Autenticación
-
En una implementación de Citrix Endpoint Management, entran en juego varias consideraciones al decidir cómo configurar la autenticación. Esta sección describe los diversos factores que afectan a la autenticación:
- Las principales políticas MDX, las propiedades del cliente de Citrix Endpoint Management y la configuración de NetScaler Gateway implicadas en la autenticación.
- Las formas en que estas políticas, propiedades del cliente y configuraciones interactúan.
- Las ventajas y desventajas de cada elección.
Este artículo también incluye tres ejemplos de configuraciones recomendadas para aumentar los grados de seguridad.
En términos generales, una seguridad más sólida se traduce en una experiencia de usuario menos óptima, porque los usuarios tienen que autenticarse con más frecuencia. El equilibrio entre estas preocupaciones depende de las necesidades y prioridades de tu organización. Revisa las tres configuraciones recomendadas para comprender la interacción de las diversas opciones de autenticación.
Modos de autenticación
Autenticación en línea: Permite a los usuarios acceder a la red de Citrix Endpoint Management. Requiere una conexión a Internet.
Autenticación sin conexión: Se produce en el dispositivo. Los usuarios desbloquean la bóveda segura y tienen acceso sin conexión a elementos, como correo descargado, sitios web en caché y notas.
Métodos de autenticación
LDAP: Puedes configurar una conexión en Citrix Endpoint Management a uno o más directorios que cumplan con el Protocolo ligero de acceso a directorios (LDAP). Este método se usa comúnmente para proporcionar inicio de sesión único (SSO) para entornos empresariales. Puedes optar por el PIN de Citrix con el almacenamiento en caché de contraseñas de Active Directory para mejorar la experiencia del usuario con LDAP. Al mismo tiempo, puedes proporcionar la seguridad de contraseñas complejas en la inscripción, la caducidad de la contraseña y el bloqueo de la cuenta.
Para obtener más detalles, consulta Autenticación de dominio o de dominio más token de seguridad.
Certificado de cliente: Citrix Endpoint Management puede integrarse con autoridades de certificación estándar de la industria para usar certificados como único método de autenticación en línea. Citrix Endpoint Management proporciona este certificado después de la inscripción del usuario, lo que requiere una contraseña de un solo uso, una URL de invitación o credenciales LDAP. Cuando se usa un certificado de cliente como método principal de autenticación, se requiere un PIN de Citrix en entornos solo de certificado de cliente para proteger el certificado en el dispositivo.
Citrix Endpoint Management solo admite la lista de revocación de certificados (CRL) para una autoridad de certificación de terceros. Si tienes una CA de Microsoft configurada, Citrix Endpoint Management usa NetScaler Gateway para gestionar la revocación. Cuando configures la autenticación basada en certificados de cliente, considera si necesitas configurar la opción de lista de revocación de certificados (CRL) de NetScaler Gateway, Habilitar actualización automática de CRL. Este paso garantiza que un dispositivo inscrito solo en MAM no pueda autenticarse usando un certificado existente en el dispositivo. Citrix Endpoint Management vuelve a emitir un nuevo certificado, ya que no restringe a un usuario la generación de un certificado de usuario si se revoca uno. Esta configuración aumenta la seguridad de las entidades PKI cuando la CRL comprueba las entidades PKI caducadas.
Para ver un diagrama que muestra la implementación necesaria para la autenticación basada en certificados o el uso de tu entidad de certificación (CA) empresarial para emitir certificados de dispositivo, consulta Arquitectura.
LDAP + Certificado de cliente: Esta configuración es la mejor combinación de seguridad y experiencia de usuario para Citrix Endpoint Management. Al usar la autenticación LDAP y de certificado de cliente:
- Ofrece las mejores posibilidades de SSO junto con la seguridad que proporciona la autenticación de dos factores en NetScaler Gateway.
- Proporciona seguridad con algo que los usuarios conocen (sus contraseñas de Active Directory) y algo que tienen (certificados de cliente en sus dispositivos).
Citrix Secure Mail puede configurar automáticamente y proporcionar una experiencia de usuario fluida la primera vez con la autenticación de certificado de cliente. Esa función requiere un entorno de servidor de acceso de cliente de Exchange configurado correctamente.
- Para una usabilidad óptima, puedes combinar la autenticación LDAP y de certificado de cliente con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory.
LDAP + Token: Esta configuración permite la configuración clásica de credenciales LDAP, además de una contraseña de un solo uso, mediante el protocolo RADIUS. Para una usabilidad óptima, puedes combinar esta opción con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory.
