Citrix DaaS

Acceso adaptable basado en la ubicación de red del usuario: Tech Preview

La funcionalidad de acceso adaptable de la plataforma de Citrix Workspace utiliza una infraestructura de directivas avanzada para habilitar el acceso a Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service) en función de la ubicación de red del usuario. La ubicación se define mediante el rango de direcciones IP o las direcciones de subred.

Los administradores pueden definir directivas para enumerar, o no, aplicaciones y escritorios virtuales en función de la ubicación de red del usuario. También pueden controlar las acciones de usuario que pueden realizarse en Citrix DaaS al habilitar o inhabilitar el acceso al portapapeles, las impresoras, la asignación de unidades del cliente, etc., en función de la ubicación de red del usuario. Por ejemplo, un administrador puede implementar estas directivas para acceder a las aplicaciones:

  • Enumerar algunas aplicaciones de carácter confidencial solo desde la ubicación corporativa o desde sus sucursales.
  • No enumerar las aplicaciones de carácter confidencial si los empleados acceden al espacio de trabajo desde una red externa.
  • Inhabilitar el acceso a las impresoras desde las sucursales.
  • Inhabilitar el acceso al portapapeles y a las impresoras cuando los usuarios están fuera de la red corporativa.

Requisitos previos

  • Implementación de Citrix DaaS que accede a través de la plataforma de Citrix Workspace.

  • Registrarse en el acceso adaptable (Tech Preview) mediante (https://podio.com/webforms/25412100/1884833).

    Nota: Esto solo es necesario durante la versión Tech Preview.

Recomendaciones

En su implementación de Citrix DaaS;

  • Identifique un grupo de entrega de prueba o cree un grupo de entrega para implementar esta funcionalidad.
  • Cree o identifique una directiva que pueda utilizarse con un grupo de entrega de prueba.

Puntos que tener en cuenta

  • Si selecciona la opción para dejar la administración de usuarios a Citrix Cloud, no podrá aplicar directivas de Smart Access (por ejemplo, el acceso adaptable a Citrix DaaS según la ubicación de la red). Esto se debe a que los grupos de entrega se convierten en ofertas de biblioteca y, por lo tanto, Web Studio ya no los gestiona.
  • Si piensa enumerar de forma selectiva Citrix DaaS en función de la ubicación de la red, la administración de usuarios para esos grupos de entrega debe realizarse mediante directivas de Citrix Studio, en lugar de hacerlo con Citrix Workspace. Al crear un grupo de entrega, en Configuración de usuarios, elija Restringir el uso de este grupo de entrega a los usuarios siguientes o Permitir que cualquier usuario no autenticado use este grupo de entrega. Así, se habilita la ficha Directiva de acceso en Grupo de entrega para configurar el acceso adaptable.

Nota: Esto no es necesario si piensa utilizar el acceso adaptable para restringir controles de usuario, como inhabilitar el acceso al portapapeles, la redirección de impresoras o la asignación de unidades del cliente, en función de la ubicación de red.

Crear grupo de entrega

Modo de configuración

En un nivel alto, debe seguir estos pasos.

  1. Definir las directivas de acceso adaptable que quiere implementar en función de las ubicaciones de los usuarios.
  2. Configurar las ubicaciones de red de las sucursales y corporativas desde donde piensa implementar el acceso adaptable.
  3. Usar las ubicaciones de red definidas para configurar directivas de acceso adaptable de aplicaciones y escritorios virtuales en Citrix Studio.

Definir las directivas adaptables que quiere implementar

Tomemos el siguiente ejemplo:

Ubicación Controles de acceso o de usuario
Interna Enumerar todas las aplicaciones
Sucursal Enumerar todas las aplicaciones
Externa No enumerar algunas aplicaciones confidenciales e inhabilitar el acceso a la impresora y al portapapeles a todas las aplicaciones

Configurar ubicaciones de red

Puede configurar las ubicaciones de red mediante el servicio de ubicación de red de Citrix Cloud https://citrix.cloud.com/networksites. Puede crear los sitios y definir si estos deben tratarse como sitios internos o externos en función de la conectividad de red. A continuación, puede adjuntar etiquetas a los sitios. Una vez creados los sitios, cada dirección IP del cliente debe asociarse a un conjunto de etiquetas.

Configurar ubicaciones de red

Nota:

  • Las etiquetas de ubicación se utilizan para implementar el acceso contextual basado en la ubicación de red Las etiquetas de ubicación solo se pueden configurar si el cliente o arrendatario tiene derecho a usar Autenticación adaptable de Citrix; de lo contrario, las etiquetas de ubicación permanecen ocultas para los demás.
  • Se recomienda definir las ubicaciones de red desde las que los usuarios tienen más privilegios de acceso, en lugar de definir redes externas. Use las ubicaciones de red para definir las redes internas, las sucursales, etc., y dar acceso preferencial desde estas ubicaciones.
  • Defina etiquetas para cada ubicación o sitio de red. Por ejemplo, “Sucursal”. Estas etiquetas sirven para configurar las directivas de acceso adaptable en Citrix Studio. Las etiquetas predeterminadas son LOCATION_external y LOCATION_internal. Nota: En Citrix Studio, debe anteponer “LOCATION_TAG_” al nombre de la etiqueta. Por ejemplo, si ha definido una ubicación de red con la etiqueta “BranchOffice”, al configurar la opción de filtro en la directiva de Citrix Studio, use el nombre “LOCATION_TAG_BranchOffice”.

Configurar la directiva de acceso adaptable en Citrix Studio

Nota: Esta no es la configuración exhaustiva, sino un ejemplo de cómo usar los nombres de etiqueta para configurar las directivas de Studio.

