Citrix Endpoint Management

Certificados y autenticación

Existen varios componentes que desempeñan un papel en la autenticación durante las operaciones de Citrix Endpoint Management:

  • Citrix Endpoint Management: La seguridad y la experiencia de la inscripción se definen desde el servidor Citrix Endpoint Management. Las opciones para incorporar usuarios son:
    • Elaborar una inscripción abierta para todos o solo por invitación.
    • Requerir la autenticación de dos o tres factores. Las propiedad de cliente de Citrix Endpoint Management le permiten habilitar la autenticación con PIN de Citrix y configurar la complejidad y la caducidad del PIN.
  • NetScaler Gateway: Con NetScaler Gateway, puede finalizar sesiones SSL de micro VPN. Asimismo, puede proteger la seguridad de los datos en tránsito en la red y definir la experiencia de autenticación cada vez que un usuario accede a una aplicación.
  • Citrix Secure Hub: Citrix Secure Hub y Citrix Endpoint Management funcionan conjuntamente en las operaciones de inscripción. Presente en el dispositivo, Citrix Secure Hub es la entidad que se comunica con NetScaler Gateway. Cuando una sesión caduca, Secure Hub obtiene un tíquet de autenticación de NetScaler Gateway y lo envía a las aplicaciones MDX. Citrix recomienda usar fijación de certificados, que impide ataques de intermediarios (ataques de tipo “Man in the middle”). Para obtener más información, consulte la sección Fijación de certificados en el artículo Citrix Secure Hub.

    Asimismo, Citrix Secure Hub favorece a la seguridad del contenedor MDX, ya que envía directivas, crea sesiones con NetScaler Gateway cuando se agota el tiempo de espera de las aplicaciones y define el tiempo de espera y la experiencia de autenticación MDX. Citrix Secure Hub también se encarga de detectar la liberación por jailbreak, así como de comprobar la geolocalización y las directivas que se apliquen.

  • Directivas MDX: Las directivas MDX crean la caja fuerte de datos en el dispositivo. Las directivas MDX dirigen las conexiones de micro VPN de nuevo a NetScaler Gateway, aplican las restricciones del modo desconectado y las directivas de cliente (como los tiempos de espera).

Citrix Endpoint Management autentica a los usuarios en sus recursos mediante estos métodos de autenticación:

  • Administración de dispositivos móviles (MDM)
    • Proveedores de identidades (IDP) alojados en la nube
    • Protocolo ligero de acceso a directorios (LDAP)
      • URL de invitación y PIN
      • Autenticación de dos factores
  • Administración de aplicaciones móviles (MAM)
    • LDAP
    • Certificado
    • La autenticación MAM con token de seguridad requiere NetScaler Gateway.

Para obtener información adicional acerca de la configuración, consulte los siguientes artículos:

Certificados

Citrix Endpoint Management genera un certificado autofirmado de Secure Sockets Layer (SSL) durante la instalación para proteger los flujos de comunicación con el servidor. Reemplace ese certificado SSL por un certificado SSL de confianza procedente de una entidad de certificación conocida.

Citrix Endpoint Management también usa su propio servicio de infraestructura de clave pública (PKI) u obtiene certificados de la entidad de certificación para los certificados de cliente. Todos los productos Citrix admiten certificados comodín y de nombre alternativo de sujeto (SAN). Para la mayoría de las implementaciones, solo se necesitan dos certificados SAN o comodín.

La autenticación con certificados de cliente proporciona una capa de seguridad adicional para las aplicaciones móviles y permite que los usuarios pueden acceder sin problemas a aplicaciones HDX. Cuando se configura la autenticación con certificados de cliente, los usuarios introducen su PIN de Citrix para acceder con inicio de sesión único (Single Sign-On) a las aplicaciones habilitadas para Citrix Endpoint Management. El PIN de Citrix también simplifica la experiencia de autenticación del usuario. El PIN de Citrix se usa para proteger un certificado de cliente o para guardar las credenciales de Active Directory localmente en el dispositivo.

Para inscribir y administrar dispositivos iOS con Citrix Endpoint Management, configure y cree un certificado del servicio de notificaciones push de Apple (APNs) proveniente de Apple. Para conocer los pasos a seguir, consulte Certificados APNs.

