Autenticación

Puede configurar diversos tipos de autenticación para la aplicación Citrix Workspace: autenticación con tarjeta inteligente, autenticación PassThrough de dominio (Single Sign-On o SSON) y autenticación PassThrough con Kerberos.

Tokens de autenticación

Los tokens de autenticación se cifran y se almacenan en el disco local para que no tenga que volver a escribir sus credenciales al reiniciar el sistema o la sesión. La aplicación Citrix Workspace ofrece una opción para inhabilitar el almacenamiento de tokens de autenticación en el disco local.

Para mejorar la seguridad, ahora proporcionamos una directiva de objeto de directiva de grupo (GPO) para configurar el almacenamiento de tokens de autenticación.

Puede descargar las plantillas Citrix ADMX/ADML para el Editor de directivas de grupo desde la página de descargas de Citrix.

Nota

Esta configuración solo se puede aplicar en implementaciones en la nube.

Para inhabilitar el almacenamiento de tokens de autenticación mediante la directiva de objeto de directiva de grupo (GPO):

1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
2. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Componentes de Citrix > SelfService.

3. En la directiva Almacenar tokens de autenticación, seleccione una de estas opciones:

   • Habilitado: Indica que los tokens de autenticación se almacenan en el disco. De forma predeterminada, habilítela.
   • Inhabilitado: Indica que los tokens de autenticación no se almacenan en el disco. Introduzca de nuevo sus credenciales al reiniciar el sistema o la sesión.
4. Haga clic en Aplicar y en Aceptar.

A partir de la versión 2106, la aplicación Citrix Workspace ofrece otra opción para inhabilitar el almacenamiento de tokens de autenticación en el disco local. Junto con la configuración de GPO existente, también puede inhabilitar el almacenamiento de tokens de autenticación en el disco local mediante Global App Configuration Service.

En el Global App Configuration Service, defina el atributo Almacenar tokens de autenticación en False.

Puede configurar este parámetro mediante Global App Configuration Service mediante uno de estos métodos:

• Interfaz de usuario (IU) de Global App Configuration Service: Para la configuración mediante la interfaz de usuario, consulte Configurar la aplicación Citrix Workspace.
• API: Para configurar parámetros mediante las API, consulte la documentación para desarrolladores de Citrix.

Configuration Checker

Configuration Checker le permite ejecutar pruebas para comprobar si Single Sign-On está configurado correctamente. Las pruebas se ejecutan en varios puntos de control de la configuración de Single Sign-On y muestran los resultados de la configuración.

1. Haga clic con el botón secundario en el icono de la aplicación Citrix Workspace situado en el área de notificaciones y, a continuación, en Preferencias avanzadas. Se mostrará el cuadro de diálogo Preferencias avanzadas.

2. Haga clic en Configuration Checker. Se mostrará la ventana Citrix Configuration Checker.

   

3. Seleccione SSONChecker desde el panel Seleccionar.
4. Haga clic en Ejecutar. Se mostrará la barra de progreso, que muestra el estado de la prueba.

La ventana de Configuration Checker consta de las siguientes columnas:

1. Estado: Muestra el resultado de una prueba en un punto de control concreto.

   • Una marca de verificación (✓) verde indica que el punto de control está configurado correctamente.
   • Una I azul indica información sobre el punto de control.
   • Una X roja indica que ese punto de control no está configurado correctamente.
2. Proveedor: Muestra el nombre del módulo en que se ejecuta la prueba. En este caso, Single Sign-On.
3. Suite: Indica la categoría de la prueba. Por ejemplo, Instalación.
4. Prueba: Indica el nombre de la prueba específica que se ejecuta.
5. Detalles: Proporciona información adicional sobre la prueba, independientemente del resultado de esta.

El usuario puede ver más información sobre cada punto de control y los resultados correspondientes.

