Configurar la autenticación con tarjeta inteligente

Este artículo ofrece una descripción general de las tareas de configuración de la autenticación con tarjeta inteligente para todos los componentes de una implementación típica de StoreFront. Para obtener más información y ver las instrucciones detalladas de la configuración, consulte la documentación de cada producto.

El documento Configuración de tarjetas inteligentes para entornos Citrix describe cómo configurar un entorno de Citrix para tarjetas inteligentes con un tipo de tarjeta inteligente específico. Para tarjetas inteligentes de otros proveedores hay que seguir un proceso similar.

Nota:

En este artículo, las menciones de “aplicación Citrix Workspace” también representan las versiones compatibles de Citrix Receiver, a menos que se indique lo contrario.

Requisitos previos

  • Asegúrese de que las cuentas de todos los usuarios estén configuradas ya sea en el dominio Microsoft Active Directory en el que planea implementar los servidores de StoreFront, o bien, dentro de un dominio que tenga una relación de confianza bidireccional directa con el dominio del servidor de StoreFront.
  • Si tiene pensado habilitar la autenticación PassThrough con tarjeta inteligente, asegúrese de que los tipos de lector de tarjeta inteligente, el tipo y la configuración de middleware y la directiva de almacenamiento en caché de PIN del middleware lo permiten.
  • Instale el middleware de la tarjeta inteligente de su proveedor en las máquinas virtuales o físicas con el Virtual Delivery Agent que proporcionan los escritorios y las aplicaciones a los usuarios. Para obtener más información acerca del uso de tarjetas inteligentes con Citrix Virtual Desktops, consulte Tarjetas inteligentes.
  • Antes de continuar, asegúrese de que la infraestructura de clave pública está configurada correctamente. Compruebe que la asignación de certificados a cuentas está configurada correctamente para el entorno de Active Directory y de que la validación de certificados de usuario puede realizarse correctamente.

Configurar Citrix Gateway

  • En el dispositivo Citrix Gateway, instale un certificado de servidor firmado por una entidad de certificación. Para obtener más información, consulte Instalar y administrar certificados.

  • En el dispositivo Citrix Gateway, instale el certificado raíz de la entidad de certificación que emite los certificados de usuario de la tarjeta inteligente. Para obtener más información, consulte Para instalar un certificado raíz en Citrix Gateway.

  • Cree y configure un servidor virtual para la autenticación de certificados del cliente. Cree una directiva de autenticación de certificados y especifique SubjectAltName:PrincipalName para la extracción de nombres de usuario del certificado. A continuación, enlace la directiva con el servidor virtual y configure el servidor virtual para solicitar certificados del cliente. Para obtener más información, consulte Configuring and Binding a Client Certificate Authentication Policy.

  • Enlace el certificado raíz de la entidad de certificación con el servidor virtual. Para obtener más información, consulte Para agregar un certificado raíz a un servidor virtual.

  • Para asegurarse de que a los usuarios no se les vuelve a pedir las credenciales en el servidor virtual cuando se establecen conexiones con los recursos, cree un segundo servidor virtual. Cuando cree el servidor virtual, inhabilite la autenticación de cliente en los parámetros de Secure Sockets Layer (SSL). Para obtener más información, consulte Configurar la autenticación con tarjeta inteligente.

    También debe configurar StoreFront para redirigir las conexiones de usuario a los recursos a través de este servidor virtual adicional. Los usuarios inician sesión en el primer servidor virtual y el segundo servidor virtual se utiliza para las conexiones a los recursos. Tras establecerse la conexión, los usuarios ya no necesitan autenticarse en Citrix Gateway, pero tienen que introducir sus PIN para iniciar sesión en sus escritorios y aplicaciones. La configuración de un segundo servidor virtual para las conexiones de usuario a los recursos es opcional, a menos que tenga pensado permitir que los usuarios recurran a la autenticación explícita si tienen problemas con las tarjetas inteligentes.

  • Cree perfiles y directivas de sesión para conexiones de Citrix Gateway a StoreFront y enlácelos al servidor virtual correspondiente. Para obtener más información, consulte Acceder a StoreFront a través de Citrix Gateway.

