Configurar la autenticación con tarjeta inteligente

Este artículo ofrece una descripción general de las tareas de configuración de la autenticación con tarjeta inteligente para todos los componentes de una implementación típica de StoreFront. Para obtener más información y ver las instrucciones detalladas de la configuración, consulte la documentación de cada producto.

Configuración de tarjetas inteligentes para entornos de Citrix (PDF)

En esta descripción general para la configuración de una implementación de Citrix para tarjetas inteligentes se utiliza una tarjeta inteligente específica. Para tarjetas inteligentes de otros proveedores hay que seguir pasos similares.

Requisitos previos

  • Asegúrese de que las cuentas de todos los usuarios estén configuradas ya sea en el dominio Microsoft Active Directory en el que planea implementar los servidores de StoreFront, o bien, dentro de un dominio que tenga una relación de confianza bidireccional directa con el dominio del servidor de StoreFront.
  • Si tiene pensado habilitar la autenticación PassThrough con tarjeta inteligente, asegúrese de que los tipos de lector de tarjeta inteligente, el tipo y la configuración de middleware y la directiva de almacenamiento en caché de PIN del middleware lo permiten.
  • Instale el middleware de la tarjeta inteligente de su proveedor en las máquinas virtuales o físicas con el Virtual Delivery Agent que proporcionan los escritorios y las aplicaciones a los usuarios. Para obtener más información acerca del uso de tarjetas inteligentes con XenDesktop, consulte Tarjetas inteligentes.
  • Antes de continuar, asegúrese de que la infraestructura de clave pública está configurada correctamente. Compruebe que la asignación de certificados a cuentas está configurada correctamente para el entorno de Active Directory y de que la validación de certificados de usuario puede realizarse correctamente.

Configurar NetScaler Gateway

  • En el dispositivo NetScaler Gateway, instale un certificado de servidor firmado por una entidad de certificación. Para obtener más información, consulte Instalar y administrar certificados.

  • Instale en su dispositivo el certificado raíz de la entidad de certificación que emite los certificados de usuario de la tarjeta inteligente. Para obtener más información, consulte Para instalar un certificado raíz en NetScaler Gateway.

  • Cree y configure un servidor virtual para la autenticación de certificados del cliente. Cree una directiva de autenticación de certificados y especifique SubjectAltName:PrincipalName para la extracción de nombres de usuario del certificado. A continuación, enlace la directiva con el servidor virtual y configure el servidor virtual para solicitar certificados del cliente. Para obtener más información, consulte Configurar y enlazar una directiva de autenticación de certificados del cliente.

  • Enlace el certificado raíz de la entidad de certificación con el servidor virtual. Para obtener más información, consulte Para agregar un certificado raíz a un servidor virtual.

  • Para asegurarse de que a los usuarios no se les vuelve a pedir las credenciales en el servidor virtual cuando se establecen conexiones con los recursos, cree un segundo servidor virtual. Cuando cree el servidor virtual, inhabilite la autenticación de cliente en los parámetros de Secure Sockets Layer (SSL). Para obtener más información, consulte Configurar la autenticación con tarjeta inteligente.

    También debe configurar StoreFront para redirigir las conexiones de usuario a los recursos a través de este servidor virtual adicional. Los usuarios inician sesión en el primer servidor virtual y el segundo servidor virtual se utiliza para las conexiones a los recursos. Cuando la conexión se establece, los usuarios no necesitan autenticarse en NetScaler Gateway pero tienen que introducir sus PIN para iniciar la sesión en sus escritorios y aplicaciones. La configuración de un segundo servidor virtual para las conexiones de usuario a los recursos es opcional, a menos que tenga pensado permitir que los usuarios recurran a la autenticación explícita si tienen problemas con las tarjetas inteligentes.

  • Cree directivas y perfiles de sesión para conexiones de NetScaler Gateway a StoreFront y enlácelos al servidor virtual correspondiente. Para obtener más información, consulte el artículo de asistencia.

