XenApp and XenDesktop

Tarjetas inteligentes

Las tarjetas inteligentes y otras tecnologías equivalentes se admiten si se ajustan a las directrices descritas en este artículo. Para usar tarjetas inteligentes con XenApp o XenDesktop:

  • Debe conocer las directivas de seguridad de la empresa relacionadas con el uso de tarjetas inteligentes. Estas directivas pueden, por ejemplo, indicar cómo se proporcionan las tarjetas inteligentes a los usuarios y cómo estos deben protegerlas. Es posible que algunos aspectos de estas directivas deban evaluarse de nuevo en un entorno XenApp o XenDesktop.
  • Debe determinar los tipos de dispositivos de usuario, sistemas operativos y aplicaciones publicadas que deben usarse con las tarjetas inteligentes.
  • Debe familiarizarse con la tecnología de las tarjetas inteligentes y el proveedor de hardware y software de tarjetas inteligentes que haya elegido.
  • Debe saber cómo implementar certificados digitales en un entorno distribuido.

Tipos de tarjetas inteligentes

Las tarjetas inteligentes de empresa y de consumidor tienen las mismas dimensiones, los mismos conectores eléctricos y se insertan en los mismos lectores de tarjetas inteligentes.

Las tarjetas inteligentes para empresa contienen certificados digitales. Estas tarjetas inteligentes admiten el inicio de sesión Windows, y también se pueden usar con aplicaciones para la firma digital y el cifrado de documentos y correos electrónicos. XenApp y XenDesktop admiten esos usos.

En cambio, las tarjetas inteligentes de consumidor no contienen certificados digitales, sino un secreto compartido. Esas tarjetas inteligentes pueden admitir pagos (como una tarjeta de crédito de chip y firma o de chip y código secreto). No admiten inicios de sesión Windows ni aplicaciones típicas Windows. Por lo que se necesitan aplicaciones Windows especiales y una infraestructura de software adecuada (que incluya, por ejemplo, una conexión a una red de tarjetas de pago). Contacte con su representante de Citrix para averiguar si se admiten esas aplicaciones especializadas en XenApp o XenDesktop.

Para tarjetas inteligentes de empresa, existen opciones equivalentes que son compatibles y se pueden utilizar de una forma similar.

  • Un token USB equivalente a una tarjeta inteligente se conecta directamente a un puerto USB. Esos tokens USB tienen normalmente el tamaño de una unidad flash USB, pero pueden ser tan pequeños como la tarjeta SIM de un teléfono móvil. Aparecen como la combinación de una tarjeta inteligente y un lector USB de tarjetas inteligentes.
  • Una tarjeta inteligente virtual que utiliza el módulo de plataforma segura (Trusted Platform Module) de Windows aparece como una tarjeta inteligente. Esas tarjetas inteligentes virtuales se admiten en Windows 8 y Windows 10 con Citrix Receiver 4.3 como versión mínima.
    • Las versiones de XenApp y XenDesktop que sean anteriores a 7.6 FP3 no admiten tarjetas inteligentes virtuales.
    • Para obtener más información acerca de las tarjetas inteligentes virtuales, consulte Virtual Smart Card Overview.

Nota: El término “tarjeta inteligente virtual” también se utiliza para designar un certificado digital que se almacena simplemente en el equipo del usuario. Esos certificados digitales no son estrictamente equivalentes a tarjetas inteligentes.

La compatibilidad con la tarjeta inteligente en XenApp y XenDesktop está basada en las especificaciones estándar Personal Computer/Smart Card (PC/SC) de Microsoft. Requisito mínimo: las tarjetas inteligentes y los dispositivos de tarjeta inteligente deben ser compatibles con el sistema operativo Windows subyacente y deben estar aprobados por Microsoft Windows Hardware Quality Labs (WHQL) para utilizarse en equipos con sistemas operativos Windows válidos. Consulte la documentación de Microsoft para obtener más información sobre el cumplimiento normativo de hardware de PC/SC. Existen otros tipos de dispositivos de usuario que pueden cumplir el estándar PS/SC. Para obtener más información, consulte el programa Citrix Ready en https://www.citrix.com/ready/.

