Configurar la autenticación con tarjeta inteligente

La aplicación Citrix Workspace para Windows admite la siguiente autenticación con tarjeta inteligente:

  • Autenticación PassThrough (Single Sign-On): La autenticación PassThrough captura las credenciales de la tarjeta inteligente cuando los usuarios inician sesión en la aplicación Citrix Workspace. La aplicación Citrix Workspace usa las credenciales capturadas de la siguiente manera:

    • Los usuarios de dispositivos unidos a dominio que inician sesión en la aplicación Citrix Workspace con tarjeta inteligente pueden iniciar aplicaciones y escritorios virtuales sin necesidad de volver a autenticarse.
    • Los usuarios de dispositivos no unidos a ningún dominio que inician sesión en la aplicación Citrix Workspace con credenciales de tarjeta inteligente deben escribir de nuevo sus credenciales para poder iniciar una aplicación o escritorio virtual.

La autenticación PassThrough debe configurarse tanto en StoreFront como en la aplicación Citrix Workspace.

  • Autenticación bimodal: La autenticación bimodal ofrece a los usuarios la opción de usar una tarjeta inteligente o escribir su nombre de usuario y contraseña. Esta función es efectiva cuando no se puede usar la tarjeta inteligente (por ejemplo, cuando el certificado de inicio de sesión ha caducado). Para permitir la autenticación bimodal, deben configurarse tiendas dedicadas para cada sitio, usando el método DisableCtrlAltDel con el valor False para permitir el uso de tarjetas inteligentes. La autenticación bimodal requiere una configuración de StoreFront. Si hay un dispositivo Citrix Gateway en la implementación, también será necesario configurarlo.

    Con la autenticación bimodal, el administrador de StoreFront puede ofrecer al usuario la posibilidad de autenticarse con nombre y contraseña o con tarjeta inteligente en una misma tienda. Para ello, el administrador debe seleccionar estas dos opciones en la consola de StoreFront. Consulte la documentación de StoreFront.

  • Varios certificados: Puede haber varios certificados disponibles para una única tarjeta inteligente y si se utilizan varias tarjetas inteligentes. Cuando se inserta una tarjeta inteligente en el lector de tarjetas, los certificados se aplican a todas las aplicaciones ejecutadas en el dispositivo del usuario, incluida la aplicación Citrix Workspace.

  • Autenticación por certificado del cliente: La autenticación por certificado del cliente requiere la configuración de Citrix Gateway y StoreFront.

    • Para acceder a StoreFront a través de Citrix Gateway, puede que deba volver a autenticarse después de extraer la tarjeta inteligente.
    • Cuando la configuración SSL de Citrix Gateway está definida como autenticación por certificado de cliente obligatoria, la operación es más segura. No obstante, la autenticación por certificado de cliente obligatoria no es compatible con la autenticación bimodal.
  • Sesiones de doble salto: Si es necesario el doble salto, se establece una conexión entre la aplicación Citrix Workspace y el escritorio virtual del usuario. Las implementaciones que respaldan el doble salto se describen en la documentación de Citrix Virtual Apps and Desktops.

  • Aplicaciones habilitadas para tarjeta inteligente: Las aplicaciones habilitadas para tarjeta inteligente, como Microsoft Outlook y Microsoft Office, permiten a los usuarios cifrar o firmar digitalmente los documentos disponibles en las sesiones de Citrix Virtual Apps and Desktops.

Limitaciones

  • Los certificados deben guardarse en una tarjeta inteligente, no en el dispositivo del usuario.
  • La aplicación Citrix Workspace no guarda la elección de certificado del usuario, pero guarda el PIN si se configura así. El PIN se almacena en caché solo en la memoria no paginada durante la sesión del usuario. No se guarda en el disco.
  • La aplicación Citrix Workspace no se reconecta a sesiones cuando se inserta una tarjeta inteligente.
  • Cuando está configurada para la autenticación con tarjeta inteligente, la aplicación Citrix Workspace no admite ni el Preinicio de sesiones ni Single Sign-On en redes privadas virtuales (VPN). Para usar la red VPN con la autenticación por tarjeta inteligente, instale Citrix Gateway Plug-in e inicie sesión a través de una página Web usando la tarjeta inteligente y los PIN para autenticarse en cada paso. La autenticación PassThrough en StoreFront con Citrix Gateway Plug-in no está disponible para los usuarios de tarjeta inteligente.
  • Las comunicaciones de Citrix Workspace Updater con citrix.com y Merchandising Server no son compatibles con la autenticación por tarjeta inteligente en Citrix Gateway.

Advertencia

Algunas configuraciones requieren modificaciones del Registro. El uso incorrecto del Editor del Registro del sistema puede causar problemas que pueden hacer necesaria la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Haga una copia de seguridad del Registro antes de modificarlo.

Para habilitar la autenticación Single Sign-On para tarjeta inteligente

Para configurar la aplicación Citrix Workspace para Windows, incluya la siguiente opción de línea de comandos cuando la instale:

  • ENABLE\_SSON=Yes

    Single Sign-on es otro término para el paso de credenciales/autenticación PassThrough. Habilitar este parámetro impide que la aplicación Citrix Workspace muestre una segunda solicitud de PIN.