Se realizan estas pruebas:

1. Instalado con Single Sign-On.
2. Captura de credenciales de inicio de sesión.
3. Registro de proveedores de red: El resultado de la prueba de registro de proveedores de red muestra una marca de verificación verde solo cuando “Citrix Single Sign-On” figura en primer lugar en la lista de proveedores de red. Si Citrix Single Sign-On aparece en algún otro lugar de la lista, el resultado de la prueba Registro de proveedores de red es una barra azul y se ofrece información adicional.
4. Se está ejecutando un proceso de Single Sign-On.
5. Directiva de grupo: De manera predeterminada, esta directiva está configurada en el cliente.
6. Parámetros de Internet para zonas de seguridad: Compruebe que ha agregado la URL del almacén o del servicio XenApp a la lista de zonas de seguridad en las Opciones de Internet. Si las zonas de seguridad están configuradas mediante una directiva de grupo, cualquier cambio en la directiva requiere que la ventana Preferencias avanzadas se vuelva a abrir para que los cambios surtan efecto y para mostrar el estado correcto de la prueba.
7. Método de autenticación para StoreFront.

Nota

• Si accede a Workspace para Web, los resultados de la prueba no se aplican.
• Si la aplicación Citrix Workspace está configurada con varios almacenes, la prueba del método de autenticación se ejecuta en todos los almacenes configurados.
• Puede guardar como informes los resultados de la prueba. El formato predeterminado del informe es TXT.

Ocultar la opción Configuration Checker de la ventana Preferencias avanzadas

1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace ejecutando gpedit.msc.
2. Vaya a Componentes de Citrix > Citrix Workspace > Self Service > DisableConfigChecker.
3. Haga clic en Habilitado para ocultar la opción Configuration Checker de la ventana Preferencias avanzadas.
4. Haga clic en Aplicar y en Aceptar.
5. Ejecute el comando gpupdate /force.

Limitación:

Configuration Checker no incluye el punto de control de la configuración de confianza en solicitudes enviadas a XML Service en los servidores de Citrix Virtual Apps and Desktops.

Prueba de baliza

La aplicación Citrix Workspace permite realizar una prueba de baliza mediante la herramienta de comprobación de balizas que está disponible como parte de la herramienta Configuration Checker. La prueba de baliza ayuda a confirmar si se puede acceder a la baliza (ping.citrix.com). A partir de la versión 2405 de la aplicación Citrix Workspace para Windows, la prueba de baliza funciona para todas las balizas configuradas en el almacén agregadas a la aplicación Citrix Workspace. Con esta prueba de diagnóstico, se puede descartar una de las muchas causas posibles para la enumeración lenta de recursos (es decir, que la baliza no esté disponible). Para ejecutar la prueba, haga clic con el botón secundario en la aplicación Citrix Workspace en el área de notificación y seleccione Preferencias avanzadas > Configuration Checker. Seleccione la opción Beacon Checker de la lista “Pruebas” y haga clic en Ejecutar.

Los resultados de la prueba pueden ser uno de los siguientes:

• Accesible: La aplicación Citrix Workspace puede contactar con la baliza.
• No accesible: La aplicación Citrix Workspace no puede contactar con la baliza.
• Parcialmente accesible: La aplicación Citrix Workspace puede contactar intermitentemente con la baliza.

Nota

• Los resultados de la prueba no se aplican a Workspace para Web.
• Puede guardar como informes los resultados de la prueba. El formato predeterminado del informe es TXT.

Compatibilidad del Acceso condicional con Azure Active Directory

El Acceso condicional es una herramienta utilizada por Azure Active Directory para aplicar directivas de organización. Los administradores del espacio de trabajo pueden configurar y aplicar las directivas de acceso condicional de Azure Active Directory para los usuarios que se autentiquen en la aplicación Citrix Workspace. La máquina Windows que ejecuta la aplicación Citrix Workspace debe tener instalada la versión 99 o posterior de Microsoft Edge WebView2 Runtime.

Para obtener información e instrucciones completas sobre cómo configurar directivas de acceso condicional con Azure Active Directory, consulte la documentación sobre el Acceso condicional de Azure AD.

