Product Documentation

Configuración de la autenticación con tarjeta inteligente

Dec 12, 2016

Este tema ofrece una descripción general de las tareas de configuración de la autenticación con tarjeta inteligente para todos los componentes de una implementación típica de StoreFront. Para obtener más información y ver las instrucciones detalladas de la configuración, consulte la documentación de cada producto.  

Requisitos previos

  • Asegúrese de que las cuentas de todos los usuarios estén configuradas ya sea en el dominio Microsoft Active Directory en el que planea implementar los servidores StoreFront, o bien, dentro de un dominio que tenga una relación de confianza bidireccional directa con el dominio del servidor StoreFront.
  • Si tiene pensado habilitar la autenticación PassThrough con tarjeta inteligente, asegúrese de que los tipos de lector de tarjeta inteligente, el tipo y la configuración de middleware y la directiva de almacenamiento en caché de PIN del middleware lo permiten.
  • Instale el middleware de la tarjeta inteligente de su proveedor en las máquinas virtuales o físicas con el Virtual Delivery Agent que proporcionan los escritorios y las aplicaciones a los usuarios. Para obtener más información acerca del uso de tarjetas inteligentes con XenDesktop, consulte Autenticación segura con tarjetas inteligentes.
  • Antes de continuar, asegúrese de que la infraestructura de clave pública está configurada correctamente. Compruebe que la asignación de certificados a cuentas está configurada correctamente para el entorno de Active Directory y de que la validación de certificados de usuario puede realizarse correctamente.

Configuración de NetScaler Gateway

  • En el dispositivo NetScaler Gateway, instale un certificado de servidor firmado por una entidad de certificación. Para obtener más información, consulte la sección sobre instalación y administración de certificados Installing and Managing Certificates.
  • Instale en su dispositivo el certificado raíz de la entidad de certificación que emite los certificados de usuario de la tarjeta inteligente. Para obtener más información, consulte Para instalar un certificado raíz en NetScaler Gateway.
  • Cree y configure un servidor virtual para la autenticación de certificados del cliente. Cree una directiva de autenticación de certificados y especifique SubjectAltName:PrincipalName para la extracción de nombres de usuario del certificado. A continuación, enlace la directiva con el servidor virtual y configure el servidor virtual para solicitar certificados del cliente. Para obtener más información, consulte Configuración y enlace de una directiva de autenticación de certificados del cliente.
  • Enlace el certificado raíz de la entidad de certificación con el servidor virtual. Para obtener más información, consulte Para agregar un certificado raíz a un servidor virtual.
  • Para asegurarse de que a los usuarios no se les vuelve a pedir las credenciales en el servidor virtual cuando se establecen conexiones con los recursos, cree un segundo servidor virtual. Cuando cree el servidor virtual, inhabilite la autenticación de cliente en los parámetros de Secure Sockets Layer (SSL). Para obtener más información, consulte Configuración de la autenticación con tarjeta inteligente.

    También debe configurar StoreFront para enrutar las conexiones de usuario a los recursos a través de este servidor virtual adicional. Los usuarios inician sesión en el primer servidor virtual y el segundo servidor virtual se utiliza para las conexiones a los recursos. Cuando la conexión se establece, los usuarios no necesitan autenticarse en NetScaler Gateway pero tienen que introducir sus PIN para iniciar la sesión en sus escritorios y aplicaciones. La configuración de un segundo servidor virtual para las conexiones de usuario a los recursos es opcional, a menos que tenga pensado permitir que los usuarios recurran a la autenticación explícita si tienen problemas con las tarjetas inteligentes.

  • Cree directivas y perfiles de sesión para conexiones de NetScaler Gateway a StoreFront y enlácelos al servidor virtual correspondiente. Para obtener más información, consulte Access to StoreFront Through NetScaler Gateway.
  • Si ha configurado el servidor virtual utilizado para las conexiones con StoreFront para exigir la autenticación de certificados del cliente para todas las comunicaciones, debe crear un servidor virtual adicional para proporcionar la URL de respuesta para StoreFront. Este servidor virtual solo se utiliza por StoreFront para comprobar las solicitudes del dispositivo NetScaler Gateway y, por lo tanto, no necesita ser públicamente accesible. Se requiere un servidor virtual independiente cuando la autenticación de certificados del cliente es obligatoria porque StoreFront no puede presentar un certificado para la autenticación. Para obtener más información, consulte Creating Virtual Servers.

