Configurar la autenticación con tarjeta inteligente

Citrix Receiver para Windows admite las siguientes características de autenticación con tarjeta inteligente. Para obtener información sobre la configuración de XenDesktop y StoreFront, consulte la documentación de esos componentes. En este tema, se describe la configuración de Citrix Receiver para Windows necesaria para usar tarjetas inteligentes.

  • Autenticación PassThrough (Single Sign-On). La autenticación PassThrough captura las credenciales de la tarjeta inteligente cuando los usuarios inician una sesión en Citrix Receiver para Windows. Citrix Receiver para Windows usa las credenciales capturadas de la siguiente manera:

    • Los usuarios de dispositivos que pertenecen a un dominio que inician sesión en Citrix Receiver para Windows mediante una tarjeta inteligente pueden iniciar aplicaciones y escritorios virtuales sin necesidad de volver a autenticarse.
    • Los usuarios de dispositivos que no pertenecen a ningún dominio que inician una sesión en Citrix Receiver para Windows mediante una tarjeta inteligente deben introducir de nuevo sus credenciales para poder iniciar aplicaciones y escritorios virtuales.

    La autenticación PassThrough requiere configuración de StoreFront y Citrix Receiver para Windows.

  • Autenticación bimodal: La autenticación bimodal ofrece a los usuarios la opción de usar una tarjeta inteligente o introducir su nombre de usuario y contraseña. Esta función resulta útil cuando no se puede usar la tarjeta inteligente por alguna razón (por ejemplo, si el usuario la olvidó en casa o el certificado de inicio de sesión caducó). Para permitir esto, deben configurarse tiendas dedicadas para cada sitio, usando el método DisableCtrlAltDel con el valor False para permitir el uso de tarjetas inteligentes. La autenticación bimodal requiere una configuración de StoreFront. Si hay un dispositivo NetScaler Gateway en la implementación, también será necesario configurarlo.

    Con la autenticación bimodal, administrador de StoreFront tiene ahora la oportunidad de ofrecer al usuario la posibilidad de autenticarse con nombre y contraseña o con tarjeta inteligente en una misma tienda, seleccionando estas opciones en la consola de StoreFront. Consulte la documentación de StoreFront.

  • Varios certificados: Puede haber varios certificados disponibles para una única tarjeta inteligente y si se utilizan varias tarjetas inteligentes. Cuando un usuario introduce una tarjeta inteligente en el lector de tarjetas, los certificados están disponibles para todas las aplicaciones que se ejecutan en el dispositivo del usuario, incluido Citrix Receiver para Windows. Para cambiar cómo se seleccionan los certificados, configure Citrix Receiver para Windows.

  • Autenticación por certificado del cliente: La autenticación por certificado del cliente requiere la configuración de NetScaler Gateway y StoreFront.

    • Para acceder a los recursos de StoreFront a través de NetScaler Gateway, es posible que los usuarios tengan que volver a autenticarse después de extraer una tarjeta inteligente.
    • Cuando la configuración SSL de NetScaler Gateway está definida como autenticación por certificado de cliente obligatoria, la operación es más segura. No obstante, la autenticación por certificado de cliente obligatoria no es compatible con la autenticación bimodal.
  • Sesiones de doble salto: Si es necesario el doble salto, se establece una conexión adicional entre Receiver y el escritorio virtual del usuario. Las implementaciones que respaldan el doble salto se describen en la documentación de XenDesktop.

  • Aplicaciones habilitadas para tarjeta inteligente: Las aplicaciones habilitadas para tarjeta inteligente, como Microsoft Outlook y Microsoft Office, permiten a los usuarios cifrar o firmar digitalmente los documentos disponibles en las sesiones de aplicación o escritorio virtual.

Requisitos previos:

Este tema presupone que el lector conoce los temas sobre tarjetas inteligentes en la documentación de XenDesktop y StoreFront.