  • Si ha configurado el servidor virtual utilizado para las conexiones con StoreFront para exigir la autenticación de certificados del cliente para todas las comunicaciones, debe crear un servidor virtual adicional para proporcionar la URL de respuesta para StoreFront. Este servidor virtual solo se utiliza por StoreFront para comprobar las solicitudes del dispositivo NetScaler Gateway y, por lo tanto, no necesita ser públicamente accesible. Se requiere un servidor virtual independiente cuando la autenticación de certificados del cliente es obligatoria porque StoreFront no puede presentar un certificado para la autenticación. Para obtener más información, consulte Creating Virtual Servers.

Configurar StoreFront

  • Debe utilizar HTTPS para las comunicaciones entre los dispositivos de los usuarios y StoreFront para habilitar la autenticación con tarjeta inteligente. Configure Microsoft Internet Information Services (IIS) para HTTPS obteniendo un certificado SSL en IIS y agregando luego un enlace HTTPS al sitio web predeterminado. Para obtener más información sobre cómo crear un certificado de servidor en IIS, consulte https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831637(v=ws.11). Para obtener más información acerca de cómo agregar un enlace HTTPS a un sitio IIS, consulte https://docs.microsoft.com/en-us/previous-versions/orphan-topics/ws.11/hh831632(v=ws.11).

  • Si quiere exigir que se presenten certificados del cliente para las conexiones HTTPS con todas las direcciones URL de StoreFront, configure IIS en el servidor de StoreFront.

    Cuando StoreFront se instala, la configuración predeterminada en IIS solo requiere que se presenten certificados del cliente para conexiones HTTPS con la URL de autenticación de certificados del servicio de autenticación de StoreFront. Esta configuración es necesaria para ofrecer a los usuarios de tarjetas inteligentes la opción de recurrir a la autenticación explícita y, según la configuración de directivas de Windows correspondiente, permitir que los usuarios puedan quitar las tarjetas inteligentes sin necesidad de volver a autenticarse.

    Cuando IIS está configurado para requerir certificados del cliente para conexiones HTTPS con todas las direcciones URL de StoreFront, los usuarios de tarjetas inteligentes no pueden conectarse a través de NetScaler Gateway y no pueden recurrir a la autenticación explícita. Los usuarios deben iniciar sesión de nuevo si quitan las tarjetas inteligentes de los dispositivos. Para habilitar esta configuración de sitio de IIS, el servicio de autenticación y los almacenes deben colocarse en el mismo servidor y debe utilizarse un certificado del cliente válido para todos los almacenes. Además, aquella configuración en la que IIS necesite certificados de cliente para conexiones HTTPS a todas las direcciones URL de StoreFront entrará en conflicto con la autenticación de los clientes Citrix Receiver para Web. Por esta razón, esta configuración debería utilizarse cuando no se necesite el acceso de clientes Citrix Receiver para Web.

    Si está instalando StoreFront en Windows Server 2012, tenga en cuenta que no se confía en los certificados no autofirmados instalados en el almacén de certificados Entidades de certificación raíz de confianza del servidor cuando IIS está configurado para utilizar SSL y la autenticación de certificado del cliente. Para obtener más información sobre este problema, consulte http://support.microsoft.com/kb/2802568.

  • Instale y configure StoreFront. Cree el servicio de autenticación y agregue los almacenes que necesite. Si configura el acceso remoto a través de NetScaler Gateway, no habilite la integración de VPN. Para obtener más información, consulte Instalar y configurar StoreFront.

  • Habilite la autenticación con tarjeta inteligente en StoreFront para los usuarios locales de la red interna. Para los usuarios de tarjetas inteligentes que acceden a almacenes a través de NetScaler Gateway, habilite el método de autenticación PassThrough con NetScaler Gateway y compruebe que StoreFront está configurado para delegar la validación de credenciales a NetScaler Gateway. Si va a habilitar la autenticación PassThrough al instalar Citrix Receiver para Windows en dispositivos de usuario unidos a un dominio, habilite la autenticación PassThrough de dominio. Para obtener más información, consulte Configurar el servicio de autenticación.

    Para permitir la autenticación de clientes de Citrix Receiver para Web con tarjeta inteligente, debe habilitar dicho método de autenticación para cada sitio de Receiver para Web. Para obtener más información, consulte las instrucciones indicadas en Configurar sitios de Citrix Receiver para Web.

