Documentación de productos
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
Ver PDF

Autenticación con tarjeta inteligente

March 9, 2026
Contribución de: 
C C

Con la autenticación con tarjeta inteligente, los usuarios se autentican usando tarjetas inteligentes y PIN al acceder a sus almacenes. La autenticación con tarjeta inteligente se puede habilitar para los usuarios que se conectan a los almacenes a través de la aplicación Citrix Workspace, navegadores web y URL de servicios de XenApp.

Nota:

Cuando los usuarios inician sesión en Windows usando su tarjeta inteligente, se recomienda que habilites la autenticación de paso de dominio, en lugar de, o además de, la autenticación con tarjeta inteligente. Esto permite el inicio de sesión único en el almacén sin necesidad de volver a autenticarse con su tarjeta inteligente.

Usa la autenticación con tarjeta inteligente para agilizar el proceso de inicio de sesión de tus usuarios y, al mismo tiempo, mejorar la seguridad del acceso de los usuarios a tu infraestructura. El acceso a la red corporativa interna está protegido por autenticación de dos factores basada en certificados mediante la infraestructura de clave pública. Las claves privadas están protegidas por controles de hardware y nunca abandonan la tarjeta inteligente. Tus usuarios obtienen la comodidad de acceder a sus escritorios y aplicaciones desde una variedad de dispositivos corporativos usando sus tarjetas inteligentes y PIN.

Para habilitar la autenticación con tarjeta inteligente, las cuentas de los usuarios deben configurarse en el dominio de Microsoft Active Directory que contiene los servidores StoreFront o en un dominio que tenga una relación de confianza bidireccional directa con el dominio del servidor StoreFront. Se admiten las implementaciones multiforestales que implican relaciones de confianza bidireccionales.

El documento Configuración de tarjetas inteligentes para entornos Citrix describe cómo configurar una implementación de Citrix para tarjetas inteligentes usando un tipo específico de tarjeta inteligente. Se aplican pasos similares a las tarjetas inteligentes de otros proveedores.

Requisitos previos

  • Asegúrate de que las cuentas de todos los usuarios estén configuradas en el dominio de Microsoft Active Directory en el que planeas implementar tus servidores StoreFront o en un dominio que tenga una relación de confianza bidireccional directa con el dominio del servidor StoreFront.
  • Si planeas habilitar el paso a través con autenticación con tarjeta inteligente, asegúrate de que tus tipos de lector de tarjetas inteligentes, el tipo y la configuración del middleware, y la política de caché de PIN del middleware lo permitan.
  • Instala el middleware de tarjeta inteligente de tu proveedor en las máquinas virtuales o físicas que ejecutan el Virtual Delivery Agent que proporcionan los escritorios y las aplicaciones de los usuarios. Para obtener más información sobre el uso de tarjetas inteligentes con Citrix Virtual Desktops, consulta Tarjetas inteligentes.
  • Asegúrate de que tu infraestructura de clave pública esté configurada correctamente. Verifica que la asignación de certificados a cuentas esté configurada correctamente para tu entorno de Active Directory y que la validación del certificado de usuario se pueda realizar con éxito.

Configurar StoreFront

  • Debes usar HTTPS para las comunicaciones entre StoreFront y los dispositivos de los usuarios para habilitar la autenticación con tarjeta inteligente. Consulta Proteger StoreFront usando HTTPS.

  • Para habilitar la autenticación con tarjeta inteligente al conectarte a un almacén a través de las aplicaciones Citrix Workspace, en los Métodos de autenticación marca o desmarca Tarjeta inteligente.

  • Habilitar la autenticación con tarjeta inteligente para un almacén, por defecto, también la habilita para todos los sitios web de ese almacén. Puedes habilitar o deshabilitar de forma independiente la autenticación con tarjeta inteligente para un sitio web específico en la ficha Administrar métodos de autenticación de sitios de Receiver para Web.