Directivas, ajustes y propiedades de cliente importantes para la autenticación
Las siguientes directivas, ajustes y propiedades de cliente entran en juego con las tres configuraciones recomendadas siguientes:
Directivas MDX
Contraseña de la aplicación: Si está Activado, se requiere un PIN o una contraseña de Citrix para desbloquear la aplicación cuando se inicia o se reanuda después de un período de inactividad. El valor predeterminado es Activado.
Para configurar el temporizador de inactividad para todas las aplicaciones, establece el valor de INACTIVITY_TIMER en minutos en la consola de Citrix Endpoint Management en Propiedades de cliente en la ficha Ajustes. El valor predeterminado es de 15 minutos. Para inhabilitar el temporizador de inactividad, de modo que un PIN o una contraseña solo aparezcan cuando se inicie la aplicación, establece el valor en cero.
Sesión de micro VPN requerida: Si está Activado, el usuario debe tener una conexión a la red empresarial y una sesión activa para acceder a la aplicación en el dispositivo. Si está Desactivado, no se requiere una sesión activa para acceder a la aplicación en el dispositivo. El valor predeterminado es Desactivado.
Período máximo sin conexión (horas): Define el período máximo durante el cual una aplicación puede ejecutarse sin volver a confirmar el derecho de la aplicación y sin actualizar las directivas de Citrix Endpoint Management. Una aplicación iOS recupera nuevas directivas para las aplicaciones MDX de Citrix Endpoint Management sin interrupción para los usuarios después de cumplir las siguientes condiciones:
- Tú configuras el periodo máximo sin conexión y
- Citrix Secure Hub para iOS tiene un token de NetScaler Gateway válido.
Si Citrix Secure Hub no tiene un token de NetScaler Gateway válido, los usuarios deben autenticarse a través de Citrix Secure Hub antes de que las directivas de la aplicación puedan actualizarse. El token de NetScaler Gateway puede dejar de ser válido debido a la inactividad de la sesión de NetScaler Gateway o a una directiva de tiempo de espera forzado de la sesión. Cuando los usuarios vuelven a iniciar sesión en Citrix Secure Hub, pueden seguir ejecutando la aplicación.
Se recuerda a los usuarios que deben iniciar sesión 30, 15 y 5 minutos antes de que expire el periodo. Después de la expiración, la aplicación se bloquea hasta que los usuarios inician sesión. El valor predeterminado es de 72 horas (3 días). El periodo mínimo es de 1 hora.
Nota:
Ten en cuenta que, en un escenario en el que los usuarios viajan con frecuencia y usan itinerancia internacional, el valor predeterminado de 72 horas (3 días) podría ser demasiado corto.
Caducidad del tíquet de servicios en segundo plano: El periodo de tiempo durante el cual un tíquet de servicio de red en segundo plano permanece válido. Cuando Citrix Secure Mail se conecta a través de NetScaler Gateway a un servidor Exchange que ejecuta ActiveSync, Citrix Endpoint Management emite un token. Citrix Secure Mail usa ese token para conectarse al servidor Exchange interno. Esta configuración de propiedad determina la duración durante la cual Citrix Secure Mail puede usar el token sin requerir un nuevo token para la autenticación y la conexión al servidor Exchange. Cuando el límite de tiempo expira, los usuarios deben iniciar sesión de nuevo para generar un nuevo token. El valor predeterminado es de 168 horas (7 días). Cuando este tiempo de espera expira, las notificaciones de correo se detienen.
Periodo de gracia requerido para la sesión de micro VPN: Determina cuántos minutos un usuario puede usar la aplicación sin conexión hasta que se valide la sesión en línea. El valor predeterminado es 0 (sin periodo de gracia).
Para obtener información sobre las directivas de autenticación, consulta:
- Si usas el SDK de MAM: Información general del SDK de MAM
- Si usas el MDX Toolkit: Directivas MDX de Citrix Endpoint Management para iOS y Directivas MDX de Citrix Endpoint Management para Android
Propiedades de cliente de Citrix Endpoint Management
Nota:
Las propiedades de cliente son configuraciones globales que se aplican a todos los dispositivos que se conectan a Citrix Endpoint Management.
PIN de Citrix: Para una experiencia de inicio de sesión sencilla, puedes optar por habilitar el PIN de Citrix. Con el PIN, los usuarios no tienen que introducir otras credenciales repetidamente, como sus nombres de usuario y contraseñas de Active Directory. Puedes configurar el PIN de Citrix solo como una autenticación sin conexión independiente, o combinar el PIN con el almacenamiento en caché de contraseñas de Active Directory para simplificar la autenticación y lograr una usabilidad óptima. Configuras el PIN de Citrix en Parámetros > Cliente > Propiedades de cliente en la consola de Citrix Endpoint Management.
