Citrix Endpoint Management

Certificados y autenticación

Existen varios componentes que desempeñan un papel en la autenticación durante las operaciones de Endpoint Management:

  • Endpoint Management: La seguridad y la experiencia de la inscripción se definen desde el servidor Endpoint Management. Las opciones para incorporar usuarios son:
    • Elaborar una inscripción abierta para todos o solo por invitación.
    • Requerir la autenticación de dos o tres factores. Las propiedad de cliente de Endpoint Management le permiten habilitar la autenticación con PIN de Citrix y configurar la complejidad y la caducidad del PIN.
  • Citrix Gateway: Con Citrix Gateway, puede finalizar sesiones SSL de micro VPN. Asimismo, Citrix Gateway puede proteger la seguridad de los datos en tránsito en la red y definir la experiencia de autenticación cada vez que un usuario acceda a una aplicación.
  • Secure Hub: Secure Hub y Endpoint Management funcionan conjuntamente en las operaciones de inscripción. Presente en el dispositivo, Secure Hub es la entidad que se comunica con Citrix Gateway. Cuando una sesión caduca, Secure Hub obtiene un tíquet de autenticación de Citrix Gateway y lo envía a las aplicaciones MDX. Citrix recomienda usar fijación de certificados, que impide ataques de intermediarios (ataques de tipo “Man in the middle”). Para obtener más información, consulte la sección Fijación de certificados en el artículo Secure Hub.

    Asimismo, Secure Hub favorece a la seguridad del contenedor MDX, ya que envía directivas, crea sesiones con Citrix Gateway cuando se agota el tiempo de espera de las aplicaciones y define el tiempo de espera y la experiencia de autenticación MDX. Secure Hub también se encarga de detectar la liberación por jailbreak, así como de comprobar la geolocalización y las directivas que se apliquen.

  • Directivas MDX: Las directivas MDX crean la caja fuerte de datos en el dispositivo. Las directivas MDX dirigen las conexiones de micro VPN de vuelta a Citrix Gateway, aplican las restricciones del modo sin conexión y las directivas de cliente (como los tiempos de espera).

Citrix Endpoint Management autentica a los usuarios en sus recursos mediante estos métodos de autenticación:

  • Administración de dispositivo móvil (MDM)
    • Proveedores de identidades (IDP) alojados en la nube
    • Protocolo ligero de acceso a directorios (LDAP)
      • URL de invitación y PIN
      • Autenticación de dos factores
  • Administración de aplicaciones móviles (MAM)
    • LDAP
    • Certificado
    • La autenticación con token de seguridad de MAM requiere Citrix Gateway.

Para obtener información adicional acerca de la configuración, consulte los siguientes artículos:

Certificados

Endpoint Management genera un certificado autofirmado de capa de sockets seguros (SSL) durante la instalación para proteger los flujos de comunicación con el servidor. Reemplace ese certificado SSL por un certificado SSL de confianza procedente de una entidad de certificación conocida.

Endpoint Management también usa su propio servicio de infraestructura de clave pública (PKI) u obtiene certificados de la entidad de certificación para los certificados de cliente. Todos los productos Citrix admiten certificados comodín y de nombre alternativo de sujeto (SAN). Para la mayoría de las implementaciones, solo se necesitan dos certificados SAN o comodín.

La autenticación con certificados de cliente proporciona una capa de seguridad adicional para las aplicaciones móviles y permite que los usuarios pueden acceder sin problemas a aplicaciones HDX. Cuando se configura la autenticación con certificados de cliente, los usuarios introducen su PIN de Citrix para acceder con inicio de sesión único (Single Sign-On) a las aplicaciones habilitadas para Endpoint Management. El PIN de Citrix también simplifica la experiencia de autenticación del usuario. El PIN de Citrix se usa para proteger un certificado de cliente o para guardar las credenciales de Active Directory localmente en el dispositivo.

Para inscribir y administrar dispositivos iOS con Endpoint Management, configure y cree un certificado del servicio de notificaciones push de Apple (APNs) proveniente de Apple. Para conocer los pasos a seguir, consulte Certificados APNs.