Por lo general, se necesita un controlador de dispositivo independiente para la tarjeta inteligente o equivalente de cada proveedor. Sin embargo, si las tarjetas inteligentes cumplen un estándar como Personal Identity Verification (PIV) de NIST, se puede usar un solo controlador de dispositivo para una gama de tarjetas inteligentes. El controlador del dispositivo debe instalarse tanto en el dispositivo del usuario como en Virtual Delivery Agent (VDA). Ese controlador de dispositivo se incluye a menudo en el paquete de middleware de la tarjeta inteligente, disponible de un socio de Citrix. Ese paquete ofrece funciones avanzadas. El controlador del dispositivo también puede describirse como un minicontrolador, un proveedor de servicios de cifrado (CSP) o un proveedor de almacenamiento de claves (KSP).

Citrix ha probado las siguientes combinaciones de tarjeta inteligente con middleware para sistemas Windows como ejemplos representativos de su tipo. Sin embargo, también se pueden utilizar otras tarjetas inteligentes y otro middleware. Para obtener más información acerca de tarjetas inteligentes y middleware compatibles con Citrix, consulte https://www.citrix.com/ready.

Middleware Tarjetas válidas
ActivClient 7.0 (modo DoD habilitado) Tarjeta DoD CAC
ActivClient 7.0 en modo PIV Tarjeta NIST PIV
Minicontrolador de Microsoft Tarjeta NIST PIV
Minicontrolador GemAlto para tarjeta .NET GemAlto .NET v2+
Controlador nativo de Microsoft Tarjetas inteligentes virtuales (TPM)

Para obtener más información sobre el uso de tarjetas inteligentes con otros tipos de dispositivo, consulte la documentación de Citrix Receiver referente al dispositivo concreto.

Para obtener más información sobre el uso de tarjetas inteligentes con otros tipos de dispositivo, consulte la documentación de Citrix Receiver referente al dispositivo concreto.

Acceso con Remote PC

El uso de tarjetas inteligentes se admite solamente en el acceso remoto a PC físicos de oficina con Windows 10, Windows 8 o Windows 7; no se admiten tarjetas inteligentes en PC de oficina con Windows XP.

Las siguientes tarjetas inteligentes se han probado con el acceso con Remote PC:

Middleware Tarjetas válidas
Minicontrolador Gemalto .NET Gemalto .NET v2+
ActivIdentity ActivClient 6.2 NIST PIV
ActivIdentity ActivClient 6.2 CAC
Minicontrolador de Microsoft NIST PIV
Controlador nativo de Microsoft Tarjetas inteligentes virtuales

Tipos de lectores de tarjetas inteligentes

El lector de tarjetas inteligentes se puede integrar en el dispositivo del usuario, o bien se puede conectar al dispositivo del usuario (normalmente mediante USB o Bluetooth). Se admiten los lectores de tarjetas con contacto que cumplen con la especificación de los dispositivos de interfaz de tarjetas inteligentes/chips USB (CCID). Contienen una ranura donde el usuario debe introducir o pasar la tarjeta inteligente. El estándar (Deutsche Kreditwirtschaft DK) define cuatro clases de lectores de tarjetas con contacto.