A continuación, se presenta un resumen de algunas propiedades importantes. Para obtener más información, consulta Propiedades de cliente.
ENABLE_PASSCODE_AUTH
Nombre para mostrar: Habilitar autenticación con PIN de Citrix
Esta clave te permite activar la funcionalidad de PIN de Citrix. Con el PIN o código de acceso de Citrix, se pide a los usuarios que definan un PIN para usarlo en lugar de su contraseña de Active Directory. Habilita esta configuración si ENABLE_PASSWORD_CACHING está habilitada o si Citrix Endpoint Management está usando la autenticación por certificado.
Valores posibles: true o false
Valor predeterminado: false
ENABLE_PASSWORD_CACHING
Nombre para mostrar: Habilitar el almacenamiento en caché de la contraseña del usuario
Esta clave te permite que la contraseña de Active Directory de los usuarios se almacene en caché localmente en el dispositivo móvil. Cuando configuras esta clave en true, se pide a los usuarios que configuren un PIN o código de acceso de Citrix. La clave ENABLE_PASSCODE_AUTH debe configurarse en true cuando configuras esta clave en true.
Valores posibles: true o false
Valor predeterminado: false
PASSCODE_STRENGTH
Nombre para mostrar: Requisito de fortaleza del PIN
Esta clave define la fortaleza del PIN o código de acceso de Citrix. Cuando cambias esta configuración, se pide a los usuarios que configuren un nuevo PIN o código de acceso de Citrix la próxima vez que se les pida que se autentiquen.
Valores posibles: Baja, Media o Alta
Valor predeterminado: Media
INACTIVITY_TIMER
Nombre para mostrar: Temporizador de inactividad
Esta clave define el tiempo en minutos que los usuarios pueden dejar sus dispositivos inactivos y luego acceder a una aplicación sin que se les solicite un PIN o código de acceso de Citrix. Para habilitar esta configuración para una aplicación MDX, debes establecer la configuración de Código de acceso de la aplicación en Activado. Si la configuración de Código de acceso de la aplicación está establecida en Desactivado, los usuarios son redirigidos a Citrix Secure Hub para realizar una autenticación completa. Cuando cambias esta configuración, el valor surte efecto la próxima vez que se solicite a los usuarios que se autentiquen. El valor predeterminado es de 15 minutos.
ENABLE_TOUCH_ID_AUTH
Nombre para mostrar: Habilitar autenticación con Touch ID
Permite el uso del lector de huellas dactilares (solo en iOS) para la autenticación sin conexión. La autenticación en línea sigue requiriendo el método de autenticación principal.
ENCRYPT_SECRETS_USING_PASSCODE
Nombre para mostrar: Cifrar secretos con código de acceso
Esta clave permite que los datos confidenciales se almacenen en el dispositivo móvil en una bóveda secreta en lugar de en un almacén nativo basado en la plataforma, como el llavero de iOS. Esta clave de configuración habilita un cifrado robusto de los artefactos clave, pero también añade entropía de usuario (un código PIN aleatorio generado por el usuario que solo el usuario conoce).
Valores posibles: true o false
Valor predeterminado: false
Configuración de NetScaler Gateway
Tiempo de espera de la sesión: Si habilitas esta configuración, NetScaler Gateway desconecta la sesión si no detecta actividad de red durante el intervalo especificado. Esta configuración se aplica a los usuarios que se conectan con el complemento de NetScaler Gateway, Citrix Secure Hub o a través de un navegador web. El valor predeterminado es de 1440 minutos. Si estableces este valor en cero, la configuración se deshabilita.
Tiempo de espera forzado: Si habilitas esta configuración, NetScaler Gateway desconecta la sesión una vez transcurrido el intervalo de tiempo de espera, independientemente de lo que esté haciendo el usuario. Cuando transcurre el intervalo de tiempo de espera, no hay ninguna acción que el usuario pueda realizar para evitar la desconexión. Esta configuración se aplica a los usuarios que se conectan con el complemento de NetScaler Gateway, Citrix Secure Hub o a través de un navegador web. Si Citrix Secure Mail está utilizando STA, un modo especial de NetScaler Gateway, esta configuración no se aplica a las sesiones de Citrix Secure Mail. El valor predeterminado es ningún valor, lo que significa que las sesiones se extienden para cualquier actividad.