Limitaciones:

  • Los certificados deben guardarse en una tarjeta inteligente, no en el dispositivo del usuario.
  • Citrix Receiver para Windows no guarda la elección de certificado del usuario, pero puede guardar el PIN si se configura así. El PIN solo se almacena en caché en la memoria no paginada durante la sesión del usuario. No se guarda en disco en ningún momento.
  • Citrix Receiver para Windows no reconecta sesiones cuando se introduce una tarjeta inteligente.
  • Cuando está configurado para la autenticación con tarjeta inteligente, Citrix Receiver para Windows no admite ni el Preinicio de sesiones ni Single Sign-On en redes privadas virtuales (VPN). Para usar túneles VPN con autenticación con tarjeta inteligente, los usuarios deben instalar el NetScaler Gateway Plug-in e iniciar una sesión a través de una página Web, usando sus tarjetas inteligentes y números PIN para autenticarse en cada paso. La autenticación PassThrough en StoreFront con NetScaler Gateway Plug-in no está disponible para los usuarios de tarjeta inteligente.
  • Las comunicaciones de Citrix Receiver para Windows Updater con citrix.com y Merchandising Server no son compatibles con la autenticación con tarjeta inteligente en NetScaler Gateway.

Advertencia

Parte de la configuración descrita en este tema incluye modificaciones del Registro. El uso incorrecto del Editor del Registro del sistema puede causar problemas graves que pueden hacer necesaria la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Si utiliza el Editor del Registro, será bajo su propia responsabilidad. Asegúrese de hacer una copia de seguridad del Registro antes de editarlo.

Para habilitar la autenticación Single Sign-on para tarjeta inteligente

Para configurar Citrix Receiver para Windows, incluya la siguiente opción de línea de comandos cuando lo instale:

  • ENABLE_SSON=Yes

    Single Sign-on es otro término para el paso de credenciales/autenticación PassThrough. Habilitar este parámetro impide que Citrix Receiver para Windows Receiver muestre una segunda solicitud de PIN al usuario.

O, puede realizar la configuración a través de esta directiva y unos cambios en el Registro:

  • Plantillas administrativas > Plantillas administrativas clásicas (ADM) > Componentes de Citrix > Citrix Receiver > Autenticación de usuarios > Nombre de usuario y contraseña locales

  • Defina SSONCheckEnabled como false en cualquiera de estas claves de Registro si el componente Single Sign-on no está instalado. La clave impide que Authentication Manager de Citrix Receiver para Windows busque el componente Single Sign-On, lo que permite que Citrix Receiver para Windows se autentique en StoreFront.

    HKEY_CURRENT_USER\Software\Citrix\AuthManager\protocols\integratedwindows\

    HKEY_LOCAL_MACHINE\Software\Citrix\AuthManager\protocols\integratedwindows\

De forma alternativa, es posible habilitar la autenticación con tarjeta inteligente en StoreFront en lugar de Kerberos. Para habilitar la autenticación con tarjeta inteligente en StoreFront en lugar de Kerberos, instale Citrix Receiver para Windows con las siguientes opciones de la línea de comandos. Esto requiere privilegios de administrador. La máquina no necesita estar unida a un dominio.

  • /includeSSON instala Single Sign-On (autenticación PassThrough). Habilita el almacenamiento en caché de credenciales y el uso de la autenticación PassThrough de dominio.

  • Si el usuario está iniciando una sesión en el punto final con otro método distinto de la tarjeta inteligente para la autenticación en Receiver (por ejemplo, con nombre de usuario y contraseña), la línea de comandos es:

    pre codeblock /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

    Lo que evita que se capturen credenciales al iniciar sesión al mismo tiempo que permite que Citrix Receiver para Windows almacene el PIN al iniciar sesión en Citrix Receiver para Windows.

  • Vaya a Directiva > Plantillas administrativas > Plantillas administrativas clásicas (ADM) > Componentes de Citrix > Citrix Receiver > Autenticación de usuarios > Nombre de usuario y contraseña locales.

    Habilite la autenticación PassThrough. Dependiendo de la configuración y los parámetros de seguridad, puede que tenga que seleccionar la opción Permitir autenticación PassThrough para todas las conexiones ICA para que la autenticación PassThrough funcione.