Nota

Esta función solo está disponible en implementaciones de Workspace (Cloud).

Compatibilidad con métodos de autenticación modernos para almacenes de StoreFront

A partir de la aplicación Citrix Workspace 2303 para Windows, puede habilitar métodos de autenticación modernos para las almacenes de StoreFront mediante una plantilla de objetos de directiva de grupo (GPO). Con la versión 2305.1 de la aplicación Citrix Workspace, puede habilitar esta función mediante Global App Configuration Service.

Puede autenticarse en los almacenes de Citrix StoreFront de cualquiera de las siguientes formas:

• Con claves de seguridad de Windows Hello y FIDO2. Para obtener más información, consulte Otras formas de autenticarse.
• Single Sign-On (SSO) en los almacenes de Citrix StoreFront desde máquinas unidas a Azure Active Directory (AAD) con AAD como proveedor de identidades. Para obtener más información, consulte Otras formas de autenticarse.
• Los administradores de Workspace pueden configurar y aplicar directivas de acceso condicional de Azure Active Directory para usuarios que se autentican en los almacenes de Citrix StoreFront. Para obtener más información, consulte Compatibilidad con el acceso condicional con Azure AD.

Para habilitar esta funcionalidad, debe utilizar Microsoft Edge WebView2 como explorador subyacente para la autenticación directa de StoreFront y la puerta de enlace.

Nota

Asegúrese de que la versión de Microsoft Edge WebView2 Runtime sea 102 o una posterior.

Puede habilitar métodos de autenticación modernos para los almacenes de StoreFront mediante Global App Config Service y una plantilla de objetos de directiva de grupo (GPO).

Mediante Global App Config Service

Para habilitar esta funcionalidad:

1. En el menú de Citrix Cloud, seleccione Configuración de Workspace y, luego, Configuración de aplicaciones.
2. Haga clic en Seguridad y autenticación.
3. Asegúrese de que la casilla Windows esté marcada.

4. Seleccione Habilitado junto a Windows en la lista desplegable Autenticación de Microsoft Edge WebView para StoreFront.

   

Nota

Si selecciona Inhabilitado junto a Windows en la lista desplegable Autenticación de Microsoft Edge WebView para StoreFront, Internet Explorer WebView se usa en la aplicación Citrix Workspace. Como resultado, no se admiten los métodos de autenticación modernos para los almacenes de Citrix StoreFront.

Mediante un GPO

Para habilitar esta funcionalidad:

1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
2. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Citrix Workspace > User Authentication.

3. Haga clic en la directiva de autenticación de Microsoft Edge WebView para StoreFront y configúrela en Habilitada.

   

4. Haga clic en Aplicar y, a continuación, en Aceptar.

Cuando esta directiva está inhabilitada, la aplicación Citrix Workspace utiliza Internet Explorer WebView. Como resultado, no se admiten los métodos de autenticación modernos para los almacenes de Citrix StoreFront.

Compatibilidad con inicio de sesión único para Edge WebView al utilizar Microsoft Entra ID

Anteriormente, al usar Entra ID, la autenticación fallaba para la aplicación Citrix Workspace. A partir de la versión 2409, la aplicación Citrix Workspace admite el inicio de sesión único (SSO) para Edge WebView cuando se usa Entra ID para la autenticación.

Puede habilitar esta función mediante la interfaz de usuario o mediante el objeto de directiva de grupo (GPO).

Uso de la interfaz de usuario

Para habilitar la compatibilidad con el uso del inicio de sesión único para Edge WebView, se introduce una nueva opción llamada Configuración de autenticación en la sección Preferencias avanzadas de la bandeja del sistema en la interfaz de usuario.

Realice los siguientes pasos para habilitar la función desde la interfaz de usuario:

1. Haga clic en la sección Preferencias avanzadas en la bandeja del sistema. Se muestra la siguiente pantalla.

   

2. Haga clic en Configuración de autenticación. Se muestra la siguiente pantalla.

   

3. Asegúrese de que la opción seleccionada sea Sí, que es la opción predeterminada. En caso contrario, seleccione Sí.
4. Haga clic en Guardar si ha modificado la opción.
5. Reinicie la aplicación Citrix Workspace para que los cambios surtan efecto.

