Product Documentation

Autenticación segura con tarjetas inteligentes

Nov 11, 2015

Si su organización utiliza tarjetas inteligentes para la autenticación de usuarios, XenApp y XenDesktop admiten la autenticación con tarjetas inteligentes dentro de las directrices establecidas aquí.

Administración de tarjetas inteligentes

Consideraciones al administrar tarjetas inteligentes en su organización:

  • Es posible utilizar varias tarjetas inteligentes y varios lectores en el mismo dispositivo de usuario, pero si la autenticación PassThrough se encuentra en uso solo debe insertarse una tarjeta inteligente cuando el usuario inicia un escritorio virtual o una aplicación. Cuando se utiliza una tarjeta inteligente en una aplicación (por ejemplo, para las funciones de cifrado o firma digital), es posible que aparezcan solicitudes adicionales para insertar una tarjeta inteligente o introducir un PIN. Esto puede suceder cuando se inserta más de una tarjeta inteligente al mismo tiempo. Si se les solicita a los usuarios que inserten una tarjeta inteligente cuando la tarjeta inteligente ya se encuentra en el lector, deben seleccionar Cancelar. Si se les solicita el PIN, deben introducirlo de nuevo.
  • Si está utilizando aplicaciones alojadas ejecutadas en Windows Server 2008 o 2008 R2 y con tarjetas inteligentes que requieren el Proveedor base de servicios de cifrado para tarjetas inteligentes de Microsoft, es posible que, si un usuario ejecuta una transacción de tarjeta inteligente, se bloqueen los demás usuarios que utilizan una tarjeta inteligente en el proceso de inicio de sesión. Para obtener más información y una revisión hotfix para este tema, consulte http://support.microsoft.com/kb/949538.

Es posible que su organización disponga de directivas de seguridad específicas relacionadas con el uso de tarjetas inteligentes. Estas directivas pueden, por ejemplo, indicar cómo se proporcionan las tarjetas inteligentes a los usuarios y cómo estos deben protegerlas. Es posible que algunos aspectos de estas directivas deban evaluarse de nuevo en un entorno XenApp o XenDesktop.

Puede restablecer los PIN con un sistema de administración de tarjetas o alguna herramienta del proveedor.

Implementaciones de tarjetas inteligentes respaldadas

Los siguientes tipos de implementaciones de tarjetas inteligentes son compatibles con esta versión y con entornos mixtos de esta versión. Las implementaciones se describen detalladamente en otros temas de esta sección. Hay otras configuraciones que pueden funcionar, pero no reciben respaldo.

Tipo Conectividad con StoreFront
Equipos unidos a un dominio local Conectados directamente
Acceso remoto desde equipos unidos a un dominio Conectados a través de NetScaler Gateway
Equipos no unidos a dominio Conectados directamente
Acceso remoto desde equipos no unidos a un dominio Conectados a través de NetScaler Gateway
Clientes ligeros y equipos que no pertenecen a un dominio y acceden a un sitio de Desktop Appliance Conectados a través de sitios de Desktop Appliance
Clientes ligeros y equipos que pertenecen a un dominio y acceden a StoreFront con una URL de Servicios XenApp Conectados a través de direcciones URL de Servicios XenApp

Los tipos de implementación se definen por estas características del dispositivo del usuario al que está conectado el lector de tarjetas inteligentes:

  • Si el dispositivo está unido a un dominio o no.
  • Cómo se conecta el dispositivo con StoreFront.
  • Qué software se usa para ver las aplicaciones y los escritorios virtuales.

Además, las aplicaciones habilitadas para tarjeta inteligente, tales como Microsoft Word y Microsoft Excel, también se pueden utilizar en estas implementaciones. Estas aplicaciones permiten a los usuarios firmar o cifrar documentos digitalmente.