En la siguiente tabla se muestran los formatos y los tipos de certificado para cada componente de Endpoint Management:

Componente Endpoint Management Formato de certificado Tipo de certificado requerido
Citrix Gateway PEM (BASE64), PFX (PKCS #12) SSL, Raíz (Citrix Gateway convierte automáticamente el formato PFX en PEM).
Endpoint Management P12 (PFX en equipos basados en Windows) SSL, SAML, APNs (Endpoint Management también genera una infraestructura de clave pública completa durante el proceso de instalación). Importante: Endpoint Management no admite certificados con extensión PEM. Para utilizar un certificado PEM, divida el archivo PEM en un certificado y una clave e importe cada uno en Endpoint Management.
StoreFront PFX (PKCS #12) SSL, raíz

Endpoint Management admite los certificados de cliente con longitudes de bits de 4096 y 2048.

Para Citrix Gateway y Endpoint Management, Citrix recomienda obtener certificados de servidor procedentes de una entidad de certificación pública (como Verisign, DigiCert o Thawte). Puede crear una solicitud de firma de certificado (CSR) desde la herramienta de configuración de Citrix Gateway o de Endpoint Management. Después de crear la solicitud de firma de certificado, envíela a la entidad de certificación para que la firme. Cuando la entidad de certificación devuelva el certificado firmado, podrá instalarlo en Citrix Gateway o Endpoint Management.

Importante:

Requisitos para certificados de confianza en iOS, iPadOS y macOS

Apple tiene nuevos requisitos para los certificados de servidor TLS. Verifique que todos los certificados cumplen los requisitos de Apple. Consulte la publicación de Apple: https://support.apple.com/en-us/HT210176.

Apple está reduciendo la duración máxima permitida de los certificados de servidor TLS. Este cambio solo afecta a los certificados de servidor emitidos después de septiembre de 2020. Consulte la publicación de Apple: https://support.apple.com/en-us/HT211025.

Autenticación LDAP

Endpoint Management admite la autenticación por dominios para uno o varios directorios que cumplan el protocolo ligero de acceso a directorios (LDAP). LDAP es un protocolo de software que proporciona acceso a información sobre grupos, cuentas de usuario y propiedades relacionadas. Para obtener más información, consulte Autenticación con dominio o dominio y token de seguridad.

Autenticación de proveedores de identidades

Puede configurar un proveedor de identidades (IDP) a través de Citrix Cloud para inscribir y administrar dispositivos de usuario.

Casos de uso admitidos para los IDP:

  • Azure Active Directory a través de Citrix Cloud
    • La integración de Workspace es opcional
    • Citrix Gateway, configurado para la autenticación por certificados
    • Android Enterprise (Tech Preview; admite el modo BYOD, dispositivos totalmente administrados y perfiles de inscripción mejorados)
    • iOS para inscripciones MDM+MAM y MDM
    • Android heredado (AD)
    • Las funciones de inscripción automática, como el Programa de implementación de Apple, no se admiten en estos momentos
  • Okta desde Citrix Cloud
    • La integración de Workspace es opcional
    • Citrix Gateway, configurado para la autenticación por certificados
    • Android Enterprise (Tech Preview; admite el modo BYOD, dispositivos totalmente administrados y perfiles de inscripción mejorados)
    • iOS para inscripciones MDM+MAM y MDM
    • Android heredado (AD)
    • Las funciones de inscripción automática, como el Programa de implementación de Apple, no se admiten en estos momentos
  • Citrix Gateway local desde Citrix Cloud
    • Citrix Gateway, configurado para la autenticación por certificados
    • Android Enterprise (Tech Preview; admite el modo BYOD, dispositivos totalmente administrados y perfiles de inscripción mejorados)
    • iOS para inscripciones MDM+MAM y MDM
    • Android heredado (AD)
    • Las funciones de inscripción automática, como el Programa de implementación de Apple, no se admiten en estos momentos

Autenticación del proveedor de identidades sin Cloud Connector (Tech Preview)

Esta función está disponible en versión Tech Preview pública. Para habilitar esta función, póngase en contacto con un representante de Citrix.

Endpoint Management permite configurar proveedores de identidades (IDP), tales como Azure AD y Okta, como métodos de autenticación. Esta función, ahora en versión Tech Preview, le permite configurar IDP sin utilizar ningún Cloud Connector. También puede administrar el acceso a los recursos de los usuarios a través de esos IDP. Al usar un IDP para administrar el acceso, puede integrarse mejor en servicios de la nube como Office 365 y reducir la necesidad de recursos locales.