  • Si configuras la autenticación con tarjeta inteligente y la autenticación con nombre de usuario y contraseña, se les pedirá inicialmente a los usuarios que inicien sesión usando sus tarjetas inteligentes y PIN, pero tendrán la opción de seleccionar la autenticación explícita si experimentan algún problema con sus tarjetas inteligentes.

Configurar Delivery Controller™ para que confíe en StoreFront

Al usar la autenticación con tarjeta inteligente, StoreFront no tiene acceso a las credenciales del usuario, por lo que no puede autenticarse en Citrix Virtual Apps and Desktops. Por lo tanto, debes configurar el Delivery Controller para que confíe en las solicitudes de StoreFront; consulta Consideraciones de seguridad y prácticas recomendadas de Citrix Virtual Apps and Desktops.

Acceso remoto a través de Citrix Gateway

Para el acceso remoto, puedes habilitar la tarjeta inteligente en Citrix Gateway y luego habilitar la autenticación de paso a través a StoreFront con autenticación delegada. Para obtener más detalles, consulta Paso a través de Gateway.

Para asegurarte de que los usuarios no reciban una solicitud adicional de sus credenciales en el servidor virtual cuando se establezcan las conexiones a sus recursos, crea un segundo gateway y deshabilita la autenticación de cliente en los parámetros de Secure Sockets Layer (SSL). Para obtener más información, consulta Configurar la autenticación con tarjeta inteligente. Al acceder a StoreFront a través de un gateway con autenticación con tarjeta inteligente. Configura el enrutamiento óptimo de Citrix Gateway a través de este servidor virtual para las conexiones a las implementaciones que proporcionan los escritorios y las aplicaciones para el almacén. Para obtener más información, consulta Configurar el enrutamiento HDX óptimo para un almacén.

Inicio de sesión único en VDAs

Puedes habilitar el inicio de sesión único en los VDAs pasando las credenciales de tarjeta inteligente de los usuarios. Se puede acceder al almacén a través de un navegador web o la aplicación Citrix Workspace™ para Windows, pero el recurso debe abrirse en la aplicación Citrix Workspace para Windows. En otros sistemas operativos o al acceder a los recursos a través de un navegador, los usuarios deben volver a introducir sus credenciales al conectarse a un VDA.

  1. Incluye el componente de inicio de sesión único al instalar Citrix Workspace para Windows y configúralo para el inicio de sesión único. Consulta Configurar la autenticación de paso de dominio.

  2. Usa un editor de texto para abrir el archivo default.ica del almacén. Consulta Default ica.

  3. Para habilitar el paso a través de las credenciales de tarjeta inteligente para los usuarios que acceden a los almacenes sin Citrix Gateway, agrega la siguiente configuración en la sección [Application].

    DisableCtrlAltDel=Off

    Esta configuración se aplica a todos los usuarios del almacén. Para habilitar tanto el paso de dominio como el paso a través con autenticación con tarjeta inteligente para escritorios y aplicaciones, debes crear almacenes separados para cada método de autenticación. Luego, dirige a tus usuarios al almacén apropiado para su método de autenticación.

  4. Para habilitar el paso a través de las credenciales de tarjeta inteligente para los usuarios que acceden a los almacenes a través de Citrix Gateway, agrega la siguiente configuración en la sección [Application].

    UseLocalUserAndPassword=On

    Esta configuración se aplica a todos los usuarios del almacén. Para habilitar la autenticación de paso a través para algunos usuarios y requerir que otros inicien sesión para acceder a sus escritorios y aplicaciones, debes crear almacenes separados para cada grupo de usuarios. Luego, dirige a tus usuarios al almacén apropiado para su método de autenticación.

Alternativamente, puedes configurar Federated Authentication Service para el inicio de sesión único en VDAs.

Consideraciones importantes

El uso de tarjetas inteligentes para la autenticación de usuarios con StoreFront está sujeto a los siguientes requisitos y restricciones.

  • Para usar túneles de red privada virtual (VPN) con autenticación con tarjeta inteligente, los usuarios deben instalar el complemento de Citrix Gateway e iniciar sesión a través de una página web, usando sus tarjetas inteligentes y PIN para autenticarse en cada paso. La autenticación de paso a través a StoreFront con el complemento de Citrix Gateway no está disponible para los usuarios de tarjetas inteligentes.