Autenticación bimodal

Cuando es posible en cada una de estas implementaciones, Receiver admite la autenticación bimodal, que ofrece al usuario la posibilidad de elegir si quiere autenticarse con tarjeta inteligente o con nombre de usuario y contraseña. Esto resulta útil cuando no se puede usar la tarjeta inteligente por alguna razón (por ejemplo, si el usuario la olvidó en casa o el certificado de inicio de sesión caducó).

Como los usuarios de dispositivos que no pertenecen a un dominio inician sesión en Receiver para Windows directamente, puede permitir que los usuarios recurran a la autenticación explícita. Si configura la autenticación bimodal, a los usuarios se les solicita que inicien sesión con una tarjeta inteligente y su PIN, pero tienen la opción de seleccionar la autenticación explícita si tienen problemas con las tarjetas inteligentes.

Si implementa NetScaler Gateway, los usuarios inician sesión en sus dispositivos y Receiver para Windows les pedirá autenticarse en NetScaler Gateway. Esto se aplica a dispositivos unidos a un dominio y a dispositivos que no pertenecen a ningún dominio. Los usuarios pueden iniciar sesión en NetScaler Gateway con su tarjeta inteligente y su PIN o con credenciales explícitas. Esto permite ofrecer a los usuarios la autenticación bimodal para los inicios de sesión de NetScaler Gateway. Configure la autenticación PassThrough de NetScaler Gateway a StoreFront y delegue la validación de las credenciales a NetScaler Gateway para los usuarios de tarjeta inteligente de modo que los usuarios se autentiquen silenciosamente en StoreFront.

Consideraciones cuando hay varios bosques de Active Directory

En un entorno Citrix, se respalda el uso de tarjetas inteligentes dentro de un único bosque. Los inicios de sesión con tarjeta inteligente que abarcan varios bosques requieren una relación de confianza bidireccional de bosques en todas las cuentas de usuario. Las implementaciones más complejas de tarjeta inteligente con varios bosques (es decir, donde las relaciones de confianza son unidireccionales o de diferentes tipos) no reciben respaldo.

Se puede usar tarjetas inteligentes en entornos Citrix que incluyen escritorios remotos. Esta función se puede instalar localmente (en el dispositivo de usuario al que está conectada la tarjeta inteligente) o de forma remota (en el escritorio remoto al que se conecta el dispositivo del usuario).

Directiva de extracción de tarjetas inteligentes

La directiva de extracción de tarjetas inteligentes definida en el producto determina el comportamiento al extraer la tarjeta inteligente del lector durante una sesión. El sistema operativo Windows configura y controla esta directiva de extracción.

Configuración de directiva Comportamiento del escritorio

Ninguna acción

Ninguna acción.

Bloquear estación de trabajo

La sesión de escritorio se desconecta y el escritorio virtual queda bloqueado.

Forzar cierre de sesión

El usuario se ve forzado a cerrar la sesión. Si se pierde la conexión de red y esta configuración está habilitada, es posible que se cierre la sesión y el usuario pierda ciertos datos.

Desconectar si es una sesión remota de Terminal Services

La sesión se desconecta y el escritorio virtual queda bloqueado.

Comprobación de revocación de certificados

Si la comprobación de revocación de certificados está habilitada y un usuario introduce una tarjeta inteligente con un certificado no válido en el lector de tarjetas, el usuario no se puede autenticar ni acceder al escritorio o a la aplicación relacionados con el certificado. Por ejemplo, si el certificado no válido se usa para el proceso de descifrado de correo electrónico, el correo electrónico seguirá cifrado. Si hay otros certificados en la tarjeta, tales como los utilizados para la autenticación, que aún son válidos, sus funciones permanecen activas.

Ejemplos

Aquí presentamos algunos ejemplos de implementación de tarjetas inteligentes.

Equipos unidos por dominio

Esta implementación contiene dispositivos de usuario que están unidos a un dominio, y que ejecutan Desktop Viewer y se conectan directamente a StoreFront.