Nota

Si selecciona No, la directiva se inhabilita.

Cuando la directiva está inhabilitada, el inicio de sesión único (SSO) se inhabilita para los dispositivos que están registrados o unidos a un ID de Microsoft Entra ID. El usuario final debe autenticarse en la aplicación Workspace si se utiliza Entra ID como proveedor de identidad.

Mediante un GPO

También puede habilitar la compatibilidad con el uso del inicio de sesión único para Edge WebView mediante GPO.

Realice los siguientes pasos para habilitar la función mediante GPO:

1. Abra la plantilla administrativa del objeto de directiva de grupo de la aplicación Citrix Workspace ejecutando gpedit.msc y vaya al nodo Configuración del equipo.

   

2. Vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuario.
3. Seleccione la directiva Permitir inicio de sesión único para Edge WebView y configúrela en Habilitado.
4. Haga clic en Aplicar y en Aceptar.

Nota

Si selecciona Inhabilitado, la directiva se inhabilita.

Cuando la directiva está inhabilitada, el inicio de sesión único (SSO) se inhabilita para los dispositivos que están registrados o unidos a un ID de Microsoft Entra ID. El usuario final debe autenticarse en la aplicación Workspace si se utiliza Entra ID como proveedor de identidad.

Otras formas de autenticarse

Puede configurar los siguientes mecanismos de autenticación con la aplicación Citrix Workspace. Para que los siguientes mecanismos de autenticación funcionen según lo previsto, la máquina Windows que ejecuta la aplicación Citrix Workspace debe tener instalada la versión 99 o posterior de Microsoft Edge WebView2 Runtime.

1. Autenticación por Windows Hello: Para obtener instrucciones sobre cómo configurar la autenticación por Windows Hello, consulte Configure Windows Hello for Business Policy settings - Certificate Trust.

   Nota

   No se admite la autenticación basada en Windows Hello con PassThrough de dominio (Single Sign-On o SSON).

2. Autenticación por claves de seguridad FIDO2: Las claves de seguridad FIDO2 ofrecen un método intuitivo para que los empleados se autentiquen sin introducir nombres de usuario ni contraseñas. Puede configurar la autenticación por claves de seguridad FIDO2 en Citrix Workspace. Si quiere que los usuarios se autentiquen en Citrix Workspace con su cuenta de Azure AD mediante una clave de seguridad FIDO2, consulte Habilitación del inicio de sesión con clave de seguridad sin contraseña.
3. También puede configurar Single Sign-On (SSO) en la aplicación Citrix Workspace desde máquinas unidas a Microsoft Azure Active Directory (AAD) con AAD como un proveedor de identidades Para obtener más información sobre la configuración de los servicios de dominio de Azure Active Directory, consulte Configuración de los servicios de dominio de Azure Active Directory. Para obtener información sobre cómo conectar Azure Active Directory a Citrix Cloud, consulte Conectar Azure Active Directory a Citrix Cloud.

Tarjeta inteligente

La aplicación Citrix Workspace para Windows admite la siguiente autenticación con tarjeta inteligente:

• Autenticación PassThrough (Single Sign-On) - La autenticación PassThrough captura las credenciales de la tarjeta inteligente cuando los usuarios inician sesión en la aplicación Citrix Workspace. La aplicación Citrix Workspace usa las credenciales capturadas de la siguiente manera:

  • Los usuarios de dispositivos unidos a un dominio que inician sesión en la aplicación Citrix Workspace con una tarjeta inteligente pueden iniciar aplicaciones y escritorios virtuales sin necesidad de volver a autenticarse.
  • Los usuarios de dispositivos no unidos a ningún dominio que inician sesión en la aplicación Citrix Workspace con credenciales de tarjeta inteligente deben escribir de nuevo sus credenciales para poder iniciar una aplicación o escritorio virtual.

