Documentazione dei prodotti
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Visualizza PDF

Configurare l’autenticazione con smart card per Web Studio

January 23, 2026
Grazie al contributo di: 
C

Questo articolo illustra i passaggi necessari per configurare e abilitare l’autenticazione con smart card per Web Studio:

Fase 1: Installare il driver della smart card

Fase 2: Rilasciare i certificati per gli utenti di smart card

Fase 3: Registrare i certificati per gli utenti di smart card

Fase 4: Configurare i server IIS di Web Studio

Fase 5 (Facoltativo) Configurare le deleghe di autenticazione per Web Studio

Fase 6: Abilitare l’autenticazione con smart card per Web Studio

Nota:

L’autenticazione con smart card è supportata solo per gli utenti dello stesso dominio Active Directory dei server Web Studio.

Fase 1: Installare il driver della smart card

Installare il driver della smart card sulle seguenti macchine:

  • Controller di dominio in cui è installato il Servizio certificati.
  • Server Web Studio
  • Macchine utilizzate dagli utenti finali per accedere a Web Studio
  • Macchine utilizzate per registrare i certificati per gli utenti di smart card

I driver delle smart card variano a seconda del fornitore. Ad esempio, se si utilizza hardware per smart card fornito da ITS, scaricare i driver SaftNet da https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers.

Fase 2: Rilasciare i certificati per gli utenti di smart card

Nota:

I seguenti passaggi sono forniti come esempio per guidarLa attraverso il processo.

Sul Controller di dominio, seguire questi passaggi per completare l’attività:

  1. Accedere al Controller di dominio e aprire Autorità di certificazione.

    avvia ca

  2. Duplicare il modello Agente di registrazione. I passaggi dettagliati sono i seguenti:

    1. Fare clic con il pulsante destro del mouse su Modelli di certificato e selezionare Gestisci.

      gestisci modelli di certificato

    2. Fare clic con il pulsante destro del mouse su Agente di registrazione e selezionare Duplica modello.

    3. Nella scheda Crittografia, selezionare Provider di crittografia di base per smart card Microsoft, quindi fare clic su OK. Un modello denominato Copia di Agente di registrazione appare nell’elenco Modelli di certificato.

      modelli di certificato>crittografia

    4. Nella scheda Nome soggetto, assicurarsi che Includi e-mail nel nome soggetto sia deselezionato.

      Modelli di certificato > Nome soggetto

  3. Rilasciare i certificati per le smart card. I passaggi dettagliati sono i seguenti:
    1. Fare clic con il pulsante destro del mouse su Modelli di certificato e quindi selezionare Nuovo > Modello da rilasciare.
    2. Selezionare Copia di Agente di registrazione e Utente smart card.
    3. Fare clic su OK.

Fase 3: Registrare i certificati per gli utenti di smart card

Nota:

I seguenti passaggi sono forniti come esempio per guidarLa attraverso il processo.

Su una macchina Windows fisica aggiunta al dominio, seguire questi passaggi per registrare i certificati per ogni smart card:

  1. Preparare una macchina Windows fisica aggiunta al dominio per l’uso di registrazione:
    1. Assicurarsi che il driver della smart card sia installato.
    2. Inserire una smart card nella macchina.
    3. Accedere alla macchina utilizzando l’account utente che si desidera assegnare alla smart card.
  2. Aggiungere lo snap-in Certificati alla macchina preparata nel passaggio 1. I passaggi dettagliati sono i seguenti:
    1. Aprire mmc.
    2. Fare clic su File e quindi su Aggiungi/Rimuovi snap-in.
    3. Nella finestra Aggiungi o rimuovi snap-in che appare, selezionare Certificati e quindi fare clic su Aggiungi >.
    4. Nella finestra di dialogo che appare, selezionare Il mio account utente e fare clic su Fine.