    Si quiere que los usuarios de tarjetas inteligentes puedan recurrir a la autenticación explícita si tienen problemas con su tarjeta inteligente, no inhabilite el método de autenticación de nombre de usuario y contraseña.

  • Si quiere habilitar la autenticación PassThrough al instalar Citrix Receiver para Windows en los dispositivos de usuario unidos a un dominio, modifique el archivo default.ica para el almacén en el que quiere habilitar la autenticación PassThrough de credenciales con tarjeta inteligente de los usuarios cuando acceden a sus escritorios y aplicaciones. Para obtener más información, consulte Habilitar la autenticación PassThrough con tarjeta inteligente en Citrix Receiver para Windows.

  • Si ha creado un servidor virtual de NetScaler Gateway adicional para utilizarse únicamente en las conexiones de usuario a los recursos, configure la redirección óptima de NetScaler Gateway a través de este servidor virtual para las conexiones a las implementaciones que proporcionan los escritorios y las aplicaciones para el almacén. Para ver más información, consulte Configurar la redirección óptima de HDX Gateway para un almacén.

  • Para permitir que los usuarios de dispositivos de escritorio de Windows no unidos a un dominio puedan iniciar sesión en sus escritorios con tarjetas inteligentes, habilite la autenticación con tarjeta inteligente en sus sitios de Desktop Appliance. Para obtener más información, consulte Configurar sitios de Desktop Appliance.

Configure el sitio de Desktop Appliance para la autenticación con tarjeta inteligente y la autenticación explícita y, así, permitir a los usuarios iniciar sesión con credenciales explícitas si tienen problemas con las tarjetas inteligentes.

  • Para permitir que los usuarios de dispositivos de escritorio unidos a un dominio y los equipos reasignados con Citrix Desktop Lock puedan autenticarse con tarjetas inteligentes, habilite la autenticación PassThrough con tarjeta inteligente para las direcciones URL de servicios XenApp. Para obtener más información, consulte Configurar la autenticación de las direcciones URL de servicios XenApp.

Configurar dispositivos de usuario

  • Asegúrese de que el middleware de las tarjetas inteligentes de su proveedor está instalado en los dispositivos de usuario.

  • Para los usuarios con dispositivos de escritorio de Windows no unidos a un dominio, instale Receiver para Windows Enterprise mediante una cuenta con permisos de administrador. Configure Internet Explorer para iniciarse en modo de pantalla completa y mostrar el sitio de Desktop Appliance cuando el dispositivo se encienda. Tenga en cuenta que las direcciones URL de los sitios de Desktop Appliance distinguen entre mayúsculas y minúsculas. Agregue el sitio de Desktop Appliance en la zona de Intranet local o Sitios de confianza de Internet Explorer. Una vez que haya confirmado que puede iniciar sesión en el sitio de Desktop Appliance con una tarjeta inteligente y acceder a los recursos del almacén, instale Citrix Desktop Lock. Para obtener más información, consulte Para instalar Desktop Lock.

  • Para los usuarios con dispositivos de escritorio no unidos a un dominio y equipos reasignados, instale Receiver para Windows (Enterprise) mediante una cuenta con permisos de administrador. Configure Receiver para Windows con la URL de XenApp Services para el almacén correspondiente. Una vez que haya confirmado que puede iniciar sesión en el dispositivo con una tarjeta inteligente y acceder a los recursos del almacén, instale Citrix Desktop Lock. Para obtener más información, consulte Para instalar Desktop Lock.

  • Para todos los demás usuarios, instale la versión de Citrix Receiver pertinente en el dispositivo de usuario. Para habilitar la autenticación PassThrough de credenciales con tarjeta inteligente en XenDesktop y XenApp para los usuarios con dispositivos unidos a un dominio, use una cuenta con permisos de administrador para instalar Receiver para Windows en una ventana del símbolo del sistema con la opción /includeSSON. Para obtener más información, consulte Configurar e instalar Receiver para Windows mediante parámetros de línea de comandos.