En la siguiente tabla se muestran los formatos y los tipos de certificado para cada componente de Citrix Endpoint Management:

Componente Citrix Endpoint Management Formato de certificado Tipo de certificado requerido
NetScaler Gateway PEM (BASE64), PFX (PKCS #12) SSL, Raíz (NetScaler Gateway convierte automáticamente el formato PFX en PEM).
Citrix Endpoint Management P12 (PFX en equipos basados en Windows) SSL, SAML, APNs (Citrix Endpoint Management también genera una infraestructura de clave pública completa durante el proceso de instalación). Importante: Citrix Endpoint Management no admite certificados con extensión PEM. Para utilizar un certificado PEM, divida el archivo PEM en un certificado y una clave e importe cada uno en Citrix Endpoint Management.
StoreFront PFX (PKCS #12) SSL, raíz

Citrix Endpoint Management admite los certificados de cliente con longitudes de bits de 4096 y 2048.

Para NetScaler Gateway y Citrix Endpoint Management, se recomienda obtener certificados de servidor procedentes de una entidad de certificación pública (como Verisign, DigiCert o Thawte). Puede crear una solicitud de firma de certificado (CSR) desde la herramienta de configuración de NetScaler Gateway o de Citrix Endpoint Management. Después de crear la solicitud de firma de certificado, envíela a la entidad de certificación para que la firme. Cuando la entidad de certificación devuelva el certificado firmado, podrá instalarlo en NetScaler Gateway o Citrix Endpoint Management.

Importante:

Requisitos para certificados de confianza en iOS, iPadOS y macOS

Apple tiene nuevos requisitos para los certificados de servidor TLS. Verifique que todos los certificados cumplen los requisitos de Apple. Consulte la publicación de Apple: https://support.apple.com/en-us/HT210176.

Apple está reduciendo la duración máxima permitida de los certificados de servidor TLS. Este cambio solo afecta a los certificados de servidor emitidos después de septiembre de 2020. Consulte la publicación de Apple: https://support.apple.com/en-us/HT211025.

Autenticación LDAP

Citrix Endpoint Management admite la autenticación por dominios para uno o varios directorios que cumplan el protocolo ligero de acceso a directorios (LDAP). LDAP es un protocolo de software que proporciona acceso a información sobre grupos, cuentas de usuario y propiedades relacionadas. Para obtener más información, consulte Autenticación con dominio o dominio y token de seguridad.

Autenticación de proveedores de identidades

Puede configurar un proveedor de identidades (IDP) a través de Citrix Cloud para inscribir y administrar dispositivos de usuario.

Casos de uso admitidos para los IDP:

  • Azure Active Directory a través de Citrix Cloud
    • La integración de Workspace es opcional
    • NetScaler Gateway configurado para la autenticación por certificados
    • Android Enterprise (Tech Preview; admite el modo BYOD, dispositivos totalmente administrados y perfiles de inscripción mejorados)
    • iOS para inscripciones MDM+MAM y MDM
    • Inscripciones de iOS y macOS para Apple Business Manager
    • Android heredado (AD)

    Las funciones de inscripción automática, como Apple School Manager, no se admiten en estos momentos.

  • Okta desde Citrix Cloud
    • La integración de Workspace es opcional
    • NetScaler Gateway configurado para la autenticación por certificados
    • Android Enterprise (Tech Preview; admite el modo BYOD, dispositivos totalmente administrados y perfiles de inscripción mejorados)
    • iOS para inscripciones MDM+MAM y MDM
    • Inscripciones de iOS y macOS para Apple Business Manager
    • Android heredado (AD)

    Las funciones de inscripción automática, como Apple School Manager, no se admiten en estos momentos.

  • NetScaler Gateway local desde Citrix Cloud
    • NetScaler Gateway configurado para la autenticación por certificados
    • Android Enterprise (Tech Preview; admite el modo BYOD, dispositivos totalmente administrados y perfiles de inscripción mejorados)
    • iOS para inscripciones MDM+MAM y MDM
    • Android heredado (AD) Las funciones de inscripción automática, como el Programa de implementación de Apple, no se admiten en estos momentos.
Certificados y autenticación