Configurare l’autenticazione con smart card per Web Studio

Questo articolo descrive i passaggi necessari per configurare e abilitare l’autenticazione con smart card per Web Studio:

Passaggio 1: Installare il driver della smart card

Passaggio 2: Rilasciare i certificati per gli utenti di smart card

Passaggio 3: Registrare i certificati per gli utenti di smart card

Passaggio 4: Configurare i server IIS di Web Studio

Passaggio 5 (Facoltativo): Configurare le deleghe di autenticazione per Web Studio

Passaggio 6: Abilitare l’autenticazione con smart card per Web Studio

Nota:

L’autenticazione con smart card è supportata solo per gli utenti dello stesso dominio Active Directory dei server Web Studio.

Passaggio 1: Installare il driver della smart card

Installare il driver della smart card sulle seguenti macchine:

• Controller di dominio in cui è installato il servizio certificati.
• Server Web Studio
• Macchine utilizzate dagli utenti finali per accedere a Web Studio
• Macchine che utilizzi per registrare i certificati per gli utenti di smart card

I driver delle smart card variano a seconda dei fornitori. Ad esempio, se si utilizza hardware per smart card fornito da ITS, scaricare i driver SaftNet da https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers.

Passaggio 2: Rilasciare i certificati per gli utenti di smart card

Nota:

I seguenti passaggi sono forniti come esempio per guidarti attraverso il processo.

Sul tuo Domain Controller, segui questi passaggi per completare l’attività:

1. Accedi al tuo Domain Controller e apri Autorità di certificazione.

   

2. Duplica il modello Agente di registrazione. I passaggi dettagliati sono i seguenti:

   1. Fai clic con il pulsante destro del mouse su Modelli di certificato e seleziona Gestisci.

      

   2. Fai clic con il pulsante destro del mouse su Agente di registrazione e seleziona Duplica modello.

   3. Nella scheda Nome soggetto, assicurati che Includi e-mail nel nome soggetto sia deselezionato.

      

   4. Nella scheda Crittografia, seleziona Microsoft Base Smart Card Crypto Provider, quindi fai clic su OK. Un modello denominato Copia di Agente di registrazione viene visualizzato nell’elenco Modelli di certificato.

      

3. Emettere certificati per smart card. I passaggi dettagliati sono i seguenti:
   1. Fare clic con il pulsante destro del mouse su Modelli di certificato e quindi selezionare Nuovo > Modello da rilasciare.
   2. Selezionare Copia di Agente di registrazione e Utente smart card.
   3. Fare clic su OK.

Passaggio 3: Registrare i certificati per gli utenti di smart card

Nota:

I seguenti passaggi sono forniti come esempio per guidare l’utente attraverso il processo.

Su una macchina Windows fisica aggiunta a un dominio, seguire questi passaggi per registrare i certificati per ogni smart card:

1. Preparare una macchina Windows fisica aggiunta a un dominio per l’uso di registrazione:
   1. Assicurarsi che il driver della smart card sia installato.
   2. Inserire una smart card nella macchina.
   3. Accedere alla macchina utilizzando l’account utente che si desidera assegnare alla smart card.
2. Aggiungere lo snap-in Certificati alla macchina preparata nel passaggio 1. I passaggi dettagliati sono i seguenti:
   1. Aprire mmc.
   2. Fare clic su File e quindi fare clic su Aggiungi/Rimuovi snap-in.
   3. Nella finestra Aggiungi o rimuovi snap-in che viene visualizzata, selezionare Certificati e quindi fare clic su Aggiungi >.
   4. Nella finestra di dialogo che viene visualizzata, selezionare Account utente personale e fare clic su Fine.

   5. Fare clic su OK.

      

3. Richiedere nuovi certificati per lo snap-in Certificati. I passaggi dettagliati sono i seguenti:

   1. Andare a Certificati - Utente corrente > Personale, fare clic con il pulsante destro del mouse su Certificati, quindi selezionare Tutte le attività > Richiedi nuovo certificato.