Para obtener más información sobre la configuración de tiempo de espera de NetScaler Gateway, consulta la documentación de NetScaler Gateway.
Para obtener más información sobre los escenarios que solicitan a los usuarios autenticarse con Citrix Endpoint Management introduciendo credenciales en sus dispositivos, consulta Escenarios de solicitud de autenticación.
Configuración predeterminada
Esta configuración es la predeterminada proporcionada por:
- Asistente de NetScaler® para XenMobile
- SDK de MAM o MDX Toolkit
- Consola de Citrix Endpoint Management
| Configuración | Dónde encontrar la configuración | Configuración predeterminada |
|---|---|---|
| Tiempo de espera de la sesión | NetScaler Gateway | 1440 minutos |
| Tiempo de espera forzado | NetScaler Gateway | Sin valor (desactivado) |
| Período máximo sin conexión | Directivas MDX | 72 horas |
| Caducidad del tíquet de servicios en segundo plano | Directivas MDX | 168 horas (7 días) |
| Sesión micro VPN requerida | Directivas MDX | Desactivado |
| Período de gracia de la sesión micro VPN requerida | Directivas MDX | 0 |
| Código de acceso de la aplicación | Directivas MDX | Activado |
| Cifrar secretos con código de acceso | Propiedades del cliente de Citrix Endpoint Management | false |
| Habilitar autenticación PIN de Citrix | Propiedades del cliente de Citrix Endpoint Management | false |
| Requisito de fortaleza del PIN | Propiedades del cliente de Citrix Endpoint Management | Media |
| Tipo de PIN | Propiedades del cliente de Citrix Endpoint Management | Numérico |
| Habilitar almacenamiento en caché de contraseña de usuario | Propiedades del cliente de Citrix Endpoint Management | false |
| Temporizador de inactividad | Propiedades del cliente de Citrix Endpoint Management | 15 |
| Habilitar autenticación Touch ID | Propiedades del cliente de Citrix Endpoint Management | false |
Configuraciones recomendadas
Esta sección ofrece ejemplos de tres configuraciones de Citrix Endpoint Management que van desde la seguridad más baja y la experiencia de usuario óptima hasta la seguridad más alta y una experiencia de usuario más intrusiva. Estos ejemplos te proporcionan puntos de referencia útiles para determinar dónde quieres situar tu propia configuración en la escala. La modificación de esta configuración podría requerir que alteres otras configuraciones. Por ejemplo, el período máximo sin conexión no debe superar el tiempo de espera de la sesión.
Máxima seguridad
Esta configuración ofrece el nivel más alto de seguridad, pero tiene importantes desventajas en cuanto a la usabilidad.
| Configuración | Dónde encontrar la configuración | Configuración recomendada | Impacto en el comportamiento |
| Tiempo de espera de la sesión | NetScaler Gateway | 1440 | Los usuarios introducen sus credenciales de Citrix Secure Hub solo cuando se requiere autenticación en línea, cada 24 horas. |
| Tiempo de espera forzado | NetScaler Gateway | Sin valor | Las sesiones se extienden si hay alguna actividad. |
| Período máximo sin conexión | Directivas MDX | 23 | Requiere la actualización de la directiva cada día. |
| Caducidad del tíquet de servicios en segundo plano | Directivas MDX | 72 horas | Tiempo de espera para STA, que permite sesiones de larga duración sin un token de sesión de NetScaler Gateway. Para Citrix Secure Mail, hacer que el tiempo de espera de STA sea más largo que el tiempo de espera de la sesión evita que las notificaciones de correo se detengan. En ese caso, Citrix Secure Mail no solicita al usuario si no abre la aplicación antes de que caduque la sesión. |
| Sesión micro VPN requerida | Directivas MDX | Desactivado | Proporciona una conexión de red válida y una sesión de NetScaler Gateway para usar las aplicaciones. |
| Período de gracia de la sesión micro VPN requerida | Directivas MDX | 0 | Sin período de gracia (si habilitaste la sesión micro VPN requerida). |
| Código de acceso de la aplicación | Directivas MDX | Activado | Requiere un código de acceso para una aplicación. |
| Cifrar secretos con código de acceso | Propiedades del cliente de Citrix Endpoint Management | true | Una clave derivada de la entropía del usuario protege la bóveda. |
