Product Documentation

Autenticación de usuario

Jun 29, 2017

StoreFront respalda diversos métodos de autenticación para los usuarios que acceden a las tiendas, aunque no todos estén disponibles, ya que dependen del método de acceso de los usuarios y de su ubicación de red. Por motivos de seguridad, algunos de los métodos de autenticación están inhabilitados de forma predeterminada cuando se crea la primera tienda. Para obtener más información sobre cómo habilitar e inhabilitar los métodos de autenticación de usuarios, consulte Creación y configuración del servicio de autenticación

Nombre de usuario y contraseña

Los usuarios deben introducir sus credenciales y autenticarse cuando acceden a las tiendas. La autenticación explícita está habilitada de forma predeterminada. Todos los métodos de acceso de usuario son compatibles con la autenticación explícita.

Cuando un usuario emplea NetScaler Gateway para acceder a Citrix Receiver para Web, NetScaler Gateway se ocupa del inicio de sesión y del cambio de contraseña cuando ésta caduca. Los usuarios pueden cambiar sus contraseñas siempre que quieran mediante la interfaz de usuario de Citrix Receiver para Web. Después de un cambio de contraseña a petición del usuario, la sesión de NetScaler Gateway termina y el usuario tiene que volver a iniciar la sesión. Los usuarios de Citrix Receiver para Linux pueden cambiar únicamente las contraseñas caducadas.  

Autenticación SAML

Los usuarios se autentican en un proveedor de identidades SAML y su sesión se inicia automáticamente cuando acceden a sus tiendas. StoreFront puede admitir la autenticación SAML directamente dentro de la red corporativa, sin tener que ir a través de NetScaler.

SAML (Security Assertion Markup Language) es un estándar abierto utilizado por los productos de identidad y autenticación, como Microsoft AD FS (servicios de federación de Active Directory). Con la integración de la autenticación SAML a través de StoreFront, los administradores pueden permitir que los usuarios, por ejemplo, inicien sesión una vez en la red de la empresa y, a continuación, aplicar el inicio de sesión único Single Sign-on en las aplicaciones publicadas.

Requisitos:

El uso de SAML la autenticación con NetScaler recibe respaldo actualmente con sitios de Receiver para Web.

PassThrough de dominio

Los usuarios realizan la autenticación en equipos Windows que no pertenecen a un dominio, y sus credenciales se usan para iniciar sesión automáticamente cuando acceden a las tiendas. Al instalar StoreFront, la autenticación PassThrough de dominio se inhabilita de forma predeterminada. La autenticación PassThrough de dominio puede estar habilitada para los usuarios que se conectan a las tiendas a través de Citrix Receiver y de direcciones URL de servicios XenApp. Los sitios de Citrix Receiver para Web respaldan la autenticación PassThrough de dominio únicamente para Internet Explorer. Habilite la autenticación PassThrough de dominio en el nodo del sitio de Receiver para Web que hay en la consola de administración. Necesitará configurar SSON en Citrix Receiver para Windows. Citrix Receiver para HTML5 no respalda la autenticación PassThrough de dominio. Para usar la autenticación PassThrough de dominio, los usuarios necesitan Citrix Receiver para Windows o el Online Plug-in para Windows. La autenticación PassThrough debe estar habilitada cuando se instalan Citrix Receiver para Windows o el Online Plug-in para Windows en los dispositivos de los usuarios.

Método de autenticación PassThrough desde NetScaler Gateway

Los usuarios se autentican en NetScaler Gateway y su sesión se inicia automáticamente cuando acceden a sus tiendas. La autenticación PassThrough desde NetScaler Gateway está habilitada de forma predeterminada al configurar el acceso remoto a una tienda. Los usuarios pueden conectarse a través de NetScaler Gateway a las tiendas usando Citrix Receiver o usando sitios de Citrix Receiver para Web. Los sitios de Desktop Appliance no admiten las conexiones a través de NetScaler Gateway. Para obtener más información acerca de la configuración de StoreFront para NetScaler Gateway, consulte Cómo agregar una conexión de NetScaler Gateway

StoreFront admite la autenticación PassThrough con los siguientes métodos de autenticación de NetScaler Gateway.