  • Si ha configurado el servidor virtual utilizado para las conexiones con StoreFront para exigir la autenticación de certificados del cliente para todas las comunicaciones, debe crear un servidor virtual adicional para proporcionar la URL de respuesta para StoreFront. Solo StoreFront utiliza este servidor virtual para comprobar las solicitudes del dispositivo Citrix Gateway y, por lo tanto, no es necesario que se pueda acceder públicamente a él. Se requiere un servidor virtual independiente cuando la autenticación de certificados del cliente es obligatoria porque StoreFront no puede presentar un certificado para la autenticación. Para obtener más información, consulte Creación de servidores virtuales.

Configurar StoreFront

  • Debe utilizar HTTPS para las comunicaciones entre los dispositivos de los usuarios y StoreFront para habilitar la autenticación con tarjeta inteligente. Configure Microsoft Internet Information Services (IIS) para HTTPS obteniendo un certificado SSL en IIS y agregando luego un enlace HTTPS al sitio web predeterminado. Para obtener más información sobre cómo crear un certificado de servidor en IIS, consulte https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831637(v=ws.11)#create-certificate-wizard. Para obtener más información sobre cómo agregar un enlace HTTPS a un sitio IIS, consulte https://docs.microsoft.com/en-us/previous-versions/orphan-topics/ws.11/hh831632(v=ws.11).

  • Si desea exigir que se presenten certificados del cliente para las conexiones HTTPS con todas las direcciones URL de StoreFront, configure IIS en el servidor de StoreFront.

    Cuando StoreFront se instala, la configuración predeterminada en IIS solo requiere que se presenten certificados del cliente para conexiones HTTPS con la URL de autenticación de certificados del servicio de autenticación de StoreFront. Esta configuración es necesaria para ofrecer a los usuarios de tarjetas inteligentes la opción de recurrir a la autenticación explícita y, según la configuración de directivas de Windows correspondiente, permitir que los usuarios puedan quitar las tarjetas inteligentes sin necesidad de volver a autenticarse.

    Cuando IIS está configurado para requerir certificados del cliente para conexiones HTTPS a todas las direcciones URL de StoreFront, los usuarios de tarjetas inteligentes no pueden conectarse a través de Citrix Gateway y no pueden recurrir a la autenticación explícita. Los usuarios deben iniciar sesión de nuevo si quitan las tarjetas inteligentes de los dispositivos. Para habilitar esta configuración de sitio de IIS, el servicio de autenticación y los almacenes deben colocarse en el mismo servidor y debe utilizarse un certificado del cliente válido para todos los almacenes. Además, aquella configuración en la que IIS necesite certificados de cliente para conexiones HTTPS a todas las direcciones URL de StoreFront entrará en conflicto con la autenticación de los clientes Citrix Receiver para Web. Por esta razón, esta configuración debería utilizarse cuando no se necesite el acceso de clientes Citrix Receiver para Web.

  • Instale y configure StoreFront. Cree el servicio de autenticación y agregue los almacenes que necesite. Si configura el acceso remoto a través de Citrix Gateway, no habilite la integración de VPN. Para obtener más información, consulte Instalar y configurar StoreFront.

  • Habilite la autenticación con tarjeta inteligente en StoreFront para los usuarios locales de la red interna. Para los usuarios de tarjetas inteligentes que acceden a almacenes a través de Citrix Gateway, habilite el método de autenticación PassThrough con Citrix Gateway y compruebe que StoreFront está configurado para delegar la validación de credenciales a Citrix Gateway. Si va a habilitar la autenticación PassThrough al instalar Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows en dispositivos de usuario unidos a un dominio, habilite la autenticación PassThrough de dominio. Para obtener más información, consulte Configurar el servicio de autenticación.

    Para permitir la autenticación de clientes Citrix Receiver para Web con tarjeta inteligente, debe habilitar dicho método de autenticación para cada sitio de Receiver para Web. Para obtener más información, consulte las instrucciones indicadas en Configurar sitios de Citrix Receiver para web.