El usuario inicia sesión en un dispositivo usando una tarjeta inteligente y un PIN. Receiver autentica al usuario en un servidor StoreFront mediante la autenticación integrada de Windows (IWA). StoreFront pasa los identificadores de seguridad del usuario (SID) a XenApp o XenDesktop. Cuando el usuario inicia una aplicación o un escritorio virtual, no se vuelve a solicitar el PIN al usuario porque la función de Single Sign-On está configurada en Receiver.

Esta implementación se puede ampliar a una configuración de doble salto con la incorporación de un segundo servidor StoreFront y un servidor que aloja aplicaciones. Un Receiver desde el escritorio virtual se autentica en el segundo servidor StoreFront. Con esta segunda conexión se puede usar cualquier método de autenticación. La configuración que se muestra para el primer salto se puede volver a utilizar en el segundo salto o usarse en el segundo salto solamente.

Acceso remoto desde equipos unidos a un dominio

Esta implementación contiene dispositivos de usuario que están unidos a un dominio, y que ejecutan Desktop Viewer y se conectan a StoreFront a través de NetScaler Gateway/Access Gateway.



El usuario inicia una sesión en un dispositivo usando una tarjeta inteligente y un PIN y, a continuación, inicia otra sesión en NetScaler Gateway/Access Gateway. Este segundo inicio de sesión puede realizarse con la tarjeta inteligente y el PIN, o con un nombre de usuario y una contraseña, porque Receiver permite la autenticación bimodal en esta implementación.

El usuario inicia sesión automáticamente en StoreFront, el cual pasa los identificadores de seguridad (SID) del usuario a XenApp o XenDesktop. Cuando el usuario inicia una aplicación o un escritorio virtual, no se vuelve a solicitar el PIN al usuario porque la función de Single Sign-On está configurada en Receiver.

Esta implementación se puede ampliar a una configuración de doble salto con la incorporación de un segundo servidor StoreFront y un servidor que aloja aplicaciones. Un Receiver desde el escritorio virtual se autentica en el segundo servidor StoreFront. Con esta segunda conexión se puede usar cualquier método de autenticación. La configuración que se muestra para el primer salto se puede volver a utilizar en el segundo salto o usarse en el segundo salto solamente.

Equipos no unidos a dominio

Esta implementación contiene dispositivos de usuario que no están unidos a un dominio, y que ejecutan Desktop Viewer y se conectan directamente a StoreFront.



El usuario inicia la sesión en un dispositivo. Por lo general, el usuario introduce un nombre de usuario y una contraseña pero, como el dispositivo no está unido a un dominio, las credenciales de inicio de sesión son optativas. Como la autenticación bimodal es posible en esta implementación, Receiver pide al usuario una tarjeta inteligente y un PIN, o un nombre de usuario y una contraseña. A continuación, Receiver se autentica en Storefront.

StoreFront pasa los identificadores de seguridad del usuario (SID) a XenApp o XenDesktop. Cuando el usuario inicia una aplicación o un escritorio virtual, se solicita un PIN al usuario de nuevo porque la función de Single Sign-On no está disponible en esta implementación.

Esta implementación se puede ampliar a una configuración de doble salto con la incorporación de un segundo servidor StoreFront y un servidor que aloja aplicaciones. Un Receiver desde el escritorio virtual se autentica en el segundo servidor StoreFront. Con esta segunda conexión se puede usar cualquier método de autenticación. La configuración que se muestra para el primer salto se puede volver a utilizar en el segundo salto o usarse en el segundo salto solamente.

Acceso remoto desde equipos no unidos a un dominio

Esta implementación contiene dispositivos de usuario que no están unidos a un dominio, y que ejecutan Desktop Viewer y se conectan directamente a StoreFront.



El usuario inicia la sesión en un dispositivo. Por lo general, el usuario introduce un nombre de usuario y una contraseña pero, como el dispositivo no está unido a un dominio, las credenciales de inicio de sesión son optativas. Como la autenticación bimodal es posible en esta implementación, Receiver pide al usuario una tarjeta inteligente y un PIN, o un nombre de usuario y una contraseña. A continuación, Receiver se autentica en Storefront.