    5. Fare clic su OK.

      Aggiungi certificato

  3. Richiedere nuovi certificati per lo snap-in Certificati. I passaggi dettagliati sono i seguenti:

    1. Andare a Certificati - Utente corrente > Personale, fare clic con il pulsante destro del mouse su Certificati, quindi selezionare Tutte le attività > Richiedi nuovo certificato.

      richiedi nuovo certificato

    2. Nella finestra di dialogo Richiedi certificati che appare, selezionare Copia di Agente di registrazione e Utente smart card.

      gestisci modelli di certificato

    3. Nella finestra di dialogo precedente, fare clic su Dettagli per Utente smart card e quindi fare clic su Proprietà. Appare la finestra di dialogo Proprietà certificato. richiedi nuovo certificato > proprietà
    4. Nella scheda Chiave privata, espandere Provider di servizi crittografici, deselezionare Provider di crittografia avanzata Microsoft (Crittografia), selezionare solo Provider di crittografia di base per smart card Microsoft (Crittografia), quindi fare clic su OK.
    5. Fare clic su Registra.
    6. Nella finestra di dialogo Sicurezza di Windows che appare, immettere il codice PIN della smart card e fare clic su OK. Al completamento della registrazione, fare clic su Fine. registra certificato

Dopo la registrazione riuscita, due certificati appaiono sotto Certificati - Utente corrente -> Personale -> Certificati, come mostrato nella seguente schermata. gestisci modelli di certificato

Fase 4: Configurare i server IIS di Web Studio

Su ogni server Web Studio, seguire questi passaggi per configurare IIS per l’autenticazione con smart card:

  1. Abilitare Autenticazione con mappatura del certificato client per la macchina Web Studio.

    L’elemento <clientCertificateMappingAuthentication> non è disponibile nell’installazione predefinita di IIS 7 e versioni successive. Per maggiori informazioni sull’installazione e l’abilitazione, consultare questo articolo Microsoft.

  2. Avviare Gestione IIS sulla macchina Web Studio.

  3. Abilitare l’Autenticazione con certificato client di Active Directory per la macchina. I passaggi dettagliati sono i seguenti:

    1. Selezionare la macchina nel riquadro sinistro e fare doppio clic su Autenticazione.

      IIS > Autenticazione

    2. Abilitare l’Autenticazione con certificato client di Active Directory.

      IIS > abilita autenticazione certificato client AC

  4. Configurare il modulo Backend di Web Studio per un protocollo HTTPS più sicuro con autenticazione tramite certificato client:

    1. Andare a Siti > Sito Web predefinito > Studio > Backend > Smartcard, quindi fare doppio clic su Impostazioni SSL nella sezione IIS.

      IIS modulo backend smartcard SSL

    2. Selezionare Richiedi per Certificati client.

      IIS server backend smartcard ssl richiesto

    3. Tornare a Siti > Sito Web predefinito > Studio > Backend > Smartcard e quindi fare doppio clic su Editor di configurazione nella sezione IIS.

      IIS > Editor di configurazione

    4. Assicurarsi che /clientCertificateMappingAuthentication sia abilitato.

      abilita autenticazione client

  5. (Solo Windows 2022) Disabilitare TLS 1.3 su TCP. I passaggi dettagliati sono i seguenti:

    1. Andare a Siti > Sito Web predefinito.
    2. Fare clic su Modifica sito > Binding.

    3. Nella finestra di dialogo Binding del sito che appare, selezionare il record https e quindi fare clic su Modifica.

      Solo Windows 2022 modifica https

    4. Nella finestra di dialogo Modifica binding del sito che appare, selezionare Disabilita TLS 1.3 su TCP e quindi fare clic su OK.

      Solo Windows 2022 modifica https disabilitato

Utile da sapere:

Web Studio Backend è un modulo di Web Studio che fornisce le seguenti funzioni:

  • Autenticazione con smart card.
  • Recupero di token bearer FMA dal servizio di orchestrazione utilizzando l’autenticazione integrata di Windows.

