Citrix Virtual Apps and Desktops

Configurar autenticação de cartão inteligente para o Web Studio

September 11, 2024

Contribuição de:

Este artigo descreve as etapas necessárias para configurar e ativar a autenticação de cartão inteligente para o Web Studio:

Etapa 1: instalar o driver do cartão inteligente

Etapa 2: emitir certificados para usuários de cartões inteligentes

Etapa 3: inscrever certificados para usuários de cartões inteligentes

Etapa 4: configurar servidores IIS do Web Studio

Etapa 5 (opcional): configurar delegações de autenticação para o Web Studio

Etapa 6: habilitar a autenticação de cartão inteligente para o Web Studio

Nota:

A autenticação de cartão inteligente tem suporte apenas para usuários do mesmo domínio do Active Directory com servidores do Web Studio.

Etapa 1: instalar o driver do cartão inteligente

Instale o driver do cartão inteligente nas seguintes máquinas:

Controladores de domínio em que o Serviço de Certificado está instalado.
Servidores do Web Studio
Máquinas que os usuários finais usam para acessar o Web Studio
Máquinas que você usa para registrar certificados para usuários de cartões inteligentes

O driver está disponível para download em https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers.

Etapa 2: emitir certificados para usuários de cartões inteligentes

No seu controlador de domínio, siga estas etapas para concluir a tarefa:

Acesse seu controlador de domínio e abra a Autoridade de certificação.
Duplique o modelo do Agente de Inscrição. As etapas detalhadas são as seguintes:
1. Clique com o botão direito do mouse em Modelos de certificado e selecione Gerenciar.
2. Clique com o botão direito do mouse em Agente de inscrição e selecione Modelo duplicado.
3. Na guia Criptografia, selecione Microsoft Base Smart Card Crypto Provider e clique em OK. Um modelo chamado Cópia do agente de inscrição aparece na lista Modelos de certificado.
4. Na guia Nome do assunto, verifique se a opção Incluir email no nome do assunto não está selecionada.
Verifique as permissões do modelo de Usuário de cartão inteligente. As etapas detalhadas são as seguintes:
1. Clique com o botão direito do mouse em Modelos de certificado e selecione Gerenciar.
2. Clique com o botão direito do mouse em Usuário de cartão inteligente e selecione Propriedades.
3. Na guia Segurança, verifique se os Administradores de domínio têm as seguintes permissões selecionadas, conforme mostrado abaixo:
Emita certificados para cartões inteligentes. As etapas detalhadas são as seguintes:
1. Clique com o botão direito do mouse em Modelos de certificado e selecione Novo > Modelo a ser emitido.
2. Selecione Cópia do agente de inscrição e Usuário de cartão inteligente.
3. Clique em OK.

Etapa 3: inscrever certificados para usuários de cartões inteligentes

Em uma máquina com Windows física associada a um domínio, siga estas etapas para registrar certificados para cada cartão inteligente:

Prepare uma máquina com Windows física associada ao domínio para o uso da inscrição:
1. Certifique-se de que o driver do cartão inteligente esteja instalado.
2. Insira um cartão inteligente na máquina.
3. Faça logon na máquina usando a conta de usuário que você deseja atribuir ao cartão inteligente.
Adicione o snap-in de Certificados na máquina que você preparou na etapa 1. As etapas detalhadas são as seguintes:
1. Abra mmc.
2. Clique em Arquivo e clique em Adicionar/Remover snap-in.
3. Na janela Adicionar ou remover snap-ins exibida, selecione Certificados e clique em Adicionar >.
4. Na caixa de diálogo exibida, selecione Minha conta de usuário e clique em Concluir.
5. Clique em OK.
Solicite novos certificados para o snap-in de Certificados . As etapas detalhadas são as seguintes:
1. Vá para Certificados - Usuário atual > Pessoal, clique com o botão direito do mouse em Certificados e selecione Todas as tarefas > Solicitar novo certificado.
  
  !request new certificate
2. Na caixa de diálogo Solicitar certificados exibida, selecione Cópia do agente de inscrição e Usuário de cartão inteligente.
3. Na caixa de diálogo acima, clique em Detalhes do Usuário de cartão inteligente e clique em Propriedades. A caixa de diálogo Propriedades do certificado é exibida.
4. Na guia Chave privada , expanda Provedor de serviços de criptografia, desmarque Microsoft Strong Cryptographic Provider (Criptografia), selecione apenas Microsoft Base Smart Card Crypto Provider (Criptografia) e clique em OK.
5. Clique em Registrar.
6. Na caixa de diálogo Segurança do Windows exibida, insira o código PIN do cartão inteligente e clique em OK. Quando a inscrição for concluída, clique em Concluir.

Após a inscrição bem-sucedida, dois certificados aparecem em Certificados - Usuário atual -> Pessoal -> Certificados, conforme mostrado na captura de tela a seguir. gerenciar modelos de certificado

Etapa 4: configurar servidores IIS do Web Studio

Em cada servidor do Web Studio, siga estas etapas para configurar o IIS para autenticação de cartão inteligente:

Ative a Autenticação de mapeamento de certificado do cliente para a máquina do Web Studio**.