StoreFront pasa los identificadores de seguridad del usuario (SID) a XenApp o XenDesktop. Cuando el usuario inicia una aplicación o un escritorio virtual, se solicita un PIN al usuario de nuevo porque la función de Single Sign-On no está disponible en esta implementación.

Esta implementación se puede ampliar a una configuración de doble salto con la incorporación de un segundo servidor StoreFront y un servidor que aloja aplicaciones. Un Receiver desde el escritorio virtual se autentica en el segundo servidor StoreFront. Con esta segunda conexión se puede usar cualquier método de autenticación. La configuración que se muestra para el primer salto se puede volver a utilizar en el segundo salto o usarse en el segundo salto solamente.

Clientes ligeros y equipos que no pertenecen a un dominio y acceden a un sitio de Desktop Appliance

Esta implementación contiene dispositivos de usuario que no están unidos a un dominio que pueden ejecutar Desktop Lock y se conectan a StoreFront a través de sitios de Desktop Appliance.

Desktop Lock es un componente separado que se ha publicado con XenApp, XenDesktop y VDI-in-a-Box. Es una alternativa a Desktop Viewer que se ha diseñado principalmente para equipos Windows reasignados y clientes ligeros Windows. Desktop Lock reemplaza el shell y el Administrador de tareas de Windows en los dispositivos de los usuarios, lo que impide que los usuarios accedan al dispositivo subyacente. Con Desktop Lock, los usuarios pueden acceder a los escritorios de máquinas de servidor Windows y a escritorios de máquinas de escritorio Windows.

Nota: La instalación de Desktop Lock es optativa.


El usuario inicia una sesión en un dispositivo usando una tarjeta inteligente. Si Desktop Lock se está ejecutando en el dispositivo, el dispositivo está configurado para iniciar el sitio de Desktop Appliance a través de Internet Explorer ejecutado en modo quiosco (pantalla completa). Un control ActiveX en el sitio solicita el PIN al usuario y lo envía a StoreFront. StoreFront pasa los identificadores de seguridad del usuario (SID) a XenApp o XenDesktop. Se iniciará el primer escritorio que esté disponible en la lista alfabética del grupo de escritorios asignado.

Esta implementación se puede ampliar a una configuración de doble salto con la incorporación de un segundo servidor StoreFront y un servidor que aloja aplicaciones. Un Receiver desde el escritorio virtual se autentica en el segundo servidor StoreFront. Con esta segunda conexión se puede usar cualquier método de autenticación. La configuración que se muestra para el primer salto se puede volver a utilizar en el segundo salto o usarse en el segundo salto solamente.

Clientes ligeros y equipos que pertenecen a un dominio y acceden a StoreFront con una URL de Servicios XenApp

Esta implementación contiene dispositivos de usuario que están unidos a un dominio y que ejecutan Desktop Lock y se conectan a StoreFront a través de direcciones URL de Servicios XenApp.

Desktop Lock es un componente separado que se ha publicado con XenApp, XenDesktop y VDI-in-a-Box. Es una alternativa a Desktop Viewer que se ha diseñado principalmente para equipos Windows reasignados y clientes ligeros Windows. Desktop Lock reemplaza el shell y el Administrador de tareas de Windows en los dispositivos de los usuarios, lo que impide que los usuarios accedan al dispositivo subyacente. Con Desktop Lock, los usuarios pueden acceder a los escritorios de máquinas de servidor Windows y a escritorios de máquinas de escritorio Windows.

Nota: La instalación de Desktop Lock es optativa.


