Autenticación de usuarios

StoreFront admite diversos métodos de autenticación para los usuarios que acceden a los almacenes, aunque no todos estén disponibles, ya que dependen del método de acceso de los usuarios y de su ubicación de red. Por motivos de seguridad, algunos de los métodos de autenticación se inhabilitan de forma predeterminada cuando se crea el primer almacén. Para obtener más información sobre cómo habilitar e inhabilitar los métodos de autenticación de usuarios, consulte Creación y configuración del servicio de autenticación.

Nombre de usuario y contraseña

Los usuarios deben introducir sus credenciales y autenticarse cuando acceden a los almacenes. La autenticación explícita está habilitada de forma predeterminada. Todos los métodos de acceso de usuario son compatibles con la autenticación explícita.

Cuando un usuario emplea Citrix Gateway para acceder a Citrix Receiver para Web, Citrix Gateway se ocupa del inicio de sesión y del cambio de contraseña cuando esta caduca. Los usuarios pueden cambiar sus contraseñas siempre que quieran mediante la interfaz de usuario de Citrix Receiver para Web. Después de un cambio de contraseña a petición del usuario, la sesión de Citrix Gateway termina y el usuario tiene que volver a iniciar la sesión. Los usuarios de Citrix Receiver para Linux o de la aplicación Citrix Workspace para Linux pueden cambiar únicamente las contraseñas caducadas.

Autenticación SAML

Los usuarios se autentican en un proveedor de identidades SAML y su sesión se inicia automáticamente cuando acceden a sus almacenes. StoreFront puede admitir la autenticación SAML directamente dentro de la red corporativa, sin tener que ir a través de Citrix Gateway.

SAML (Security Assertion Markup Language) es un estándar abierto utilizado por los productos de identidad y autenticación, como Microsoft AD FS (servicios de federación de Active Directory). Con la integración de la autenticación SAML a través de StoreFront, los administradores pueden permitir que los usuarios, por ejemplo, inicien sesión una vez en la red de la empresa y, a continuación, aplicar el inicio de sesión único Single Sign-On en las aplicaciones publicadas.

Requisitos:

El uso de la autenticación SAML en Citrix Gateway se admite actualmente en sitios de Receiver para Web.

PassThrough de dominio

Los usuarios realizan la autenticación en equipos Windows que pertenecen a un dominio, y sus credenciales se usan para iniciar sesión automáticamente cuando acceden a los almacenes.

Al instalar StoreFront, la autenticación PassThrough de dominio está inhabilitada de forma predeterminada. La autenticación PassThrough de dominio puede habilitarse para los usuarios que se conectan a almacenes a través de la aplicación Citrix Workspace y direcciones URL de servicios XenApp. Los sitios de Citrix Receiver para Web admiten la autenticación PassThrough de dominio para Internet Explorer, Microsoft Edge, Mozilla Firefox y Google Chrome en máquinas cliente de Windows.

Para habilitar la autenticación PassThrough de dominio

  1. Instale Citrix Receiver para Windows, la aplicación Citrix Workspace para Windows o el plug-in de Citrix Online para Windows en los dispositivos de usuario. Compruebe que la autenticación PassThrough está habilitada.
  2. Habilite la autenticación PassThrough de dominio en el nodo del sitio de Receiver para Web que hay en la consola de administración.
  3. Configure SSON en Citrix Receiver para Windows o en la aplicación Citrix Workspace para Windows; procedimiento descrito en Configurar la autenticación PassThrough de dominio. La aplicación Citrix Workspace para HTML5 no admite la autenticación PassThrough de dominio.
  4. El comportamiento predeterminado de Windows es el “inicio de sesión automático solo en la zona de la intranet”. Para Internet Explorer, Mozilla Firefox y Google Chrome, configure los sitios de Citrix Receiver para Web como sitios de la intranet desde “Opciones de Internet” o habilite el inicio de sesión automático para la zona de confianza. Para Microsoft Edge, debe configurar los sitios de Citrix Receiver para Web como sitios de la intranet.
  5. Para Mozilla Firefox, modifique la configuración avanzada del explorador para que confíe en el URI de Citrix Receiver para Windows o de la aplicación Citrix Workspace para Windows.

