Documentación de productos
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
Ver PDF

Autenticación con tarjeta inteligente

March 9, 2026
Contribución de: 
C

Con la autenticación con tarjeta inteligente, los usuarios se autentican mediante tarjetas inteligentes y PIN cuando acceden a sus almacenes. La autenticación con tarjeta inteligente se puede habilitar para los usuarios que se conectan a los almacenes a través de la aplicación Citrix Workspace, navegadores web y URL de XenApp Services.

Nota:

Cuando los usuarios inician sesión en Windows con su tarjeta inteligente, se recomienda que habilites la autenticación de paso a través de dominio, en lugar de, o además de, la autenticación con tarjeta inteligente. Esto permite el inicio de sesión único en el almacén sin necesidad de volver a autenticarse con su tarjeta inteligente.

Usa la autenticación con tarjeta inteligente para agilizar el proceso de inicio de sesión de tus usuarios y, al mismo tiempo, mejorar la seguridad del acceso de los usuarios a tu infraestructura. El acceso a la red corporativa interna está protegido por una autenticación de dos factores basada en certificados que utiliza la infraestructura de clave pública. Las claves privadas están protegidas por controles de hardware y nunca abandonan la tarjeta inteligente. Tus usuarios obtienen la comodidad de acceder a sus escritorios y aplicaciones desde una variedad de dispositivos corporativos utilizando sus tarjetas inteligentes y PIN.

Para habilitar la autenticación con tarjeta inteligente, las cuentas de los usuarios deben configurarse en el dominio de Microsoft Active Directory que contiene los servidores de StoreFront o en un dominio que tenga una relación de confianza bidireccional directa con el dominio del servidor de StoreFront. Se admiten implementaciones multiforestales que implican confianzas bidireccionales.

El documento Configuración de tarjetas inteligentes para entornos Citrix describe cómo configurar una implementación de Citrix para tarjetas inteligentes que utiliza un tipo específico de tarjeta inteligente. Se aplican pasos similares a las tarjetas inteligentes de otros proveedores.

Requisitos previos

  • Asegúrate de que las cuentas de todos los usuarios estén configuradas en el dominio de Microsoft Active Directory en el que planeas implementar tus servidores de StoreFront o en un dominio que tenga una relación de confianza bidireccional directa con el dominio del servidor de StoreFront.
  • Si planeas habilitar el paso a través con autenticación de tarjeta inteligente, asegúrate de que los tipos de lector de tarjetas inteligentes, el tipo y la configuración del middleware, y la política de almacenamiento en caché de PIN del middleware lo permitan.
  • Instala el middleware de tarjeta inteligente de tu proveedor en las máquinas virtuales o físicas que ejecutan el Virtual Delivery Agent que proporcionan los escritorios y las aplicaciones de los usuarios. Para obtener más información sobre el uso de tarjetas inteligentes con Citrix Virtual Desktops, consulta Tarjetas inteligentes.
  • Asegúrate de que tu infraestructura de clave pública esté configurada correctamente. Verifica que la asignación de certificados a cuentas esté configurada correctamente para tu entorno de Active Directory y que la validación del certificado de usuario se pueda realizar con éxito.

Configurar StoreFront

  • Debes usar HTTPS para las comunicaciones entre StoreFront y los dispositivos de los usuarios para habilitar la autenticación con tarjeta inteligente. Consulta Proteger StoreFront con HTTPS.

  • Para habilitar la autenticación con tarjeta inteligente al conectarte a un almacén a través de Citrix Workspace Apps, en los Métodos de autenticación marca o desmarca Tarjeta inteligente.

  • Habilitar la autenticación con tarjeta inteligente para un almacén también la habilita por defecto para todos los sitios web de ese almacén. Puedes habilitar o deshabilitar de forma independiente la autenticación con tarjeta inteligente para un sitio web específico en la ficha Métodos de autenticación de Administrar sitios web.

