Distribuzioni con smart card
I seguenti tipi di distribuzioni con smart card sono supportati da questa versione del prodotto e dagli ambienti misti contenenti questa versione. Altre configurazioni potrebbero funzionare, ma non sono supportate.
Tipo | Connettività StoreFront |
---|---|
Computer aggiunti a un dominio locale | Connessione diretta |
Accesso remoto da computer aggiunti a un dominio | Connessione tramite Citrix Gateway |
Computer non aggiunti a un dominio | Connessione diretta |
Accesso remoto da computer non aggiunti a un dominio | Connessione tramite Citrix Gateway |
Computer e thin client non aggiunti a un dominio che accedono al sito Desktop Appliance | Connessione tramite siti Desktop Appliance |
Computer aggiunti a un dominio e thin client che accedono a StoreFront tramite l’URL dei servizi XenApp | Connessione tramite gli URL dei servizi XenApp |
I tipi di distribuzione sono definiti dalle caratteristiche del dispositivo utente a cui è collegato il lettore di smart card:
- Se il dispositivo è aggiunto o meno a un dominio.
- Come il dispositivo è connesso a StoreFront.
- Quale software viene utilizzato per visualizzare desktop virtuali e applicazioni.
In queste distribuzioni è inoltre possibile utilizzare applicazioni abilitate per smart card come Microsoft Word e Microsoft Excel. Tali applicazioni consentono agli utenti di firmare o crittografare digitalmente i documenti.
Autenticazione bimodale
Ove possibile in ciascuna di queste distribuzioni, Receiver supporta l’autenticazione bimodale offrendo all’utente la possibilità di scegliere tra l’utilizzo di una smart card e l’immissione del nome utente e della password. Ciò è utile se non è possibile utilizzare la smart card (ad esempio, l’utente l’ha lasciata a casa o il certificato di accesso è scaduto).
Poiché gli utenti di dispositivi non aggiunti a un dominio accedono direttamente a Receiver per Windows, è possibile consentire agli utenti di ricorrere all’autenticazione esplicita. Se si configura l’autenticazione bimodale, agli utenti viene inizialmente richiesto di accedere utilizzando smart card e PIN, ma con la possibilità di selezionare l’autenticazione esplicita in caso di problemi relativi alle smart card.
Se si distribuisce Citrix Gateway, gli utenti accedono ai propri dispositivi e ricevono una richiesta da Receiver per Windows di eseguire l’autenticazione a Citrix Gateway. Questo vale sia per i dispositivi aggiunti a un dominio che per quelli che non lo sono. Gli utenti possono accedere a Citrix Gateway utilizzando la smart card e il PIN o con credenziali esplicite. Ciò consente di fornire agli utenti l’autenticazione bimodale per gli accessi a Citrix Gateway. Configurare l’autenticazione pass-through da Citrix Gateway a StoreFront e delegare la convalida delle credenziali a Citrix Gateway per gli utenti di smart card in modo che vengano autenticati automaticamente su StoreFront.
Considerazioni su più foreste Active Directory
In un ambiente Citrix, le smart card sono supportate all’interno di una singola foresta. Gli accessi con smart card a più foreste richiedono un trust tra foreste bidirezionale diretto per tutti gli account utente. Non sono supportate distribuzioni a più foreste più complesse che coinvolgono smart card (ovvero, dove i trust sono solo unidirezionali o di tipi diversi).
È possibile utilizzare le smart card in un ambiente Citrix che include desktop remoti. Questa funzione può essere installata localmente (sul dispositivo utente a cui è connessa la smart card) o in remoto (sul desktop remoto a cui il dispositivo utente si connette).
Criteri di rimozione delle smart card
Il criterio di rimozione smart card impostato sul prodotto determina cosa accade se la smart card viene rimossa dal lettore durante una sessione. Il criterio di rimozione delle smart card viene configurato e gestito dal sistema operativo Windows.
Impostazione dei criteri | Comportamento desktop |
---|---|
No action | No action. |
Lock workstation | La sessione desktop viene disconnessa e il desktop virtuale viene bloccato. |
Force logoff | L’utente è costretto a scollegarsi. Se la connessione di rete viene persa e questa impostazione è attivata, la sessione potrebbe essere disconnessa e l’utente potrebbe perdere dati. |
Disconnect if a remote Terminal Services session | La sessione viene disconnessa e il desktop virtuale viene bloccato. |
Controllare la revoca dei certificati
Se il controllo della revoca dei certificati è abilitato e un utente inserisce una smart card con un certificato non valido in un lettore di schede, tale utente non può autenticarsi o accedere al desktop o all’applicazione correlata al certificato. Ad esempio, se il certificato non valido viene utilizzato per la decrittografia dei messaggi di posta elettronica, il messaggio di posta elettronica rimane crittografato. Se altri certificati presenti sulla scheda, ad esempio quelli utilizzati per l’autenticazione, sono ancora validi, tali funzioni rimangono attive.