    Advertencia:

    Modificar incorrectamente la configuración avanzada puede causar problemas graves. Por tanto, las modificaciones serán bajo su propia responsabilidad.

    1. Inicie Firefox, escriba about:config en el campo de dirección y seleccione “¡Acepto el riesgo!”.
    2. Escriba ntlm en el cuadro de búsqueda.
    3. Haga doble clic en “network.automatic-ntlm-auth.trusted-uris” y escriba la URL del sitio de Citrix Receiver para Windows o de la aplicación Citrix Workspace para Windows en el cuadro de diálogo emergente.
    4. Haga clic en Aceptar.

PassThrough desde Citrix Gateway

Los usuarios se autentican en Citrix Gateway y su sesión se inicia automáticamente cuando acceden a sus almacenes. La autenticación PassThrough desde Citrix Gateway está habilitada de forma predeterminada al configurar el acceso remoto a un almacén. Los usuarios pueden conectarse a través de Citrix Gateway a los almacenes mediante sitios de Citrix Receiver o la aplicación Citrix Workspace. Los sitios de Desktop Appliance no admiten las conexiones a través de Citrix Gateway. Para obtener más información sobre cómo configurar el acceso a StoreFront a través de Citrix Gateway, consulte Agregar una conexión de Citrix Gateway.

StoreFront admite la autenticación PassThrough con los siguientes métodos de autenticación de Citrix Gateway.

  • Token de seguridad. Los usuarios inician sesión en Citrix Gateway mediante códigos de acceso derivados de tokencodes generados por tokens de seguridad combinados, en algunos casos, con códigos PIN. Si habilita la autenticación PassThrough con token de seguridad solamente, asegúrese de que los recursos disponibles no requieren formas de autenticación adicionales o alternativas, como credenciales de dominio de Microsoft Active Directory.
  • Dominio y token de seguridad. Los usuarios que inician sesión en Citrix Gateway deben introducir sus credenciales de dominio y los códigos de acceso de tokens de seguridad.
  • Certificado del cliente. Los usuarios inician sesión en Citrix Gateway y su autenticación se produce basándose en los atributos del certificado del cliente que se presenta ante Citrix Gateway. Configure la autenticación de certificados del cliente para permitir que los usuarios inicien sesión en Citrix Gateway mediante tarjetas inteligentes. La autenticación de certificados del cliente también puede utilizarse con otros tipos de autenticación para ofrecer autenticación de doble origen.

StoreFront usa el servicio de autenticación de Citrix Gateway para proporcionar autenticación PassThrough a los usuarios remotos, para que estos usuarios solo deban introducir sus credenciales una vez. Sin embargo, de forma predeterminada, la autenticación PassThrough solo está habilitada para los usuarios que inician sesión en Citrix Gateway con una contraseña. Para configurar la autenticación PassThrough desde Citrix Gateway para el acceso a StoreFront por parte de usuarios de tarjeta inteligente, delegue la validación de credenciales en Citrix Gateway. Para obtener más información, consulte Creación y configuración del servicio de autenticación.

Los usuarios pueden conectarse a almacenes en la aplicación Citrix Workspace con la autenticación PassThrough a través del túnel VPN SSL mediante el plug-in de Citrix Gateway. Los usuarios remotos que no pueden instalar el plug-in de Citrix Gateway pueden utilizar el acceso sin cliente para conectarse a los almacenes en la aplicación Citrix Workspace con la autenticación PassThrough. Para utilizar el acceso sin cliente con el fin de conectarse a los almacenes, los usuarios necesitan una versión de la aplicación Citrix Workspace que admita el acceso sin cliente.

Además, es posible habilitar el acceso sin cliente con la autenticación PassThrough en sitios de Citrix Receiver para Web. Para ello, configure Citrix Gateway de modo que funcione como proxy remoto seguro. Los usuarios inician sesión directamente en Citrix Gateway y usan el sitio de Citrix Receiver para Web para acceder a sus aplicaciones sin necesidad de volver a autenticarse.

