Conceptos avanzados

Ampliar la vida útil de sus aplicaciones web heredadas mediante Citrix Secure Browser

En el mundo de las aplicaciones y los marcos web, la diversidad debe ser fundamental. Diferentes tipos de usuarios, grupos y empresas necesitan acceso a las herramientas, aplicaciones y permisos adecuados para conectarse a aplicaciones de empresa habilitadas para la web. En la mayoría de los casos, hay factores de cumplimiento que dictan cómo acceder a estas aplicaciones. Las empresas que necesitan admitir subsistemas más antiguos, con marcos de explorador más antiguos, se enfrentan a una difícil tarea de proporcionar acceso adecuado y cumplir los requisitos de cumplimiento de normas para aplicaciones críticas para la empresa. El siguiente documento describe cómo utilizar Citrix Secure Browser para extender el acceso y la vida útil de sus aplicaciones web y exploradores heredados mientras crea una estrategia de actualización y migración.

La solución requiere la publicación de un explorador compatible que permita el acceso a usuarios externos o internos independientemente de cómo se conecte el usuario o del explorador que utilice para conectarse al sitio interno. Esta solución utiliza VDA de SO de servidor XenDesktop, StoreFront, NetScaler Gateway y XenApp Secure Browser. Los usuarios redirigen los exploradores o terminales compatibles para que usen un explorador nativo cuando cumpla con todos los requisitos establecidos por el administrador de TI; y si la directiva detecta un explorador o punto final que no cumple con los requisitos, redirige al usuario a una sesión remota de explorador publicado en contenedores. Los usuarios solo necesitan conocer una URL por recurso (lo que reduce los costes de formación y asistencia) independientemente de cómo se conecten al entorno.

Arquitectura

En la siguiente sección se explica cómo acceden los usuarios al sitio interno, independientemente de si el usuario se conecta desde una red interna o externa. En el caso, un tipo de explorador (Internet Explorer) es el explorador compatible y otro (Google Chrome) como el no compatible. Depende de cada empresa determinar cómo y qué exploradores se asignan a la directiva de cumplimiento.

Para esta solución, suponemos que NetScaler Gateway está configurado para el acceso externo a las aplicaciones publicadas, esto se representa en la Ilustración 1 como Gateway vServer 1. El segundo servidor virtual (Gateway vServer 2) redirige a los usuarios para que inicien la sesión de Receiver HTML5 para Secure Browser.

Caso de uso

Es necesario mantener las aplicaciones web heredadas que ya no son compatibles con los exploradores actuales. En este caso, TI todavía tiene que mantener un sitio web diseñado para Internet Explorer 8 y el proveedor ya no publica mejoras para admitir exploradores nuevos o de otro tipo. Para resolver este problema, el administrador de TI publica un explorador seguro para permitir a los usuarios que cumplan los requisitos del explorador acceder al sitio. El siguiente diagrama explica cada conexión del flujo de trabajo para los usuarios internos y externos.

Imagen traducida

Flujo de trabajo de

  1. Cada usuario introduce la URL del sitio que se resuelve desde un servidor DNS externo; en nuestro ejemplo, https://train.qckr.net
  2. El explorador se conecta al equilibrador de carga de NetScaler Gateway y determina los requisitos de cumplimiento.
  3. Cuando el explorador no cumple con los requisitos, los usuarios internos y externos redirigen al servidor virtual de NetScaler Gateway. Cuando el explorador es compatible, NetScaler Gateway envía por proxy la conexión al sitio interno a través del equilibrador de carga para los usuarios externos y redirige el explorador local al sitio para los usuarios internos.
  4. El servidor virtual inicia automáticamente una sesión enumerada por StoreFront.
  5. StoreFront se pone en contacto con XenDesktop Controller para obtener información de sesión y redirección
  6. La sesión se inicia a través del grupo de escritorios Secure Browser; en este caso, se trata de un VDA de SO de servidor con un explorador compatible con la publicación.
  7. La sesión se conecta a través del proxy ICA en el dispositivo NetScaler Gateway.
  8. Citrix Receiver para HTML5 establece la sesión del usuario en el explorador nativo.
  9. El sitio interno aparece a través de la sesión de Secure Browser con Citrix Receiver para HTML5.

Parámetros y configuración

En esta sección se muestra cómo implementar la solución para los entornos actuales de XenDesktop con conectividad remota de NetScaler Gateway.

Requisitos de la solución

La instalación requiere la instalación y configuración de los siguientes componentes:

  • Servidor Desktop Controller de XenDesktop
  • Servidor de Citrix StoreFront con un almacén configurado para acceso externo
  • NetScaler Gateway con un servidor virtual de XenDesktop
  • VDA de SO de servidor con el uso del explorador instalado como Secure Browser
  • Dirección DNS externa que apunta a un nuevo equilibrador de carga de NetScaler
  • Dirección DNS externa que apunta a un nuevo servidor virtual de NetScaler Gateway

Configuración

XenDesktop Desktop Controller

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

Agregue el VDA de SO de servidor a un nuevo catálogo de máquinas denominado Secure Browser Catalog.