    Si desea que los usuarios de tarjetas inteligentes puedan recurrir a la autenticación explícita si tienen problemas con su tarjeta inteligente, no inhabilite el método de autenticación de nombre de usuario y contraseña.

  • Si quiere habilitar la autenticación PassThrough al instalar Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows en los dispositivos de usuario unidos a un dominio, modifique el archivo default.ica del almacén en el que quiere habilitar la autenticación PassThrough de credenciales con tarjeta inteligente de los usuarios cuando acceden a sus escritorios y aplicaciones. Para obtener más información, consulte Habilitar la autenticación PassThrough con tarjeta inteligente en Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows.

  • Si ha creado un servidor virtual de Citrix Gateway adicional para utilizarlo únicamente en las conexiones de usuario a los recursos, configure el enrutamiento óptimo de Citrix Gateway a través de este servidor virtual para las conexiones a las implementaciones que proporcionan los escritorios y las aplicaciones del almacén. Para obtener más información, consulte Configurar el enrutamiento HDX óptimo para un almacén.

  • Para permitir que los usuarios de dispositivos de escritorio de Windows no unidos a un dominio puedan iniciar sesión en sus escritorios con tarjetas inteligentes, habilite la autenticación con tarjeta inteligente en sus sitios de Desktop Appliance. Para obtener más información, consulte Configurar sitios de Desktop Appliance.

Configure el sitio de Desktop Appliance para la autenticación con tarjeta inteligente y la autenticación explícita y, así, permitir a los usuarios iniciar sesión con credenciales explícitas si tienen problemas con las tarjetas inteligentes.

  • Para permitir que los usuarios de dispositivos de escritorio unidos a un dominio y los equipos reasignados con Citrix Desktop Lock puedan autenticarse con tarjetas inteligentes, habilite la autenticación PassThrough con tarjeta inteligente para las direcciones URL de servicios XenApp. Para obtener más información, consulte Configuración de la autenticación de las direcciones URL de servicios XenApp.

Configurar dispositivos de usuario

  • Asegúrese de que el middleware de las tarjetas inteligentes de su proveedor está instalado en los dispositivos de usuario.

  • Para los usuarios con dispositivos de escritorio de Windows no unidos a un dominio, instale Receiver para Windows Enterprise mediante una cuenta con permisos de administrador. Configure Internet Explorer para iniciarse en modo de pantalla completa y mostrar el sitio de Desktop Appliance cuando el dispositivo se encienda. Tenga en cuenta que las direcciones URL de los sitios de Desktop Appliance distinguen entre mayúsculas y minúsculas. Agregue el sitio de Desktop Appliance en la zona de Intranet local o Sitios de confianza de Internet Explorer. Una vez que haya confirmado que puede iniciar sesión en el sitio de Desktop Appliance con una tarjeta inteligente y acceder a los recursos del almacén, instale Citrix Desktop Lock. Para obtener más información, consulte Para instalar Desktop Lock.

  • Para los usuarios con dispositivos de escritorio no unidos a un dominio y equipos reasignados, instale Receiver para Windows (Enterprise) mediante una cuenta con permisos de administrador. Configure Receiver para Windows con la URL de servicios XenApp para el almacén correspondiente. Una vez que haya confirmado que puede iniciar sesión en el dispositivo con una tarjeta inteligente y acceder a los recursos del almacén, instale Citrix Desktop Lock. Para obtener más información, consulte Para instalar Desktop Lock.

  • Para todos los demás usuarios, instale la versión de la aplicación Citrix Workspace pertinente en el dispositivo de usuario. Para habilitar la autenticación PassThrough de credenciales con tarjeta inteligente en Citrix Virtual Apps and Desktops cuando se trate de usuarios con dispositivos unidos a un dominio, use una cuenta con permisos de administrador para instalar la aplicación Citrix Workspace para Windows en una ventana del símbolo del sistema con la opción /includeSSON. Para obtener más información, consulte Usar parámetros de línea de comandos.