  • Si configuras la autenticación con tarjeta inteligente y la autenticación con nombre de usuario y contraseña, se les pedirá inicialmente a los usuarios que inicien sesión con sus tarjetas inteligentes y PIN, pero tienen la opción de seleccionar la autenticación explícita si experimentan algún problema con sus tarjetas inteligentes.

Configurar Delivery Controller™ para que confíe en StoreFront

Cuando se utiliza la autenticación con tarjeta inteligente, StoreFront no tiene acceso a las credenciales del usuario, por lo que no puede autenticarse en Citrix Virtual Apps and Desktops. Por lo tanto, debes configurar el Delivery Controller para que confíe en las solicitudes de StoreFront; consulta Consideraciones de seguridad y mejores prácticas de Citrix Virtual Apps and Desktops.

Acceso remoto a través de Citrix Gateway

Para el acceso remoto, puedes habilitar la tarjeta inteligente en Citrix Gateway y luego habilitar la autenticación de paso a través a StoreFront con autenticación delegada. Para obtener más detalles, consulta Paso a través de Gateway.

Para asegurarte de que los usuarios no reciban una solicitud adicional de sus credenciales en el servidor virtual cuando se establezcan las conexiones a sus recursos, crea una segunda puerta de enlace y deshabilita la autenticación de cliente en los parámetros de Secure Sockets Layer (SSL). Para obtener más información, consulta Configurar la autenticación con tarjeta inteligente. Al acceder a StoreFront a través de una puerta de enlace con autenticación de tarjeta inteligente, configura el enrutamiento óptimo de Citrix Gateway a través de este servidor virtual para las conexiones a las implementaciones que proporcionan los escritorios y las aplicaciones para el almacén. Para obtener más información, consulta Configurar el enrutamiento HDX óptimo para un almacén.

Inicio de sesión único en VDA

Puedes habilitar el inicio de sesión único en los VDA pasando las credenciales de tarjeta inteligente de los usuarios. Se puede acceder al almacén a través de un navegador web o la aplicación Citrix Workspace™ para Windows, pero el recurso debe abrirse en la aplicación Citrix Workspace para Windows. En otros sistemas operativos o al acceder a los recursos a través de un navegador, los usuarios deben volver a introducir sus credenciales al conectarse a un VDA.

  1. Incluye el componente de inicio de sesión único al instalar Citrix Workspace para Windows y configúralo para el inicio de sesión único. Consulta Configurar la autenticación de paso a través de dominio.

  2. Usa un editor de texto para abrir el archivo default.ica del almacén. Consulta Default ica.

  3. Para habilitar el paso a través de las credenciales de tarjeta inteligente para los usuarios que acceden a los almacenes sin Citrix Gateway, agrega la siguiente configuración en la sección [Application].

    DisableCtrlAltDel=Off

    Esta configuración se aplica a todos los usuarios del almacén. Para habilitar tanto el paso a través de dominio como el paso a través con autenticación de tarjeta inteligente para escritorios y aplicaciones, debes crear almacenes separados para cada método de autenticación. Luego, dirige a tus usuarios al almacén apropiado para su método de autenticación.

  4. Para habilitar el paso a través de las credenciales de tarjeta inteligente para los usuarios que acceden a los almacenes a través de Citrix Gateway, agrega la siguiente configuración en la sección [Application].

    UseLocalUserAndPassword=On

    Esta configuración se aplica a todos los usuarios del almacén. Para habilitar la autenticación de paso a través para algunos usuarios y requerir que otros inicien sesión para acceder a sus escritorios y aplicaciones, debes crear almacenes separados para cada grupo de usuarios. Luego, dirige a tus usuarios al almacén apropiado para su método de autenticación.

Alternativamente, puedes configurar el Servicio de autenticación federada para el inicio de sesión único en VDA.

Consideraciones importantes

El uso de tarjetas inteligentes para la autenticación de usuarios con StoreFront está sujeto a los siguientes requisitos y restricciones.

  • Para usar túneles de red privada virtual (VPN) con autenticación de tarjeta inteligente, los usuarios deben instalar el complemento de Citrix Gateway e iniciar sesión a través de una página web, usando sus tarjetas inteligentes y PIN para autenticarse en cada paso. La autenticación de paso a través a StoreFront con el complemento de Citrix Gateway no está disponible para los usuarios de tarjetas inteligentes.