  • Token de seguridad. Los usuarios inician sesión en NetScaler Gateway mediante códigos de acceso derivados de códigos generados por tokens de seguridad, y combinados, en algunos casos, con números de identificación personales (PIN). Si habilita la autenticación PassThrough con token de seguridad solamente, asegúrese de que los recursos disponibles no requieren formas de autenticación adicionales o alternativas, como credenciales de dominio de Microsoft Active Directory.
  • Dominio y token de seguridad. Los usuarios que inician sesión en NetScaler Gateway deben introducir sus credenciales de dominio y los códigos de acceso de tokens de seguridad.
  • Certificado del cliente. Los usuarios inician sesión en NetScaler Gateway y su autenticación se produce basándose en los atributos del certificado del cliente que se presenta ante NetScaler Gateway. Configure la autenticación de certificados del cliente para permitir que los usuarios inicien sesión en NetScaler Gateway usando tarjetas inteligentes. La autenticación de certificados del cliente también puede utilizarse con otros tipos de autenticación para ofrecer autenticación de doble origen.

StoreFront usa el servicio de autenticación de NetScaler Gateway para proporcionar autenticación PassThrough a los usuarios remotos, para que estos usuarios solo deban introducir sus credenciales una vez. Sin embargo, de forma predeterminada, la autenticación PassThrough solo está habilitada para los usuarios que inician sesión en NetScaler Gateway con una contraseña. Para configurar la autenticación PassThrough desde NetScaler Gateway para el acceso a StoreFront por parte de usuarios de tarjeta inteligente, delegue la validación de credenciales en NetScaler Gateway. Para obtener más información, consulte Creación y configuración del servicio de autenticación.

Los usuarios pueden conectarse a tiendas en Citrix Receiver con la autenticación PassThrough a través del túnel VPN SSL mediante NetScaler Gateway Plug-in. Los usuarios remotos que no pueden instalar NetScaler Gateway Plug-in pueden utilizar el acceso sin cliente para conectarse a las tiendas en Citrix Receiver con la autenticación PassThrough. Para utilizar el acceso sin cliente con el fin de conectarse a las tiendas, los usuarios necesitan una versión de Citrix Receiver que admita el acceso sin cliente.

Además, es posible habilitar el acceso sin cliente con la autenticación PassThrough en sitios de Citrix Receiver para Web. Para hacer esto, configure NetScaler Gateway de modo que funcione como proxy remoto seguro. Los usuarios inician sesión directamente en NetScaler Gateway y usan el sitio de Citrix Receiver para Web para acceder a sus aplicaciones sin necesidad de volver a autenticarse. 

Los usuarios que se conectan a recursos de App Controller con el acceso sin cliente solo pueden acceder a las aplicaciones de software como servicio (SaaS) externas. Para acceder a las aplicaciones Web internas, los usuarios remotos deben utilizar NetScaler Gateway Plug-in.

Si desea configurar la autenticación de doble origen en NetScaler Gateway para usuarios remotos que accedan a las tiendas desde Citrix Receiver, debe crear dos directivas de autenticación en NetScaler Gateway. Configure RADIUS (Servicio de autenticación remota telefónica de usuario) como el método principal de autenticación y LDAP (Protocolo ligero de acceso a directorios) como el método secundario. Modifique el índice de credenciales para usar el método secundario de autenticación en el perfil de sesión, de manera que las credenciales de LDAP se transfieran a StoreFront. Al agregar un dispositivo NetScaler Gateway a la configuración de StoreFront, establezca el Tipo de inicio de sesión en Dominio y token de seguridad. Para obtener más información, consulte http://support.citrix.com/article/CTX125364.