  • Los lectores de tarjetas inteligentes de clase 1 son los más comunes, y normalmente solo contienen una ranura. Por norma general, los lectores de tarjetas inteligentes de clase 1 se admiten con un controlador de dispositivo CCID estándar que se suministra con el sistema operativo.
  • Los lectores de tarjetas inteligentes de clase 2 constan, además, de un teclado seguro al que no se puede acceder desde el dispositivo de usuario. Los lectores de tarjetas inteligentes de clase 2 pueden estar integrados en un teclado que contenga a su vez un teclado numérico seguro. Para lectores de tarjetas inteligentes de clase 2, póngase en contacto con su representante de Citrix. Puede ser necesario un controlador de dispositivo específico del lector para habilitar la función de teclado numérico seguro.
  • Los lectores de tarjetas inteligentes de clase 3 contienen, además, una pantalla segura. Los lectores de tarjetas inteligentes de clase 3 no se admiten.
  • Los lectores de tarjetas inteligentes de clase 4 contienen, además, un módulo de transacción segura. Los lectores de tarjetas inteligentes de clase 4 no se admiten.

Nota: La clase que tenga el lector de tarjetas inteligentes no tiene que ver con la clase de dispositivo USB.

Los lectores de tarjetas inteligentes deben instalarse con el controlador de dispositivo correspondiente en el dispositivo de usuario.

Para obtener información sobre los lectores admitidos de tarjetas inteligentes, consulte la documentación de la versión de Citrix Receiver que utiliza. En la documentación de Citrix Receiver, las versiones admitidas se incluyen normalmente en el artículo de tarjetas inteligentes o en el artículo de requisitos del sistema.

Experiencia de usuario

La compatibilidad con tarjetas inteligentes está integrada en XenApp y XenDesktop mediante un canal virtual ICA/HDX específico para tarjetas inteligentes que está habilitado de forma predeterminada.

Importante: No utilice la redirección de USB genérico para lectores de tarjetas inteligentes. Esta funcionalidad está inhabilitada de forma predeterminada para lectores de tarjetas inteligentes y no se admite si se habilita.

Es posible utilizar varias tarjetas inteligentes y varios lectores en el mismo dispositivo de usuario, pero si la autenticación PassThrough se encuentra en uso solo debe insertarse una tarjeta inteligente cuando el usuario inicia un escritorio virtual o una aplicación. Cuando se utiliza una tarjeta inteligente en una aplicación (por ejemplo, para las funciones de cifrado o firma digital), es posible que aparezcan solicitudes adicionales para insertar una tarjeta inteligente o introducir un PIN. Esto puede suceder cuando se inserta más de una tarjeta inteligente al mismo tiempo.

  • Si se les solicita a los usuarios que inserten una tarjeta inteligente cuando la tarjeta inteligente ya se encuentra en el lector, deben seleccionar Cancelar.
  • Si se solicita el PIN a los usuarios, deben introducirlo de nuevo.

Si está utilizando aplicaciones alojadas ejecutadas en Windows Server 2008 o 2008 R2 y con tarjetas inteligentes que requieren el Proveedor base de servicios de cifrado para tarjetas inteligentes de Microsoft, es posible que, si un usuario ejecuta una transacción de tarjeta inteligente, se bloqueen los demás usuarios que utilizan una tarjeta inteligente en el proceso de inicio de sesión. Para obtener más información y un parche rápido para este problema, consulte https://support.microsoft.com/kb/949538.

Puede restablecer los PIN con un sistema de administración de tarjetas o alguna herramienta del proveedor.

Importante

En una sesión de XenApp o XenDesktop, no se admite el uso de una tarjeta inteligente con la aplicación Conexión a Escritorio remoto de Microsoft. Esto a veces se describe como un uso de “doble salto”.

