Conceptos avanzados

Ampliar la vida útil de sus aplicaciones web heredadas mediante Citrix Secure Browser

En el mundo de las aplicaciones y los marcos web, la diversidad debe ser fundamental. Diferentes tipos de usuarios, grupos y empresas necesitan acceso a las herramientas, aplicaciones y permisos adecuados para conectarse a aplicaciones de empresa habilitadas para la web. En la mayoría de los casos, existen factores de cumplimiento que determinan cómo acceder a estas aplicaciones. Las empresas que necesitan admitir subsistemas más antiguos, con marcos de explorador más antiguos, se enfrentan a una difícil tarea de proporcionar acceso adecuado y cumplir los requisitos de cumplimiento de normas para aplicaciones críticas para la empresa. En el siguiente documento se describe cómo utilizar Citrix Secure Browser para ampliar el acceso y la vida útil de sus aplicaciones web heredadas y exploradores mientras crea una estrategia de actualización y migración.

La solución requiere la publicación de un explorador compatible que permita el acceso a usuarios externos o internos independientemente de cómo se conecte el usuario o del explorador que utilice para conectarse al sitio interno. Esta solución utiliza XenDesktop Server OS VDA, StoreFront, NetScaler Gateway y XenApp Secure Browser. Los usuarios redirigen exploradores o puntos finales compatibles para utilizar un explorador nativo cuando cumpla todos los requisitos establecidos por el administrador de TI; y si la directiva detecta un explorador o punto final no compatible, redirige al usuario a una sesión de explorador publicada en contenedores remota. Los usuarios solo necesitan conocer una URL por recurso (lo que reduce los costes de formación y asistencia) independientemente de cómo se conecten al entorno.

Arquitectura

En la siguiente sección se explica cómo los usuarios acceden al sitio interno independientemente de si el usuario se está conectando desde una red interna o externa. En el caso, un tipo de explorador (Internet Explorer) es el explorador compatible y otro (Google Chrome) como el no compatible. Depende de cada empresa determinar cómo y qué exploradores se asignan a la directiva de cumplimiento.

Para esta solución suponemos que NetScaler Gateway está configurado para el acceso externo a las aplicaciones publicadas, esto se representa en la Figura 1 como Gateway vServer 1. El segundo servidor virtual (Gateway vServer 2) redirige a los usuarios para iniciar la sesión de Receiver HTML5 para Secure Browser.

Caso de uso

Es necesario mantener las aplicaciones web heredadas que ya no son compatibles con los exploradores actuales. En este caso, TI todavía tiene que mantener un sitio web diseñado para Internet Explorer 8 y el proveedor ya no lanzará mejoras para admitir exploradores nuevos u otros. Para resolver este problema, el administrador de TI publica un explorador seguro para permitir a los usuarios que cumplan los requisitos del explorador acceder al sitio. El siguiente diagrama explica cada conexión en el flujo de trabajo para usuarios internos y externos.

Imagen localizada

Flujo de trabajo de conectividad

  1. Cada usuario introduce la URL del sitio que se resuelve desde un servidor DNS externo; en nuestro ejemplo, https://train.qckr.net
  2. El explorador se conecta al equilibrador de carga de NetScaler Gateway y determina los requisitos de cumplimiento.
  3. Cuando el explorador no es compatible, los usuarios internos y externos redirigen al servidor virtual NetScaler Gateway. Cuando el explorador es compatible, NetScaler Gateway proxys la conexión al sitio interno a través del equilibrador de carga para usuarios externos y redirige el explorador local al sitio para usuarios internos.
  4. El servidor virtual inicia automáticamente una sesión enumerada por StoreFront.
  5. StoreFront se pone en contacto con XenDesktop Controller para obtener información de sesión y enrutamiento.
  6. La sesión se inicia a través del grupo de escritorios Secure Browser; en este caso, se trata de un VDA de SO de servidor con un explorador compatible publicado.
  7. La sesión se conecta a través del proxy ICA en el dispositivo NetScaler Gateway.
  8. Citrix Receiver para HTML5 establece la sesión del usuario en el explorador nativo.
  9. El sitio interno aparece a través de la sesión de Secure Browser con Citrix Receiver para HTML5.

Parámetros y configuración

En esta sección se muestra cómo implementar la solución para los entornos actuales de XenDesktop con conectividad remota de NetScaler Gateway.

Requisitos de la solución

La instalación requiere la instalación y configuración de los siguientes componentes:

  • Servidor de Controller de escritorio de XenDesktop
  • Servidor Citrix StoreFront con una almacén configurada para acceso externo
  • NetScaler Gateway con un servidor virtual de XenDesktop
  • VDA de SO de servidor con el uso del explorador instalado como Secure Browser
  • Dirección DNS externa que apunta a un nuevo equilibrador de carga de NetScaler
  • Dirección DNS externa que apunta a un nuevo servidor virtual NetScaler Gateway

Configuración

XenDesktop Desktop Controller

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Agregue el VDA de SO de servidor a un nuevo catálogo de máquinas denominado Secure Browser Catalog.