Las etiquetas de ubicación de red definidas en el paso anterior sirven para configurar directivas de acceso adaptable en Citrix Studio. Este paso es similar a configurar una directiva de SmartAccess con la puerta de enlace local. Debe reemplazar Citrix Gateway por espacio de trabajo en “COMUNIDAD” y la directiva de sesión por etiquetas de ubicación de red en “Filtro”.

En este paso, elija la directiva de Citrix Studio (existente o nueva) y asóciela a un grupo de entrega (existente o nuevo). Para crear un grupo de entrega, consulte Crear grupos de entrega. Para crear una directiva, consulte Crear directivas.

Configurar la directiva de acceso adaptable para la enumeración de aplicaciones y escritorios virtuales

Usemos el ejemplo anterior y creemos una directiva para enumerar las aplicaciones de carácter confidencial solo desde la red corporativa (en este caso, Sucursal) Para asignar la etiqueta “LOCATION_TAG_Sucursal” al grupo de entrega identificado para probar las directivas de acceso adaptable, haga lo siguiente.

  1. Inicie sesión en Citrix Cloud.
  2. Seleccione Mis servicios > DaaS.
  3. Haga clic en Administrar.
  4. Cree los grupos de entrega necesarios. Para obtener información detallada, consulte Crear grupos de entrega.
  5. Seleccione el grupo de entrega que ha creado y haga clic en Modificar grupo de entrega.
  6. Haga clic en Directiva de acceso.
  7. Haga clic en Agregar y seleccione lo siguiente:

    • espacio de trabajo en Comunidad
    • LOCATION_TAG_Sucursal en Filtro

    Modificar grupo de entrega

    Nota: Puede agregar varios filtros a una comunidad. La Comunidad debe establecerse siempre en espacio de trabajo y el filtro debe tener cualquiera de las etiquetas de acceso adaptable creadas en función de la configuración de la ubicación de red.

  8. Para los clientes que utilizan el acceso adaptable en la plataforma de Citrix Workspace, haga lo siguiente para restringir el acceso de un grupo de entrega a las redes internas solamente.

    • Seleccione la casilla de verificación Conexiones a través de NetScaler Gateway y, a continuación, la casilla Conexiones que cumplan cualquiera de estos filtros.
    • Introduzca las etiquetas apropiadas para las ubicaciones internas.

    Nota: Si selecciona Todas las conexiones no realizadas a través de NetScaler Gateway, podrá ver sus aplicaciones, independientemente de si proviene de la red interna o externa. Se recomienda a los clientes que utilizan el acceso adaptable con la plataforma de Citrix Workspace no utilizar la opción Todas las conexiones no realizadas a través de NetScaler Gateway para restringir el acceso de un grupo de entrega solo a las redes internas.

Configurar directivas de acceso adaptable para definir controles de usuario final al acceder a aplicaciones y escritorios virtuales

Usemos el ejemplo anterior y creemos una directiva para inhabilitar la funcionalidad “copiar y pegar” solo desde sucursales.

Para inhabilitar la funcionalidad “copiar y pegar” para los usuarios procedentes de la ubicación LOCATION_TAG_Sucursal, haga lo siguiente.

  1. En la página de configuración de Citrix DaaS, haga clic en la ficha Administrar.
  2. Haga clic en la ficha Directivas.
  3. Seleccione Crear directiva.
  4. En Seleccionar configuraciones, elija Redirección del portapapeles del cliente.
  5. En Modificar configuración, seleccione Prohibida y, a continuación, haga clic en Aceptar.

    Modificar configuración

  6. En la página Usuarios y máquinas, haga clic en Objetos de usuario y máquina seleccionados y, a continuación, asigne esta directiva a Control de acceso.

  7. Introduzca un nombre para la directiva (o acepte el valor predeterminado). Conviene que el nombre dado a la directiva esté basado en a quién o a qué afecta; por ejemplo, “Departamento de Contabilidad” o “Usuarios remotos”. Si lo desea, puede proporcionar una descripción.

La directiva está habilitada de forma predeterminada. Si prefiere, puede desactivarla. Si la directiva está habilitada, se aplica de inmediato a los usuarios que inician sesión en el sitio. Si se inhabilita, la directiva no se aplica. Si necesita establecer la prioridad de una directiva o agregar configuraciones en otro momento, puede inhabilitar la directiva hasta que esté listo para aplicarla.

Para asignar una directiva de acceso adaptable a una ubicación externa (LOCATION_external)

Si quiere aplicar una directiva de acceso para una ubicación externa, por ejemplo, para inhabilitar el acceso al portapapeles a los usuarios procedentes de ubicaciones no configuradas (distintas de LOCATION_TAG_Sucursal, LOCATION_internal), solo tiene que asignar la directiva a LOCATION_external (puesto que no corresponde a ninguna de las ubicaciones de red definidas, se devuelve LOCATION_external).

Asignar directiva

Cómo validar una configuración de directiva

Valide las directivas adaptables para asegurarse de que funcionan según lo previsto antes de implementarlas de manera generalizada. En el ejemplo de configuración;

  • Para los usuarios procedentes de la ubicación de red LOCATION_internal, deben enumerarse las aplicaciones. Además, la función “copiar y pegar” debe estar disponible para estos usuarios.
  • Para los usuarios procedentes de la ubicación de red LOCATION_TAG_Sucursal, deben enumerarse las aplicaciones. La función “copiar y pegar” debe estar inhabilitada para estos usuarios.
  • Para los usuarios procedentes de la ubicación de red LOCATION_external, no deben enumerarse las aplicaciones.
Acceso adaptable basado en la ubicación de red del usuario: Tech Preview