Citrix Virtual Apps and Desktops

Implantações de cartões inteligentes

Os seguintes tipos de implantações de cartão inteligente são suportados por esta versão de produto e por ambientes mistos que contêm esta versão. Outras configurações podem funcionar, mas não são suportadas.

Tipo Conectividade ao StoreFront
Computadores associados ao domínio local Diretamente conectado
Acesso remoto a partir de computadores associados ao domínio Conectado através do Citrix Gateway
Computadores não associados ao domínio Diretamente conectado
Acesso remoto a partir de computadores não associados ao domínio Conectado através do Citrix Gateway
Thin clients e computadores não associados ao domínio que acessam o site do Desktop Appliance Conectado através de sites de Desktop Appliance
Thin clients e computadores associados ao domínio que acessam o StoreFront através da URL de Serviços XenApp Conectado através de URLs de Serviços XenApp

Os tipos de implantação são definidos pelas características do dispositivo do usuário ao qual o leitor de cartão inteligente está conectado:

  • Se o dispositivo é associado ao domínio ou não é associado ao domínio.
  • Como o dispositivo está conectado ao StoreFront.
  • Qual software é usado para visualizar áreas de trabalho e aplicativos virtuais.

Além disso, aplicativos habilitados para cartões inteligentes, como o Microsoft Word e o Microsoft Excel, podem ser usados nessas implantações. Esses aplicativos permitem que os usuários assinem ou criptografem digitalmente documentos.

Autenticação bimodal

Sempre que possível em cada uma dessas implantações, o Receiver suporta a autenticação bimodal, oferecendo ao usuário a escolha entre usar um cartão inteligente e inserir seu nome de usuário e senha. Isso é útil se o cartão inteligente não puder ser usado (por exemplo, o usuário deixou o cartão em casa ou o certificado de logon expirou).

Como os usuários de dispositivos não associados ao domínio fazem logon no Receiver para Windows diretamente, você pode habilitar que os usuários façam fallback para a autenticação explícita. Se você configurar a autenticação bimodal, os usuários são inicialmente solicitados a fazer logon usando seus cartões inteligentes e PINs, mas têm a opção de selecionar a autenticação explícita se tiverem algum problema com seus cartões inteligentes.

Se você implantar o Citrix Gateway, os usuários efetuam logon em seus dispositivos e são solicitados pelo Receiver para Windows para se autenticar no Citrix Gateway. Isso se aplica a dispositivos associados ao domínio e não associados ao domínio. Os usuários podem fazer logon no Citrix Gateway usando seus cartões inteligentes e PINs ou com credenciais explícitas. Isso permite que você ofereça aos usuários a autenticação bimodal para logons do Citrix Gateway. Configure a autenticação de passagem do Citrix Gateway para o StoreFront e delegue a validação de credenciais ao Citrix Gateway para usuários de cartões inteligentes, para que os usuários sejam autenticados silenciosamente no StoreFront.

Considerações sobre várias florestas do Active Directory

Em um ambiente Citrix, os cartões inteligentes são suportados em uma única floresta. Os logons de cartões inteligentes em várias florestas exigem a confiança bidirecional direta da floresta para todas as contas de usuário. Implantações multiflorestas mais complexas envolvendo cartões inteligentes (ou seja, quando as relações de confiança são apenas unidirecionais ou de tipos diferentes) não são suportadas.

Você pode usar cartões inteligentes em um ambiente Citrix que inclui áreas de trabalho remotas. Esse recurso pode ser instalado localmente (no dispositivo do usuário ao qual o cartão inteligente está conectado) ou remotamente (na área de trabalho remota à qual o dispositivo do usuário se conecta).

Política de remoção de cartões inteligentes

A política de remoção de cartões inteligentes definida no produto determina o que acontece se você remover o cartão inteligente do leitor durante uma sessão. A política de remoção de cartões inteligentes é configurada e tratada pelo sistema operacional Windows.

Configuração da política Comportamento da área de trabalho
Nenhuma ação No action.
Bloquear estação de trabalho A sessão da área de trabalho é desconectada e a área de trabalho virtual é bloqueada.
Forçar logoff O usuário é forçado a fazer logoff. Se a conexão da rede for perdida e essa configuração estiver ativada, a sessão poderá ser desconectada e o usuário poderá perder dados.
Desconectar se for uma sessão remota do Terminal Services A sessão é desconectada e a área de trabalho virtual é bloqueada.

Verificação de revogação de certificados

Se a verificação de revogação de certificado estiver ativada e um usuário inserir um cartão inteligente com um certificado inválido em um leitor de cartões, o usuário não poderá autenticar ou acessar a área de trabalho ou aplicativo relacionado ao certificado. Por exemplo, se o certificado inválido for usado para descriptografia de e-mail, o e-mail permanecerá criptografado. Se outros certificados no cartão, como os usados para autenticação, ainda forem válidos, essas funções permanecem ativas.