Para habilitar la autenticación en varios dominios de StoreFront mediante NetScaler Gateway, establezca SSO Name Attribute como userPrincipalName en la directiva de autenticación de LDAP de NetScaler Gateway para cada dominio. Es posible que deba especificar un dominio a los usuarios en la página de inicio de sesión de NetScaler Gateway para que se pueda determinar la directiva de LDAP correspondiente. Al configurar los perfiles de sesión de NetScaler Gateway para las conexiones con StoreFront, no especifique un dominio Single Sign-On. Debe configurar las relaciones de confianza entre cada uno de los dominios. Asegúrese de permitir que los usuarios inicien sesión en StoreFront desde cualquier dominio al no restringir el acceso a solo aquellos dominios que sean explícitamente de confianza.

Cuando la implementación de NetScaler Gateway lo respalde, puede utilizar SmartAccess para controlar el acceso de los usuarios a los recursos de XenDesktop y XenApp en función de las directivas de sesión de NetScaler Gateway. Para obtener más información acerca de SmartAccess, consulte How SmartAccess works for XenApp and XenDesktop.

Tarjetas inteligentes

Los usuarios realizan la autenticación con tarjetas inteligentes y PIN cuando acceden a las tiendas. Al instalar StoreFront, la autenticación con tarjeta inteligente se inhabilita de forma predeterminada. La autenticación con tarjeta inteligente puede habilitarse para los usuarios que se conectan a las tiendas a través de Citrix Receiver, Citrix Receiver para Web, los sitios de Desktop Appliance y las direcciones URL de servicios XenApp.

La autenticación con tarjeta inteligente optimiza el proceso de inicio de sesión de los usuarios y mejora la seguridad del acceso de los usuarios a la infraestructura. El acceso a la red corporativa interna está protegido por la autenticación de dos fases basada en un certificado con infraestructura de clave pública. Las claves privadas están protegidas por controles de hardware y nunca salen de la tarjeta inteligente. Los usuarios obtienen la comodidad de acceder a sus escritorios y aplicaciones desde una serie de dispositivos de la empresa con sus tarjetas inteligentes y sus PIN.

Puede usar tarjetas inteligentes para la autenticación de usuarios a través de StoreFront en los escritorios y las aplicaciones que proporcionan XenDesktop y XenApp. Los usuarios de tarjetas inteligentes que inician sesión en StoreFront también pueden acceder a las aplicaciones proporcionadas por App Controller. No obstante, los usuarios deben volver a autenticarse para acceder a las aplicaciones Web de App Controller que usan la autenticación de certificados del cliente.

Para habilitar la autenticación con tarjeta inteligente, las cuentas de los usuarios deben configurarse ya sea en el dominio de Microsoft Active Directory que contiene los servidores StoreFront, o bien, en un dominio que tenga una relación de confianza bidireccional directa con el dominio del servidor StoreFront. Se respaldan las implementaciones multibosque de confianza bidireccional.

La configuración de la autenticación con tarjeta inteligente para StoreFront depende de los dispositivos del usuario, de los clientes instalados y de si los dispositivos están unidos a un dominio o no. En este contexto, la unión a un dominio se refiere a dispositivos que se han vinculado a un dominio del bosque de Active Directory que contiene los servidores StoreFront.

Uso de tarjetas inteligentes con Citrix Receiver para Windows

Los usuarios con dispositivos que ejecutan Citrix Receiver para Windows se pueden autenticar con tarjetas inteligentes, ya sea directamente o a través de NetScaler Gateway. Se pueden usar tanto los dispositivos que están unidos a un dominio como los que no, aunque la experiencia de usuario es un poco diferente en cada caso.

La ilustración muestra las opciones para la autenticación con tarjeta inteligente a través de Citrix Receiver para Windows.


