Dernièrement, les cartes à puce ont été davantage utilisées dans la vie quotidienne des utilisateurs, ou pour qu’ils signent des documents en ligne, ou à valider sur les ordinateurs locaux lors de la connexion… dans ce document, nous allons montrer la configuration nécessaire pour pouvoir valider nos utilisateurs dans un environnement Citrix avec eux. Les cartes que nous utiliserons dans ce cas sont celles fournies par Izenpe pour la signature électronique de nos utilisateurs,

Los usuarios disponen en cada equipo un lector de tarjetas (bien USB, bien integrado en el teclado…), los administradores generan certificados de usuario en la entidad emisora de certificados que disponen internamente en su Directorio Activo almacenándolos en las tarjetas. Deberemos tener corriendo ya dicha funcionad en nuestro Directorio Activo de Microsoft y los usuarios se pueden validar de forma correcta con ella.

Deberemos instalar los drivers y utilidades/middleware necesarias para dichos Smart Card en nuestros servidores XenApp, deberemos tener dichos drivers actualizados así como los hotfix en nuestros XA. El servidor que corra Web Interface deberá ser versión 5.x y éste deberá pertenecer al dominio.

Nous configurerons une politique d'équipe qui s'appliquera aux XA où nous indiquerons de faire confiance aux demandes XML.

Nous ajouterons le service de rôle dans le WI 'Authentification des attributions de certificat de client'’ dans IIS.

Nous activerons SSL sur le site Web s'il ne l'a pas déjà, en attribuant un certificat valide pour le site.

Nous activerons l' “Authentification des certificats de client d'Active Directory”

Si nous voulons uniquement l'authentification par carte intelligente, dans la configuration SSL du site WI nous devrons 'Exiger SSL'’ et en plus 'Accepter'’ les certificats du client; en cas de vouloir un Pass-through de l'authentification nous indiquerons 'Exiger SSL'’ & 'Omettre'’ les certificats du client.

Dans notre site WI nous devrons indiquer la méthode d'authentification pour les utilisateurs, si nous voulons qu'ils soient validés avec 'Carte intelligente',’ ou nous voulons qu'il fasse le 'Passage de crédentiels avec carte intelligente',.

De plus,, il serait recommandé d'établir des propriétés de mobilité sur ce qui se passera lorsque les utilisateurs retireront leur carte intelligente du lecteur de cartes, si cela leur permettra de se déconnecter de leur session ou de fermer leur session.

Avec le modèle administratif 'icaclient.adm',’ nous activerons 'Autoriser l'authentification par carte intelligente',’ & 'Utiliser l'authentification par transfert pour le PIN',’ de manière centralisée sur tous nos clients, de plus, nous pourrons également l'appliquer par unités organisationnelles si nous les redirigeons ensuite vers une adresse d'Interface Web spécifique en importons ces lignes dans un fichier .adm. (funciona para Online Plugin >= a v. 11):

CLASS MACHINE
CATÉGORIE “Composants Citrix”
CATÉGORIE “Citrix online plug-in”
CATÉGORIE “PNagent URL”
POLITIQUE “PNAgent URL”
KEYNAME “SOFTWARECitrixPNAgent”
EXPLAIN “Sets the PNAgent Server”
PARTIE “Webinterface Server” MODIFIER LE TEXTE
VALUENAME “Config URL”
Faire défaut “HTTP://urltopnagentwi”
PARTIE FINALE
POLITIQUE DE FIN
FIN DE LA CATÉGORIE
FIN DE LA CATÉGORIE
FIN DE LA CATÉGORIE

UTILISATEUR DE CLASSE
CATÉGORIE “Composants Citrix”
CATÉGORIE “Citrix online plug-in”
CATÉGORIE “PNagent URL”
POLITIQUE “PNAgent URL”
KEYNAME “LogicielCitrixProgram Neighborhood Agent”
EXPLAIN “Sets the PNAgent Server”
PARTIE “Webinterface Server” MODIFIER LE TEXTE
VALUENAME “Config URL”
Faire défaut “HTTP://urltopnagentwi”
PARTIE FINALE
POLITIQUE DE FIN
FIN DE LA CATÉGORIE
FIN DE LA CATÉGORIE
FIN DE LA CATÉGORIE

Con esta GPO anterior podremos configurar a los usuarios las opciones deseadas en el cliente de XenApp, como es la URL y el método de inicio de sesión, que bueno, va establecido por el WI.

Así que si hemos permitido un pass through de los credenciales, una vez que nos validemos con la smart card en Windows no debería pedirnos credenciales y si hemos configurado autenticación con smart card, cuando inicie sesión nuestra bola de Citrix nos pedirá el PIN para validarnos!!

Si además necesitamos un acceso externo y tenemos un Access gateway Enterprise, Nous devrons suivre la KB de Citrix CTX124603.