      

   2. Nella finestra di dialogo Richiedi certificati che viene visualizzata, selezionare Copia di agente di registrazione e Utente smart card.

      

   3. Nella finestra di dialogo precedente, fare clic su Dettagli per Utente smart card e quindi fare clic su Proprietà. Viene visualizzata la finestra di dialogo Proprietà certificato.

      

   4. Nella scheda Chiave privata, espandere Provider di servizi di crittografia, deselezionare Microsoft Strong Cryptographic Provider (Crittografia), selezionare solo Microsoft Base Smart Card Crypto Provider (Crittografia) e quindi fare clic su OK.
   5. Fare clic su Registra.

   6. Nella finestra di dialogo Sicurezza di Windows che viene visualizzata, immettere il codice PIN della smart card e fare clic su OK. Al completamento della registrazione, fare clic su Fine.

      

Dopo la corretta registrazione, due certificati vengono visualizzati in Certificates - Current User -> Personal -> Certificates, come mostrato nello screenshot seguente.

Passaggio 4: Configurare i server IIS di Web Studio

Su ogni server Web Studio, seguire questi passaggi per configurare IIS per l’autenticazione con smart card:

1. Abilitare Autenticazione di mapping del certificato client per la macchina Web Studio.

   L’elemento <clientCertificateMappingAuthentication> non è disponibile nell’installazione predefinita di IIS 7 e versioni successive. Per ulteriori informazioni sull’installazione e l’abilitazione, consultare questo articolo Microsoft.

2. Avviare IIS Manager sulla macchina Web Studio.

3. Abilitare Autenticazione del certificato client di Active Directory per la macchina. I passaggi dettagliati sono i seguenti:

   1. Selezionare la macchina nel riquadro sinistro e fare doppio clic su Autenticazione.

      

   2. Abilitare Autenticazione del certificato client di Active Directory.

      

4. Configurare il modulo Backend di Web Studio per un protocollo HTTPS più sicuro con autenticazione del certificato client:

   1. Passare a Sites > the IIS site name where Web Studio is installed (site ID = 1, by default, Default Web Site) > Studio > Backend > Smartcard, quindi fare doppio clic su Impostazioni SSL nella sezione IIS.

      

   2. Selezionare Richiedi per Certificati client.

      IIS server backend smartcard ssl richiesto(/it-it/citrix-virtual-apps-desktops/2511/media/iis-server-backend-smartcard-ssl-required.png)

   3. Tornare a Siti > the IIS site name where Web Studio is installed (site ID = 1, by default, Default Web Site) > Studio > Backend > Smartcard e quindi fare doppio clic su Editor di configurazione nella sezione IIS.

      IIS > Editor di configurazione(/it-it/citrix-virtual-apps-desktops/2511/media/iis-server-backend-smartcard-config.png)

   4. Assicurarsi che /clientCertificateMappingAuthentication sia abilitato.

      abilita autenticazione client(/it-it/citrix-virtual-apps-desktops/2511/media/iis-server-backend-smartcard-config-enabled.png)

5. (Solo Windows 2022) Disabilitare TLS 3.1 su TCP. I passaggi dettagliati sono i seguenti:

   1. Andare a Siti > the IIS site name where Web Studio is installed (site ID = 1, by default, Default Web Site).
   2. Fare clic su Modifica sito > Associazione.

   3. Nella finestra di dialogo Associazioni sito che viene visualizzata, selezionare il record https e quindi fare clic su Modifica.

      Solo Windows 2022 modifica https(/it-it/citrix-virtual-apps-desktops/2511/media/iis-server-default-site-https-edit.png)

   4. Nella finestra di dialogo Modifica associazione sito che viene visualizzata, selezionare Disabilita TLS 1.3 su TCP e quindi fare clic su OK.