  • Se pueden usar varias tarjetas inteligentes y varios lectores en el mismo dispositivo de usuario, pero si habilitas el paso a través con autenticación con tarjeta inteligente, los usuarios deben asegurarse de que solo se inserte una tarjeta inteligente al acceder a un escritorio o una aplicación.

  • Cuando se usa una tarjeta inteligente dentro de una aplicación, como para la firma digital o el cifrado, los usuarios pueden ver solicitudes adicionales para insertar una tarjeta inteligente o introducir un PIN. Esto puede ocurrir si se ha insertado más de una tarjeta inteligente al mismo tiempo. También puede ocurrir debido a la configuración, como la configuración del middleware, como el almacenamiento en caché de PIN, que normalmente se configura mediante la política de grupo. Los usuarios a los que se les pida que inserten una tarjeta inteligente cuando esta ya está en el lector deben hacer clic en Cancelar. Si se les pide un PIN a los usuarios, deben volver a introducir sus PIN.

  • Si habilitas el paso a través con autenticación con tarjeta inteligente en Citrix Virtual Apps and Desktops para usuarios de la aplicación Citrix Workspace para Windows con dispositivos unidos a un dominio que no acceden a los almacenes a través de Citrix Gateway, esta configuración se aplica a todos los usuarios del almacén. Para habilitar tanto el paso de dominio como el paso a través con autenticación con tarjeta inteligente para escritorios y aplicaciones, debes crear almacenes separados para cada método de autenticación. Tus usuarios deben conectarse luego al almacén apropiado para su método de autenticación.

  • Si habilitas el paso a través con autenticación con tarjeta inteligente en Citrix Virtual Apps and Desktops para usuarios de la aplicación Citrix Workspace para Windows con dispositivos unidos a un dominio que acceden a los almacenes a través de Citrix Gateway, esta configuración se aplica a todos los usuarios del almacén. Para habilitar la autenticación de paso a través para algunos usuarios y requerir que otros inicien sesión en sus escritorios y aplicaciones, debes crear almacenes separados para cada grupo de usuarios. Luego, dirige a tus usuarios al almacén apropiado para su método de autenticación.

  • Solo se puede configurar un método de autenticación para cada URL de servicios de XenApp® y solo hay una URL disponible por almacén. Si necesitas habilitar otros tipos de autenticación además de la autenticación con tarjeta inteligente, debes crear almacenes separados, cada uno con una URL de servicios de XenApp, para cada método de autenticación. Luego, dirige a tus usuarios al almacén apropiado para su método de autenticación.

  • Cuando se instala StoreFront, la configuración predeterminada en Microsoft Internet Information Services (IIS) solo requiere que se presenten certificados de cliente para las conexiones HTTPS a la URL de autenticación de certificados del servicio de autenticación de StoreFront. IIS no solicita certificados de cliente para ninguna otra URL de StoreFront. Esta configuración te permite proporcionar a los usuarios de tarjetas inteligentes la opción de recurrir a la autenticación explícita si experimentan algún problema con sus tarjetas inteligentes. Sujeto a la configuración de política de Windows adecuada, los usuarios también pueden quitar sus tarjetas inteligentes sin necesidad de volver a autenticarse.

    Si decides configurar IIS para que requiera certificados de cliente para las conexiones HTTPS a todas las URL de StoreFront, el servicio de autenticación y los almacenes deben estar ubicados en el mismo servidor. Debes usar un certificado de cliente que sea válido para todos los almacenes. Con esta configuración de sitio de IIS, los usuarios de tarjetas inteligentes no pueden conectarse a través de Citrix Gateway y no pueden recurrir a la autenticación explícita. Los usuarios deben iniciar sesión de nuevo si quitan sus tarjetas inteligentes de sus dispositivos.

Autenticación con tarjeta inteligente
March 9, 2026
Contribución de: 
C C
March 9, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.