Para los usuarios locales con dispositivos unidos a dominio, puede configurar la autenticación con tarjeta inteligente de forma que solo se pidan las credenciales de usuario una vez. Los usuarios inician la sesión en sus dispositivos usando sus tarjetas inteligentes y sus PIN y, con la configuración adecuada, no se les vuelve a pedir el PIN. Los usuarios se autentican de forma silenciosa en StoreFront y también en sus escritorios y aplicaciones. Para conseguir esto, configure Citrix Receiver para Windows con autenticación PassThrough y habilite la autenticación PassThrough de dominio en StoreFront.

Los usuarios inician sesión en sus dispositivos y, a continuación, se autentican en Citrix Receiver para Windows con sus PIN. No hay más solicitudes de PIN cuando intentan iniciar aplicaciones y escritorios

Como los usuarios de dispositivos que no pertenecen a un dominio inician sesión en Citrix Receiver para Windows directamente, puede permitir que los usuarios recurran a la autenticación explícita. Si se configura tanto la autenticación explícita como la autenticación con tarjeta inteligente, primero se solicita a los usuarios que inicien sesión con sus tarjetas inteligentes y sus PIN. En caso de problemas con las tarjetas inteligentes, también tendrán la opción de seleccionar la autenticación explícita.

Los usuarios que se conectan a través de NetScaler Gateway deben iniciar la sesión usando su tarjeta inteligente y su PIN al menos dos veces para acceder a sus escritorios y aplicaciones. Esto se aplica a dispositivos unidos a un dominio y a dispositivos que no pertenecen a ningún dominio. Los usuarios se autentican usando su tarjeta inteligente y su PIN y, con la configuración apropiada, solo tienen que volver a introducir su PIN cuando acceden a sus escritorios y aplicaciones. Para conseguir esto, hay que habilitar la autenticación PassThrough con NetScaler Gateway en StoreFront y delegar la validación de credenciales en NetScaler Gateway. Después, cree un servidor virtual adicional de NetScaler Gateway a través del cual se enrutarán las conexiones de usuario hacia sus recursos. En el caso de dispositivos unidos a un dominio, también debe configurar Citrix Receiver para Windows para la autenticación PassThrough.

Nota: Si utiliza Citrix Receiver para Windows 4.2, la versión actual, puede configurar un segundo servidor virtual y usar la puerta de enlace óptima para eliminar la necesidad de solicitar el PIN al iniciar aplicaciones y escritorios.

Los usuarios pueden iniciar sesión en NetScaler Gateway con su tarjeta inteligente y su PIN o con credenciales explícitas. Esto permite ofrecer a los usuarios la opción de recurrir a la autenticación explícita para iniciar sesión con NetScaler Gateway. Configure la autenticación PassThrough de NetScaler Gateway a StoreFront y delegue la validación de las credenciales a NetScaler Gateway para los usuarios de tarjeta inteligente de modo que los usuarios se autentiquen silenciosamente en StoreFront.

Uso de tarjetas inteligentes con los sitios de Desktop Appliance

Los dispositivos de escritorio Windows que no están unidos a ningún dominio se pueden configurar para permitir que los usuarios inicien sesión en los escritorios usando las tarjetas inteligentes. El dispositivo debe tener Citrix Desktop Lock y se debe utilizar Internet Explorer para acceder al sitio de Desktop Appliance.

La ilustración muestra la autenticación con tarjeta inteligente desde un dispositivo de escritorio que no está unido a ningún dominio.


Cuando los usuarios acceden a dispositivos Desktop Appliance, Internet Explorer se inicia en modo de pantalla completa y el usuario puede ver la pantalla de inicio de sesión del sitio de Desktop Appliance. Los usuarios se autentican en el sitio mediante sus tarjetas inteligentes y sus PIN. Si el sitio de Desktop Appliance está configurado para la autenticación PassThrough, los usuarios se autentican automáticamente cuando acceden a sus escritorios y aplicaciones. No se vuelven a solicitar los PIN a los usuarios. Sin la autenticación PassThrough, los usuarios deben introducir sus PIN por segunda vez cuando inicien un escritorio o aplicación.

