Ampliación de la vida útil de sus aplicaciones web heredadas mediante Citrix Secure Browser
En el mundo de las aplicaciones y los marcos web, la diversidad debe ser aceptada. Diferentes tipos de usuarios, grupos y empresas necesitan acceso a las herramientas, aplicaciones y permisos adecuados para conectarse a las aplicaciones empresariales habilitadas para la web. En la mayoría de los casos, existen factores de cumplimiento que dictan cómo acceder a estas aplicaciones. Las empresas que necesitan dar soporte a subsistemas más antiguos, con marcos de navegador más antiguos, se enfrentan a una tarea difícil para proporcionar un acceso adecuado y cumplir con los requisitos de cumplimiento para las aplicaciones críticas para el negocio. El siguiente documento describe cómo utilizar Citrix Secure Browser para ampliar el acceso y la vida útil de sus aplicaciones y navegadores web heredados mientras crea una estrategia de actualización y migración.
La solución requiere la publicación de un navegador compatible que permita el acceso a usuarios externos o internos, independientemente de cómo se conecte el usuario o del navegador que utilice para conectarse al sitio interno. Esta solución utiliza XenDesktop Server OS VDA, StoreFront™, NetScaler Gateway y XenApp Secure Browser. Los usuarios redirigen los navegadores o puntos finales compatibles para usar un navegador nativo cuando cumple con todos los requisitos establecidos por el administrador de TI; y si la política detecta un navegador o punto final no compatible, redirige al usuario a una sesión de navegador publicada en contenedores remotos. Los usuarios solo necesitan conocer una URL por recurso (lo que reduce los costos de capacitación y soporte) independientemente de cómo se conecten al entorno.
Arquitectura
La siguiente sección explica cómo los usuarios acceden al sitio interno, independientemente de si el usuario se conecta desde una red interna o externa. En este escenario, un tipo de navegador (Internet Explorer) es el navegador compatible y otro (Google Chrome) es el no compatible. Cada empresa debe determinar cómo y qué navegadores se asignan a la política de cumplimiento.
Para esta solución, asumimos que NetScaler® Gateway está configurado para el acceso externo a las aplicaciones publicadas, lo que se representa en la Figura 1 como Gateway vServer 1. El segundo servidor virtual (Gateway vServer 2) redirige a los usuarios para iniciar la sesión de HTML5 Receiver para Secure Browser.
Caso de uso
Existe la necesidad de mantener aplicaciones web heredadas que ya no son compatibles con los navegadores actuales. En este caso, TI todavía tiene que mantener un sitio web diseñado para Internet Explorer 8 y el proveedor ya no lanza mejoras para admitir navegadores nuevos o de otro tipo. Para resolver este problema, el administrador de TI publica un Secure Browser para permitir que los usuarios que cumplen con los requisitos del navegador accedan al sitio. El siguiente diagrama explica cada conexión en el flujo de trabajo para usuarios internos y externos.
Flujo de trabajo de conectividad
- Cada usuario introduce la URL del sitio que se resuelve desde un servidor DNS externo, en nuestro ejemplo,
https://train.qckr.net - El navegador se conecta al equilibrador de carga de NetScaler Gateway y determina los requisitos de cumplimiento.
- Cuando el navegador no es compatible, tanto los usuarios internos como los externos se redirigen al servidor virtual de NetScaler Gateway. Cuando el navegador es compatible, NetScaler Gateway actúa como proxy de la conexión al sitio interno a través del equilibrador de carga para los usuarios externos y redirige el navegador local al sitio para los usuarios internos.
- El servidor virtual inicia automáticamente una sesión enumerada por StoreFront.
- StoreFront se pone en contacto con el controlador de XenDesktop® para obtener información y enrutamiento de la sesión.
- La sesión se inicia a través del grupo de escritorios de Secure Browser; en este caso, es un VDA de SO de servidor con un navegador compatible publicado.
- La sesión se conecta a través del proxy ICA® en el dispositivo NetScaler Gateway.
- Citrix Receiver™ para HTML5 establece la sesión del usuario dentro del navegador nativo.
- El sitio interno aparece a través de la sesión de Secure Browser con Citrix Receiver para HTML5.
Configuración e instalación
Esta sección muestra cómo implementar la solución para entornos XenDesktop actuales con conectividad remota de NetScaler Gateway.
Requisitos de la solución
La configuración requiere la instalación y configuración de los siguientes componentes:
- Servidor XenDesktop Desktop Controller
- Servidor Citrix StoreFront con un Store configurado para acceso externo
- NetScaler Gateway con un servidor virtual XenDesktop
- VDA de SO de servidor que utiliza el navegador instalado como Secure Browser
- Dirección DNS externa que apunta a un nuevo equilibrador de carga de NetScaler
- Dirección DNS externa que apunta a un nuevo servidor virtual de NetScaler Gateway
Configuración
Controlador de escritorio de XenDesktop
Agregue el VDA del SO de servidor a un nuevo catálogo de máquinas llamado Secure Browser Catalog.