Los usuarios que se conectan a recursos de App Controller con el acceso sin cliente solo pueden acceder a las aplicaciones de software como servicio (SaaS) externas. Para acceder a las aplicaciones web internas, los usuarios remotos deben utilizar el plug-in de Citrix Gateway.

Si quiere configurar la autenticación de doble origen en Citrix Gateway para usuarios remotos que accedan a los almacenes desde la aplicación Citrix Workspace, debe crear dos directivas de autenticación en Citrix Gateway. Configure RADIUS (Servicio de autenticación remota telefónica de usuario) como el método principal de autenticación y LDAP (Protocolo ligero de acceso a directorios) como el método secundario. Modifique el índice de credenciales para usar el método secundario de autenticación en el perfil de sesión, de manera que las credenciales de LDAP se transfieran a StoreFront. Cuando agregue el dispositivo Citrix Gateway a su configuración de StoreFront, configure el tipo de inicio de sesión en Dominio y token de seguridad. Para obtener más información, consulte http://support.citrix.com/article/CTX125364

Para habilitar la autenticación multidominio a través de Citrix Gateway en StoreFront, configure el atributo de nombre del SSO en userPrincipalName en la directiva de autenticación LDAP de Citrix Gateway para cada dominio. Es posible que deba especificar un dominio a los usuarios en la página de inicio de sesión de Citrix Gateway para que se pueda determinar la directiva de LDAP correspondiente. Al configurar los perfiles de sesión de Citrix Gateway para las conexiones con StoreFront, no especifique un dominio Single Sign-On. Debe configurar las relaciones de confianza entre cada uno de los dominios. Asegúrese de permitir que los usuarios inicien sesión en StoreFront desde cualquier dominio al no restringir el acceso a solo aquellos dominios que sean explícitamente de confianza.

Cuando la implementación de Citrix Gateway lo admita, puede utilizar SmartAccess para controlar el acceso de los usuarios a los recursos de Citrix Virtual Apps and Desktops en función de las directivas de sesión de Citrix Gateway. Para obtener más información sobre SmartAccess, consulte Cómo funciona SmartAccess para Citrix Virtual Apps and Desktops.

Tarjetas inteligentes

Los usuarios realizan la autenticación con tarjetas inteligentes y PIN cuando acceden a los almacenes. Al instalar StoreFront, la autenticación con tarjeta inteligente se inhabilita de forma predeterminada. La autenticación con tarjeta inteligente puede habilitarse para los usuarios que se conectan a los almacenes a través de la aplicación Citrix Workspace, Citrix Receiver para Web, los sitios de Desktop Appliance y las direcciones URL de servicios XenApp.

Use la autenticación con tarjeta inteligente para agilizar el proceso de inicio de sesión para sus usuarios y al mismo tiempo mejorar la seguridad del acceso de los usuarios a su infraestructura. El acceso a la red corporativa interna está protegido por la autenticación de dos fases basada en un certificado con infraestructura de clave pública. Las claves privadas están protegidas por controles de hardware y nunca salen de la tarjeta inteligente. Los usuarios obtienen la comodidad de acceder a sus escritorios y aplicaciones desde una serie de dispositivos de la empresa con sus tarjetas inteligentes y sus PIN.

Puede usar tarjetas inteligentes para la autenticación de usuarios a través de StoreFront en los escritorios y las aplicaciones que proporcionan Citrix Virtual Apps and Desktops. Los usuarios de tarjetas inteligentes que inician sesión en StoreFront también pueden acceder a las aplicaciones proporcionadas por App Controller. No obstante, los usuarios deben volver a autenticarse para acceder a las aplicaciones web de App Controller que usan la autenticación de certificados del cliente.

Para habilitar la autenticación con tarjeta inteligente, las cuentas de los usuarios deben configurarse ya sea en el dominio de Microsoft Active Directory que contiene los servidores de StoreFront, o bien, en un dominio que tenga una relación de confianza bidireccional directa con el dominio del servidor de StoreFront. Se respaldan las implementaciones multibosque de confianza bidireccional.

La configuración de la autenticación con tarjeta inteligente para StoreFront depende de los dispositivos del usuario, de los clientes instalados y de si los dispositivos están unidos a un dominio o no. En este contexto, la unión a un dominio se refiere a dispositivos que se han vinculado a un dominio del bosque de Active Directory que contiene los servidores de StoreFront.