Exemplo de implantação: computadores associados ao domínio

Essa implantação envolve dispositivos de usuário associados ao domínio que executam o Desktop Viewer e se conectam diretamente ao StoreFront.

Exemplo de implantação: computadores associados ao domínio

Um usuário faz logon em um dispositivo usando um cartão inteligente e um PIN. O Receiver autentica o usuário em um servidor Storefront usando a Autenticação Integrada do Windows (IWA). O StoreFront passa os identificadores de segurança do usuário (SIDs) para o Citrix Virtual Apps ou Citrix Virtual Desktops. Quando o usuário inicia uma área de trabalho ou aplicativo virtual, ele não é solicitado a digitar o PIN novamente porque o recurso de logon único está configurado no Receiver.

Essa implantação pode ser estendida para um salto duplo com a adição de um segundo servidor StoreFront e um servidor que hospeda aplicativos. Um Receiver da área de trabalho virtual se autentica no segundo servidor StoreFront. Qualquer método de autenticação pode ser usado para essa segunda conexão. A configuração mostrada para o primeiro salto pode ser reutilizada no segundo salto ou usada somente no segundo salto.

Exemplo de implantação: acesso remoto a partir de computadores associados ao domínio

Essa implantação envolve dispositivos de usuário associados ao domínio que executam o Desktop Viewer e se conectam ao StoreFront através do Citrix Gateway/Access Gateway.

Exemplo de implantação: acesso remoto a partir de computadores associados ao domínio

Um usuário faz logon em um dispositivo usando um cartão inteligente e um PIN e, em seguida, faz logon novamente no Citrix Gateway/Access Gateway. Este segundo logon pode ser com o cartão inteligente e PIN ou com um nome de usuário e senha, porque o Receiver permite a autenticação bimodal nesta implantação.

O usuário é automaticamente conectado ao StoreFront, que passa os identificadores de segurança do usuário (SIDs) para o Citrix Virtual Apps ou Citrix Virtual Desktops. Quando o usuário inicia uma área de trabalho ou aplicativo virtual, ele não é solicitado a digitar o PIN novamente porque o recurso de logon único está configurado no Receiver.

Essa implantação pode ser estendida para um salto duplo com a adição de um segundo servidor StoreFront e um servidor que hospeda aplicativos. Um Receiver da área de trabalho virtual se autentica no segundo servidor StoreFront. Qualquer método de autenticação pode ser usado para essa segunda conexão. A configuração mostrada para o primeiro salto pode ser reutilizada no segundo salto ou usada somente no segundo salto.

Exemplo de implantação: computadores não associados ao domínio

Essa implantação envolve dispositivos de usuário não associados ao domínio que executam o Desktop Viewer e se conectam diretamente ao StoreFront.

Exemplo de implantação: computadores não associados ao domínio

Um usuário faz logon em um dispositivo. Normalmente, o usuário insere um nome de usuário e uma senha, mas, como o dispositivo não está associado a um domínio, as credenciais para esse logon são opcionais. Como a autenticação bimodal é possível nesta implantação, o Receiver solicita ao usuário um cartão inteligente e PIN ou um nome de usuário e senha. Em seguida, o Receiver se autentica no Storefront.

O StoreFront passa os identificadores de segurança do usuário (SIDs) para o Citrix Virtual Apps ou Citrix Virtual Desktops. Quando o usuário inicia uma área de trabalho ou aplicativo virtual, ele é solicitado a digitar um PIN novamente porque o recurso de logon único não está disponível nesta implantação.

Essa implantação pode ser estendida para um salto duplo com a adição de um segundo servidor StoreFront e um servidor que hospeda aplicativos. Um Receiver da área de trabalho virtual se autentica no segundo servidor StoreFront. Qualquer método de autenticação pode ser usado para essa segunda conexão. A configuração mostrada para o primeiro salto pode ser reutilizada no segundo salto ou usada somente no segundo salto.

Exemplo de implantação: acesso remoto a partir de computadores não associados ao domínio

Essa implantação envolve dispositivos de usuário não associados ao domínio que executam o Desktop Viewer e se conectam diretamente ao StoreFront.

Exemplo de implantação: acesso remoto a partir de computadores não associados ao domínio

Um usuário faz logon em um dispositivo. Normalmente, o usuário insere um nome de usuário e uma senha, mas, como o dispositivo não está associado a um domínio, as credenciais para esse logon são opcionais. Como a autenticação bimodal é possível nesta implantação, o Receiver solicita ao usuário um cartão inteligente e PIN ou um nome de usuário e senha. Em seguida, o Receiver se autentica no Storefront.