Configuración de StoreFront

  • Debe utilizar HTTPS para las comunicaciones entre los dispositivos de los usuarios y StoreFront para habilitar la autenticación con tarjeta inteligente. Configure Microsoft Internet Information Services (IIS) para HTTPS obteniendo un certificado SSL en IIS y agregando luego un enlace HTTPS al sitio Web predeterminado. Para obtener más información acerca de la creación de un certificado de servidor en IIS, consulte http://technet.microsoft.com/en-us/library/hh831637.aspx#CreateCertificate. Para obtener más información acerca de cómo agregar un enlace HTTPS a un sitio IIS, consulte http://technet.microsoft.com/en-us/library/hh831632.aspx#SSLBinding.
  • Si desea exigir que se presenten certificados del cliente para las conexiones HTTPS con todas las direcciones URL de StoreFront, configure IIS en el servidor StoreFront.

    Cuando StoreFront se instala, la configuración predeterminada en IIS solo requiere que se presenten certificados del cliente para conexiones HTTPS con la URL de autenticación de certificados del servicio de autenticación de StoreFront. Esta configuración es necesaria para ofrecer a los usuarios de tarjetas inteligentes la opción de recurrir a la autenticación explícita y, según la configuración de directivas de Windows correspondiente, permitir que los usuarios puedan quitar las tarjetas inteligentes sin necesidad de volver a autenticarse.

    Cuando IIS está configurado para requerir certificados del cliente para conexiones HTTPS con todas las direcciones URL de StoreFront, los usuarios de tarjetas inteligentes no pueden conectarse a través de NetScaler Gateway y no pueden recurrir a la autenticación explícita. Los usuarios deben iniciar sesión de nuevo si quitan las tarjetas inteligentes de los dispositivos. Para habilitar esta configuración de sitio de IIS, el servicio de autenticación y los almacenes deben colocarse en el mismo servidor y debe utilizarse un certificado del cliente válido para todos los almacenes. Además, aquella configuración en la que IIS necesite certificados de cliente para conexiones HTTPS a todas las direcciones URL de StoreFront entrará en conflicto con la autenticación de los clientes Citrix Receiver para Web. Por esta razón, esta configuración debería utilizarse cuando no se necesite el acceso de clientes Citrix Receiver para Web.

    Si está instalando StoreFront en Windows Server 2012, tenga en cuenta que no se confía en los certificados no autofirmados instalados en el almacén de certificados Entidades de certificación raíz de confianza del servidor cuando IIS está configurado para utilizar SSL y la autenticación de certificado del cliente. Para obtener más información sobre este problema, consulte http://support.microsoft.com/kb/2802568.

  • Instale y configure StoreFront. Cree el servicio de autenticación y agregue los almacenes según sea necesario. Si configura el acceso remoto a través de NetScaler Gateway, no habilite la integración de VPN. Para obtener más información, consulte Instalación y configuración de StoreFront.
  • Habilite la autenticación con tarjeta inteligente en StoreFront para los usuarios locales de la red interna. Para los usuarios de tarjetas inteligentes que acceden a los almacenes a través de NetScaler Gateway, habilite el método de autenticación PassThrough con NetScaler Gateway y asegúrese de que StoreFront está configurado para delegar la validación de credenciales en NetScaler Gateway. Si va a habilitar la autenticación PassThrough al instalar Citrix Receiver para Windows en dispositivos de usuario unidos a un dominio, habilite la autenticación PassThrough de dominio. Para obtener más información, consulte Configuración del servicio de autenticación.

    Para permitir la autenticación de clientes Citrix Receiver para Web con tarjeta inteligente, debe habilitar dicho método de autenticación para cada sitio de Receiver para Web. Para obtener más información, consulte las instrucciones indicadas en Configuración de sitios de Citrix Receiver para Web.

