Documentación de productos
StoreFront™ 2507 LTSR
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
Ver PDF

Autenticación con tarjeta inteligente

March 9, 2026
Contribución de: 
C

Con la autenticación con tarjeta inteligente, los usuarios se autentican usando tarjetas inteligentes y PIN al acceder a sus tiendas. La autenticación con tarjeta inteligente se puede habilitar para los usuarios que se conectan a las tiendas a través de la aplicación Citrix Workspace, navegadores web y URL de servicios de XenApp.

Nota:

Si los usuarios inician sesión en Windows con su tarjeta inteligente, te recomendamos que habilites la autenticación de paso a través de dominio, en lugar de, o además de, la autenticación con tarjeta inteligente. Esto permite el inicio de sesión único en la tienda sin necesidad de volver a autenticarse con su tarjeta inteligente.

Usa la autenticación con tarjeta inteligente para agilizar el proceso de inicio de sesión de tus usuarios, al mismo tiempo que mejoras la seguridad del acceso de los usuarios a tu infraestructura. El acceso a la red corporativa interna está protegido por una autenticación de dos factores basada en certificados que utiliza la infraestructura de clave pública. Las claves privadas están protegidas por controles de hardware y nunca abandonan la tarjeta inteligente. Tus usuarios obtienen la comodidad de acceder a sus escritorios y aplicaciones desde una variedad de dispositivos corporativos usando sus tarjetas inteligentes y PIN.

Para habilitar la autenticación con tarjeta inteligente, las cuentas de los usuarios deben configurarse en el dominio de Microsoft Active Directory que contiene los servidores de StoreFront o en un dominio que tenga una relación de confianza bidireccional directa con el dominio del servidor de StoreFront. Se admiten las implementaciones multiforestales que implican confianzas bidireccionales.

El documento Configuración de tarjetas inteligentes para entornos Citrix describe cómo configurar una implementación de Citrix para tarjetas inteligentes que utiliza un tipo específico de tarjeta inteligente. Se aplican pasos similares a las tarjetas inteligentes de otros proveedores.

Requisitos previos

  • Asegúrate de que las cuentas de todos los usuarios estén configuradas en el dominio de Microsoft Active Directory en el que planeas implementar tus servidores de StoreFront o en un dominio que tenga una relación de confianza bidireccional directa con el dominio del servidor de StoreFront.
  • Si planeas habilitar el paso a través con autenticación con tarjeta inteligente, asegúrate de que tus tipos de lector de tarjetas inteligentes, el tipo y la configuración del middleware, y la política de almacenamiento en caché de PIN del middleware lo permitan.
  • Instala el middleware de tarjeta inteligente de tu proveedor en las máquinas virtuales o físicas que ejecutan el Virtual Delivery Agent que proporcionan los escritorios y las aplicaciones de los usuarios. Para obtener más información sobre el uso de tarjetas inteligentes con Citrix Virtual Desktops, consulta Tarjetas inteligentes.
  • Asegúrate de que tu infraestructura de clave pública esté configurada correctamente. Verifica que la asignación de certificado a cuenta esté configurada correctamente para tu entorno de Active Directory y que la validación del certificado de usuario se pueda realizar con éxito.

Configurar StoreFront

  • Debes usar HTTPS para las comunicaciones entre StoreFront y los dispositivos de los usuarios para habilitar la autenticación con tarjeta inteligente. Consulta Proteger StoreFront con HTTPS.

  • Para habilitar la autenticación con tarjeta inteligente al conectarte a una tienda a través de las aplicaciones de Citrix Workspace, en los Métodos de autenticación marca o desmarca Tarjeta inteligente.

  • Habilitar la autenticación con tarjeta inteligente para una tienda también la habilita de forma predeterminada para todos los sitios web de esa tienda. Puedes habilitar o deshabilitar de forma independiente la autenticación con tarjeta inteligente para un sitio web específico en la ficha Métodos de autenticación de la gestión de sitios web.