Cree un grupo de entrega para Secure Browser Catalog y publique Internet Explorer. En los parámetros de la línea de comandos, escriba -k <URL del sitio interno>. El parámetro -k sirve para abrir Internet Explorer en modo quiosco. En este ejemplo, estamos publicando Internet Explorer 8 y usando un sitio interno para la URL.
Puede asignar el grupo de entrega a usuarios y grupos específicos. No es necesario agregar acceso de escritorio si no se necesita para el caso de uso.
En el VDA del SO de servidor, instale un certificado de autenticación de servidor o cliente, lo que habilita SSL en la comunicación entre el controlador y el VDA.
Monte el medio de instalación de XenDesktop 7.6 o posterior. Abra una ventana de comandos de PowerShell y, a continuación, ejecute %MediaDrive%:\Support\Tools\SslSupport\Enable-VdaSSL.ps1 –Enable
Reinicie la instancia del VDA del SO de servidor.
En el controlador de XenDesktop, abra una ventana de comandos de PowerShell y ejecute el comando ASNP Citrix*.
Ejecute los tres comandos siguientes para habilitar la comunicación segura del agente al VDA:
Get-BrokerAccessPolicyRule –DesktopGroupName ‘Secure Browser Desktop Group’ | Set-BrokerAccessPolicyRule –HdxSslEnabled $true*
<!--NeedCopy-->
Set-BrokerSite –DnsResolutionEnabled $true
<!--NeedCopy-->
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true*
<!--NeedCopy-->
StoreFront
Cree un nuevo Almacén llamado SecureBrowser y seleccione Permitir que solo los usuarios no autenticados accedan a este almacén. El tráfico se autentica ya que todos los usuarios pasan un token de NetScaler Gateway al controlador.
Agregue el controlador de XenDesktop.
Habilite el Acceso remoto y agregue un segundo NetScaler Gateway que configurará en los siguientes pasos. Para esta configuración, no necesita usar la devolución de llamada o la dirección VIP en la configuración de StoreFront / NetScaler Gateway.
Termine de crear el almacén usando los valores predeterminados del asistente.
Después de crear el almacén, haga clic en Administrar sitios de Receiver para Web.
En la página Administrar sitios de Receiver para Web, haga clic en Configurar, vaya a Accesos directos a sitios web, agregue la URL del sitio web interno y haga clic en el enlace Obtener accesos directos.
Inicie sesión como un usuario normal con acceso a la aplicación publicada de Secure Browser.
Copie la URL de la aplicación Secure Browser y guárdela en un archivo de texto para usarla más tarde en la configuración de NetScaler Gateway.
Vuelva a las propiedades de Edit Receiver for Web site, haga clic en Deploy Citrix Receiver y seleccione Always use Receiver for HTML5. Seleccione la opción Launch applications in the same tab as Receiver for Web.
Haga clic en Workspace Control, en Logoff action, seleccione Terminate. Desactive la opción Enable workspace control.
Haga clic en Client Interface Settings, desactive la opción Auto launch desktop y haga clic en OK para guardar la configuración.
En un editor de texto, abra el archivo C:\inetpub\wwwroot\Citrix\SecureBrowserWeb\web.config.
Busque la configuración <appShortcuts promptForUntrustedShortcuts=”true”>, establézcala en false y guarde los cambios. Deshabilitar esta configuración evita que StoreFront pregunte a los usuarios si desean iniciar la aplicación.
NetScaler Gateway
En la GUI de NetScaler Gateway, en el panel de navegación, haga clic en XenApp® y XenDesktop y luego en el Panel de control, haga clic en Crear nueva puerta de enlace.
En las propiedades de StoreFront, establezca la Ruta del sitio en /Citrix/SecureBrowserWeb y establezca el nombre de la Tienda en SecureBrowser como la nueva tienda en el servidor StoreFront.
Continúe con el asistente y guarde el nuevo servidor virtual.
En el nodo NetScaler Gateway, expanda Directivas y vaya a Sesión.
Seleccione la ficha Acciones, edite la acción recién creada para el segundo servidor virtual y luego edite la acción de directiva AC_WB_.
En la ficha Aplicaciones publicadas, pegue la URL de accesos directos de la aplicación que guardó anteriormente en el campo Dirección de la interfaz web y luego haga clic en Aceptar.
En el panel de navegación, haga clic en el nodo AppExpert, expanda la sección Responder y luego haga clic en Acciones.
Agregue una nueva Acción, nómbrela Conexiones internas y establezca el tipo en Redirigir.