Endpoint Management aún necesita un Cloud Connector para lo siguiente:

  • LDAP
  • Servidor de PKI
  • Consultas DNS internas
  • Citrix Virtual Apps

Para establecer la comunicación entre Endpoint Management y un proveedor de identidades alojado en la nube sin Cloud Connector, debe configurar Identidad de Citrix como el tipo de IDP para Endpoint Management. Sin embargo, los servicios que requieren Cloud Connector, como se mencionó antes, no están disponibles.

Si ya configuró LDAP, el uso de esta función ofrece un entorno híbrido donde LDAP actúa como opción de reserva para los miembros de grupos y las búsquedas de usuarios y grupos. Sin LDAP configurado, depende totalmente del IDP.

Una vez finalizada esta configuración, no puede agregar parámetros de LDAP a Endpoint Management. Si tiene LDAP configurado y agrega un IDP, Endpoint Management sincroniza la información específica del IDP de los grupos de Active Directory con la base de datos de Endpoint Management. Al implementar directivas, aplicaciones y medios para los usuarios, solo los grupos de IDP reciben los recursos.

Requisitos previos

Existen dos conjuntos de requisitos previos que debe tener en cuenta según su configuración actual de Endpoint Management:

Con LDAP

  • Los grupos de usuarios de Active Directory deben coincidir con los grupos de usuarios de Azure Active Directory u Okta.
  • Los nombres de usuario y las direcciones de correo electrónico de Active Directory deben coincidir con la información de Azure Active Directory u Okta.
  • Cuenta de Citrix Cloud, con Citrix Cloud Connector instalado para la sincronización de servicios de directorio.
  • Citrix Gateway. Citrix recomienda habilitar la autenticación basada en certificados para ofrecer Single Sign-On de manera integral. Si utiliza la autenticación LDAP en Citrix Gateway para la inscripción MAM, los usuarios finales ven un mensaje de autenticación doble durante la inscripción. Para obtener más información, consulte Autenticación con certificado de cliente o certificado y dominio.
  • Sincronice los SID de Active Directory con sus IDP respectivos. Los SID de Azure AD y Active Directory o los SID de Okta y Active Directory deben coincidir para que los grupos de entrega funcionen correctamente.
  • En Azure AD o Okta, cree un grupo llamado Administradores para que la identidad de Citrix se conecte a su IDP.
  • Si tiene varios LDAP sincronizados con un IDP, establezca la propiedad del servidor contextual global ldap.set.gc.rootcontext en True. Esta propiedad garantiza que el Cloud Connector busque todos los dominios principales y secundarios.
  • Si los dominios de LDAP e IDP no coinciden, agregue el alias de dominio de IDP apropiado a la configuración de LDAP.

Sin LDAP

  • En Azure AD o Okta, cree un grupo llamado Administradores para que la identidad de Citrix se conecte a su IDP.

Configuración

Para configurar Azure AD u Okta como proveedor de identidades a través de Citrix Cloud y configurarlo para Endpoint Management, siga uno de estos artículos (o ambos):

Sincronización de Active Directory

Si tiene grupos de Active Directory configurados, Endpoint Management sincroniza información específica del IDP de esos grupos con la base de datos de Endpoint Management después de que haya configurado un IDP. Para ver el estado del proceso de sincronización, vaya a Parámetros > Proveedor de identidades. Uno de estos estados aparece en Sincronización de directorio.

  • Vacío: Endpoint Management no está configurado para administrar este proveedor de identidades. Compruebe la configuración de su IDP.
  • Listo: El proceso de sincronización se completó correctamente. Endpoint Management ya puede administrar recursos de este proveedor de identidades.
  • En curso: El proceso de sincronización está en curso. Si la base de datos contiene varios grupos de usuarios, es posible que Endpoint Management tarde más en sincronizar la información de IDP de sus grupos de Active Directory.
  • Error: Hubo un error durante la sincronización. Es posible que este problema tenga lugar si su IDP está desconectado o si Cloud Connector no funciona correctamente en ese momento. Use registros de depuración para solucionar el problema o intente agregar de nuevo los parámetros del IDP.