Cree un grupo de entrega para Secure Browser Catalog y publique Internet Explorer. En los parámetros de línea de comandos, escriba**-k <URL of Internal Site>. El parámetro -k es abrir Internet Explorer en modo Quiosco. En este ejemplo, estamos publicando Internet Explorer 8 y mediante un sitio interno para la URL.

Puede asignar el grupo de entrega a usuarios y grupos específicos. No es necesario agregar acceso al escritorio si no es necesario para el caso de uso.

En el VDA del SO de servidor, instale un certificado de autenticación de servidor o cliente, que habilita SSL en la comunicación Controller y VDA.

Monte los medios de instalación de XenDesktop 7.6 o posterior. Abra una ventana de comandos de PowerShell y, a continuación, ejecute %MediaDrive%:\Support\Tools\SslSupport\Enable-VdaSSL.ps1 –Enable

Reinicie la instancia de VDA del SO de servidor.

En XenDesktop Controller, abra una ventana de comandos de PowerShell y ejecute el comando *ASNP Citrix**.

Ejecute los tres comandos siguientes para habilitar al agente para la comunicación segura de VDA:

Get-BrokerAccessPolicyRule –DesktopGroupName 'Secure Browser Desktop Group' | Set-BrokerAccessPolicyRule –HdxSslEnabled $true*
<!--NeedCopy-->
Set-BrokerSite –DnsResolutionEnabled $true
<!--NeedCopy-->
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true*
<!--NeedCopy-->

StoreFront

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Cree un almacén llamado SecureBrowser y seleccione Permitir que solo usuarios no autenticados accedan a este almacén. El tráfico se autentica ya que todos los usuarios están pasando un token de NetScaler Gateway al Controller.

Agregue XenDesktop Controller.

Habilite el acceso remoto y agregue un segundo NetScaler Gateway que configurará en los pasos siguientes. Para esta configuración, no es necesario utilizar la callback o la dirección VIP en la configuración de StoreFront/NetScaler Gateway.

Termine de crear el almacén mediante los valores predeterminados del asistente.

Después de crear el almacén, haga clic en Administrar sitios de Receiver para Web.

En la página Administrar sitios de Receiver para Web, haga clic en Configurar, vaya a Accesos directos del sitio web, agregue la URL interna del sitio web y haga clic en el enlace Obtener accesos directos.

Inicie sesión como usuario normal con acceso a la aplicación Secure Browser publicada.

Copie la URL de la aplicación Secure Browser y guárdela en un archivo de texto para utilizarla más adelante en la configuración de NetScaler Gateway.

Vuelva a Modificar propiedades del sitio de Receiver para Web, haga clic en Implementar Citrix Receiver y seleccione Usar siempre Receiver para HTML5. Seleccione la opción Iniciar aplicaciones en la misma ficha que Receiver para Web.

Haga clic en Control de áreade trabajo, en Acción Cerrar sesión, seleccione Terminar. Desactive la opción Habilitar control de Workspace.

Haga clic en Configuración de interfaz de cliente, desactive la opción Inicio automático del escritorio y haga clic en Aceptar para guardar la configuración.

En un editor de texto, abra el archivo C:\inetpub\wwwroot\Citrix\SecureBrowserWeb\web.config.

Busque la configuración <appShortcuts promptForUntrustedShortcuts=”true”>, establézcala en false y guarde los cambios. Inhabilitar esta configuración impide que StoreFront pregunte a los usuarios si quieren iniciar la aplicación.

NetScaler Gateway

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

En la GUI de NetScaler Gateway, en el panel de navegación, haga clic en XenApp y XenDesktop y, a continuación, en el Panel, haga clic en Crear nueva puerta de enlace.

En las propiedades de StoreFront, establezca la ruta del sitio en /Citrix/SecureBrowserWeb y establezca el nombre del almacén en SecureBrowser como el nuevo almacén en el servidor StoreFront.

Continúe con el asistente y guarde el nuevo servidor virtual.

En el nodo NetScaler Gateway, expanda Directivas y vaya a Sesión.

Seleccione la ficha Acciones, modifique la acción recién creada para el segundo servidor virtual y, a continuación, modifique la acción AC_WB_ policy.

En la ficha Aplicaciones publicadas, pegue la dirección URL de accesos directos de aplicación que guardó anteriormente en el campo Dirección de la Interfaz Web y, a continuación, haga clic en Aceptar.

En el panel de navegación, haga clic en el nodo AppExpert, expanda la sección Respondedor y, a continuación, haga clic en Acciones.

Agregue una nueva Acción, asígnele el nombre Conexiones internas y establezca el tipo en Redirigir.

En el campo Expresión, agregue la dirección URL del sitio interno para conectarse entre comillas, como https://mysite.acme.com

Haga clic en Crear para guardar la acción.

Agregue una nueva acción, asígnele el nombre Conexiones externas y establezca el tipo en Redirigir.

