidos, la aplicación Citrix Workspace pide al usuario que elija uno de la lista. Como alternativa, puede configurar la aplicación Citrix Workspace para que use el certificado predeterminado (por proveedor de tarjeta inteligente) o el certificado con la fecha de caducidad más lejana. Si no hay certificados de inicio de sesión válidos, se notifica esto al usuario y se le da la opción de usar un método de inicio de sesión alternativo, si hay alguno disponible.

Un certificado válido debe reunir estas características:

  • La fecha y hora actuales según el reloj del equipo local está dentro del periodo de validez del certificado.
  • La clave pública Sujeto debe usar el algoritmo de RSA y tener una longitud de 1024, 2048 o 4096 bits.
  • El campo Uso de la clave debe contener Firma digital.
  • El Nombre alternativo del sujeto debe contener el nombre principal del usuario (UPN).
  • El campo “Uso mejorado de claves” debe contener Inicio de sesión de tarjeta inteligente y Autenticación del cliente o Todos los usos de la clave.
  • Una de las entidades de certificación en la cadena de emisores del certificado debe coincidir con uno de los nombres distintivos (DN) enviado por el servidor durante el protocolo de enlace TLS.

Cambie el modo en que se seleccionan los certificados, usando alguno de estos métodos:

  • En la línea de comandos de la aplicación Citrix Workspace, especifique la opción AM\_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry }.

    La opción predeterminada es “Prompt” (Preguntar). Para SmartCardDefault (predeterminado de la tarjeta inteligente) o LatestExpiry (fecha de caducidad más lejana), si hay varios certificados que cumplen esos criterios, la aplicación Citrix Workspace pide al usuario que elija uno.

  • Agregue el siguiente valor a la clave de Registro en HKEY_CURRENT_USER o HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager: CertificateSelectionMode={ Prompt | SmartCardDefault | LatestExpiry }.

Los valores definidos en HKEY_CURRENT_USER prevalecen sobre los valores definidos en HKEY_LOCAL_MACHINE para facilitar al usuario la selección de certificado.

Para usar solicitudes de PIN del proveedor de servicios criptográficos (CSP):

De manera predeterminada, los diálogos de PIN que se presentan a los usuarios provienen de la aplicación Citrix Workspace para Windows, en lugar de venir del proveedor CSP (Cryptographic Service Provider) de la tarjeta inteligente. La aplicación Citrix Workspace pide a los usuarios que escriban un PIN cuando es necesario, y luego pasa el PIN al proveedor CSP de la tarjeta inteligente. Si el sitio o la tarjeta inteligente tienen unos requisitos de seguridad más estrictos (por ejemplo, prohibir el almacenamiento del PIN en caché por proceso o por sesión), puede configurar la aplicación Citrix Workspace para que use los componentes del CSP para gestionar las entradas de PIN, incluida la solicitud del PIN.

Cambie el modo en que se gestiona la entrada de PIN usando alguno de estos métodos:

  • En la línea de comandos de la aplicación Citrix Workspace, especifique la opción AM\_SMARTCARDPINENTRY=CSP.
  • Agregue el siguiente valor a la clave de Registro HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager: SmartCardPINEntry=CSP.

Autenticación con tarjeta inteligente en la Interfaz Web

Si se instala la aplicación Citrix Workspace para Windows con un componente Single Sign-On (SSON), la autenticación PassThrough se habilita de forma predeterminada, incluso aunque la autenticación PassThrough de PIN para tarjeta inteligente no esté habilitada en el sitio PNAgent de XenApp; la configuración de PassThrough como método de autenticación ya no tendrá efecto. En la pantalla siguiente, se muestra cómo habilitar la tarjeta inteligente como método de autenticación cuando la aplicación Citrix Workspace está configurada correctamente con SSON.

Use la directiva de extracción de tarjetas inteligentes para controlar el comportamiento de extracción de tarjetas inteligentes cuando un usuario se autentica en el sitio PNAgent de la Interfaz Web de Citrix 5.4.

Si esta directiva está habilitada, la sesión del usuario se cierra en la sesión de Citrix Virtual Apps si se extrae la tarjeta inteligente del dispositivo cliente. No obstante, la sesión de usuario de la aplicación Citrix Workspace sigue abierta.

Para que esta directiva se aplique, la directiva de extracción de tarjetas inteligentes debe establecerse en el sitio de servicios XenApp de la Interfaz Web. Los parámetros se encuentran en la Interfaz Web 5.4, en Sitio de servicios XenApp > PassThrough con tarjeta inteligente > Habilitar movilidad > Cerrar las sesiones al quitar la tarjeta inteligente.

Cuando la directiva de extracción de tarjetas inteligentes está inhabilitada, la sesión de Citrix Virtual Apps del usuario se desconecta si se extrae la tarjeta inteligente del dispositivo cliente. Extraer la tarjeta inteligente en el sitio de servicios XenApp de la Interfaz Web no tiene ningún efecto.

Nota:

Existen directivas independientes para los clientes de 32 bits y 64 bits. Para los dispositivos de 32 bits, el nombre de la directiva es Directiva de extracción de tarjetas inteligentes (máquina de 32 bits), mientras que, para los dispositivos de 64 bits, el nombre de la directiva es Directiva de extracción de tarjetas inteligentes (máquina de 64 bits).

alt_text

Cambios en la extracción y la compatibilidad de tarjetas inteligentes

Tenga en cuenta lo siguiente cuando se conecte a un sitio PNAgent de XenApp 6.5:

  • El inicio de sesión con tarjeta inteligente se admite en los inicios de sesión del sitio PNAgent.
  • La directiva de extracción de tarjetas inteligentes ha cambiado en el sitio PNAgent:

Una sesión de Citrix Virtual Apps se cierra cuando se extrae la tarjeta inteligente: si el sitio PNAgent está configurado con la tarjeta inteligente como método de autenticación, la directiva correspondiente debe configurarse explícitamente en la aplicación Citrix Workspace para Windows para aplicar el cierre de la sesión de Citrix Virtual Apps. Habilite la itinerancia para la autenticación con tarjeta inteligente en el sitio PNAgent de XenApp y habilite la directiva de extracción de tarjetas inteligentes, la cual cierra la sesión de Citrix Virtual Apps en la sesión de la aplicación Citrix Workspace. La sesión del usuario sigue abierta en la aplicación Citrix Workspace.

Limitación:

Cuando inicia sesión en el sitio PNAgent mediante la autenticación con tarjeta inteligente, el nombre de usuario aparece como Conectado.