    Si desea que los usuarios de tarjetas inteligentes puedan recurrir a la autenticación explícita si tienen problemas con su tarjeta inteligente, no inhabilite el método de autenticación de nombre de usuario y contraseña. 

  • Si desea habilitar la autenticación PassThrough al instalar Citrix Receiver para Windows en los dispositivos de usuario unidos a un dominio, edite el archivo default.ica para el almacén en el que desea habilitar la autenticación PassThrough de credenciales con tarjeta inteligente de los usuarios cuando acceden a sus escritorios y aplicaciones. Para obtener más información, consulte Habilitación de la autenticación PassThrough con tarjeta inteligente en Citrix Receiver para Windows.
  • Si ha creado un servidor virtual de NetScaler Gateway adicional para utilizarse únicamente en las conexiones de usuario a los recursos, configure el enrutamiento óptimo de NetScaler Gateway a través de este servidor virtual para las conexiones a las implementaciones que proporcionan los escritorios y las aplicaciones para el almacén. Para ver más información, consulte Configuración del enrutamiento óptimo de HDX para un almacén.
  • Para permitir que los usuarios de dispositivos de escritorio de Windows no unidos a un dominio puedan iniciar sesión en sus escritorios con tarjetas inteligentes, habilite la autenticación con tarjeta inteligente en sus sitios de Desktop Appliance. Para obtener más información, consulte Configuración de los sitios de Desktop Appliance.

Configure el sitio de Desktop Appliance para la autenticación con tarjeta inteligente y la autenticación explícita y, así, permitir a los usuarios iniciar sesión con credenciales explícitas si tienen problemas con las tarjetas inteligentes.

  • Para permitir que los usuarios de dispositivos de escritorio unidos a un dominio y los equipos reasignados que ejecuten el Citrix Desktop Lock puedan autenticarse con tarjetas inteligentes, habilite la autenticación PassThrough con tarjeta inteligente para las direcciones URL de servicios XenApp. Para obtener más información, consulte Configuración de la autenticación para direcciones URL de servicios XenApp.

Configuración de los dispositivos de usuario

  • Asegúrese de que el middleware de las tarjetas inteligentes de su proveedor está instalado en los dispositivos de usuario.
  • Para los usuarios con dispositivos de escritorio de Windows no unidos a un dominio, instale Receiver para Windows Enterprise mediante una cuenta con permisos de administrador. Configure Internet Explorer para iniciarse en modo de pantalla completa y mostrar el sitio de Desktop Appliance cuando el dispositivo se encienda. Tenga en cuenta que las direcciones URL de los sitios de Desktop Appliance distinguen entre mayúsculas y minúsculas. Agregue el sitio de Desktop Appliance en la zona de Intranet local o Sitios de confianza de Internet Explorer. Una vez que haya confirmado que puede iniciar sesión en el sitio de Desktop Appliance con una tarjeta inteligente y acceder a recursos del almacén, instale el Citrix Desktop Lock. Para obtener más información, consulte Para instalar el Desktop Lock.
  • Para los usuarios con dispositivos de escritorio no unidos a un dominio y equipos reasignados, instale Receiver para Windows (Enterprise) mediante una cuenta con permisos de administrador. Configure Receiver para Windows con la URL de servicios XenApp para el almacén correspondiente. Una vez que haya confirmado que puede iniciar sesión en el dispositivo con una tarjeta inteligente y acceder a recursos del almacén, instale el Citrix Desktop Lock. Para obtener más información, consulte Para instalar el Desktop Lock.
  • Para todos los demás usuarios, instale la versión de Citrix Receiver en el dispositivo de usuario. Para habilitar la autenticación PassThrough de credenciales con tarjeta inteligente en XenDesktop y XenApp para los usuarios con dispositivos unidos a un dominio, use una cuenta con permisos de administrador para instalar Receiver para Windows en una ventana del símbolo del sistema con la opción /includeSSON. Para obtener más información, consulte Configuración e instalación de Receiver para Windows mediante parámetros de línea de comandos.