En el campo Expresión, agregue la dirección URL del segundo servidor virtual NetScaler Gateway entre comillas, como https://gateway.acme.com

Haga clic en Crear para guardar la acción.

Vaya al nodo Directivas de respondedor.

Agregue una nueva directiva, asígnele el nombre Detectar cumplimiento del explorador, en el menú desplegable Acción, seleccione la acción Conexiones externas que creó anteriormente.

Establezca Acción de resultado sin definir en NOOP.

En el campo Expresión, agregue el texto siguiente:

HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“AppleWebKit”)   HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“Chrome”)   HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“Firefox”)

Las expresiones anteriores detectan exploradores que no son compatibles o, en este caso, no Internet Explorer.

Haga clic en Crear para guardar los cambios.

Agregue una nueva directiva, asígnele el nombre Detectar origen de cliente y establezca la Acción en la acción Conexiones internas creada previamente.

Establezca Acción de resultado sin definir en NOOP.

En el campo Expresión, agregue el texto siguiente:

(CLIENT.IP.SRC.IN_SUBNET(172.17.0.0/23)   CLIENT.IP.SRC.IN_SUBNET(192.168.52.0/24)) && HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“Trident”)

Reemplace o agregue cada subred anterior para que coincida con su entorno de red interno. El agente de usuario, en este caso, coincide con la versión configurada de Internet Explorer y que el cliente se está conectando desde la red interna.

Haga clic en Crear para guardar los cambios.

En el panel de navegación, expanda Administración del tráfico > Equilibrio de carga y, a continuación, seleccione Servidores. Agregue el servidor utilizado para alojar el sitio interno.

En el panel de navegación, haga clic en Grupos de servicios en Equilibrio de carga, agregue un nuevo grupo de servicios, establezca el protocolo en SSL y vincule el servidor creado en el paso anterior a la lista Miembros del grupo de servicios.

Haga clic en Done.

En el panel de navegación, haga clic en Servidores virtuales en el nodo Equilibrio de carga, haga clic en Agregar y asigne un nombre al sitio de intranet del servidor.

Establezca el protocolo en SSL y escriba la dirección IP del equilibrador de carga.

Vincular el servidor web interno del grupo de servicios creado en el paso anterior y configurar certificados para el acceso externo. Enlazar el certificado de CA raíz interna a los certificados de CA para que el equilibrador de carga pueda descargar SSL al servidor web interno.

En el panel de detalles, en Configuración avanzada, haga clic en + Directivas. Haga clic en el signo más (+) para vincular una nueva directiva.

Seleccione Respondedor para la elección de directiva y haga clic en Continuar. Seleccione Detectar origen de cliente y establezca la prioridad en 100.

Haga clic en Bind.

Haga clic en la sección Directiva de Respondedor, haga clic en Agregar enlace, seleccione Detectar cumplimiento del explorador y establezca la prioridad en 110. Haga clic en Bind.

Haga clic en Cerrar y, a continuación, haga clic en Listo.

Guarde la configuración de NetScaler Gateway.

Resultados de casos de uso y expectativas

En esta sección se revisan los casos de uso y los resultados esperados de cómo cada usuario se conecta con la configuración anterior. En todos los casos de uso siguientes, el usuario abre un explorador instalado localmente y escribe la URL externa del sitio de formación.

Imagen localizada

Imagen localizada

Imagen localizada

Imagen localizada

Usuario externo con explorador no compatible

Resultado esperado: el usuario inicia la sesión de Citrix Receiver en una ficha del explorador que representa el sitio con Secure Browser publicado.

Usuario externo con explorador compatible

Resultado esperado: NetScaler Gateway sirve de proxy para el tráfico que hay entre el explorador local y el sitio web interno.

Usuario interno con explorador no compatible

Resultado esperado: El usuario inicia la sesión de Citrix Receiver en una ficha del explorador representando el sitio con el Secure Browser publicado.

Usuario interno con explorador compatible

Resultado esperado: La sesión de usuario redirige al sitio interno; NetScaler Gateway no proxy la conexión ya que el cliente se conecta desde la red interna.

Limitaciones conocidas

  • La dirección URL dinámica que pasa al servidor virtual NetScaler Gateway no admite el uso de Citrix Receiver para HTML5 para Secure Browser.
    • Para pasar una URL de inicio al servidor virtual, inhabilite el proxy ICA en el perfil de sesión. ICA Proxy es un requisito para Citrix Receiver para HTML5.
  • Citrix Receiver para HTML5 no admite la redirección de contenido.
    • Los administradores pueden configurar Citrix Receiver en StoreFront para sitios web.
  • Entornos que tienen varios sitios independientes, crean diferentes directivas de sesión de NetScaler Gateway para cada sitio y las vinculan al servidor virtual o crean un portal de inicio interno que puede alojar direcciones URL para los sitios internos.

Referencias

Ampliar la vida útil de sus aplicaciones web heredadas mediante Citrix Secure Browser