Usar tarjetas inteligentes con Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows

Los usuarios con dispositivos con Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows se pueden autenticar con tarjetas inteligentes, ya sea directamente o a través de Citrix Gateway. Se pueden usar tanto los dispositivos que están unidos a un dominio como los que no, aunque la experiencia de usuario es un poco diferente en cada caso.

La ilustración muestra las opciones para la autenticación con tarjeta inteligente a través de Citrix Receiver para Windows o de la aplicación Citrix Workspace para Windows.

Opciones para la autenticación con tarjeta inteligente a través de Citrix Receiver para Windows o de la aplicación Citrix Workspace para Windows

Para los usuarios locales con dispositivos unidos a dominio, puede configurar la autenticación con tarjeta inteligente de forma que solo se pidan las credenciales de usuario una vez. Los usuarios inician la sesión en sus dispositivos usando sus tarjetas inteligentes y sus PIN y, con la configuración adecuada, no se les vuelve a pedir el PIN. Los usuarios se autentican de forma silenciosa en StoreFront y también en sus escritorios y aplicaciones. Para conseguir esto, configure Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows con autenticación PassThrough y habilite la autenticación PassThrough de dominio en StoreFront.

Los usuarios inician sesión en sus dispositivos y, a continuación, se autentican en Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows con sus PIN. No hay más solicitudes de PIN cuando intentan iniciar aplicaciones y escritorios

Como los usuarios de dispositivos que no pertenecen a un dominio inician sesión en Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows directamente, puede permitir que los usuarios recurran a la autenticación explícita. Si se configura tanto la autenticación explícita como la autenticación con tarjeta inteligente, primero se solicita a los usuarios que inicien sesión con sus tarjetas inteligentes y sus PIN. En caso de problemas con las tarjetas inteligentes, también tendrán la opción de seleccionar la autenticación explícita.

Los usuarios que se conectan a través de Citrix Gateway deben iniciar la sesión mediante su tarjeta inteligente y su PIN al menos dos veces para acceder a sus escritorios y aplicaciones. Esto se aplica a dispositivos unidos a un dominio y a dispositivos que no pertenecen a ningún dominio. Los usuarios se autentican mediante su tarjeta inteligente y su PIN y, con la configuración apropiada, solo tienen que volver a introducir su PIN cuando acceden a sus escritorios y aplicaciones. Para conseguir esto, hay que habilitar la autenticación PassThrough con Citrix Gateway en StoreFront y delegar la validación de credenciales en Citrix Gateway. Después, cree un servidor virtual adicional de Citrix Gateway a través del cual se redirigirán las conexiones de usuario hacia sus recursos. En el caso de dispositivos unidos a un dominio, también debe configurar Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows para la autenticación PassThrough.

Nota:

Si utiliza Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows, puede configurar un segundo servidor virtual y usar la puerta de enlace óptima para eliminar la necesidad de solicitar el PIN al iniciar aplicaciones y escritorios.

Los usuarios pueden iniciar sesión en Citrix Gateway con su tarjeta inteligente y su PIN o con credenciales explícitas. Esto permite ofrecer a los usuarios la opción de recurrir a la autenticación explícita para iniciar sesión con Citrix Gateway. Configure la autenticación PassThrough desde Citrix Gateway a StoreFront y delegue la validación de las credenciales a Citrix Gateway para los usuarios de tarjeta inteligente, de modo que los usuarios se autentiquen silenciosamente en StoreFront.

Usar tarjetas inteligentes en los sitios de Desktop Appliance

Los dispositivos de escritorio Windows que no están unidos a ningún dominio se pueden configurar para permitir que los usuarios inicien sesión en los escritorios usando las tarjetas inteligentes. El dispositivo debe tener Citrix Desktop Lock y se debe utilizar Internet Explorer para acceder al sitio de Desktop Appliance.

La imagen muestra la autenticación con tarjeta inteligente desde un dispositivo de escritorio (Desktop Appliance) que no está unido a ningún dominio.