Puede permitir que los usuarios utilicen la autenticación explícita si tienen problemas con las tarjetas inteligentes. Para ello, configure el sitio de Desktop Appliance para ambos: las tarjetas inteligentes y la autenticación explícita. En esta configuración, la autenticación con tarjeta inteligente es el método de acceso principal, por lo que los usuarios primero deben introducir sus PIN. No obstante, el sitio también proporciona un vínculo que permite a los usuarios iniciar sesión con credenciales explícitas.

Uso de tarjetas inteligentes con las direcciones URL de servicios XenApp

Los usuarios de dispositivos de escritorio unidos a un dominio y de equipos reasignados que ejecutan Citrix Desktop Lock se pueden autenticar mediante tarjetas inteligentes. A diferencia de otros métodos de acceso, la autenticación PassThrough de credenciales con tarjeta inteligente se habilita automáticamente cuando se configura la autenticación con tarjeta inteligente para una URL de servicios XenApp.

La ilustración muestra la autenticación con tarjeta inteligente desde un dispositivo unido a un dominio que ejecuta Citrix Desktop Lock.


Los usuarios inician sesión en los dispositivos con las tarjetas inteligentes y los PIN. A continuación, Citrix Desktop Lock autentica de manera silenciosa a los usuarios en StoreFront a través de la URL de servicios XenApp. Los usuarios se autentican automáticamente cuando acceden a los escritorios y aplicaciones, y no se les vuelve a pedir el PIN.

Uso de tarjetas inteligentes con Citrix Receiver para Web

Puede habilitar la autenticación con tarjeta inteligente en Citrix Receiver para Web desde la consola de administración de StoreFront.

  1. Seleccione el nodo Citrix Receiver para Web del panel de la izquierda.
  2. Seleccione el sitio en el que quiere usar la autenticación con tarjeta inteligente.
  3. Seleccione la tarea Elegir métodos de autenticación del panel de la derecha.
  4. Marque la casilla Tarjeta inteligente en la pantalla de diálogo emergente y haga clic en Aceptar.

Si habilita la autenticación PassThrough con tarjeta inteligente en XenDesktop y XenApp para los usuarios de Citrix Receiver para Windows con dispositivos unidos a un dominio que no acceden a las tiendas a través de NetScaler Gateway, este parámetro se aplica a todos los usuarios de la tienda. Si desea habilitar tanto la autenticación PassThrough de dominio como la autenticación PassThrough con tarjeta inteligente para acceder a los escritorios y las aplicaciones, debe crear tiendas independientes para cada método de autenticación. Los usuarios deben conectarse a la tienda adecuada para su método de autenticación.

Si habilita la autenticación PassThrough con tarjeta inteligente en XenDesktop y XenApp para los usuarios de Citrix Receiver para Windows con dispositivos unidos a un dominio que acceden a las tiendas a través de NetScaler Gateway, este parámetro se aplica a todos los usuarios de la tienda. Si desea habilitar la autenticación PassThrough para algunos usuarios y solicitar a otros usuarios que inicien sesión en los escritorios y aplicaciones, debe crear tiendas independientes para cada grupo de usuarios. A continuación, debe dirigir a los usuarios a la tienda adecuada para su método de autenticación.

Uso de tarjetas inteligentes con Citrix Receiver para iOS y Android

Los usuarios con dispositivos que ejecutan Citrix Receiver para iOS y Citrix Receiver para Android se pueden autenticar con tarjetas inteligentes, ya sea directamente o a través de NetScaler Gateway. Se pueden usar los dispositivos que no pertenezcan a ningún dominio.