  La autenticación PassThrough debe configurarse tanto en StoreFront como en la aplicación Citrix Workspace.

• Autenticación bimodal: La autenticación bimodal ofrece a los usuarios la opción de usar una tarjeta inteligente o escribir su nombre de usuario y contraseña. Esta función es efectiva cuando no se puede usar la tarjeta inteligente; Por ejemplo, el certificado de inicio de sesión ha caducado. Para permitir la autenticación bimodal, deben configurarse almacenes dedicados para cada sitio siguiendo el método de DisableCtrlAltDel establecido en el valor False para permitir el uso de tarjetas inteligentes. La autenticación bimodal requiere una configuración de StoreFront.

  Con la autenticación bimodal, el administrador de StoreFront puede permitir autenticarse tanto con nombre y contraseña como con tarjeta inteligente en un mismo almacén. Para ello, el administrador debe seleccionar estas dos opciones en la consola de StoreFront. Consulte la documentación de StoreFront.

Nota

La aplicación Citrix Workspace para Windows no admite el carácter umlat en los campos de nombre de usuario y contraseña.

• Varios certificados: Pueden emplearse varios certificados para una única tarjeta inteligente, y también si se utilizan varias tarjetas inteligentes. Cuando se inserta una tarjeta inteligente en el lector de tarjetas, los certificados se aplican a todas las aplicaciones ejecutadas en el dispositivo del usuario, incluida la aplicación Citrix Workspace.

• Autenticación por certificado del cliente: La autenticación por certificado del cliente requiere la configuración de Citrix Gateway y StoreFront.

  • Para acceder a StoreFront a través de Citrix Gateway, debe volver a autenticarse después de extraer la tarjeta inteligente.
  • Cuando la configuración SSL de Citrix Gateway está definida como Autenticación por certificado de cliente obligatoria, la operación es más segura. No obstante, la autenticación por certificado de cliente obligatoria no es compatible con la autenticación bimodal.

• Sesiones de doble salto: Si es necesario el doble salto, se establece una conexión entre la aplicación Citrix Workspace y el escritorio virtual del usuario.

• Aplicaciones habilitadas para tarjeta inteligente: Las aplicaciones habilitadas para tarjeta inteligente, como Microsoft Outlook y Microsoft Office, permiten a los usuarios cifrar o firmar digitalmente los documentos disponibles en las sesiones de aplicaciones y escritorios virtuales.

Limitaciones：

• Los certificados deben guardarse en una tarjeta inteligente, no en el dispositivo del usuario.
• La aplicación Citrix Workspace no guarda la elección de certificado del usuario, pero guarda el PIN si se configura así. El PIN se almacena en caché solo en la memoria no paginada durante la sesión del usuario. No se guarda en el disco.
• La aplicación Citrix Workspace no se reconecta a sesiones cuando se inserta una tarjeta inteligente.
• Cuando está configurada para la autenticación con tarjeta inteligente, la aplicación Citrix Workspace no admite ni el Preinicio de sesiones ni Single Sign-On en redes privadas virtuales (VPN). Para usar una VPN con la autenticación con tarjeta inteligente, instale Citrix Gateway Plug-in. Inicie sesión en una página web con sus tarjetas inteligentes y sus PIN para autenticarse en cada paso. La autenticación PassThrough en StoreFront con Citrix Gateway Plug-in no está disponible para los usuarios de tarjeta inteligente.
• Las comunicaciones de Citrix Workspace Updater con citrix.com y Merchandising Server no son compatibles con la autenticación por tarjeta inteligente en Citrix Gateway.

Advertencia

Algunas configuraciones requieren modificaciones del Registro. Es posible que el uso incorrecto del Editor del Registro del sistema cause problemas que puedan requerir la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de un uso incorrecto del Editor del Registro puedan resolverse. Haga una copia de seguridad del Registro antes de modificarlo.