      Solo Windows 2022 modifica https disabilitata(/it-it/citrix-virtual-apps-desktops/2511/media/iis-server-default-site-https-edit-disable.png)

Utile sapere:

Il backend di Web Studio è un modulo di Web Studio che fornisce le seguenti funzioni:

• Autenticazione con smart card.
• Recupero dei token bearer FMA dal servizio Orchestration utilizzando l’autenticazione integrata di Windows.

Passaggio 5 (Facoltativo) Configurare le deleghe di autenticazione per Web Studio

Quando Web Studio e i Delivery Controller sono installati su server diversi, è necessario configurare le deleghe per ogni server Web Studio ai Delivery Controller per i servizi HOST e HTTPS.

Seguire questi passaggi per completare l’attività per ogni server Web Studio:

1. Importare il certificato HTTPS di Orchestration del Delivery Controller™
2. Configurare la delega per il server Web Studio
3. （Facoltativo) Configurare la delega per l’account del servizio del server IIS di Web Studio

Importare il certificato HTTPS di Orchestration del Delivery Controller

Sul server Web Studio, importare il certificato Delivery Controller Orchestration HTTPS in Autorità di certificazione radice attendibili. I passaggi dettagliati sono i seguenti:

1. Avviare Impostazioni > Gestisci certificati computer.

2. Fare clic con il pulsante destro del mouse su Autorità di certificazione radice attendibili > Certificati e selezionare Tutte le attività > Importa.

   

3. Seguire le istruzioni visualizzate per importare il certificato Delivery Controller Orchestration HTTPS.

Configurare la delega per il server Web Studio

Sul controller di dominio, configurare la delega per il server Web Studio al Delivery Controller per i servizi HOST e HTTP. Seguire questi passaggi per completare l’attività:

1. Sul controller di dominio, avviare Active Directory Administrative Center.
2. Individuare l’account computer del server Web Studio per il quale si desidera configurare la delega (ad esempio, Dan002).

3. Fare clic con il pulsante destro del mouse sull’account, selezionare Proprietà, quindi completare i passaggi seguenti:

   

   1. Andare alla scheda Delega.

      

   2. Selezionare Considera attendibile questo utente per la delega solo ai servizi specificati > Utilizza qualsiasi protocollo di autenticazione.
   3. Fare clic su Aggiungi per specificare a quali servizi può essere delegato questo account computer.
   4. Nella finestra di dialogo Aggiungi servizio che viene visualizzata, fare clic su Aggiungi utenti o computer per individuare il nome del computer del Delivery Controller (ad esempio, Dan001).
   5. Selezionare i servizi HOST e HTTP, quindi fare clic su OK.

I risultati della configurazione sono mostrati nello screenshot seguente.

(Facoltativo) Configurare la delega per l’account del servizio del server IIS di Web Studio

Se è stato configurato un account del servizio per il server IIS di Web Studio, è necessario configurare la delega per questo account del servizio al Delivery Controller per i servizi HOST e HTTP. Con questa delega stabilita, il server Web Studio può utilizzare il proprio account del servizio per impersonare l’attuale utente della smart card per accedere al Delivery Controller per i servizi HOST e HTTP. Seguire questi passaggi per completare la configurazione:

1. Sul controller di dominio, avviare Active Directory Administrative Center.
2. Individuare l’account utente del server IIS di Web Studio (account di servizio) per il quale si desidera configurare la delega (ad esempio, svr-stud-002).
3. Fare clic con il pulsante destro del mouse sull’account e selezionare Proprietà.
4. Seguire la procedura descritta nel passaggio 3 di Configurare la delega per il server Web Studio per delegare l’account di servizio del server IIS di Web Studio al Delivery Controller per i servizi HOST e HTTP.

I risultati della configurazione sono mostrati nello screenshot seguente.

Passaggio 6: Abilitare l’autenticazione con smart card per Web Studio

Seguire questi passaggi per abilitare l’autenticazione con smart card per Web Studio:

1. Accedere a Web Studio e selezionare Impostazioni nel riquadro sinistro.
2. Selezionare Autenticazione con smart card o Credenziali di dominio o autenticazione con smart card secondo necessità.

3. Fare clic su Applica.