Autenticación con tarjeta inteligente desde un Desktop Appliance que no está unido a ningún dominio

Cuando los usuarios acceden a sus dispositivos Desktop Appliance, se inicia Internet Explorer en modo de pantalla completa y muestra la pantalla de inicio de sesión para el sitio de Desktop Appliance. Los usuarios se autentican en el sitio mediante sus tarjetas inteligentes y sus PIN. Si el sitio de Desktop Appliance está configurado para la autenticación PassThrough, los usuarios se autentican automáticamente cuando acceden a sus escritorios y aplicaciones. No se vuelven a solicitar los PIN a los usuarios. Sin la autenticación PassThrough, los usuarios deben introducir sus PIN por segunda vez cuando inicien un escritorio o aplicación.

Puede permitir que los usuarios utilicen la autenticación explícita si tienen problemas con las tarjetas inteligentes. Para ello, configure el sitio de Desktop Appliance para ambos: las tarjetas inteligentes y la autenticación explícita. En esta configuración, la autenticación con tarjeta inteligente es el método de acceso principal, por lo que los usuarios primero deben introducir sus PIN. No obstante, el sitio también proporciona un vínculo que permite a los usuarios iniciar sesión con credenciales explícitas.

Uso de tarjetas inteligentes con las direcciones URL de servicios XenApp

Los usuarios de dispositivos Desktop Appliance unidos a un dominio y de equipos reasignados que ejecutan Citrix Desktop Lock se pueden autenticar mediante tarjetas inteligentes. A diferencia de otros métodos de acceso, la autenticación PassThrough de credenciales con tarjeta inteligente se habilita automáticamente cuando se configura la autenticación con tarjeta inteligente para una URL de servicios XenApp.

La imagen muestra la autenticación con tarjeta inteligente desde un dispositivo de escritorio (Desktop Appliance) unido a un dominio que se ejecuta en Citrix Desktop Lock.

Autenticación con tarjeta inteligente desde un dispositivo unido a un dominio que ejecuta Citrix Desktop Lock

Los usuarios inician sesión en los dispositivos con las tarjetas inteligentes y los PIN. A continuación, Citrix Desktop Lock autentica de manera silenciosa a los usuarios en StoreFront a través de la URL de servicios XenApp. Los usuarios se autentican automáticamente cuando acceden a sus escritorios y a sus aplicaciones, y no tienen que volver a introducir su PIN.

Usar tarjetas inteligentes en Citrix Receiver para Web

Puede habilitar la autenticación con tarjeta inteligente en Citrix Receiver para Web desde la consola de administración de StoreFront.

  1. Seleccione el nodo Citrix Receiver para Web del panel de la izquierda.
  2. Seleccione el sitio en el que quiere usar la autenticación con tarjeta inteligente.
  3. Seleccione la tarea Elegir métodos de autenticación del panel de la derecha.
  4. Marque la casilla Tarjeta inteligente en la pantalla de diálogo emergente y haga clic en Aceptar.

Si habilita la autenticación PassThrough con tarjeta inteligente en Citrix Virtual Apps and Desktops para los usuarios de Citrix Receiver para Windows o de la aplicación Citrix Workspace para Windows con dispositivos unidos a un dominio que no acceden a los almacenes a través de Citrix Gateway, este parámetro se aplica a todos los usuarios del almacén. Si quiere habilitar tanto la autenticación PassThrough de dominio como la autenticación PassThrough con tarjeta inteligente para acceder a los escritorios y las aplicaciones, debe crear almacenes independientes para cada método de autenticación. Los usuarios deben conectarse al almacén adecuado para su método de autenticación.

Si habilita la autenticación PassThrough con tarjeta inteligente en Citrix Virtual Apps and Desktops para los usuarios de Citrix Receiver para Windows o de la aplicación Citrix Workspace para Windows con dispositivos unidos a un dominio que acceden a los almacenes a través de Citrix Gateway, este parámetro se aplica a todos los usuarios del almacén. Si quiere habilitar la autenticación PassThrough para algunos usuarios y solicitar a otros usuarios que inicien sesión en los escritorios y aplicaciones, debe crear almacenes independientes para cada grupo de usuarios. A continuación, debe dirigir a los usuarios al almacén adecuado para su método de autenticación.