Para habilitar la autenticación Single Sign-On para tarjeta inteligente:

Para configurar la aplicación Citrix Workspace para Windows, incluya la siguiente opción de línea de comandos cuando la instale:

• ENABLE_SSON=Yes

  Single Sign-On es otro término para el paso de credenciales/autenticación PassThrough. Habilitar este parámetro impide que la aplicación Citrix Workspace muestre una segunda solicitud de PIN.

• En el editor del Registro, vaya a la siguiente ruta y defina la cadena SSONCheckEnabled en False si no ha instalado el componente de inicio de sesión único.

  HKEY_CURRENT_USER\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

  HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

  La clave impide que Authentication Manager de la aplicación Citrix Workspace busque el componente Single Sign-On y permite que la aplicación Citrix Workspace se autentique en StoreFront.

Para habilitar la autenticación en StoreFront con tarjeta inteligente en lugar de Kerberos, instale la aplicación Citrix Workspace para Windows con las siguientes opciones de la línea de comandos.

• /includeSSON instala Single Sign-On (autenticación PassThrough). Habilita el almacenamiento en caché de credenciales y el uso de la autenticación PassThrough de dominio.

• Si el usuario inicia sesión en el dispositivo de punto final con otro método de autenticación como, por ejemplo, nombre de usuario y contraseña, la línea de comandos es:

  /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

Este tipo de autenticación evita la captura de las credenciales al iniciar sesión y permite que la aplicación Citrix Workspace almacene el PIN durante el inicio de sesión en la aplicación Citrix Workspace.

1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
2. Vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios > Nombre de usuario y contraseña locales.
3. Seleccione Habilitar autenticación PassThrough. Dependiendo de la configuración y los parámetros de seguridad, seleccione la opción Permitir autenticación PassThrough para todas las conexiones ICA para que la autenticación PassThrough funcione.

Para configurar StoreFront:

• Al configurar el servicio de autenticación, marque la casilla Tarjeta inteligente.

Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulte Configurar el servicio de autenticación en la documentación de StoreFront.

Para habilitar los dispositivos de los usuarios para el uso de tarjetas inteligentes:

1. Importe el certificado raíz de la entidad de certificación en el almacén de claves del dispositivo.
2. Instale el middleware de su proveedor de servicios criptográficos.
3. Instale y configure la aplicación Citrix Workspace.

Para cambiar cómo se seleccionan los certificados:

De manera predeterminada, si hay varios certificados válidos, la aplicación Citrix Workspace pide al usuario que elija uno de la lista. En su lugar, puede configurar la aplicación Citrix Workspace para que use el certificado predeterminado (por proveedor de tarjeta inteligente) o el certificado con la fecha de caducidad más lejana. Si no hay certificados de inicio de sesión válidos, se notifica esto al usuario y se le da la opción de usar un método de inicio de sesión alternativo, si hay alguno disponible.

Un certificado válido debe reunir estas características:

• La fecha y hora actuales según el reloj del equipo local está dentro del período de validez del certificado.
• La clave pública Sujeto debe usar el algoritmo de RSA y tener una longitud de 1024, 2048 o 4096 bits.
• El uso de claves debe incluir la firma digital.
• El nombre alternativo del sujeto debe incluir el nombre principal del usuario (UPN).
• El campo “Uso mejorado de claves” debe incluir Inicio de sesión de tarjeta inteligente y Autenticación del cliente o Todos los usos de la clave.
• Una de las entidades de certificación en la cadena de emisores del certificado debe coincidir con uno de los nombres distintivos (DN) permitidos que haya enviado el servidor durante el protocolo de enlace TLS.

Cambie el modo en que se seleccionan los certificados mediante uno de estos métodos:

• En la línea de comandos de la aplicación Citrix Workspace, especifique la opción AM_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry }.

  La opción predeterminada es “Prompt” (Preguntar). Para SmartCardDefault o LatestExpiry, si varios certificados cumplen los criterios, la aplicación Citrix Workspace solicita al usuario que elija un certificado.