  • Si configuras la autenticación con tarjeta inteligente y la autenticación con nombre de usuario y contraseña, se les pedirá inicialmente a los usuarios que inicien sesión usando sus tarjetas inteligentes y PIN, pero tendrán la opción de seleccionar la autenticación explícita si experimentan algún problema con sus tarjetas inteligentes.

Configurar Delivery Controller™ para que confíe en StoreFront

Cuando se utiliza la autenticación con tarjeta inteligente, StoreFront no tiene acceso a las credenciales del usuario, por lo que no puede autenticarse en Citrix Virtual Apps and Desktops. Por lo tanto, debes configurar el Delivery Controller para que confíe en las solicitudes de StoreFront. Consulta Consideraciones de seguridad y prácticas recomendadas de Citrix Virtual Apps and Desktops.

Acceso remoto a través de Citrix Gateway

Para el acceso remoto, puedes habilitar la tarjeta inteligente en Citrix Gateway y luego habilitar la autenticación de paso a través a StoreFront con autenticación delegada. Para obtener más detalles, consulta Paso a través de Gateway.

Para asegurarte de que los usuarios no reciban una solicitud adicional de sus credenciales en el servidor virtual cuando se establezcan las conexiones a sus recursos, crea un segundo gateway y deshabilita la autenticación de cliente en los parámetros de Secure Sockets Layer (SSL). Para obtener más información, consulta Configurar la autenticación con tarjeta inteligente. Al acceder a StoreFront a través de un gateway con autenticación con tarjeta inteligente. Configura el enrutamiento HDX óptimo de Citrix Gateway a través de este servidor virtual para las conexiones a las implementaciones que proporcionan los escritorios y las aplicaciones para la tienda. Para obtener más información, consulta Configurar el enrutamiento HDX óptimo para una tienda.

Inicio de sesión único en VDA

Puedes habilitar el inicio de sesión único en los VDA pasando las credenciales de tarjeta inteligente de los usuarios. Se puede acceder a la tienda a través de un navegador web o la aplicación Citrix Workspace™ para Windows, pero el recurso debe abrirse en la aplicación Citrix Workspace para Windows. En otros sistemas operativos o al acceder a los recursos a través de un navegador, los usuarios deben volver a introducir sus credenciales al conectarse a un VDA.

  1. Incluye el componente de inicio de sesión único al instalar Citrix Workspace para Windows y configúralo para el inicio de sesión único. Consulta Configurar la autenticación de paso a través de dominio.

  2. Usa un editor de texto para abrir el archivo default.ica de la tienda. Consulta Default ica.

  3. Para habilitar el paso a través de las credenciales de tarjeta inteligente para los usuarios que acceden a las tiendas sin Citrix Gateway, agrega la siguiente configuración en la sección [Application].

    DisableCtrlAltDel=Off

    Esta configuración se aplica a todos los usuarios de la tienda. Para habilitar tanto el paso a través de dominio como el paso a través con autenticación con tarjeta inteligente para escritorios y aplicaciones, debes crear tiendas separadas para cada método de autenticación. Luego, dirige a tus usuarios a la tienda adecuada para su método de autenticación.

  4. Para habilitar el paso a través de las credenciales de tarjeta inteligente para los usuarios que acceden a las tiendas a través de Citrix Gateway, agrega la siguiente configuración en la sección [Application].

    UseLocalUserAndPassword=On

    Esta configuración se aplica a todos los usuarios de la tienda. Para habilitar la autenticación de paso a través para algunos usuarios y requerir que otros inicien sesión para acceder a sus escritorios y aplicaciones, debes crear tiendas separadas para cada grupo de usuarios. Luego, dirige a tus usuarios a la tienda adecuada para su método de autenticación.

Alternativamente, puedes configurar Federated Authentication Service para el inicio de sesión único en VDA.

Consideraciones importantes

El uso de tarjetas inteligentes para la autenticación de usuarios con StoreFront está sujeto a los siguientes requisitos y restricciones.

  • Para usar túneles de red privada virtual (VPN) con autenticación con tarjeta inteligente, los usuarios deben instalar el complemento de Citrix Gateway e iniciar sesión a través de una página web, usando sus tarjetas inteligentes y PIN para autenticarse en cada paso. La autenticación de paso a través a StoreFront con el complemento de Citrix Gateway no está disponible para los usuarios de tarjetas inteligentes.