Usar tarjetas inteligentes en la aplicación Citrix Workspace para iOS y Android

Los usuarios con dispositivos con la aplicación Citrix Workspace para Windows para iOS o Android se pueden autenticar con tarjetas inteligentes, ya sea directamente o a través de Citrix Gateway. Se pueden usar los dispositivos que no pertenezcan a ningún dominio.

Cómo usar tarjetas inteligentes en la aplicación Citrix Workspace para iOS y Android

En el caso de dispositivos de la red local, los usuarios reciben como mínimo dos peticiones de credenciales. Cuando los usuarios se autentican en StoreFront o crean el almacén por primera vez, se les solicita el PIN de la tarjeta inteligente. Con la configuración apropiada, los usuarios tienen que volver a introducir su PIN solamente cuando acceden a sus escritorios y a sus aplicaciones. Para ello, habilite la autenticación con tarjeta inteligente en StoreFront e instale los controladores de tarjeta inteligente en el VDA.

Con estas aplicaciones Citrix Workspace, tiene la opción de especificar tarjetas inteligentes o credenciales de dominio. Si ha creado un almacén para usar tarjetas inteligentes y quiere conectarse al mismo almacén mediante credenciales de dominio, debe agregar un almacén independiente sin activar las tarjetas inteligentes.

Los usuarios que se conectan a través de Citrix Gateway deben iniciar la sesión mediante su tarjeta inteligente y su PIN al menos dos veces para acceder a sus escritorios y aplicaciones. Los usuarios se autentican mediante su tarjeta inteligente y su PIN y, con la configuración apropiada, solo tienen que volver a introducir su PIN cuando acceden a sus escritorios y aplicaciones. Para conseguir esto, hay que habilitar la autenticación PassThrough con Citrix Gateway en StoreFront y delegar la validación de credenciales en Citrix Gateway. Después, cree un servidor virtual adicional de Citrix Gateway a través del cual se redirigirán las conexiones de usuario hacia sus recursos.

Los usuarios pueden iniciar sesión en Citrix Gateway con sus tarjetas inteligentes y sus PIN o con credenciales explícitas, según cómo haya especificado la autenticación de la conexión. Configure la autenticación PassThrough desde Citrix Gateway a StoreFront y delegue la validación de las credenciales a Citrix Gateway para los usuarios de tarjeta inteligente, de modo que los usuarios se autentiquen silenciosamente en StoreFront. Si quiere cambiar el método de autenticación, debe eliminar y volver a crear la conexión.

Usar tarjetas inteligentes con Citrix Receiver para Linux o la aplicación Citrix Workspace para Linux

Los usuarios con dispositivos con Citrix Receiver para Linux o la aplicación Citrix Workspace para Linux se pueden autenticar mediante tarjetas inteligentes de una forma similar a la de los usuarios de dispositivos que no pertenecen a un dominio de Windows. Incluso aunque el usuario se autentique en el dispositivo Linux con una tarjeta inteligente, ni Citrix Receiver para Linux ni la aplicación Citrix Workspace para Linux tienen mecanismo alguno para adquirir ni reutilizar el PIN especificado.

Configure los componentes del lado del servidor para las tarjetas inteligentes de la misma forma que los configura para su uso con Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows. Consulte Configurar la autenticación con tarjeta inteligente y, para obtener instrucciones sobre el uso de tarjetas inteligentes, consulte Citrix Receiver para Linux.

La cantidad mínima de solicitudes de inicio de sesión que los usuarios pueden recibir es 1. Los usuarios inician sesión en sus dispositivos y, a continuación, se autentican en Citrix Receiver para Linux o en la aplicación Citrix Workspace para Linux con sus tarjetas inteligentes y sus PIN. Los usuarios no tienen que volver a introducir su PIN cuando acceden a sus escritorios y a sus aplicaciones. Para conseguir esto, hay que habilitar la autenticación con tarjeta inteligente en StoreFront.