Esempio di distribuzione: computer aggiunti a un dominio
Questa distribuzione include dispositivi utente aggiunti a un dominio che eseguono Desktop Viewer e si connettono direttamente a StoreFront.
Un utente accede a un dispositivo utilizzando una smart card e un PIN. Il destinatario autentica l’utente a un server Storefront utilizzando l’autenticazione integrata di Windows (IWA). StoreFront passa gli identificatori di sicurezza utente (SID) a Citrix Virtual Apps o Citrix Virtual Desktops. Quando l’utente avvia un desktop virtuale o un’applicazione, non gli viene richiesto nuovamente il PIN perché in Receiver è configurata la funzionalità Single Sign-On.
Questa distribuzione può essere estesa a un doppio hop con l’aggiunta di un secondo server StoreFront e di un server che ospita applicazioni. Receiver del desktop virtuale esegue l’autenticazione al secondo server StoreFront. Per questa seconda connessione è possibile utilizzare qualsiasi metodo di autenticazione. La configurazione mostrata per il primo hop può essere riutilizzata nel secondo hop o utilizzata solo nel secondo hop.
Esempio di distribuzione: accesso remoto da computer aggiunti a un dominio
Questa distribuzione include dispositivi utente aggiunti a un dominio che eseguono Desktop Viewer e si connettono a StoreFront tramite Citrix Gateway/Access Gateway.
Un utente accede a un dispositivo utilizzando una smart card e un PIN, quindi esegue nuovamente l’accesso a Citrix Gateway/Access Gateway. Questo secondo accesso può avvenire con smart card e PIN o con un nome utente e una password perché Receiver consente l’autenticazione bimodale in questa distribuzione.
L’utente è connesso automaticamente a StoreFront, che passa gli identificatori di sicurezza utente (SID) a Citrix Virtual Apps o Citrix Virtual Desktops. Quando l’utente avvia un desktop virtuale o un’applicazione, non gli viene richiesto di nuovo un PIN perché in Receiver è configurata la funzionalità Single Sign-On.
Questa distribuzione può essere estesa a un doppio hop con l’aggiunta di un secondo server StoreFront e di un server che ospita applicazioni. Receiver del desktop virtuale esegue l’autenticazione al secondo server StoreFront. Per questa seconda connessione è possibile utilizzare qualsiasi metodo di autenticazione. La configurazione mostrata per il primo hop può essere riutilizzata nel secondo hop o utilizzata solo nel secondo hop.
Esempio di distribuzione: computer non aggiunti a un dominio
Questa distribuzione include dispositivi utente non aggiunti a un dominio che eseguono Desktop Viewer e si connettono direttamente a StoreFront.
Un utente accede a un dispositivo. In genere, l’utente immette un nome utente e una password ma, poiché il dispositivo non è aggiunto a un dominio, le credenziali per questo accesso sono facoltative. Poiché in questa distribuzione è possibile l’autenticazione bimodale, Receiver richiede all’utente una smart card e un PIN oppure un nome utente e una password. Receiver esegue quindi l’autenticazione in Storefront.
StoreFront passa gli identificatori di sicurezza utente (SID) a Citrix Virtual Apps o Citrix Virtual Desktops. Quando l’utente avvia un desktop virtuale o un’applicazione, gli viene richiesto nuovamente il PIN perché la funzionalità Single Sign-On non è disponibile in questa distribuzione.
Questa distribuzione può essere estesa a un doppio hop con l’aggiunta di un secondo server StoreFront e di un server che ospita applicazioni. Receiver del desktop virtuale esegue l’autenticazione al secondo server StoreFront. Per questa seconda connessione è possibile utilizzare qualsiasi metodo di autenticazione. La configurazione mostrata per il primo hop può essere riutilizzata nel secondo hop o utilizzata solo nel secondo hop.
Esempio di distribuzione: accesso remoto da computer non aggiunti a un dominio
Questa distribuzione include dispositivi utente non aggiunti a un dominio che eseguono Desktop Viewer e si connettono direttamente a StoreFront.
Un utente accede a un dispositivo. In genere, l’utente immette un nome utente e una password ma, poiché il dispositivo non è aggiunto a un dominio, le credenziali per questo accesso sono facoltative. Poiché in questa distribuzione è possibile l’autenticazione bimodale, Receiver richiede all’utente una smart card e un PIN oppure un nome utente e una password. Receiver esegue quindi l’autenticazione in Storefront.
StoreFront passa gli identificatori di sicurezza utente (SID) a Citrix Virtual Apps o Citrix Virtual Desktops. Quando l’utente avvia un desktop virtuale o un’applicazione, gli viene richiesto nuovamente il PIN perché la funzionalità Single Sign-On non è disponibile in questa distribuzione.