| Habilitar autenticación PIN de Citrix | Propiedades del cliente de Citrix Endpoint Management | true | Habilita el PIN de Citrix para una experiencia de autenticación simplificada. |
| Requisito de fortaleza del PIN | Propiedades del cliente de Citrix Endpoint Management | Fuerte | Altos requisitos de complejidad de contraseña. |
| Tipo de PIN | Propiedades del cliente de Citrix Endpoint Management | Alfanumérico | El PIN es una secuencia alfanumérica. |
| Habilitar el almacenamiento en caché de contraseñas | Propiedades del cliente de Citrix Endpoint Management | false | La contraseña de Active Directory no se almacena en caché y se utiliza un PIN de Citrix para las autenticaciones sin conexión. |
| Temporizador de inactividad | Propiedades del cliente de Citrix Endpoint Management | 15 | Si un usuario no utiliza las aplicaciones MDX o Citrix Secure Hub durante este período, se le solicitará la autenticación sin conexión. |
| Habilitar la autenticación con Touch ID | Propiedades del cliente de Citrix Endpoint Management | false | Deshabilita Touch ID para los casos de uso de autenticación sin conexión en iOS. |
Mayor seguridad
Un enfoque más intermedio, esta configuración requiere que los usuarios se autentiquen con más frecuencia —cada 3 días, como máximo, en lugar de 7— y una seguridad más sólida. El mayor número de autenticaciones bloquea el contenedor con más frecuencia, lo que proporciona seguridad de los datos cuando los dispositivos no están en uso.
| Configuración | Dónde encontrar la configuración | Configuración recomendada | Impacto en el comportamiento |
| Tiempo de espera de la sesión | NetScaler Gateway | 4320 | Los usuarios introducen sus credenciales de Citrix Secure Hub solo cuando se requiere autenticación en línea, cada 3 días. |
| Tiempo de espera forzado | NetScaler Gateway | Sin valor | Las sesiones se extienden si hay alguna actividad. |
| Período máximo sin conexión | Directivas MDX | 71 | Requiere la actualización de la directiva cada 3 días. La diferencia de una hora es para permitir la actualización antes de que expire el tiempo de espera de la sesión. |
| Caducidad del ticket de servicios en segundo plano | Directivas MDX | 168 horas | Tiempo de espera para STA, lo que permite sesiones de larga duración sin un token de sesión de NetScaler Gateway. Para Citrix Secure Mail, hacer que el tiempo de espera de STA sea más largo que el tiempo de espera de la sesión evita que las notificaciones de correo se detengan sin avisar al usuario. |
| Sesión micro VPN requerida | Directivas MDX | Desactivado | Proporciona una conexión de red válida y una sesión de NetScaler Gateway para usar las aplicaciones. |
| Período de gracia de sesión micro VPN requerida | Directivas MDX | 0 | Sin período de gracia (si habilitaste la sesión micro VPN requerida). |
| Código de acceso de la aplicación | Directivas MDX | Activado | Requiere un código de acceso para una aplicación. |
| Cifrar secretos con código de acceso | Propiedades del cliente de Citrix Endpoint Management | false | No requiere la entropía del usuario para cifrar la bóveda. |
| Habilitar la autenticación con PIN de Citrix | Propiedades del cliente de Citrix Endpoint Management | true | Habilita el PIN de Citrix para una experiencia de autenticación simplificada. |
| Requisito de fortaleza del PIN | Propiedades del cliente de Citrix Endpoint Management | Media | Aplica reglas de complejidad de contraseña media. |
| Tipo de PIN | Propiedades del cliente de Citrix Endpoint Management | Numérico | Un PIN es una secuencia numérica. |
| Habilitar el almacenamiento en caché de contraseñas | Propiedades del cliente de Citrix Endpoint Management | true | El PIN del usuario almacena en caché y protege la contraseña de Active Directory. |
| Temporizador de inactividad | Propiedades del cliente de Citrix Endpoint Management | 30 | Si un usuario no utiliza las aplicaciones MDX o Citrix Secure Hub durante este período, se le solicitará la autenticación sin conexión. |
| Habilitar autenticación Touch ID | Propiedades del cliente de Citrix Endpoint Management | true | Habilita Touch ID para casos de uso de autenticación sin conexión en iOS. |
Alta seguridad
Esta configuración, la más conveniente para los usuarios, proporciona un nivel de seguridad básico.