Como los usuarios inician sesión directamente en Citrix Receiver para Linux o en la aplicación Citrix Workspace para Linux, puede permitir que estos recurran a la autenticación explícita. Si se configura tanto la autenticación explícita como la autenticación con tarjeta inteligente, primero se solicita a los usuarios que inicien sesión con sus tarjetas inteligentes y sus PIN. En caso de problemas con las tarjetas inteligentes, también tendrán la opción de seleccionar la autenticación explícita.

Los usuarios que se conectan a través de Citrix Gateway deben iniciar la sesión mediante su tarjeta inteligente y su PIN al menos una vez para acceder a sus escritorios y aplicaciones. Los usuarios se autentican mediante su tarjeta inteligente y su PIN y, con la configuración apropiada, no tienen que volver a introducir su PIN cuando acceden a sus escritorios y a sus aplicaciones. Para conseguir esto, hay que habilitar la autenticación PassThrough con Citrix Gateway en StoreFront y delegar la validación de credenciales en Citrix Gateway. Después, cree un servidor virtual adicional de Citrix Gateway a través del cual se redirigirán las conexiones de usuario hacia sus recursos.

Los usuarios pueden iniciar sesión en Citrix Gateway con su tarjeta inteligente y su PIN o con credenciales explícitas. Esto permite ofrecer a los usuarios la opción de recurrir a la autenticación explícita para iniciar sesión con Citrix Gateway. Configure la autenticación PassThrough desde Citrix Gateway a StoreFront y delegue la validación de las credenciales a Citrix Gateway para los usuarios de tarjeta inteligente, de modo que los usuarios se autentiquen silenciosamente en StoreFront.

Las tarjetas inteligentes para Citrix Receiver para Linux o para la aplicación Citrix Workspace para Linux no se admiten en los sitios de soporte de los servicios XenApp.

Una vez que la compatibilidad con tarjetas inteligentes se haya habilitado tanto para el servidor como para la aplicación Citrix Workspace, y siempre que la directiva de aplicación de los certificados de tarjeta inteligente lo permita, puede utilizar tarjetas inteligentes con los siguientes fines:

  • Autenticación de inicio de sesión con tarjetas inteligentes. Utilice tarjetas inteligentes para autenticar usuarios en servidores Citrix Virtual Apps and Desktops.
  • Soporte para aplicaciones de tarjetas inteligentes. Habilite aplicaciones publicadas compatibles con tarjetas inteligentes para que se pueda acceder a dispositivos de tarjetas inteligentes locales.

Usar tarjetas inteligentes en servicios XenApp

Los usuarios que inician sesión en los sitios de soporte de servicios XenApp para iniciar aplicaciones y escritorios se pueden autenticar mediante tarjetas inteligentes sin depender de ningún hardware, sistema operativo o aplicación Citrix Workspace específicos. Cuando un usuario accede a un sitio de soporte de servicios XenApp e introduce correctamente una tarjeta inteligente y un PIN, PNA determina la identidad del usuario, lo autentica en StoreFront y devuelve los recursos disponibles.

Para que funcionen la autenticación PassThrough y la autenticación con tarjeta inteligente, debe habilitar la opción Confiar en las solicitudes enviadas a XML Service.

Utilice una cuenta con permisos de administrador local en el Delivery Controller para iniciar Windows PowerShell y, en el símbolo del sistema, escriba los siguientes comandos para permitir que el Delivery Controller confíe en las solicitudes XML enviadas desde StoreFront. El siguiente procedimiento se aplica a XenApp 7.5 - 7.8 y XenDesktop 7.0 - 7.8.

  1. Cargue los cmdlets de Citrix escribiendo asnp Citrix*. (incluya el punto final).
  2. Escriba Add-PSSnapin citrix.broker.admin.v2.
  3. Escriba Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True.
  4. Cierre PowerShell.

Para obtener información sobre cómo configurar el método de autenticación con tarjeta inteligente en los servicios XenApp, consulte Configuración de la autenticación de las direcciones URL de servicios XenApp.

Consideraciones importantes

El uso de tarjetas inteligentes para la autenticación de usuarios con StoreFront está sujeto a los siguientes requisitos y restricciones.

  • Para utilizar túneles VPN con la autenticación mediante tarjeta inteligente, los usuarios deben instalar el plug-in de Citrix Gateway, iniciar sesión a través de una página web y utilizar las tarjetas inteligentes y los PIN en cada paso de la autenticación. La autenticación PassThrough en StoreFront con el plug-in de Citrix Gateway no está disponible para los usuarios de tarjeta inteligente.