Questa distribuzione può essere estesa a un doppio hop con l’aggiunta di un secondo server StoreFront e di un server che ospita applicazioni. Receiver del desktop virtuale esegue l’autenticazione al secondo server StoreFront. Per questa seconda connessione è possibile utilizzare qualsiasi metodo di autenticazione. La configurazione mostrata per il primo hop può essere riutilizzata nel secondo hop o utilizzata solo nel secondo hop.
Esempio di distribuzione: computer non aggiunti a un dominio e thin client che accedono al sito Desktop Appliance
Questa distribuzione riguarda dispositivi utente non aggiunti a un dominio che possono eseguire Desktop Lock e connettersi a StoreFront tramite i siti Desktop Appliance.
Desktop Lock è un componente separato rilasciato con Citrix Virtual Apps, Citrix Virtual Desktops e VDI-in-a-Box. Si tratta di un’alternativa a Desktop Viewer ed è progettato principalmente per computer Windows reimpiegati e thin client Windows. Desktop Lock sostituisce la shell di Windows e Task Manager in questi dispositivi utente, impedendo agli utenti di accedere ai dispositivi sottostanti. Con Desktop Lock, gli utenti possono accedere ai desktop di Windows Server Machine e ai desktop di Windows Desktop Machine. L’installazione di Desktop Lock è facoltativa.
Un utente accede a un dispositivo con una smart card. Se Desktop Lock è in esecuzione sul dispositivo, questo è configurato per l’avvio di un sito Desktop Appliance tramite Internet Explorer in esecuzione in modalità Kiosk. Un controllo ActiveX nel sito richiede all’utente di immettere un PIN e lo invia a StoreFront. StoreFront passa gli identificatori di sicurezza utente (SID) a Citrix Virtual Apps o Citrix Virtual Desktops. Viene avviato il primo desktop disponibile nell’elenco alfabetico di un gruppo desktop assegnato.
Questa distribuzione può essere estesa a un doppio hop con l’aggiunta di un secondo server StoreFront e di un server che ospita applicazioni. Receiver del desktop virtuale esegue l’autenticazione al secondo server StoreFront. Per questa seconda connessione è possibile utilizzare qualsiasi metodo di autenticazione. La configurazione mostrata per il primo hop può essere riutilizzata nel secondo hop o utilizzata solo nel secondo hop.
Esempio di distribuzione: computer aggiunti a un dominio e thin client che accedono a StoreFront tramite l’URL dei servizi XenApp
Questa distribuzione riguarda i dispositivi utente aggiunti a un dominio che eseguono Desktop Lock e si connettono a StoreFront tramite URL di servizi XenApp.
Desktop Lock è un componente separato rilasciato con Citrix Virtual Apps, Citrix Virtual Desktops e VDI-in-a-Box. Si tratta di un’alternativa a Desktop Viewer ed è progettato principalmente per computer Windows reimpiegati e thin client Windows. Desktop Lock sostituisce la shell di Windows e Task Manager in questi dispositivi utente, impedendo agli utenti di accedere ai dispositivi sottostanti. Con Desktop Lock, gli utenti possono accedere ai desktop di Windows Server Machine e ai desktop di Windows Desktop Machine. L’installazione di Desktop Lock è facoltativa.
Un utente accede a un dispositivo utilizzando una smart card e un PIN. Se è in esecuzione sul dispositivo, Desktop Lock autentica l’utente a un server Storefront utilizzando l’autenticazione integrata di Windows (IWA). StoreFront passa gli identificatori di sicurezza utente (SID) a Citrix Virtual Apps o Citrix Virtual Desktops. Quando l’utente avvia un desktop virtuale, non gli viene richiesto nuovamente il PIN perché in Receiver è configurata la funzionalità Single Sign-On.
Questa distribuzione può essere estesa a un doppio hop con l’aggiunta di un secondo server StoreFront e di un server che ospita applicazioni. Receiver del desktop virtuale esegue l’autenticazione al secondo server StoreFront. Per questa seconda connessione è possibile utilizzare qualsiasi metodo di autenticazione. La configurazione mostrata per il primo hop può essere riutilizzata nel secondo hop o utilizzata solo nel secondo hop.
In questo articolo
- Autenticazione bimodale
- Considerazioni su più foreste Active Directory
- Criteri di rimozione delle smart card
- Controllare la revoca dei certificati
- Esempio di distribuzione: computer aggiunti a un dominio
- Esempio di distribuzione: accesso remoto da computer aggiunti a un dominio
- Esempio di distribuzione: computer non aggiunti a un dominio
- Esempio di distribuzione: accesso remoto da computer non aggiunti a un dominio
- Esempio di distribuzione: computer non aggiunti a un dominio e thin client che accedono al sito Desktop Appliance
- Esempio di distribuzione: computer aggiunti a un dominio e thin client che accedono a StoreFront tramite l’URL dei servizi XenApp