Una vez completada la sincronización, puede agregar grupos de IDP como asignaciones al grupo de entrega en Configurar > Grupos de entrega > Asignaciones. Cuando seleccione un dominio para una asignación de grupo de entrega, elija el IDP configurado antes de comenzar la búsqueda. Para obtener información, consulte Agregar un grupo de entrega.

También puede aplicar permisos RBAC a grupos de IDP. Para obtener información, consulte Usar la función RBAC.

Expectativas de configuraciones existentes

Después de habilitar y configurar esta función, puede esperar esto de su configuración existente:

  • Los grupos de entrega existentes y las asignaciones y permisos RBAC no se ven afectados. Los usuarios tienen el mismo acceso y reciben los mismos recursos que antes de configurar esta función.
  • Los identificadores de objeto de los grupos de Active Directory sincronizados con Endpoint Management se rellenan automáticamente a partir de los IDP.
  • Los dispositivos existentes inscritos no se verán afectados mientras la información del usuario se sincronice con el IDP. Cuando la información de usuario no se sincroniza con el IDP:
    • Si tiene LDAP configurado, los dispositivos inscritos de usuarios no sincronizados con el IDP pueden, aun así, autenticarse a través de LDAP.
    • Si no tiene LDAP configurado, los dispositivos inscritos de usuarios no sincronizados con el IDP no se actualizan ni conectan de nuevo.
  • Para los usuarios hallados en el IDP, Endpoint Management determina la pertenencia a los grupos en función de la información del IDP.

Eliminar un directorio compatible con LDAP

Puede eliminar perfiles de LDAP que ya no necesite. Por ejemplo, perfiles de LDAP sin usuarios o grupos que utilice Endpoint Management.

  1. En la lista de perfiles de LDAP, seleccione el directorio que quiere eliminar.

    Puede eliminar más de una propiedad. Para ello, marque la casilla de verificación situada junto a cada propiedad.

  2. Haga clic en Eliminar. En el cuadro de diálogo de confirmación, elija una de estas opciones:

    Cuadro de diálogo de confirmación que eliminar

    • Haga clic en Eliminar para eliminar toda la información de usuarios y grupos que haya en el directorio LDAP seleccionado. Si configura el servidor de Azure AD u Okta como proveedor de identidades a través de Citrix Cloud, esta operación le permite eliminar el dominio LDAP predeterminado.

    • Haga clic en Mantener sincronizados para eliminar toda la información de usuarios y grupos que no está sincronizada con un proveedor de identidades. Endpoint Management solamente mantiene usuarios y grupos sincronizados con un proveedor de identidades. Todos los dispositivos de usuario, grupos de entrega y permisos RBAC vinculados a este LDAP pasan a vincularse con el proveedor de identidades. Si la base de datos contiene muchos grupos de usuarios, es posible que Endpoint Management tarde más en asignar objetos de Active Directory al IDP. Esta operación tiene lugar en segundo plano.

Eliminar un proveedor de identidades

Para dejar de usar un proveedor de identidades o cambiar el tipo de proveedor de identidades, debe eliminar el IDP.

  1. En la consola de Endpoint Management, vaya a Parámetros > Proveedor de identidades.
  2. En la tabla de IDP, seleccione el proveedor de identidades.
  3. Haga clic en Eliminar. En el cuadro de diálogo de confirmación, haga clic de nuevo en Eliminar.

Endpoint Management quita toda la información de usuarios y grupos de la base de datos conectada al proveedor de identidades. Endpoint Management también quita los grupos de entrega y asignaciones de RBAC de este IDP. Todos los dispositivos de usuario inscritos a partir de este IDP deben reinscribirse. Tras eliminar un IDP, puede configurar otro tipo de proveedor de identidades o configurar LDAP de nuevo.

Limitaciones

  • Esta función no permite que los dispositivos se inscriban a través de la aplicación Citrix Workspace.
  • Si configura un proveedor de identidades, no puede agregar parámetros de LDAP a Endpoint Management.
  • Para cambiar el dominio de autenticación, debe eliminar el proveedor de identidades.
  • Self Help Portal no permite autenticarse con proveedores de identidades.
  • Si sincroniza sus dominios principales y secundarios con el IDP y esos dominios contienen nombres de grupo idénticos, esos grupos no se pueden agregar a Endpoint Management. Compruebe que los nombres de los grupos son únicos en todos los dominios.
Certificados y autenticación