  • Se pueden utilizar varias tarjetas inteligentes y varios lectores en el mismo dispositivo de usuario, pero si quiere habilitar la autenticación PassThrough con tarjeta inteligente, los usuarios deben asegurarse de que haya solamente una tarjeta inteligente insertada durante el acceso a un escritorio o aplicación.

  • Cuando se utiliza una tarjeta inteligente dentro de una aplicación (por ejemplo, para las funciones de cifrado o firma digital), es posible que se muestren solicitudes adicionales para insertar una tarjeta inteligente o introducir un PIN. Esto puede suceder cuando se inserta más de una tarjeta inteligente al mismo tiempo. También puede deberse a parámetros de configuración, tales como parámetros de middleware como el caché de PIN, que se configuran generalmente con directivas de grupo. Si los usuarios ven una solicitud donde se les pide que introduzcan la tarjeta inteligente cuando la tarjeta inteligente ya está en el lector, deben hacer clic en Cancelar. Si se solicita un PIN, los usuarios deben introducir de nuevo los PIN.

  • Si habilita la autenticación PassThrough con tarjeta inteligente en Citrix Virtual Apps and Desktops para los usuarios de Citrix Receiver para Windows o de la aplicación Citrix Workspace para Windows con dispositivos unidos a un dominio que no acceden a los almacenes a través de Citrix Gateway, este parámetro se aplica a todos los usuarios del almacén. Si quiere habilitar tanto la autenticación PassThrough de dominio como la autenticación PassThrough con tarjeta inteligente para acceder a los escritorios y las aplicaciones, debe crear almacenes independientes para cada método de autenticación. Los usuarios deben conectarse al almacén adecuado para su método de autenticación.

  • Si habilita la autenticación PassThrough con tarjeta inteligente en Citrix Virtual Apps and Desktops para los usuarios de Citrix Receiver para Windows o de la aplicación Citrix Workspace para Windows con dispositivos unidos a un dominio que acceden a los almacenes a través de Citrix Gateway, este parámetro se aplica a todos los usuarios del almacén. Si quiere habilitar la autenticación PassThrough para algunos usuarios y solicitar a otros usuarios que inicien sesión en los escritorios y aplicaciones, debe crear almacenes independientes para cada grupo de usuarios. A continuación, debe dirigir a los usuarios al almacén adecuado para su método de autenticación.

  • Solo se puede configurar un método de autenticación para cada dirección URL de servicios XenApp, y solo está disponible una dirección URL por almacén. Si quiere habilitar otros tipos de autenticación (además de la autenticación con tarjeta inteligente), debe crear almacenes independientes, cada uno de ellos con una URL de servicios XenApp, para cada método de autenticación. A continuación, debe dirigir a los usuarios al almacén adecuado para su método de autenticación.

  • Cuando se instala StoreFront, la configuración predeterminada de Microsoft Internet Information Services (IIS) solo requiere que se presenten certificados del cliente para conexiones HTTPS para la URL de autenticación de certificados del servicio de autenticación de StoreFront. IIS no solicita certificados del cliente para otras direcciones URL de StoreFront. Estas configuraciones le permiten ofrecer a los usuarios de tarjeta inteligente la opción de utilizar la autenticación explícita si tienen problemas con las tarjetas inteligentes. Según la configuración de las directivas de Windows, los usuarios también pueden quitar sus tarjetas inteligentes sin necesidad de volver a autenticarse.

    Si decide configurar IIS para solicitar certificados del cliente en caso de conexiones HTTPS a todas las direcciones URL de StoreFront, el servicio de autenticación y los almacenes deben colocarse en el mismo servidor. Debe usar un certificado del cliente válido para todos los almacenes. Con esta configuración de sitio de IIS, los usuarios de tarjetas inteligentes no pueden conectarse a través de Citrix Gateway y no pueden utilizar la autenticación explícita. Los usuarios deben iniciar sesión de nuevo si quitan las tarjetas inteligentes de los dispositivos.