O StoreFront passa os identificadores de segurança do usuário (SIDs) para o Citrix Virtual Apps ou Citrix Virtual Desktops. Quando o usuário inicia uma área de trabalho ou aplicativo virtual, ele é solicitado a digitar um PIN novamente porque o recurso de logon único não está disponível nesta implantação.

Essa implantação pode ser estendida para um salto duplo com a adição de um segundo servidor StoreFront e um servidor que hospeda aplicativos. Um Receiver da área de trabalho virtual se autentica no segundo servidor StoreFront. Qualquer método de autenticação pode ser usado para essa segunda conexão. A configuração mostrada para o primeiro salto pode ser reutilizada no segundo salto ou usada somente no segundo salto.

Exemplo de implantação: thin clients e computadores não associados ao domínio acessando o site do Desktop Appliance

Essa implantação envolve dispositivos de usuário não associados ao domínio que podem executar o Desktop Lock e se conectar ao StoreFront através de sites do Desktop Appliance.

O Desktop Lock é um componente separado que é lançado com o Citrix Virtual Apps, Citrix Virtual Desktops e VDI-in-a-Box. Uma alternativa ao Desktop Viewer, ele é projetado principalmente para thin clients Windows e computadores Windows reatribuídos. O Desktop Lock substitui o shell do Windows e o Gerenciador de Tarefas nesses dispositivos de usuário, impedindo que os usuários acessem os dispositivos subjacentes. Com o Desktop Lock, os usuários podem acessar áreas de trabalho de computadores Windows Server e áreas de trabalho de computadores Windows Desktop A instalação do Desktop Lock é opcional.

Exemplo de implantação: thin clients e computadores não associados ao domínio acessando o site do Desktop Appliance

Um usuário faz logon em um dispositivo com um cartão inteligente. Se o Desktop Lock estiver sendo executado no dispositivo, o dispositivo será configurado para iniciar um site do Desktop Appliance através do Internet Explorer em execução no Modo de Quiosque. Um controle ActiveX no site solicita ao usuário um PIN e o envia para o StoreFront. O StoreFront passa os identificadores de segurança do usuário (SIDs) para o Citrix Virtual Apps ou Citrix Virtual Desktops. A primeira área de trabalho disponível na lista alfabética de um grupo de área de trabalho atribuído é iniciada.

Essa implantação pode ser estendida para um salto duplo com a adição de um segundo servidor StoreFront e um servidor que hospeda aplicativos. Um Receiver da área de trabalho virtual se autentica no segundo servidor StoreFront. Qualquer método de autenticação pode ser usado para essa segunda conexão. A configuração mostrada para o primeiro salto pode ser reutilizada no segundo salto ou usada somente no segundo salto.

Exemplo de implantação: thin clients e computadores associados ao domínio que acessam o StoreFront através da URL de Serviços XenApp

Essa implantação envolve dispositivos de usuário associados ao domínio que executam o Desktop Lock e se conectam ao StoreFront através de URLs do XenApp Services.

O Desktop Lock é um componente separado que é lançado com o Citrix Virtual Apps, Citrix Virtual Desktops e VDI-in-a-Box. Uma alternativa ao Desktop Viewer, ele é projetado principalmente para thin clients Windows e computadores Windows reatribuídos. O Desktop Lock substitui o shell do Windows e o Gerenciador de Tarefas nesses dispositivos de usuário, impedindo que os usuários acessem os dispositivos subjacentes. Com o Desktop Lock, os usuários podem acessar áreas de trabalho de computadores Windows Server e áreas de trabalho de computadores Windows Desktop A instalação do Desktop Lock é opcional.

Exemplo de implantação: thin clients e computadores associados ao domínio que acessam o StoreFront através da URL de Serviços XenApp

Um usuário faz logon em um dispositivo usando um cartão inteligente e um PIN. Se o Desktop Lock estiver sendo executado no dispositivo, ele autentica o usuário em um servidor Storefront usando a Autenticação Integrada do Windows (IWA). O StoreFront passa os identificadores de segurança do usuário (SIDs) para o Citrix Virtual Apps ou Citrix Virtual Desktops. Quando o usuário inicia uma área de trabalho virtual, ele não é solicitado a digitar o PIN novamente porque o recurso de logon único está configurado no Receiver.

Essa implantação pode ser estendida para um salto duplo com a adição de um segundo servidor StoreFront e um servidor que hospeda aplicativos. Um Receiver da área de trabalho virtual se autentica no segundo servidor StoreFront. Qualquer método de autenticação pode ser usado para essa segunda conexão. A configuração mostrada para o primeiro salto pode ser reutilizada no segundo salto ou usada somente no segundo salto.