• Agregue el siguiente valor de clave a la clave de registro HKEY_CURRENT_USER O HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager: CertificateSelectionMode={ Prompt

  SmartCardDefault

  LatestExpiry }.

Los valores definidos en HKEY_CURRENT_USER tienen prioridad sobre los valores de HKEY_LOCAL_MACHINE para ayudar mejor al usuario a seleccionar un certificado.

Para usar solicitudes de PIN del proveedor de servicios criptográficos (CSP):

De manera predeterminada, los diálogos de PIN que se presentan a los usuarios provienen de la aplicación Citrix Workspace para Windows, en lugar de venir del proveedor CSP (Cryptographic Service Provider) de la tarjeta inteligente. La aplicación Citrix Workspace pide a los usuarios que escriban un PIN cuando es necesario, y luego pasa el PIN al proveedor CSP de la tarjeta inteligente. Si el sitio o la tarjeta inteligente tienen unos requisitos de seguridad más estrictos (por ejemplo, prohibir el almacenamiento del PIN en caché por proceso o por sesión), puede configurar la aplicación Citrix Workspace para que use los componentes del CSP para gestionar las entradas de PIN, incluida la solicitud del PIN.

Cambie el modo en que se gestiona la introducción de PIN mediante uno de estos métodos:

• En la línea de comandos de la aplicación Citrix Workspace, especifique la opción AM_SMARTCARDPINENTRY=CSP.
• Agregue el siguiente valor de clave a la clave de registro HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager: SmartCardPINEntry=CSP.

Cambios en la extracción y la compatibilidad de tarjetas inteligentes

Las sesiones de Citrix Virtual Apps se cierran al extraer la tarjeta inteligente. Si la aplicación Citrix Workspace está configurada con tarjeta inteligente como método de autenticación, configure la directiva correspondiente en la aplicación Citrix Workspace para Windows para que se aplique el cierre de las sesiones de Citrix Virtual Apps. La sesión del usuario sigue abierta en la aplicación Citrix Workspace.

Limitación:

Cuando inicia sesión en el sitio de la aplicación Citrix Workspace mediante la autenticación con tarjeta inteligente, el nombre de usuario aparece como Conectado.

Tarjeta inteligente rápida

La tarjeta inteligente rápida es una mejora con respecto a la redirección HDX existente de tarjetas inteligentes basada en PC/SC. Mejora el rendimiento cuando se usan tarjetas inteligentes en entornos WAN con latencia alta.

Las tarjetas inteligentes rápidas solo son compatibles con Windows VDA.

Para habilitar el inicio de sesión con tarjeta inteligente rápida en la aplicación Citrix Workspace:

El inicio de sesión con tarjeta inteligente rápida está habilitado de forma predeterminada en el VDA y está inhabilitado de forma predeterminada en la aplicación Citrix Workspace. Para habilitar el inicio de sesión rápido con tarjeta inteligente, incluya el siguiente parámetro en el archivo default.ica del sitio de StoreFront asociado:

  copy[WFClient]
  SmartCardCryptographicRedirection=On
 

Para inhabilitar el inicio de sesión con tarjeta inteligente rápida en la aplicación Citrix Workspace:

Para inhabilitar el inicio de sesión rápido con tarjeta inteligente en la aplicación Citrix Workspace, elimine el parámetro SmartCardCryptographicRedirection del archivo default.ica del sitio de StoreFront asociado.

Para obtener más información, consulte Tarjetas inteligentes.

Autenticación silenciosa para Citrix Workspace

La aplicación Citrix Workspace presenta una directiva de objeto de directiva de grupo (GPO) para habilitar la autenticación silenciosa en Citrix Workspace. Esta directiva permite a la aplicación Citrix Workspace iniciar sesión en Citrix Workspace automáticamente al iniciar el sistema. Utilice esta directiva solo cuando la autenticación PassThrough de dominio (Single Sign-On o SSON) esté configurada para Citrix Workspace en dispositivos unidos a un dominio. Esta función está disponible a partir de la versión 2012 y posteriores de la aplicación Citrix Workspace para Windows.