    Asegúrese de que la aplicación Citrix Workspace para Windows está configurado para la autenticación con tarjeta inteligente a través de una directiva de dominio o una directiva de equipo local. Para crear una directiva de dominio, use la Consola de administración de directivas de grupo para importar el archivo de plantilla del objeto de directiva de grupo de la aplicación Citrix Workspace para Windows, icaclient.adm, en el controlador de dominio para el dominio que contiene las cuentas de sus usuarios. Para configurar un dispositivo individual, utilice el Editor de objetos de directiva de grupo en el dispositivo para configurar la plantilla. Para obtener más información, consulte Tarjeta inteligente.

    Habilite la directiva Autenticación con tarjeta inteligente. Para habilitar la autenticación PassThrough de credenciales con tarjeta inteligente de los usuarios, seleccione Usar autenticación PassThrough para el PIN. A continuación, para la autenticación PassThrough de las credenciales con tarjeta inteligente de los usuarios a través de Citrix Virtual Apps and Desktops, habilite la directiva Nombre de usuario y contraseña locales y seleccione Permitir autenticación PassThrough para todas las conexiones ICA. Para obtener más información, consulte Referencia para parámetros ICA.

    Si ha habilitado la autenticación PassThrough de credenciales con tarjeta inteligente en Citrix Virtual Apps and Desktops para los usuarios con dispositivos unidos a un dominio, agregue la URL del almacén a la zona de Intranet local o Sitios de confianza de Internet Explorer. Asegúrese de que el inicio de sesión automático con el nombre de usuario y la contraseña actuales esté seleccionado en los parámetros de seguridad de la zona.

  • Si es necesario, proporcione a los usuarios los datos de conexión a los almacenes (para los usuarios de la red interna) o los dispositivos Citrix Gateway (para usuarios remotos) con un método adecuado. Para obtener más información sobre cómo proporcionar información de configuración a los usuarios, consulte Referencia para parámetros ICA.

Habilitar la autenticación PassThrough con tarjeta inteligente en Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows

Puede habilitar la autenticación PassThrough al instalar Receiver para Windows en los dispositivos de usuario unidos a un dominio. Para habilitar la autenticación PassThrough de credenciales de tarjeta inteligente de los usuarios cuando acceden a aplicaciones y escritorios alojados por Citrix Virtual Apps and Desktops, modifique el archivo default.ica del almacén.

Importante:

En implementaciones con varios servidores, use solo un servidor a la vez para hacer cambios en la configuración del grupo de servidores. Compruebe que la consola de administración de Citrix StoreFront no se está ejecutando en ninguno de los demás servidores de la implementación. Una vez completado, propague los cambios de configuración al grupo de servidores para que se actualicen los demás servidores de la implementación.

  1. Utilice un editor de texto para abrir el archivo default.ica del almacén. Por regla general, este archivo se encuentra en el directorio C:\inetpub\wwwroot\Citrix\storename\App_Data\, donde storename es el nombre especificado para el almacén durante su creación.

  2. Para habilitar la autenticación PassThrough de credenciales con tarjeta inteligente para usuarios que acceden a almacenes sin Citrix Gateway, agregue el siguiente parámetro a la sección [Aplicación].

    DisableCtrlAltDel=Off

    Este parámetro se aplica a todos los usuarios del almacén. Si quiere habilitar tanto la autenticación PassThrough de dominio como la autenticación PassThrough con tarjeta inteligente para acceder a los escritorios y las aplicaciones, debe crear almacenes independientes para cada método de autenticación. A continuación, debe dirigir a los usuarios al almacén adecuado para su método de autenticación.

  3. Para habilitar la autenticación PassThrough de credenciales con tarjeta inteligente para usuarios que acceden a almacenes a través de Citrix Gateway, agregue el siguiente parámetro a la sección [Aplicación].

    UseLocalUserAndPassword=On

    Este parámetro se aplica a todos los usuarios del almacén. Si quiere habilitar la autenticación PassThrough para algunos usuarios y requerir que otros inicien sesión para acceder a sus escritorios y aplicaciones, debe crear almacenes independientes para cada grupo de usuarios. A continuación, debe dirigir a los usuarios al almacén adecuado para su método de autenticación.