En el caso de dispositivos de la red local, los usuarios reciben como mínimo dos peticiones de credenciales. Cuando los usuarios se autentican en StoreFront o crean la tienda por primera vez, se les solicita el PIN de la tarjeta inteligente. Con la configuración apropiada, los usuarios tienen que volver a introducir su PIN solamente cuando acceden a sus escritorios y a sus aplicaciones. Para ello, habilite la autenticación con tarjeta inteligente en StoreFront e instale los controladores de tarjeta inteligente en el VDA.

Con estos Citrix Receivers, tiene la opción de especificar tarjetas inteligentes o credenciales de dominio. Si ha creado una tienda para usar tarjetas inteligentes y quiere conectarse a la misma tienda mediante credenciales de dominio, debe agregar una tienda independiente sin activar las tarjetas inteligentes.

Los usuarios que se conectan a través de NetScaler Gateway deben iniciar la sesión usando su tarjeta inteligente y su PIN al menos dos veces para acceder a sus escritorios y aplicaciones. Los usuarios se autentican usando su tarjeta inteligente y su PIN y, con la configuración apropiada, solo tienen que volver a introducir su PIN cuando acceden a sus escritorios y aplicaciones. Para conseguir esto, hay que habilitar la autenticación PassThrough con NetScaler Gateway en StoreFront y delegar la validación de credenciales en NetScaler Gateway. Después, cree un servidor virtual adicional de NetScaler Gateway a través del cual se enrutarán las conexiones de usuario hacia sus recursos.

Los usuarios pueden iniciar sesión en NetScaler Gateway con sus tarjetas inteligentes y sus PIN o con credenciales explícitas, según cómo haya especificado la autenticación de la conexión. Configure la autenticación PassThrough de NetScaler Gateway a StoreFront y delegue la validación de las credenciales a NetScaler Gateway para los usuarios de tarjeta inteligente de modo que los usuarios se autentiquen silenciosamente en StoreFront. Si quiere cambiar el método de autenticación, debe eliminar y volver a crear la conexión.

Uso de tarjetas inteligentes con Citrix Receiver para Linux

Los usuarios con dispositivos que ejecutan Citrix Receiver para Linux se pueden autenticar mediante tarjetas inteligentes de una forma similar a la de los usuarios de dispositivos que no pertenecen a un dominio de Windows. Incluso aunque el usuario se autentique en el dispositivo Linux con una tarjeta inteligente, Citrix Receiver para Linux no tiene ningún mecanismo para adquirir ni reutilizar el PIN especificado.

Configure los componentes del lado del servidor para las tarjetas inteligentes de la misma forma que los configura para su uso con Citrix Receiver para Windows. Consulte How To Configure StoreFront 2.x and Smart Card Authentication for Internal Users using Stores y, para obtener instrucciones acerca del uso de tarjetas inteligentes, consulte Citrix Receiver para Linux.

La cantidad mínima de solicitudes de inicio de sesión que los usuarios pueden recibir es 1. Los usuarios inician sesión en sus dispositivos y, a continuación, se autentican en Citrix Receiver para Linux con sus tarjetas inteligentes y sus PIN. Los usuarios no tienen que volver a introducir su PIN cuando acceden a sus escritorios y a sus aplicaciones. Para conseguir esto, hay que habilitar la autenticación con tarjeta inteligente en StoreFront.

Como los usuarios inician sesión en Citrix Receiver para Linux directamente, puede permitir que estos recurran a la autenticación explícita. Si se configura tanto la autenticación explícita como la autenticación con tarjeta inteligente, primero se solicita a los usuarios que inicien sesión con sus tarjetas inteligentes y sus PIN. En caso de problemas con las tarjetas inteligentes, también tendrán la opción de seleccionar la autenticación explícita.