    Asegúrese de que Receiver para Windows está configurado para la autenticación con tarjeta inteligente a través de una directiva de dominio o una directiva de equipo local. Para crear una directiva de dominio, use la Consola de administración de directivas de grupo para importar el archivo de plantilla del objeto de directiva de grupo de Receiver para Windows, icaclient.adm, en el controlador de dominio para el dominio que contiene las cuentas de sus usuarios. Para configurar un dispositivo individual, utilice el Editor de objetos de directiva de grupo en el dispositivo para configurar la plantilla. Para obtener más información, consulte Configurar Receiver con la plantilla de objetos de directiva de grupo.

    Habilite la directiva Autenticación con tarjeta inteligente. Para habilitar la autenticación PassThrough de credenciales con tarjeta inteligente de los usuarios, seleccione Usar autenticación PassThrough para el PIN. A continuación, para la autenticación PassThrough de las credenciales con tarjeta inteligente de los usuarios a través de XenDesktop y XenApp, habilite la directiva Nombre de usuario y contraseña locales y seleccione Permitir autenticación PassThrough para todas las conexiones ICA. Para obtener más información, consulte Referencia para los parámetros ICA.

    Si ha habilitado la autenticación PassThrough de credenciales con tarjeta inteligente en XenDesktop y XenApp para los usuarios con dispositivos unidos a un dominio, agregue la dirección URL del almacén en la zona de Intranet local o Sitios de confianza de Internet Explorer. Asegúrese de que el inicio de sesión automático con el nombre de usuario y la contraseña actuales esté seleccionado en los parámetros de seguridad de la zona.

  • Si es necesario, proporcione a los usuarios los datos de conexión para las tiendas (para los usuarios de la red interna) o los dispositivos NetScaler Gateway (para usuarios remotos) con un método adecuado. Para obtener más información sobre cómo proporcionar información de configuración a los usuarios, consulte Citrix Receiver.

Habilitar la autenticación PassThrough con tarjeta inteligente en Receiver para Windows

Puede habilitar la autenticación PassThrough al instalar Receiver para Windows en los dispositivos de usuario unidos a un dominio. Para habilitar la autenticación PassThrough de credenciales de tarjeta inteligente de los usuarios cuando acceden a aplicaciones y escritorios alojados por XenDesktop y XenApp, modifique el archivo default.ica para el almacén.

Importante: En implementaciones con varios servidores, use solo un servidor a la vez para hacer cambios en la configuración del grupo de servidores. Compruebe que la consola de administración de Citrix StoreFront no se está ejecutando en ninguno de los demás servidores de la implementación. Una vez completados, propague los cambios de configuración al grupo de servidores de modo que los demás servidores de la implementación se actualicen.

  1. Utilice un editor de texto para abrir el archivo default.ica del almacén. Por regla general, este archivo se encuentra en el directorio C:\inetpub\wwwroot\Citrix\storename\App_Data\, donde storename es el nombre especificado para el almacén durante su creación.

  2. Para habilitar la autenticación PassThrough de credenciales con tarjeta inteligente para usuarios que acceden a almacenes sin NetScaler Gateway, agregue este parámetro en la sección [Aplicaciones].

    DisableCtrlAltDel=Off
    <!--NeedCopy-->
    

    Este parámetro se aplica a todos los usuarios del almacén. Si quiere habilitar tanto la autenticación PassThrough de dominio como la autenticación PassThrough con tarjeta inteligente para acceder a los escritorios y las aplicaciones, debe crear almacenes independientes para cada método de autenticación. A continuación, debe dirigir a los usuarios al almacén adecuado para su método de autenticación.

  3. Para habilitar la autenticación PassThrough de credenciales con tarjeta inteligente para usuarios que acceden a almacenes a través de NetScaler Gateway, agregue el siguiente parámetro a la sección [Aplicaciones].

    UseLocalUserAndPassword=On
    <!--NeedCopy-->
    

    Este parámetro se aplica a todos los usuarios del almacén. Si quiere habilitar la autenticación PassThrough para algunos usuarios y requerir que otros inicien sesión para acceder a sus escritorios y aplicaciones, debe crear almacenes independientes para cada grupo de usuarios. A continuación, debe dirigir a los usuarios al almacén adecuado para su método de autenticación.

Configurar la autenticación con tarjeta inteligente