Fase 5 (Facoltativo) Configurare le deleghe di autenticazione per Web Studio

Quando Web Studio e i Delivery Controller sono installati su server diversi, è necessario configurare le deleghe per ogni server Web Studio ai Delivery Controller per i servizi HOST e HTTPS.

Seguire questi passaggi per completare l’attività per ogni server Web Studio:

  1. Importare il certificato HTTPS di orchestrazione del Delivery Controller™
  2. Configurare la delega per il server Web Studio
  3. Configurare la delega per l’account di servizio del server IIS di Web Studio

Importare il certificato HTTPS di orchestrazione del Delivery Controller™

Sul server Web Studio, importare il certificato HTTPS di orchestrazione del Delivery Controller in Autorità di certificazione radice attendibili. I passaggi dettagliati sono i seguenti:

  1. Avviare Impostazioni > Gestisci certificati computer.

  2. Fare clic con il pulsante destro del mouse su Autorità di certificazione radice attendibili > Certificati e selezionare Tutte le attività > Importa.

    Importa certificato DDC

  3. Seguire le istruzioni visualizzate per importare il certificato HTTPS di orchestrazione del Delivery Controller.

Configurare la delega per il server Web Studio

Sul controller di dominio, configurare la delega per il server Web Studio al Delivery Controller per i servizi HOST e HTTP. Seguire questi passaggi per completare l’attività:

  1. Sul controller di dominio, avviare Centro di amministrazione di Active Directory.
  2. Individuare l’account computer del server Web Studio che si desidera configurare per la delega (ad esempio, Dan002).

  3. Fare clic con il pulsante destro del mouse sull’account e selezionare Proprietà.

    configura delega per server studio

    1. Andare alla scheda Delega.

      inserisci configurazione delega

    2. Selezionare Considera attendibile questo utente per la delega solo ai servizi specificati > Utilizza qualsiasi protocollo di autenticazione.
    3. Fare clic su Aggiungi per specificare a quali servizi può essere delegato questo account computer.
    4. Nella finestra di dialogo Aggiungi servizio che appare, fare clic su Aggiungi utenti o computer per individuare il nome del computer del Delivery Controller (ad esempio, Dan001).
    5. Selezionare i servizi HOST e HTTP, quindi fare clic su OK.

I risultati della configurazione sono mostrati nella seguente schermata. gestisci modelli di certificato

Configurare la delega per l’account di servizio del server IIS di Web Studio

Se ha configurato un account di servizio per il server IIS di Web Studio, è necessario configurare anche la delega per questo account di servizio al Delivery Controller per i servizi HOST e HTTP. Con questa delega stabilita, il server Web Studio può utilizzare il suo account di servizio per impersonare l’utente corrente della smart card per accedere ai servizi HOST e HTTP del gruppo di consegna. Seguire questi passaggi per completare la configurazione:

  1. Sul controller di dominio, avviare Centro di amministrazione di Active Directory.
  2. Individuare l’account utente che si desidera configurare per la delega (ad esempio, svr-stud-002).
  3. Fare clic con il pulsante destro del mouse sull’account e selezionare Proprietà.
  4. Seguire la procedura descritta nel passaggio 2 per delegare l’account di servizio IIS di Web Studio ai servizi HOST e HTTP del Delivery Controller.

I risultati della configurazione sono mostrati nella seguente schermata.

gestisci modelli di certificato

Fase 6: Abilitare l’autenticazione con smart card per Web Studio

Seguire questi passaggi per abilitare l’autenticazione con smart card per Web Studio:

  1. Accedere a Web Studio e selezionare Impostazioni nel riquadro sinistro.
  2. Selezionare Autenticazione con smart card o Credenziali di dominio + Autenticazione con smart card secondo necessità.
  3. Selezionare Autenticazione con smart card o Credenziali di dominio o autenticazione con smart card secondo necessità.

  4. Fare clic su Applica.

    gestisci modelli di certificato

Configurare l’autenticazione con smart card per Web Studio
January 23, 2026
Grazie al contributo di: 
C
January 23, 2026
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.