Los usuarios que se conectan a través de NetScaler Gateway deben iniciar la sesión usando su tarjeta inteligente y su PIN al menos una vez para acceder a sus escritorios y a sus aplicaciones. Los usuarios se autentican mediante su tarjeta inteligente y su PIN y, con la configuración apropiada, no tienen que volver a introducir su PIN cuando acceden a sus escritorios y a sus aplicaciones. Para conseguir esto, hay que habilitar la autenticación PassThrough con NetScaler Gateway en StoreFront y delegar la validación de credenciales en NetScaler Gateway. Después, cree un servidor virtual adicional de NetScaler Gateway a través del cual se enrutarán las conexiones de usuario hacia sus recursos.

Los usuarios pueden iniciar sesión en NetScaler Gateway con su tarjeta inteligente y su PIN o con credenciales explícitas. Esto permite ofrecer a los usuarios la opción de recurrir a la autenticación explícita para iniciar sesión con NetScaler Gateway. Configure la autenticación PassThrough de NetScaler Gateway a StoreFront y delegue la validación de las credenciales a NetScaler Gateway para los usuarios de tarjeta inteligente de modo que los usuarios se autentiquen silenciosamente en StoreFront.

Las tarjetas inteligentes para Citrix Receiver para Linux no están respaldadas en sitios de respaldo de servicios XenApp.

Una vez que el respaldo para tarjetas inteligentes está habilitado para el servidor y para Citrix Receiver, y si la directiva de aplicación de los certificados de tarjeta inteligente lo permite, puede utilizar tarjetas inteligentes con los siguientes fines:

  • Autenticación de inicio de sesión con tarjetas inteligentes. Utilice tarjetas inteligentes para autenticar usuarios en servidores de Citrix XenApp y XenDesktop.
  • Respaldo para aplicaciones de tarjetas inteligentes. Habilite las aplicaciones publicadas compatibles con tarjetas inteligentes para que puedan acceder a dispositivos de tarjetas inteligentes locales.

Uso de tarjetas inteligentes con la asistencia de los servicios XenApp

Los usuarios que inician sesión en los sitios de respaldo de servicios XenApp para iniciar aplicaciones y escritorios se pueden autenticar mediante tarjetas inteligentes sin depender de ningún hardware, sistema operativo o Citrix Receiver específico. Cuando un usuario accede a un sitio de respaldo de servicios XenApp e introduce correctamente una tarjeta inteligente y un PIN, PNA determina la identidad del usuario, lo autentica en StoreFront y devuelve los recursos disponibles.

Para que funcionen la autenticación PassThrough y la autenticación con tarjeta inteligente, debe habilitar la opción Confiar en las solicitudes enviadas a XML Service.

Utilice una cuenta con permisos de administrador local en el Delivery Controller para iniciar Windows PowerShell y, en el símbolo del sistema, escriba los siguientes comandos para permitir que el Delivery Controller confíe en las solicitudes XML enviadas desde StoreFront. El siguiente procedimiento se aplica a XenApp 7.5 - 7.8 y XenDesktop 7.0 - 7.8. 

  1. Cargue los cmdlets de Citrix escribiendo asnp Citrix*. (incluya el punto final).
  2. Escriba Add-PSSnapin citrix.broker.admin.v2.
  3. Escriba Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True
  4. Cierre PowerShell.

Para obtener información sobre cómo configurar el respaldo para el método de autenticación con tarjeta inteligente de los servicios XenApp, consulte Configuración de la autenticación de las direcciones URL de servicios XenApp.

Consideraciones importantes

El uso de tarjetas inteligentes para la autenticación de usuarios con StoreFront está sujeto a los siguientes requisitos y restricciones.