El usuario inicia sesión en un dispositivo usando una tarjeta inteligente y un PIN. Si Desktop Lock se está ejecutando en el dispositivo, autentica al usuario en un servidor StoreFront mediante la autenticación integrada de Windows (IWA). StoreFront pasa los identificadores de seguridad del usuario (SID) a XenApp o XenDesktop. Cuando el usuario inicia un escritorio virtual, no se vuelve a solicitar el PIN al usuario porque la función de Single Sign-On está configurada en Receiver.

Esta implementación se puede ampliar a una configuración de doble salto con la incorporación de un segundo servidor StoreFront y un servidor que aloja aplicaciones. Un Receiver desde el escritorio virtual se autentica en el segundo servidor StoreFront. Con esta segunda conexión se puede usar cualquier método de autenticación. La configuración que se muestra para el primer salto se puede volver a utilizar en el segundo salto o usarse en el segundo salto solamente.

Autenticación PassThrough y Single Sign-On con tarjetas inteligentes

Autenticación mediante paso de credenciales (PassThrough)

La autenticación PassThrough (paso de credenciales) con tarjeta inteligente en los escritorios virtuales está respaldada en dispositivos de usuario que ejecutan alguno de los siguientes sistemas operativos:

  • Windows 8
  • Windows 7 SP1, ediciones Enterprise y Professional
  • Windows XP Service Pack 3, edición de 32 bits

La autenticación PassThrough con tarjeta inteligente en aplicaciones alojadas está respaldada en servidores que ejecutan alguno de los siguientes sistemas operativos:

  • Windows Server 2012
  • Windows Server 2008

Para utilizar la autenticación PassThrough con tarjeta inteligente en aplicaciones alojadas, habilite el uso de Kerberos cuando configure PassThrough con tarjeta inteligente como el método de autenticación para el sitio.

Nota: La disponibilidad de la autenticación PassThrough con tarjeta inteligente depende de varios factores, incluidos, entre otros:
  • Las directivas de seguridad de la organización respecto a la autenticación PassThrough.
  • El tipo y la configuración del middleware.
  • Los tipos de lectores de tarjetas inteligentes.
  • Las directivas de caché de PIN en el middleware.

La autenticación PassThrough con tarjeta inteligente se configura en Citrix StoreFront. Consulte Configuración del servicio de autenticación para obtener más detalles.

Single Sign-on

Single Sign-on es una función de Citrix que implementa la autenticación PassThrough en el inicio de escritorios virtuales y aplicaciones. Puede utilizar esta característica en implementaciones de tarjeta inteligente unidas a dominio, para autenticación directa a StoreFront y desde NetScaler a StoreFront para reducir el número de veces que los usuarios tienen que introducir su PIN. Para usar el inicio Single Sign-On en estos tipos de implementación, modifique los siguientes parámetros en default.ica. Este archivo se encuentra en el servidor StoreFront:

  • Implementaciones de tarjeta inteligente unidas a dominio, directas a StoreFront: Defina DisableCtrlAltDel como Off
  • Implementaciones de tarjeta inteligente unidas a dominio, desde NetScaler a StoreFront: Defina UseLocalUserAndPassword como On

Para obtener instrucciones sobre cómo configurar estos parámetros, consulte la documentación de StoreFront o NetScaler Gateway.

La disponibilidad de la funcionalidad de Single Sign-On depende de varios factores, incluidos, entre otros:

  • Las directivas de seguridad de la organización respecto al inicio de sesión único.
  • El tipo y la configuración del middleware.
  • Los tipos de lectores de tarjetas inteligentes.
  • Las directivas de caché de PIN en el middleware.
Nota: Cuando el usuario inicia sesión en Virtual Delivery Agent (VDA) y hay un lector de tarjeta inteligente conectado, puede aparecer un icono de Windows que representa el método de autenticación utilizado con éxito anteriormente, el cual puede ser una tarjeta inteligente o contraseña. Como resultado, cuando se habilita Single Sign-On, puede aparecer el icono de Single Sign-On. Para iniciar sesión, el usuario debe hacer clic en Cambiar de usuario para seleccionar otro icono, ya que el de Single Sign-On no funcionará.