Para que esta directiva funcione, se deben cumplir los siguientes criterios:

• Single Sign-On debe estar habilitado.
• La clave SelfServiceMode debe estar configurada en Off en el editor del Registro.

Habilitar la autenticación silenciosa:

1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
2. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Citrix Workspace > Self Service.
3. Haga clic en la directiva Autenticación silenciosa para Citrix Workspace y habilítela.
4. Haga clic en Aplicar y en Aceptar.

Impedir que la aplicación Citrix Workspace para Windows almacene en caché contraseñas y nombres de usuario

De manera predeterminada, la aplicación Citrix Workspace para Windows rellena el formulario automáticamente con el último nombre de usuario que se utilizó. Para que el campo de nombre de usuario no se rellene automáticamente, modifique el Registro en el dispositivo del usuario:

1. Cree un valor REG_SZ HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManager\RememberUsername.
2. Establezca su valor en “false”.

Para inhabilitar la casilla Recordar mi contraseña e impedir el inicio de sesión automático, cree la siguiente clave de Registro en el equipo cliente en el que esté instalada la aplicación Citrix Workspace para Windows:

• Ruta: HKEY_LOCAL_MACHINE\Software\wow6432node\Citrix\AuthManager
• Tipo: REG_SZ
• Nombre: SavePasswordMode
• Valor: Never

Nota

El uso incorrecto del Editor del Registro del sistema puede causar problemas graves que pueden hacer necesaria la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Si utiliza el Editor del Registro, será bajo su propia responsabilidad. Haga una copia de seguridad del Registro antes de modificarlo.

Para evitar el almacenamiento en caché de las credenciales de los almacenes de StoreFront, consulte Impedir que la aplicación Citrix Workspace para Windows almacene en caché contraseñas y nombres de usuario en la documentación de StoreFront.

Compatibilidad con más de 200 grupos en Azure AD

Con esta versión, un usuario de Azure AD que forme parte de más de 200 grupos puede ver las aplicaciones y escritorios que tiene asignados. Anteriormente, el mismo usuario no podía ver estas aplicaciones y escritorios.

Nota

Para habilitar esta función, los usuarios deben cerrar sesión en la aplicación Citrix Workspace e iniciarla de nuevo.

Compatibilidad con la autenticación de proxy

Antes, en máquinas cliente configuradas con autenticación de proxy, si las credenciales del proxy no existían en el Administrador de credenciales de Windows, no se le permitía autenticarse en la aplicación Citrix Workspace.

A partir de la versión 2102 y posteriores de la aplicación Citrix Workspace para Windows, en las máquinas cliente configuradas para la autenticación de proxy, si las credenciales de proxy no se almacenan en el Administrador de credenciales de Windows, aparece un mensaje de autenticación en el que se le pide que introduzca las credenciales del proxy. A continuación, la aplicación Citrix Workspace guarda las credenciales del servidor proxy en el Administrador de credenciales de Windows. Esto simplifica la experiencia de inicio de sesión porque no necesita guardar manualmente las credenciales en el Administrador de credenciales de Windows antes de acceder a la aplicación Citrix Workspace.

Forzar solicitud de inicio de sesión para el proveedor de identidades federadas

A partir de la versión 2212, la aplicación Citrix Workspace respeta la configuración de sesiones del proveedor de identidades federadas. Para obtener más información, consulte el artículo CTX253779 de Knowledge Center.

Ya no es necesario usar la directiva Almacenar tokens de autenticación para forzar la solicitud de inicio de sesión

User-Agent

La aplicación Citrix Workspace envía un agente de usuario en las solicitudes de red que puede utilizarse para configurar las directivas de autenticación, incluida la redirección de la autenticación a otros proveedores de identidades (IDP).

Nota

Los números de versión que se mencionan como parte de usuario-agente en esta tabla son ejemplos, y esta se actualiza automáticamente en función de las versiones que utilice.

Esta tabla describe el caso, la descripción y el usuario-agente correspondiente para cada caso: