Product Documentation

Autenticación segura con tarjetas inteligentes

Nov 18, 2015

Consideraciones al administrar tarjetas inteligentes en su organización:

  • Es posible utilizar varias tarjetas inteligentes y varios lectores en el mismo dispositivo de usuario, pero si la autenticación PassThrough se encuentra en uso solo debe insertarse una tarjeta inteligente cuando el usuario inicia un escritorio virtual o una aplicación. Cuando se utiliza una tarjeta inteligente en una aplicación (por ejemplo, para las funciones de cifrado o firma digital), es posible que aparezcan solicitudes adicionales para insertar una tarjeta inteligente o introducir un PIN. Esto puede suceder cuando se inserta más de una tarjeta inteligente al mismo tiempo. Si se les solicita a los usuarios que inserten una tarjeta inteligente cuando la tarjeta inteligente ya se encuentra en el lector, deben seleccionar Cancelar. Si se les solicita el PIN, deben introducirlo de nuevo.
  • Si está utilizando aplicaciones alojadas ejecutadas en Windows Server 2008 o 2008 R2 y con tarjetas inteligentes que requieren el Proveedor base de servicios de cifrado para tarjetas inteligentes de Microsoft, es posible que, si un usuario ejecuta una transacción de tarjeta inteligente, se bloqueen los demás usuarios que utilizan una tarjeta inteligente en el proceso de inicio de sesión. Para obtener más información y una revisión hotfix para este tema, consulte http://support.microsoft.com/kb/949538.

Es posible que su organización disponga de directivas de seguridad específicas relacionadas con el uso de tarjetas inteligentes. Estas directivas pueden, por ejemplo, indicar cómo se proporcionan las tarjetas inteligentes a los usuarios y cómo estos deben protegerlas. Es posible que algunos aspectos de estas directivas deban evaluarse de nuevo en un entorno XenDesktop.

Puede restablecer los PIN con un sistema de administración de tarjetas o alguna herramienta del proveedor.

Lectores de tarjetas

Son compatibles los lectores de tarjetas con contacto ZKA (Zentraler Kredit Ausschuss o Comité central de crédito) de clase 1 que cumplen con la especificación de los dispositivos de interfaz de tarjetas inteligentes/chips USB (CCID). Contienen una ranura donde el usuario debe introducir o pasar la tarjeta inteligente. Otras clases, incluidos la clase 2 (lectores con teclado para introducir los PIN), los lectores sin contacto y las tarjetas inteligentes virtuales basadas en el chip del Módulo de plataforma segura (TPM), no son compatibles.

Es necesario obtener un controlador de dispositivo para el lector de tarjetas inteligentes e instalarlo en el dispositivo de usuario. Muchos lectores de tarjetas inteligentes pueden usar el controlador de dispositivo CCID que proporciona Microsoft.

Es necesario obtener un controlador de dispositivo y el software de proveedor de servicios de cifrado (CSP) del proveedor de la tarjeta inteligente e instalarlos en los dispositivos de usuario y escritorios virtuales. El controlador y el software CSP deben ser compatibles con Citrix XenDesktop. Consulte la documentación del proveedor para ver información sobre compatibilidad. Recomendaciones de Citrix:

  • Instale los controladores y el software CSP antes de instalar cualquier software de Citrix.
  • Instale y pruebe los controladores en un equipo físico antes de instalar el software de Citrix.
Nota: Para los escritorios virtuales Windows 7 con tarjetas inteligentes que admiten y usan el modelo de minicontroladores, los minicontroladores de tarjeta inteligente deberían descargarse automáticamente, pero pueden obtenerse en http://catalog.update.microsoft.com o del proveedor. Además, si se necesita middleware de PKCS #11, puede obtenerlo del proveedor de tarjetas.

El respaldo para tarjetas inteligentes también incluye componentes disponibles a través de socios de Citrix. Los socios actualizan de forma independiente estos componentes, los cuales no se describen en estos temas. Para obtener más información, consulte el programa Citrix Ready en http://www.citrix.com/ready/.

Acceso remoto con tarjetas inteligentes

  • El uso de tarjetas inteligentes está respaldado solo para el acceso remoto a PC físicos de oficina que ejecutan Windows 7 o Windows 8; el uso de tarjetas inteligentes no está respaldado para PC de oficina que ejecuta Windows XP.
  • Las siguientes tarjetas inteligentes fueron sometidas a prueba para el acceso con Remote PC:
    • Gemalto .Net 2.0 con minicontrolador Gemalto .Net
    • Gemalto IDPrime .NET 510 con minicontrolador Gemalto .Net
    • Gemalto PIV con ActivIdentity ActivClient 6.2

Dispositivos de usuario

Los dispositivos de usuario deben ejecutar Citrix Receiver, el middleware correspondiente y uno de los siguientes sistemas operativos:

  • Ediciones de 32 y 64 bits de Windows 8 (incluida la Embedded Edition)
  • Ediciones de 32 y 64 bits de Windows 7 (incluida la Embedded Edition)
  • Windows XP Professional, Service Pack 3 (edición de 32 bits)

Middleware

El respaldo para tarjeta inteligente de Receiver está basado en las especificaciones estándar PC/SC de Microsoft. Requisito mínimo: las tarjetas inteligentes y los dispositivos de tarjeta inteligente deben ser compatibles con el sistema operativo Windows subyacente y deben estar aprobados por Microsoft Windows Hardware Quality Labs (WHQL) para utilizarse en equipos con sistemas operativos Windows válidos. Consulte http://www.microsoft.com para obtener más información acerca de la compatibilidad de hardware PC/SC.

Citrix ha probado las siguientes combinaciones de tarjeta inteligente con middleware como ejemplos representativos de su tipo. Sin embargo, también se pueden utilizar otras tarjetas inteligentes y otro middleware. Para obtener más información acerca de tarjetas inteligentes y middleware compatibles con Citrix, consulte http://www.citrix.com/ready.

Windows
Middleware Tarjetas válidas Notas

ActivClient 6.2 (edición DoD CAC) en modo GSC-IS

Tarjeta DoD CAC

ActivClient 7.0 en modo GSC-IS

Tarjeta DoD CAC

ActivClient 7.0 en modo PIV

Tarjeta DoD CAC, tarjeta NIST PIV

Minicontrolador GemAlto para tarjeta .NET

GemAlto IDPrime .NET 510

SafeNet Authentication Client 8.x para Windows

USB eToken 5100

Otros requisitos

Ejecute estas tareas adicionales antes de la implementación de tarjetas inteligentes:

  • Asegúrese de que la infraestructura de clave pública (PKI) está configurada correctamente. Esto incluye comprobar que la asignación de certificados a cuentas está configurada correctamente para el entorno de Active Directory y que la validación de certificados de usuario puede realizarse correctamente.
  • Configure los componentes para que usen TLS 1.0 en el inicio de sesión con tarjeta inteligente.
  • Asegúrese de que su implementación cumple con los requisitos del sistema de los demás componentes de Citrix utilizados con tarjetas inteligentes, incluidos Receiver y StoreFront.