  • Defina SSONCheckEnabled como “false” si el componente Single Sign-On no está instalado. La clave impide que Authentication Manager de la aplicación Citrix Workspace busque el componente Single Sign-On, lo que permite que la aplicación Citrix Workspace se autentique en StoreFront.

    HKEY_CURRENT_USER\Software\Citrix\AuthManager\protocols\integratedwindows\

    HKEY_LOCAL_MACHINE\Software\Citrix\AuthManager\protocols\integratedwindows\

Para habilitar la autenticación con tarjeta inteligente en StoreFront en lugar de Kerberos, instale la aplicación Citrix Workspace para Windows con las siguientes opciones de la línea de comandos.

  • /includeSSON Instala Single Sign-On (autenticación PassThrough). Habilita el almacenamiento en caché de credenciales y el uso de la autenticación PassThrough de dominio.

  • Si el usuario está iniciando sesión en el punto final con otro método distinto de la tarjeta inteligente para autenticarse en la aplicación Citrix Workspace para Windows (por ejemplo, con nombre de usuario y contraseña), la línea de comandos es:

/includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

Lo que evita que se capturen credenciales al iniciar sesión, al mismo tiempo que permite que la aplicación Citrix Workspace almacene el PIN al iniciar sesión en Citrix Workspace.

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
  2. Vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Autenticación de usuarios > Nombre de usuario y contraseña locales.
  3. Seleccione Habilitar autenticación PassThrough. Dependiendo de la configuración y los parámetros de seguridad, seleccione la opción Permitir autenticación PassThrough para todas las conexiones ICA para que la autenticación PassThrough funcione.

Para configurar StoreFront:

  • Al configurar el servicio de autenticación, marque la casilla Tarjeta inteligente.

Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulte Configurar el servicio de autenticación en la documentación de StoreFront.

Para habilitar los dispositivos de los usuarios para el uso de tarjetas inteligentes

  1. Importe el certificado raíz de la entidad de certificación en el almacén de claves del dispositivo.
  2. Instale el middleware de su proveedor de servicios criptográficos.
  3. Instale y configure la aplicación Citrix Workspace.

Para cambiar cómo se seleccionan los certificados

De manera predeterminada, si hay varios certificados válidos, la aplicación Citrix Workspace pide al usuario que elija uno de la lista. Como alternativa, puede configurar la aplicación Citrix Workspace para que use el certificado predeterminado (por proveedor de tarjeta inteligente) o el certificado con la fecha de caducidad más lejana. Si no hay certificados de inicio de sesión válidos, se notifica esto al usuario y se le da la opción de usar un método de inicio de sesión alternativo, si hay alguno disponible.

Un certificado válido debe reunir estas características:

  • La fecha y hora actuales según el reloj del equipo local está dentro del periodo de validez del certificado.
  • La clave pública Sujeto debe usar el algoritmo de RSA y tener una longitud de 1024, 2048 o 4096 bits.
  • El campo Uso de la clave debe contener Firma digital.
  • El Nombre alternativo del sujeto debe contener el nombre principal del usuario (UPN).
  • El campo “Uso mejorado de claves” debe contener Inicio de sesión de tarjeta inteligente y Autenticación del cliente o Todos los usos de la clave.
  • Una de las entidades de certificación en la cadena de emisores del certificado debe coincidir con uno de los nombres distintivos (DN) enviado por el servidor durante el protocolo de enlace TLS.

Cambie el modo en que se seleccionan los certificados, usando alguno de estos métodos:

  • En la línea de comandos de la aplicación Citrix Workspace, especifique la opción AM\_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry }.

    La opción predeterminada es “Prompt” (Preguntar). Para SmartCardDefault (predeterminado de la tarjeta inteligente) o LatestExpiry (fecha de caducidad más lejana), si hay varios certificados que cumplen esos criterios, la aplicación Citrix Workspace pide al usuario que elija uno.

  • Agregue el siguiente valor a la clave de Registro en HKEY_CURRENT_USER o HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager: CertificateSelectionMode={ Prompt SmartCardDefault LatestExpiry }.

Los valores definidos en HKEY_CURRENT_USER prevalecen sobre los valores definidos en HKEY_LOCAL_MACHINE para facilitar al usuario la selección de certificado.

Para usar solicitudes de PIN del proveedor de servicios criptográficos (CSP)

De manera predeterminada, los diálogos de PIN que se presentan a los usuarios provienen de la aplicación Citrix Workspace para Windows, en lugar de venir del proveedor CSP (Cryptographic Service Provider) de la tarjeta inteligente. La aplicación Citrix Workspace pide a los usuarios que escriban un PIN cuando es necesario, y luego pasa el PIN al proveedor CSP de la tarjeta inteligente. Si el sitio o la tarjeta inteligente tienen unos requisitos de seguridad más estrictos (por ejemplo, prohibir el almacenamiento del PIN en caché por proceso o por sesión), puede configurar la aplicación Citrix Workspace para que use los componentes del CSP para gestionar las entradas de PIN, incluida la solicitud del PIN.

Cambie el modo en que se gestiona la entrada de PIN usando alguno de estos métodos:

  • En la línea de comandos de la aplicación Citrix Workspace, especifique la opción AM\_SMARTCARDPINENTRY=CSP.
  • Agregue el siguiente valor a la clave de Registro HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager: SmartCardPINEntry=CSP.