En el campo Expresión, agregue la URL del sitio interno al que conectarse entre comillas, como https://mysite.acme.com
Haga clic en Crear para guardar la acción.
Agregue una nueva acción, nómbrela Conexiones externas y establezca el tipo en Redirigir.
En el campo Expression, añada la URL del segundo servidor virtual de NetScaler Gateway entre comillas, como https://gateway.acme.com
Haga clic en Crear para guardar la acción.
Vaya al nodo Responder Policies.
Agregue una nueva directiva, nómbrela Detect Browser Compliance, en el menú desplegable Action, seleccione la acción External Connections que creó anteriormente.
Establezca Undefined-Result Action en NOOP.
En el campo Expression, añada el siguiente texto:
| HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“AppleWebKit”) | HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“Chrome”) |
Las expresiones anteriores detectan navegadores que no cumplen las normas o, en este caso de uso, que no son Internet Explorer.
Haga clic en Crear para guardar los cambios.
Agregue una nueva directiva, nómbrela Detect Client Source, establezca la Action en la acción Internal Connections creada anteriormente.
Establezca Undefined-Result Action en NOOP.
En el campo Expression, añada el siguiente texto:
| (CLIENT.IP.SRC.IN_SUBNET(172.17.0.0/23) |
Reemplace o añada cada subred anterior para que coincida con su entorno de red interno. El agente de usuario, en este caso, coincide con la versión configurada de Internet Explorer y con que el cliente se conecta desde la red interna.
Haga clic en Crear para guardar los cambios.
En el panel de navegación, expanda Administración de tráfico > Equilibrio de carga y, a continuación, seleccione Servidores. Agregue el servidor utilizado para alojar el sitio interno.
En el panel de navegación, haga clic en Grupos de servicios en Equilibrio de carga, agregue un nuevo grupo de servicios, establezca el Protocolo en SSL y vincule el Servidor creado en el paso anterior a la lista de Miembros del grupo de servicios.
Haga clic en Listo.
En el panel de navegación, haga clic en Servidores virtuales en el nodo Equilibrio de carga, haga clic en Agregar y asigne el nombre Sitio de intranet al servidor.
Establezca el Protocolo en SSL e introduzca la dirección IP del equilibrador de carga.
Vincule el Servidor web interno del grupo de servicios creado en el paso anterior y configure los certificados para el acceso externo. Vincule el certificado de CA raíz interno a los certificados de CA para que el equilibrador de carga pueda descargar SSL en el servidor web interno.
En el panel de detalles, en Configuración avanzada, haga clic en + Directivas. Haga clic en el signo más (+) para vincular una nueva directiva.
Seleccione Respondedor para Elegir directiva y haga clic en Continuar. Seleccione Detectar origen del cliente y establezca la prioridad en 100.
Haga clic en Vincular.
Haga clic en la sección de directivas de Respondedor, haga clic en Agregar enlace, seleccione Detectar cumplimiento del explorador y establezca la prioridad en 110. Haga clic en Vincular.
Haga clic en Cerrar y, a continuación, en Listo.
Guarde la configuración de NetScaler Gateway.
Resultados y expectativas del caso de uso
Esta sección revisa los casos de uso y los resultados esperados de cómo cada usuario se conecta con la configuración anterior. En todos los casos de uso siguientes, el usuario abre un explorador instalado localmente y escribe la URL externa del sitio de formación.
Usuario externo con navegador no compatible
Resultado esperado: El usuario inicia la sesión de Citrix Receiver en una pestaña del navegador que renderiza el sitio con el Secure Browser publicado.
Usuario externo con navegador compatible
Resultado esperado: NetScaler Gateway actúa como proxy del tráfico entre el navegador local y el sitio web interno.
Usuario interno con navegador no compatible
Resultado esperado: El usuario inicia la sesión de Citrix Receiver en una pestaña del navegador que renderiza el sitio con el Secure Browser publicado.
Usuario interno con navegador compatible
Resultado esperado: La sesión del usuario se redirige al sitio interno; NetScaler Gateway no actúa como proxy de la conexión, ya que el cliente se conecta desde la red interna.
Limitaciones conocidas
- El paso dinámico de URL al servidor virtual de NetScaler Gateway no admite el uso de Citrix Receiver para HTML5 para Secure Browser.
- Para pasar una URL de inicio al servidor virtual, deshabilite ICA Proxy en el perfil de sesión. ICA Proxy es un requisito para Citrix Receiver para HTML5.
- Citrix Receiver para HTML5 no admite la redirección de contenido.
- Los administradores pueden configurar Citrix Receiver en StoreFront para sitios web.
- Los entornos que tienen varios sitios separados, crean diferentes políticas de sesión de NetScaler Gateway para cada sitio y las vinculan al servidor virtual o crean un portal de inicio interno que puede alojar URL para los sitios internos.