  • Para utilizar túneles VPN con la autenticación mediante tarjeta inteligente, los usuarios deben instalar NetScaler Gateway Plug-in e iniciar sesión a través de una página Web utilizando las tarjetas inteligentes y los PIN en cada paso de la autenticación. La autenticación PassThrough en StoreFront con NetScaler Gateway Plug-in no está disponible para los usuarios de tarjeta inteligente.
  • Se pueden utilizar varias tarjetas inteligentes y varios lectores en el mismo dispositivo de usuario, pero si desea habilitar la autenticación PassThrough con tarjeta inteligente, los usuarios deben asegurarse de que haya solamente una tarjeta inteligente insertada durante el acceso a un escritorio o aplicación.
  • Cuando se utiliza una tarjeta inteligente dentro de una aplicación (por ejemplo, para las funciones de cifrado o firma digital), es posible que se muestren solicitudes adicionales para insertar una tarjeta inteligente o introducir un PIN. Esto puede suceder cuando se inserta más de una tarjeta inteligente al mismo tiempo. También puede deberse a parámetros de configuración, tales como parámetros de middleware como el caché de PIN, que se configuran generalmente con directivas de grupo. Si los usuarios ven una solicitud donde se les pide que introduzcan la tarjeta inteligente cuando la tarjeta inteligente ya está en el lector, deben hacer clic en Cancelar. Si se solicita un PIN, los usuarios deben introducir de nuevo los PIN.
  • Si habilita la autenticación PassThrough con tarjeta inteligente en XenDesktop y XenApp para los usuarios de Citrix Receiver para Windows con dispositivos unidos a un dominio que no acceden a las tiendas a través de NetScaler Gateway, este parámetro se aplica a todos los usuarios de la tienda. Si desea habilitar tanto la autenticación PassThrough de dominio como la autenticación PassThrough con tarjeta inteligente para acceder a los escritorios y las aplicaciones, debe crear tiendas independientes para cada método de autenticación. Los usuarios deben conectarse a la tienda adecuada para su método de autenticación.
  • Si habilita la autenticación PassThrough con tarjeta inteligente en XenDesktop y XenApp para los usuarios de Citrix Receiver para Windows con dispositivos unidos a un dominio que acceden a las tiendas a través de NetScaler Gateway, este parámetro se aplica a todos los usuarios de la tienda. Si desea habilitar la autenticación PassThrough para algunos usuarios y solicitar a otros usuarios que inicien sesión en los escritorios y aplicaciones, debe crear tiendas independientes para cada grupo de usuarios. A continuación, debe dirigir a los usuarios a la tienda adecuada para su método de autenticación.
  • Solo se puede configurar un método de autenticación para cada dirección URL de servicios XenApp, y solo está disponible una dirección URL por tienda. Si desea habilitar otros tipos de autenticación (además de la autenticación con tarjeta inteligente), debe crear tiendas independientes, cada una de ellos con una URL de servicios XenApp, para cada método de autenticación. A continuación, debe dirigir a los usuarios a la tienda adecuada para su método de autenticación.
  • Cuando se instala StoreFront, la configuración predeterminada de Microsoft Internet Information Services (IIS) solo requiere que se presenten certificados del cliente para conexiones HTTPS para la URL de autenticación de certificados del servicio de autenticación de StoreFront. IIS no solicita certificados del cliente para otras direcciones URL de StoreFront. Estas configuraciones le permiten ofrecer a los usuarios de tarjeta inteligente la opción de utilizar la autenticación explícita si tienen problemas con las tarjetas inteligentes. Según la configuración de las directivas de Windows, los usuarios también pueden quitar sus tarjetas inteligentes sin necesidad de volver a autenticarse.

    Si decide configurar IIS para solicitar certificados del cliente en caso de conexiones HTTPS a todas las direcciones URL de StoreFront, el servicio de autenticación y las tiendas deben colocarse en el mismo servidor. Debe usar un certificado del cliente válido para todas las tiendas. Con esta configuración de sitio de IIS, los usuarios de tarjetas inteligentes no pueden conectarse a través de NetScaler Gateway y no pueden utilizar la autenticación explícita. Los usuarios deben iniciar sesión de nuevo si quitan las tarjetas inteligentes de los dispositivos.