  • Se pueden usar varias tarjetas inteligentes y varios lectores en el mismo dispositivo de usuario, pero si habilitas el paso a través con autenticación de tarjeta inteligente, los usuarios deben asegurarse de que solo se inserte una tarjeta inteligente al acceder a un escritorio o una aplicación.

  • Cuando se utiliza una tarjeta inteligente dentro de una aplicación, como para la firma digital o el cifrado, los usuarios pueden ver solicitudes adicionales para insertar una tarjeta inteligente o introducir un PIN. Esto puede ocurrir si se ha insertado más de una tarjeta inteligente al mismo tiempo. También puede ocurrir debido a la configuración, como la configuración del middleware, como el almacenamiento en caché de PIN, que normalmente se configura mediante la política de grupo. Los usuarios a los que se les pida que inserten una tarjeta inteligente cuando esta ya esté en el lector deben hacer clic en Cancelar. Si se les pide un PIN a los usuarios, deben volver a introducirlo.

  • Si habilitas el paso a través con autenticación de tarjeta inteligente para Citrix Virtual Apps and Desktops para usuarios de la aplicación Citrix Workspace para Windows con dispositivos unidos a un dominio que no acceden a los almacenes a través de Citrix Gateway, esta configuración se aplica a todos los usuarios del almacén. Para habilitar tanto el paso a través de dominio como el paso a través con autenticación de tarjeta inteligente para escritorios y aplicaciones, debes crear almacenes separados para cada método de autenticación. Tus usuarios deben conectarse al almacén apropiado para su método de autenticación.

  • Si habilitas el paso a través con autenticación de tarjeta inteligente para Citrix Virtual Apps and Desktops para usuarios de la aplicación Citrix Workspace para Windows con dispositivos unidos a un dominio que acceden a los almacenes a través de Citrix Gateway, esta configuración se aplica a todos los usuarios del almacén. Para habilitar la autenticación de paso a través para algunos usuarios y requerir que otros inicien sesión en sus escritorios y aplicaciones, debes crear almacenes separados para cada grupo de usuarios. Luego, dirige a tus usuarios al almacén apropiado para su método de autenticación.

  • Solo se puede configurar un método de autenticación para cada URL de XenApp® Services y solo hay una URL disponible por almacén. Si necesitas habilitar otros tipos de autenticación además de la autenticación con tarjeta inteligente, debes crear almacenes separados, cada uno con una URL de XenApp Services, para cada método de autenticación. Luego, dirige a tus usuarios al almacén apropiado para su método de autenticación.

  • Cuando se instala StoreFront, la configuración predeterminada en Microsoft Internet Information Services (IIS) solo requiere que se presenten certificados de cliente para las conexiones HTTPS a la URL de autenticación de certificados del servicio de autenticación de StoreFront. IIS no solicita certificados de cliente para ninguna otra URL de StoreFront. Esta configuración te permite proporcionar a los usuarios de tarjetas inteligentes la opción de recurrir a la autenticación explícita si experimentan algún problema con sus tarjetas inteligentes. Sujeto a la configuración de política de Windows adecuada, los usuarios también pueden quitar sus tarjetas inteligentes sin necesidad de volver a autenticarse.

    Si decides configurar IIS para que requiera certificados de cliente para las conexiones HTTPS a todas las URL de StoreFront, el servicio de autenticación y los almacenes deben estar ubicados en el mismo servidor. Debes usar un certificado de cliente que sea válido para todos los almacenes. Con esta configuración del sitio de IIS, los usuarios de tarjetas inteligentes no pueden conectarse a través de Citrix Gateway y no pueden recurrir a la autenticación explícita. Los usuarios deben iniciar sesión de nuevo si quitan sus tarjetas inteligentes de sus dispositivos.

Autenticación con tarjeta inteligente
March 9, 2026
Contribución de: 
C
March 9, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.