Implementar tarjetas inteligentes en Chrome OS

Como administrador, puedes ofrecer compatibilidad para usar tarjetas inteligentes en Chrome OS en toda tu unidad organizativa. También puedes instalar aplicaciones de tarjetas inteligentes en tu dispositivo personal. Para obtener más información, consulta el artículo Usar tarjetas inteligentes en Chrome OS.

Paso 1: Forzar la instalación de la aplicación Smart Card Connector

Debes instalar la aplicación Smart Card Connector automáticamente en las cuentas de los usuarios de tu unidad organizativa. Para obtener información sobre cómo forzar la instalación de aplicaciones específicas, consulta el artículo Instalar aplicaciones y extensiones automáticamente.

Con la aplicación Smart Card Connector puedes proporcionar a los Chromebooks compatibilidad con PCSC®. Después, otras soluciones, como las aplicaciones middleware de tarjetas inteligentes y Citrix® , pueden usar la API PCSC para permitir a tus usuarios utilizar sus tarjetas inteligentes en sesiones de Microsoft® Windows® proporcionadas por Citrix; por ejemplo, con la integración del navegador y la redirección de sesiones virtuales. 

Nota: La aplicación Smart Card Connector intenta detectar y utilizar automáticamente lectores de tarjetas inteligentes, pero no todos son compatibles. Google solo admite lectores de tarjetas inteligentes compatibles con libccid. Los que se incluyen en las categorías supported (compatible) y should work (debería funcionar) deberían funcionar sin problemas con la aplicación.

Para obtener más información, consulta la lista de lectores de tarjetas inteligentes compatibles.

Paso 2: Forzar la instalación de una aplicación middleware de tarjetas inteligentes

A continuación, debes instalar la aplicación middleware. Para obtener información sobre cómo forzar la instalación de aplicaciones específicas, consulta el artículo Instalar aplicaciones y extensiones automáticamente.

Hay dos aplicaciones middleware principales:

  • CSSI, que es compatible con Google
  • CACKey

Las aplicaciones middleware se pueden comunicar con las tarjetas inteligentes y proporcionar certificados de cliente para autenticar a los usuarios en los sitios web HTTPS. Google se ha asociado con DriveLock® para ofrecer compatibilidad en Chrome OS a una gran variedad de tarjetas y perfiles, incluidas las soluciones CAC (Common Access Card) y PIV (Personal Identity Verification Card).

El proveedor de middleware de DriveLock está disponible en Chrome Web Store. Consulta información sobre el middleware de tarjetas inteligentes CSSI.

La aplicación de conector proporciona una API pública que otras aplicaciones middleware también pueden utilizar. Si quieres implementar una solución middleware diferente, ponte en contacto con el equipo de asistencia.

Paso 3: Aplicar todos los certificados raíz e intermedios necesarios

En función de los sitios web a los que intenten acceder tus usuarios, es posible que debas instalar certificados raíz e intermedios de confianza en sus dispositivos. Identifica esos certificados y aplícalos a los perfiles de los usuarios.

Para obtener más información, consulta el artículo Configurar una autoridad de certificación HTTPS.

Importante: La instalación de un certificado raíz en un dispositivo es una operación delicada. Debes instalar únicamente certificados raíz que hayas obtenido de fuentes de confianza y que hayas verificado.

Paso 4: Configurar Smart Card Connector para permitir la comunicación automática

Aplicaciones como la de Citrix y la de DriveLock necesitarán conectarse a Smart Card Connector para comunicarse con las tarjetas y los lectores de los usuarios. Como las tarjetas y los lectores contienen información sensible sobre los usuarios, la aplicación de conector les mostrará un cuadro de diálogo en el que se les solicita permiso antes de conceder acceso a cualquier aplicación.

Puedes conceder permisos automáticamente en la consola de administración. Para obtener información sobre cómo instalar políticas personalizadas para aplicaciones y extensiones, consulta Política de extensiones.

Importante: Si estas aplicaciones se incluyen en una lista de aplicaciones permitidas, es posible que otras personas puedan acceder a información personal de los usuarios; por ejemplo, a los certificados que haya en una tarjeta inteligente. Asegúrate de utilizar unos flujos de notificación y consentimiento adecuados para recabar y compartir la información personal de tus usuarios.

Paso 5 (opcional): Configurar Chrome OS de forma que seleccione automáticamente los certificados para las URL

Puedes configurar Chrome OS de modo que seleccione automáticamente ciertos certificados para URL concretas. De forma predeterminada, se presentará a los usuarios una lista con certificados que se pueden asociar con un determinado sitio web.

Puedes definir la política AutoSelectCertificateForUrls de manera que no sea necesario ese paso. Para ello, asocia previamente los certificados de los usuarios con ciertos patrones de URL. Para ver más información y ejemplos de valores, consulta el artículo Definir políticas de Chrome para usuarios o navegadores.