Cree un grupo de entrega para Secure Browser Catalog y publique Internet Explorer. En los parámetros de línea de comandos, escriba**-k <URL of Internal Site>. El parámetro -k sirve para abrir Internet Explorer en modo quiosco. En este ejemplo, estamos publicando Internet Explorer 8 y mediante un sitio interno para la URL.

Puede asignar el grupo de entrega a usuarios y grupos específicos. No necesita agregar acceso de escritorio si no es necesario para el caso de uso.

En el VDA de SO de servidor, instale un certificado de autenticación de servidor o cliente, que habilite la comunicación SSL en el Controller y el VDA.

Monte los medios de instalación de XenDesktop 7.6 o posterior. Abra una ventana de comandos de PowerShell y, a continuación, ejecute %MediaDrive%:\Support\Tools\SslSupport\Enable-VdaSSL.ps1 –Enable

Reinicie la instancia de VDA de SO de servidor.

En XenDesktop Controller, abra una ventana de comandos de PowerShell y ejecute el comando ASNP Citrix*.

Ejecute los tres comandos siguientes para habilitar la comunicación segura entre el agente y el VDA:

Get-BrokerAccessPolicyRule –DesktopGroupName ‘Secure Browser Desktop Group’ | Set-BrokerAccessPolicyRule –HdxSslEnabled $true*
<!--NeedCopy-->
Set-BrokerSite –DnsResolutionEnabled $true
<!--NeedCopy-->
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true*
<!--NeedCopy-->

StoreFront

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

Cree un almacén llamado SecureBrowser y seleccione Permitir que solo usuarios no autenticados accedan a este almacén. El tráfico se autentica porque todos los usuarios pasan un token de NetScaler Gateway al controlador.

Agregue la controladora de XenDesktop.

Habilite el acceso remoto y agregue un segundo NetScaler Gateway que configurará en los siguientes pasos. Para esta configuración, no necesita usar la dirección dedevolución de llamadao VIP en la configuración de StoreFront/NetScaler Gateway.

Termine de crear el almacén con los valores predeterminados del asistente.

Después de crear el almacén, haga clic en Administrar sitios de Receiver para Web.

En la página Administrar sitios de Receiver para Web, haga clic en Configurar, vaya a Accesos directos del sitio web, agregue la URL interna del sitio web y haga clic en el enlace Obtener accesos directos.

Inicie sesión como usuario normal con acceso a la aplicación Secure Browser publicada.

Copie la URL de la aplicación Secure Browser y guárdela en un archivo de texto para usarla más adelante en la configuración de NetScaler Gateway.

Vuelva a Modificar propiedades del sitio de Receiver para Web, haga clic en Implementar Citrix Receiver y seleccione Usar siempre Receiver para HTML5. Seleccione la opción Iniciar aplicaciones en la misma ficha que Receiver para Web.

Haga clic en Control del espaciode trabajo, en Acción Cerrar sesión, seleccione Terminar. Desactive la opción Activar control del espacio de trabajo.

Haga clic en Configuración de interfaz de cliente, desactive la opción Iniciar escritorio automáticamente y haga clic en Aceptar para guardar la configuración.

En un editor de texto, abra el archivo C:\inetpub\wwwroot\Citrix\SecureBrowserWeb\web.config.

Busque la configuración <appShortcuts promptForUntrustedShortcuts=”true”>, establézcala en false y guarde los cambios. Inhabilitar esta configuración impide que StoreFront pregunte a los usuarios si quieren iniciar la aplicación.

NetScaler Gateway

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

En la GUI de NetScaler Gateway, en el panel de navegación, haga clic en XenApp y XenDesktop y, a continuación, en el Panel, haga clic en Crear nueva puerta de enlace.

En las propiedades de StoreFront, establezca la ruta del sitio en /Citrix/SecureBrowserWeb y establezca el nombre del almacén en SecureBrowser como el nuevo almacén en el servidor StoreFront.

Continúe con el asistente y guarde el nuevo servidor virtual.

En el nodo NetScaler Gateway, expanda Directivas y vaya a Sesión.

Seleccione la ficha Acciones, modifique la acción recién creada para el segundo servidor virtual y, a continuación, modifique la acción AC_WB_ policy.

En la ficha Aplicaciones publicadas, pegue la dirección URL de accesos directos de aplicación que guardó anteriormente en el campo Dirección de la Interfaz Web y, a continuación, haga clic en Aceptar.

En el panel de navegación, haga clic en el nodo AppExpert, expanda la sección Respondedor y, a continuación, haga clic en Acciones.

Agregue una nueva Acción, asígnele el nombre Conexiones internas y establezca el tipo en Redirigir.

En el campo Expresión, agregue la dirección URL del sitio interno para conectarse entre comillas, como https://mysite.acme.com

Haga clic en Crear para guardar la acción.

Agregue una nueva acción, asígnele el nombre Conexiones externas y establezca el tipo en Redirigir.