| Configuración | Dónde encontrar la configuración | Configuración recomendada | Impacto en el comportamiento |
| Tiempo de espera de la sesión | NetScaler Gateway | 10080 | Los usuarios introducen sus credenciales de Citrix Secure Hub solo cuando se requiere autenticación en línea, cada 7 días. |
| Tiempo de espera forzado | NetScaler Gateway | Sin valor | Las sesiones se extienden si hay alguna actividad. |
| Período máximo sin conexión | Directivas MDX | 167 | Requiere la actualización de la directiva cada semana (cada 7 días). La diferencia de una hora es para permitir la actualización antes de que expire el tiempo de espera de la sesión. |
| Caducidad del tíquet de servicios en segundo plano | Directivas MDX | 240 | Tiempo de espera para STA, que permite sesiones de larga duración sin un token de sesión de NetScaler Gateway. Para Citrix Secure Mail, al alargar el tiempo de espera de STA más allá del tiempo de espera de la sesión, se evita que las notificaciones de correo se detengan. En ese caso, Citrix Secure Mail no le pide al usuario que abra la aplicación antes de que la sesión caduque. |
| micro VPN session required | Directivas MDX | Desactivado | Proporciona una conexión de red válida y una sesión de NetScaler Gateway para usar las aplicaciones. |
| Período de gracia de micro VPN session required | Directivas MDX | 0 | Sin período de gracia (si habilitaste micro VPN session required). |
| Código de acceso de la aplicación | Directivas MDX | Activado | Requiere un código de acceso para una aplicación. |
| Cifrar secretos con código de acceso | Propiedades del cliente de Citrix Endpoint Management | false | No requiere la entropía del usuario para cifrar el almacén. |
| Habilitar autenticación con PIN de Citrix | Propiedades del cliente de Citrix Endpoint Management | true | Habilita el PIN de Citrix para una experiencia de autenticación simplificada. |
| Requisito de fortaleza del PIN | Propiedades del cliente de Citrix Endpoint Management | Bajo | No hay requisitos de complejidad de contraseña. |
| Tipo de PIN | Propiedades del cliente de Citrix Endpoint Management | Numérico | Un PIN es una secuencia numérica. |
| Habilitar el almacenamiento en caché de contraseñas | Propiedades del cliente de Citrix Endpoint Management | true | El PIN del usuario almacena en caché y protege la contraseña de Active Directory. |
| Temporizador de inactividad | Propiedades del cliente de Citrix Endpoint Management | 90 | Si un usuario no usa las aplicaciones MDX o Citrix Secure Hub durante este período, se le pedirá una autenticación sin conexión. |
| Habilitar autenticación con Touch ID | Propiedades del cliente de Citrix Endpoint Management | true | Habilita Touch ID para casos de uso de autenticación sin conexión en iOS. |
Uso de la autenticación por pasos
Algunas aplicaciones pueden requerir una autenticación mejorada. Por ejemplo, un factor de autenticación secundario, como un token o tiempos de espera de sesión agresivos. Tú controlas este método de autenticación a través de una directiva MDX. El método también requiere un servidor virtual independiente para controlar los métodos de autenticación (ya sea en el mismo dispositivo NetScaler Gateway o en dispositivos separados).
| Configuración | Dónde encontrar la configuración | Configuración recomendada | Impacto en el comportamiento |
|---|---|---|---|
| NetScaler Gateway alternativo | Directivas MDX | Requiere el FQDN y el puerto del dispositivo NetScaler Gateway secundario. | Permite una autenticación mejorada controlada por las directivas de autenticación y sesión del dispositivo NetScaler Gateway secundario. |
Si un usuario abre una aplicación que utiliza el NetScaler Gateway alternativo, todas las demás aplicaciones usan esa instancia de NetScaler Gateway para comunicarse con la red interna. La sesión solo vuelve a la instancia de NetScaler Gateway de menor seguridad cuando la sesión caduca en la instancia de NetScaler Gateway con seguridad mejorada.
Requisito de sesión micro VPN
Para ciertas aplicaciones, como Citrix Secure Web, puedes asegurarte de que los usuarios ejecuten una aplicación solo cuando tengan una sesión autenticada. Esta política aplica esa opción y permite un periodo de gracia para que los usuarios puedan terminar su trabajo.
| Ajuste | ¿Dónde encontrar el ajuste? | Ajuste recomendado | Impacto en el comportamiento |
|---|---|---|---|
| Sesión micro VPN obligatoria | Políticas MDX | Activado | Asegura que un dispositivo esté en línea y tenga un token de autenticación válido. |
| Periodo de gracia de sesión micro VPN obligatoria | Políticas MDX | 15 | Permite un periodo de gracia de 15 minutos antes de que el usuario ya no pueda usar las aplicaciones. |