Antes de implementar tarjetas inteligentes

  • Obtenga un controlador de dispositivo para el lector de tarjetas inteligentes e instálelo en el dispositivo de usuario. Muchos lectores de tarjetas inteligentes pueden usar el controlador de dispositivo CCID que proporciona Microsoft.
  • Obtenga un controlador de dispositivo y el software de proveedor de servicios de cifrado (CSP) del proveedor de la tarjeta inteligente e instálelos en los dispositivos de usuario y escritorios virtuales. El controlador y el software CSP deben ser compatibles con XenApp y XenDesktop; consulte la documentación del proveedor para comprobarlo. Para los escritorios virtuales con tarjetas inteligentes que admiten y usan el modelo de minicontroladores, esos minicontroladores de tarjeta inteligente deberían descargarse automáticamente, aunque pueden obtenerse del proveedor o en https://catalog.update.microsoft.com. Además, si se necesita middleware de PKCS #11, puede obtenerlo del proveedor de tarjetas.
  • Importante: Se recomienda instalar y probar los controladores y el software CSP en un equipo físico antes de instalar el software de Citrix.
  • Agregue la URL de Citrix Receiver para Web a la lista de sitios de confianza para los usuarios que trabajan con tarjetas inteligentes en Internet Explorer con Windows 10. En Windows 10, Internet Explorer no se ejecuta en el modo protegido de forma predeterminada para los sitios de confianza.
  • Asegúrese de que la infraestructura de clave pública (PKI) está configurada correctamente. Esto incluye comprobar que la asignación de certificados a cuentas está configurada correctamente para el entorno de Active Directory y que la validación de certificados de usuario puede realizarse correctamente.
  • Compruebe que su implementación cumple los requisitos del sistema de los demás componentes de Citrix utilizados con tarjetas inteligentes, incluidos Citrix Receiver y StoreFront.
  • Compruebe que tiene acceso a los siguientes servidores de su sitio:
    • El controlador de dominio de Active Directory para la cuenta de usuario que está asociada a un certificado de inicio de sesión de la tarjeta inteligente
    • Delivery Controller
    • Citrix StoreFront
    • Citrix NetScaler Gateway/Citrix Access Gateway 10.x
    • VDA
    • (Optativo para acceso con Remote PC) Microsoft Exchange Server

Habilitar el uso de tarjetas inteligentes

Paso 1. Proporcione tarjetas inteligentes a los usuarios de acuerdo con su directiva de emisión de tarjetas.

Paso 2. (Opcional) Configure las tarjetas inteligentes para permitir a los usuarios el acceso con Remote PC.

Paso 3. Instale y configure el Delivery Controller y StoreFront (si no están ya instalados) para la comunicación remota con tarjetas inteligentes.

Paso 4. Habilite StoreFront para el uso de tarjetas inteligentes. Para obtener más información, consulte Configuración de la autenticación con tarjeta inteligente en la documentación de StoreFront.

Paso 5. Habilite NetScaler Gateway o Access Gateway para el uso de tarjetas inteligentes. Para obtener más información, consulte Configuración de la autenticación y la autorización y Configuración del acceso de tarjetas inteligentes con la Interfaz Web en la documentación de NetScaler.

Paso 6. Habilite agentes VDA para el uso de tarjetas inteligentes.

  • Compruebe que el VDA tiene las aplicaciones y las actualizaciones necesarias.
  • Instale el middleware.
  • Configure la comunicación remota de la tarjeta inteligente, con lo que se habilita la comunicación de datos de tarjeta inteligente entre Citrix Receiver en un dispositivo de usuario y una sesión de escritorio virtual.

Paso 7. Habilite los dispositivos de usuario (incluidas las máquinas que estén o no estén unidas a un dominio) para el uso de tarjetas inteligentes. Para obtener más información, consulte Configuración de la autenticación con tarjeta inteligente en la documentación de StoreFront.

  • Importe el certificado raíz y el certificado de emisión de la entidad de certificación en el almacén de claves del dispositivo.
  • Instale el middleware del proveedor de la tarjeta inteligente.
  • Instale y configure Citrix Receiver para Windows; importe icaclient.adm mediante la Consola de administración de directivas de grupo y habilite la autenticación con tarjeta inteligente.

Paso 8. Realice pruebas en la implementación. Compruebe que la implementación está correctamente configurada iniciando un escritorio virtual con la tarjeta inteligente de un usuario de prueba. Pruebe todos los mecanismos de acceso posibles (por ejemplo, el acceso al escritorio a través de Internet Explorer y Citrix Receiver).

Tarjetas inteligentes