En el campo Expresión, agregue la dirección URL del segundo servidor virtual NetScaler Gateway entre comillas, como https://gateway.acme.com

Haga clic en Crear para guardar la acción.

Vaya al nodo Directivas de respondedor.

Agregue una nueva directiva, asígnele el nombre Detectar cumplimiento del explorador, en el menú desplegable Acción, seleccione la acción Conexiones externas que creó anteriormente.

Establezca Acción de resultado sin definir en NOOP.

En el campo Expresión, agregue el siguiente texto:

HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“AppleWebKit”)   HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“Chrome”)   HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“Firefox”)

Las expresiones anteriores detectan los exploradores que no cumplen con los requisitos o, en este caso de uso, no Internet Explorer.

Haga clic en Crear para guardar los cambios.

Agregue una nueva directiva, asígnele el nombre Detectar origen de cliente y establezca la Acción en la acción Conexiones internas creada previamente.

Establezca Acción de resultado sin definir en NOOP.

En el campo Expresión, agregue el texto siguiente:

(CLIENT.IP.SRC.IN_SUBNET(172.17.0.0/23)   CLIENT.IP.SRC.IN_SUBNET(192.168.52.0/24)) && HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“Trident”)

Reemplace o agregue cada subred anterior para que coincida con su entorno de red interna. El agente de usuario, en este caso, coincide con la versión configurada de Internet Explorer y que el cliente se conecta desde la red interna.

Haga clic en Crear para guardar los cambios.

En el panel de navegación, expanda Administración del tráfico > Equilibrio de carga y, a continuación, seleccione Servidores. Agregue el servidor utilizado para alojar el sitio interno.

En el panel de navegación, haga clic en Grupos de servicios en Equilibrio de carga, agregue un nuevo grupo de servicios, establezca el protocolo en SSL y vincule el servidor creado en el paso anterior a la lista Miembros del grupo de servicios.

Haga clic en Listo.

En el panel de navegación, haga clic en Servidores virtuales en el nodo Equilibrio de carga, haga clic en Agregar y asigne un nombre al sitio de intranet del servidor.

Establezca el protocolo en SSL y escriba la dirección IP del equilibrador de carga.

Vincular el servidor web interno del grupo de servicios creado en el paso anterior y configurar certificados para el acceso externo. Enlazar el certificado de CA raíz interna a los certificados de CA para que el equilibrador de carga pueda descargar SSL en el servidor web interno.

En el panel de detalles, en Configuración avanzada, haga clic en + Directivas. Haga clic en el signo más (+) para vincular una nueva directiva.

Seleccione Respondedor para la elección de directiva y haga clic en Continuar. Seleccione Detectar origen del cliente y establezca la prioridad en 100.

Haga clic en Bind.

Haga clic en la sección Directiva de Respondedor, haga clic en Agregar enlace, seleccione Detectar cumplimiento del explorador y establezca la prioridad en 110. Haga clic en Bind.

Haga clic en Cerrar y, a continuación, haga clic en Listo.

Guarde la configuración de NetScaler Gateway.

Resultados y expectativas de casos de uso

En esta sección se revisan los casos de uso y los resultados esperados de cómo cada usuario se conecta con la configuración anterior. En todos los casos de uso siguientes, el usuario abre un explorador instalado localmente y escribe la URL externa del sitio de formación.

Imagen traducida

Imagen traducida

Imagen traducida

Imagen traducida

Usuario externo con explorador no compatible

Resultado esperado: el usuario inicia la sesión de Citrix Receiver en una ficha del explorador que representa el sitio con Secure Browser publicado.

Usuario externo con explorador compatible

Resultado esperado: NetScaler Gateway sirve de proxy para el tráfico que hay entre el explorador local y el sitio web interno.

Usuario interno con explorador no compatible

Resultado esperado: El usuario inicia la sesión de Citrix Receiver en una ficha del explorador representando el sitio con el Secure Browser publicado.

Usuario interno con explorador compatible

Resultado esperado: La sesión de usuario redirige al sitio interno; NetScaler Gateway no proxy la conexión ya que el cliente se conecta desde la red interna.

Limitaciones conocidas

  • El paso dinámico de URL al servidor virtual de NetScaler Gateway no admite el uso de Citrix Receiver para HTML5 para Secure Browser.
    • Para pasar una URL de inicio al servidor virtual, inhabilite el proxy ICA en el perfil de sesión. El proxy ICA es un requisito para Citrix Receiver para HTML5.
  • Citrix Receiver para HTML5 no admite la redirección de contenido.
    • Los administradores pueden configurar Citrix Receiver en StoreFront para los sitios web.
  • Entornos que tienen varios sitios independientes, crean diferentes directivas de sesión de NetScaler Gateway para cada sitio y las vinculan al servidor virtual o crean un portal de inicio interno que puede alojar direcciones URL para los sitios internos.

Referencias

Ampliar la vida útil de sus aplicaciones web heredadas mediante Citrix Secure Browser