O elemento <clientCertificateMappingAuthentication> não está disponível na instalação padrão do IIS 7 e posterior. Para obter mais informações sobre instalação e ativação, consulte este artigo da Microsoft.
Inicie o Gerenciador do IIS na máquina do Web Studio.
Ative a Autenticação de certificado de cliente do Active Directory para a máquina. As etapas detalhadas são as seguintes:
1. Selecione a máquina no painel esquerdo e clique duas vezes em Autenticação.
2. Ative Autenticação de certificado de cliente do Active Directory.
Configure o módulo Backend do Web Studio para um protocolo HTTPS mais seguro com autenticação de certificado de cliente:
1. Acesse Sites > Site padrão > Studio > Backend > Cartão inteligente clique duas vezes em Configurações de SSL na seção IIS.
2. Selecione Exigir para Certificados de cliente.
3. Volte para Sites > Site padrão > Studio > Backend > Cartão inteligente e clique duas vezes no Editor de configuração na seção IIS.
4. Certifique-se de que /clientCertificateMapingAuthentication esteja habilitado.
(Somente Windows 2022) Desative o TLS 3.1 sobre TCP. As etapas detalhadas são as seguintes:
1. Vá para Sites > Site padrão.
2. Clique em Editar site > Ligação.
3. Na caixa de diálogo Ligações do site exibida, selecione o registro https e clique em Editar.
4. Na caixa de diálogo Editar ligação do site exibida, selecione Desativar TLS 1.3 sobre TCP e clique em OK.

É bom saber:

O Backend do Web Studio é um módulo no Web Studio que fornece as seguintes funções:

Autenticação de cartão inteligente.
Recuperação de tokens de portador de FMA do serviço Orchestration usando a autenticação integrada do Windows.

Etapa 5 (opcional): configurar delegações de autenticação para o Web Studio

Quando o Web Studio e os Delivery Controllers estão instalados em servidores diferentes, você deve configurar delegações de cada servidor do Web Studio para os Delivery Controllers de serviços HOST e HTTPS.

Siga estas etapas para concluir a tarefa para cada servidor do Web Studio:

Importar o certificado HTTPS do Delivery Controller Orchestration
Configurar a delegação para o servidor do Web Studio
Configurar a delegação para a conta de serviço do servidor IIS do Web Studio

Importar o certificado HTTPS do Delivery Controller Orchestration

No servidor do Web Studio, importe o certificado HTTPS do Delivery Controller Orchestration para Autoridades de certificação raiz confiáveis. As etapas detalhadas são as seguintes:

Inicie Configurações > Gerenciar certificados de computador.
Clique com o botão direito do mouse em Autoridades de certificação raiz confiáveis > Certificados e selecione Todas as tarefas > Importar.
Siga as instruções na tela para importar o certificado HTTPS do Delivery Controller Orchestration.

Configurar a delegação para o servidor do Web Studio

No controlador de domínio, configure a delegação do servidor do Web Studio para o Delivery Controller de serviços HOST e HTTP. Siga estas etapas para concluir a tarefa:

No controlador de domínio, inicie o Centro Administrativo do Active Directory.
Localize a conta de computador do Web Studio Server que você deseja configurar para delegação (por exemplo, Dan002).
Clique com o botão direito do mouse na conta e selecione Propriedades.
1. Vá para a guia Delegação.
  
  !enter delegation config
2. Selecione Confiar neste usuário para delegação apenas aos serviços especificados > Usar qualquer protocolo de autenticação.
3. Clique em Adicionar para especificar a quais serviços essa conta de computador pode ser delegada.
4. Na caixa de diálogo Adicionar serviço exibida, clique em Adicionar usuários ou computadores para localizar o nome do computador do Delivery Controller (por exemplo, Dan001).
5. Selecione os serviços HOST e HTTP e clique em OK.

Os resultados da configuração são mostrados na captura de tela a seguir. gerenciar modelos de certificado

Configurar a delegação para a conta de serviço do servidor IIS do Web Studio

Se você tiver configurado uma conta de serviço para o servidor IIS do Web Studio, também precisará configurar a delegação dessa conta de serviço ao Delivery Controller para os serviços HOST e HTTP. Com essa delegação estabelecida, o servidor do Web Studio pode usar sua conta de serviço para se passar pelo usuário atual do cartão inteligente para acessar os serviços HOST e HTTP do grupo de entrega. Siga estas etapas para concluir a configuração:

No controlador de domínio, inicie o Centro Administrativo do Active Directory.
Localize a conta de usuário que você deseja configurar para delegação (porexemplo, svr-stud-002).
Clique com o botão direito do mouse na conta e selecione Propriedades.
Siga o procedimento descrito na etapa 2 para delegar a conta do serviço IIS do Web Studio aos serviços HOST e HTTP do Delivery Controller.

Os resultados da configuração são mostrados na captura de tela a seguir.

gerenciar modelos de certificado

Etapa 6: habilitar a autenticação de cartão inteligente para o Web Studio

Siga estas etapas para ativar a autenticação de cartão inteligente para o Web Studio:

Entre no Web Studio e selecione Configurações no painel esquerdo.
Selecione Autenticação de cartão inteligente ou Credenciais de domínio + Autenticação de cartão inteligente conforme necessário.
Selecione Autenticação de cartão inteligente ou Credenciais de domínio ou Autenticação de cartão inteligente conforme necessário.
Clique em Aplicar.

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Cloud Software Group é traduzida automaticamente para sua conveniência. A Cloud Software Group não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Cloud Software Group com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Cloud Software Group, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Cloud Software Group não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.

Configurar autenticação de cartão inteligente para o Web Studio

September 11, 2024

Contribuição de:

September 11, 2024

Contribuição de:

Neste artigo

Etapa 1: instalar o driver do cartão inteligente
Etapa 2: emitir certificados para usuários de cartões inteligentes
Etapa 3: inscrever certificados para usuários de cartões inteligentes
Etapa 4: configurar servidores IIS do Web Studio
Etapa 5 (opcional): configurar delegações de autenticação para o Web Studio
Etapa 6: habilitar a autenticação de cartão inteligente para o Web Studio