  • Se pueden usar varias tarjetas inteligentes y varios lectores en el mismo dispositivo de usuario, pero si habilitas el paso a través con autenticación con tarjeta inteligente, los usuarios deben asegurarse de que solo haya una tarjeta inteligente insertada al acceder a un escritorio o una aplicación.

  • Cuando se usa una tarjeta inteligente dentro de una aplicación, como para la firma digital o el cifrado, los usuarios pueden ver solicitudes adicionales para insertar una tarjeta inteligente o introducir un PIN. Esto puede ocurrir si se ha insertado más de una tarjeta inteligente al mismo tiempo. También puede ocurrir debido a la configuración, como la configuración del middleware, como el almacenamiento en caché de PIN, que normalmente se configura mediante la política de grupo. Los usuarios a los que se les pida que inserten una tarjeta inteligente cuando la tarjeta inteligente ya está en el lector deben hacer clic en Cancelar. Si se les pide un PIN a los usuarios, deben volver a introducir sus PIN.

  • Si habilitas el paso a través con autenticación con tarjeta inteligente a Citrix Virtual Apps and Desktops para usuarios de la aplicación Citrix Workspace para Windows con dispositivos unidos a un dominio que no acceden a las tiendas a través de Citrix Gateway, esta configuración se aplica a todos los usuarios de la tienda. Para habilitar tanto el paso a través de dominio como el paso a través con autenticación con tarjeta inteligente para escritorios y aplicaciones, debes crear tiendas separadas para cada método de autenticación. Tus usuarios deben conectarse luego a la tienda adecuada para su método de autenticación.

  • Si habilitas el paso a través con autenticación con tarjeta inteligente a Citrix Virtual Apps and Desktops para usuarios de la aplicación Citrix Workspace para Windows con dispositivos unidos a un dominio que acceden a las tiendas a través de Citrix Gateway, esta configuración se aplica a todos los usuarios de la tienda. Para habilitar la autenticación de paso a través para algunos usuarios y requerir que otros inicien sesión en sus escritorios y aplicaciones, debes crear tiendas separadas para cada grupo de usuarios. Luego, dirige a tus usuarios a la tienda adecuada para su método de autenticación.

  • Solo se puede configurar un método de autenticación para cada URL de servicios de XenApp® y solo hay una URL disponible por tienda. Si necesitas habilitar otros tipos de autenticación además de la autenticación con tarjeta inteligente, debes crear tiendas separadas, cada una con una URL de servicios de XenApp, para cada método de autenticación. Luego, dirige a tus usuarios a la tienda adecuada para su método de autenticación.

  • Cuando se instala StoreFront, la configuración predeterminada en Microsoft Internet Information Services (IIS) solo requiere que se presenten certificados de cliente para las conexiones HTTPS a la URL de autenticación de certificados del servicio de autenticación de StoreFront. IIS no solicita certificados de cliente para ninguna otra URL de StoreFront. Esta configuración te permite proporcionar a los usuarios de tarjetas inteligentes la opción de recurrir a la autenticación explícita si experimentan algún problema con sus tarjetas inteligentes. Sujeto a la configuración de política de Windows adecuada, los usuarios también pueden quitar sus tarjetas inteligentes sin necesidad de volver a autenticarse.

    Si decides configurar IIS para que requiera certificados de cliente para las conexiones HTTPS a todas las URL de StoreFront, el servicio de autenticación y las tiendas deben estar ubicados en el mismo servidor. Debes usar un certificado de cliente que sea válido para todas las tiendas. Con esta configuración del sitio de IIS, los usuarios de tarjetas inteligentes no pueden conectarse a través de Citrix Gateway y no pueden recurrir a la autenticación explícita. Los usuarios deben iniciar sesión de nuevo si quitan sus tarjetas inteligentes de sus dispositivos.

Autenticación con tarjeta inteligente
March 9, 2026
Contribución de: 
C
March 9, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.