Los usuarios pueden iniciar sesión desde cualquier Chromebook con su nombre de usuario y contraseña de Google para empezar a utilizar sus tarjetas inteligentes. Los ajustes que has configurado se descargan y aplican en sus dispositivos. Cuando accedan a sitios web HTTPS, se les solicitará que utilicen los certificados que se han detectado en sus tarjetas inteligentes para autenticarlos en sus sistemas remotos.

Paso 6 (opcional): Configurar un entorno de escritorio virtual

Si utilizas un entorno de escritorio virtual, como Citrix o VMware®, deberás configurarlo de forma que pueda acceder a las tarjetas inteligentes y las redirija a la sesión virtual.

Para ver instrucciones detalladas sobre la configuración, consulta los sitios web de los distintos proveedores.

Problemas conocidos

Chrome OS no encuentra un certificado correspondiente al indicado en la tarjeta

Es posible que haya un error en la configuración de los certificados raíz e intermedios. Comprueba que has seguido correctamente las instrucciones para configurarlos. Si el problema se sigue produciendo, envía un informe de errores con más información.

Chrome OS mantiene la conexión abierta después de retirar la tarjeta

Si un usuario retira la tarjeta, Chrome OS no cerrará su sesión en ese servidor. Este es el funcionamiento previsto y también es el comportamiento predeterminado de Chrome OS en otras plataformas. Chrome OS solo intenta autenticar de nuevo al usuario cuando el servidor lo requiere.

Te recomendamos que definas tiempos de espera del servidor que obliguen a los usuarios a iniciar sesión periódicamente. Si estás haciendo pruebas y necesitas forzar al usuario a iniciar sesión de nuevo en el servidor, prueba a usar una ventana de incógnito, que no utiliza la sesión anterior y no se conserva en las solicitudes posteriores.

Cuando se introduce un PIN incorrecto, la interfaz de usuario no muestra ningún mensaje

Si un usuario introduce un PIN incorrecto, DriveLock no le avisa de lo que ha sucedido. El usuario deberá acceder al sitio web para que se le vuelva a solicitar el PIN.

Los certificados proporcionados no se filtran

El sistema recibe todos los certificados, sin importar de qué tipo sean; por ejemplo, en la lista también se muestran los certificados para la firma de correo electrónico. Esto podría ser confuso para los usuarios. Debes configurar correctamente la selección automática de certificados para evitar cualquier posible equívoco en la implementación.

Informar sobre errores

Si tienes algún problema durante la implementación, puedes enviar un informe de errores para notificarlo. Los informes de errores deben contener estos datos:

  • Una descripción del problema e instrucciones para reproducirlo, preferiblemente con una captura de pantalla de vídeo. Hay varias aplicaciones de terceros que funcionan con Chrome OS con las que puedes hacer este tipo de capturas, como Screencastify®.

  • El sitio web al que intentabas conectarte. Envía un informe de errores distinto para cada sitio web.

  • Información del sistema, la tarjeta y el lector:

    • Versión de Chrome OS

    • Tipo de lector de tarjetas inteligentes

    • Información de la tarjeta inteligente, como su proveedor, tipo y perfil

  • Registros de Smart Card Connector. En la parte inferior de la pantalla de Smart Card Connector encontrarás un enlace que permite exportar los registros y copiarlos en el portapapeles. Después, podrás guardarlos con cualquier aplicación de edición de texto y añadirlos al informe de errores.

  • Registros de las aplicaciones middleware. Cada aplicación middleware tiene su propio método para extraer los registros. Por ejemplo, en la aplicación de DriveLock, los registros se pueden extraer desde la consola del desarrollador.

    1. Ve a chrome://extensions.

    2. En la esquina superior derecha, selecciona Modo de desarrollador.

    3. Desplázate hasta la extensión de DriveLock y selecciona página en segundo plano.

    4. En la parte superior, selecciona Console (Consola).

    5. Haz clic con el botón derecho en cualquier lugar de la lista y selecciona Save as (Guardar como) para exportar los registros.

  • Exportación de chrome://net-internals

    Algunos problemas pueden estar relacionados con la forma en que Chrome OS gestiona las conexiones de los clientes. Si quieres extraer los registros de Chrome OS, ve a chrome://net-internals/#export. Los registros solo empiezan a capturarse cuando accedes a la URL, así que debes acceder a ella antes de reproducir la situación en la que se produjo el error.

    Nota: Como los registros suelen contener una gran cantidad de datos, intenta capturar solo la situación en la que se producen los errores. Por ejemplo, no hagas una búsqueda en Google mientras estés capturando registros.

Cuando hayas completado el informe de errores, ponte en contacto con el equipo de asistencia.

¿Te resultó útil esto?
¿Cómo podemos mejorarla?