Para configurar StoreFront:

  • Al configurar el servicio de autenticación, marque la casilla Tarjeta inteligente.

Para obtener más información sobre el uso de tarjetas inteligentes con StoreFront, consulte Configurar el servicio de autenticación en la documentación de StoreFront.

Para habilitar los dispositivos de los usuarios para el uso de tarjetas inteligentes

  1. Importe el certificado raíz de la entidad de certificación en el almacén de claves del dispositivo.
  2. .
  3. Instale y configure Citrix Receiver para Windows.

Para cambiar cómo se seleccionan los certificados

De manera predeterminada, si hay varios certificados que son válidos, Citrix Receiver para Windows pide al usuario que elija uno de la lista. También puede configurar Citrix Receiver para Windows para que use el certificado predeterminado (por proveedor de tarjeta inteligente) o el certificado con la fecha de caducidad más lejana. Si no hay certificados de inicio de sesión válidos, se notifica esto al usuario y se le da la opción de usar un método de inicio de sesión alternativo, si hay alguno disponible.

Un certificado válido debe reunir estas características:

  • La fecha y hora actuales según el reloj del equipo local está dentro del periodo de validez del certificado.
  • La clave pública Sujeto debe usar el algoritmo de RSA y tener una longitud de 1024, 2048 ó 4096 bits.
  • El campo Uso de la clave debe contener Firma digital.
  • El Nombre alternativo del sujeto debe contener el nombre principal del usuario (UPN).
  • El campo Uso mejorado de claves debe contener Inicio de sesión de tarjeta inteligente y Autenticación del cliente o Todos los usos de la clave.
  • Una de las entidades de certificación en la cadena de emisores del certificado debe coincidir con uno de los nombres distintivos (DN) enviado por el servidor durante el protocolo de enlace TLS.

Cambie el modo en que se seleccionan los certificados, usando alguno de estos métodos:

  • En la línea de comandos de Citrix Receiver para Windows, especifique la opción AM\CERTIFICATESELECTIONMODE={ Prompt SmartCardDefault LatestExpiry }.

    La opción predeterminada es “Prompt” (Preguntar). Para SmartCardDefault (predeterminado de la tarjeta inteligente) o LatestExpiry (fecha de caducidad más lejana), si hay varios certificados que cumplen esos criterios, Citrix Receiver para Windows pide al usuario que elija uno.

  • Agregue el siguiente valor a la clave de Registro en HKCU o HKLM\Software\[Wow6432Node]\Citrix\AuthManager: CertificateSelectionMode={ Prompt SmartCardDefault LatestExpiry }.

    Los valores definidos en HKCU tienen preferencia sobre los valores definidos en HKLM para facilitar al usuario la selección de certificado.

Para usar solicitudes de PIN del proveedor de servicios criptográficos (CSP)

De manera predeterminada, los diálogos de PIN que se presentan a los usuarios provienen de Citrix Receiver para Windows en lugar de venir del proveedor CSP (Cryptographic Service Provider) de la tarjeta inteligente. Citrix Receiver para Windows solicita a los usuarios que introduzcan un PIN cuando es necesario, y pasa ese PIN al proveedor CSP de la tarjeta inteligente. Si el sitio o la tarjeta inteligente tiene unos requisitos de seguridad más estrictos (por ejemplo, prohibir el almacenamiento del PIN en caché por proceso o por sesión), puede configurar Citrix Receiver para Windows para que use los componentes del CSP para gestionar las entradas de PIN, incluida la solicitud del PIN.

Cambie el modo en que se gestiona la entrada de PIN usando alguno de estos métodos:

  • En la línea de comandos de Citrix Receiver para Windows, especifique la opción AM_SMARTCARDPINENTRY=CSP.
  • Agregue el siguiente valor a la clave de Registro HKLM\Software\[Wow6432Node]\Citrix\AuthManager: SmartCardPINEntry=CSP.