    Asegúrese de que Receiver para Windows está configurado para la autenticación con tarjeta inteligente a través de una directiva de dominio o una directiva de equipo local. Para una directiva de dominio, use la Consola de administración de directivas de grupo para importar el archivo de plantilla de objetos de directiva de grupo de Receiver para Windows, icaclient.adm, en el controlador de dominio para el dominio que contiene las cuentas de los usuarios. Para configurar un dispositivo individual, utilice el Editor de objetos de directiva de grupo en el dispositivo para configurar la plantilla. Para obtener más información, consulte Configuración de Receiver con la plantilla de objetos de directiva de grupo.

    Habilite la directiva Smart card authentication. Para habilitar la autenticación PassThrough de credenciales con tarjeta inteligente de los usuarios, seleccione Use pass-through authentication for PIN. A continuación, para la autenticación PassThrough de las credenciales con tarjeta inteligente de los usuarios a través de XenDesktop y XenApp, habilite la directiva Local user name and password y seleccione Allow pass-through authentication for all ICA connections. Para obtener más información, consulte Referencia para los parámetros ICA.

    Si ha habilitado la autenticación PassThrough de credenciales con tarjeta inteligente en XenDesktop y XenApp para los usuarios con dispositivos unidos a un dominio, agregue la dirección URL del almacén en la zona de Intranet local o Sitios de confianza de Internet Explorer. Asegúrese de que la opción Inicio de sesión automático con el nombre de usuario y contraseña actuales está seleccionada en la configuración de seguridad de la zona.

  • Si es necesario, proporcione a los usuarios los datos de conexión para los almacenes (para los usuarios de la red interna) o los dispositivos NetScaler Gateway (para usuarios remotos) con un método adecuado. Para obtener más información sobre cómo proporcionar información de configuración a los usuarios, consulte Citrix Receiver.

Habilitación de la autenticación PassThrough con tarjeta inteligente en Receiver para Windows

Puede habilitar la autenticación PassThrough al instalar Receiver para Windows en los dispositivos de usuario unidos a un dominio. Para habilitar la autenticación PassThrough de credenciales de tarjeta inteligente de los usuarios cuando acceden a aplicaciones y escritorios alojados por XenDesktop y XenApp, modifique el archivo default.ica para el almacén.

Importante: En implementaciones con varios servidores, use solo un servidor a la vez para hacer cambios en la configuración del grupo de servidores. Asegúrese de que la consola de administración de Citrix StoreFront no se está ejecutando en ninguno de los otros servidores de la implementación. Una vez completados, propague los cambios de configuración al grupo de servidores de modo que los demás servidores de la implementación se actualicen.
  1. Utilice un editor de texto para abrir el archivo default.ica para el almacén, que normalmente se encuentra en el directorio C:\inetpub\wwwroot\Citrix\nombre_almacén\App_Data\, donde nombre_almacén es el nombre especificado para el almacén durante su creación.
  2. Para habilitar la autenticación PassThrough de credenciales de tarjeta inteligente para los usuarios que acceden a los almacenes sin NetScaler Gateway, agregue el siguiente parámetro en la sección [Application].
    DisableCtrlAltDel=Off

    Este parámetro se aplica a todos los usuarios del almacén. Si desea habilitar tanto la autenticación PassThrough de dominio como la autenticación PassThrough con tarjeta inteligente para acceder a los escritorios y las aplicaciones, debe crear almacenes independientes para cada método de autenticación. A continuación, debe dirigir a los usuarios al almacén adecuado para su método de autenticación.

  3. Para habilitar la autenticación PassThrough de credenciales de tarjeta inteligente para los usuarios que acceden a los almacenes a través de NetScaler Gateway, agregue el siguiente parámetro en la sección [Application].
    UseLocalUserAndPassword=On

    Este parámetro se aplica a todos los usuarios del almacén. Si desea habilitar la autenticación PassThrough para algunos usuarios y requerir que otros inicien sesión para acceder a sus escritorios y aplicaciones, debe crear almacenes independientes para cada grupo de usuarios. A continuación, debe dirigir a los usuarios al almacén adecuado para su método de autenticación.

pdf

Configuración de tarjeta inteligente para entornos Citrix

En esta descripción general para la configuración de una implementación de Citrix para tarjetas inteligentes se utiliza una tarjeta inteligente específica. Para tarjetas inteligentes de otros proveedores hay que seguir pasos similares.