Credenciales derivadas para iOS

Las credenciales derivadas ofrecen una autenticación sólida para dispositivos móviles. Las credenciales, obtenidas de una tarjeta inteligente, residen en el dispositivo móvil, en lugar de la tarjeta. La tarjeta inteligente es una tarjeta Personal Identity Verification (PIV).

Las credenciales derivadas son un certificado de inscripción que contiene un identificador de usuario como, por ejemplo, su nombre principal o UPN. XenMobile almacena las credenciales obtenidas del proveedor de credenciales en un almacén seguro que tenga el dispositivo.

XenMobile puede utilizar credenciales derivadas para inscribir y autenticar dispositivos iOS. Si se configura para las credenciales derivadas, XenMobile no admitirá invitaciones de inscripción u otros modos de inscripción para dispositivos iOS. Citrix recomienda que no inscriba dispositivos Android en servidores configurados para credenciales derivadas.

Requisitos

  • Una de las siguientes soluciones de credenciales derivadas:
    • Intercede 3.14 o una versión posterior. Para obtener información sobre los requisitos de Intercede, consulte https://www.intercede.com/solutions-derived-credentials. Citrix ha validado que XenMobile funciona con la solución de credenciales derivadas llamada Intercede. El nombre de la aplicación en el App Store de Apple es MyID for Citrix.

      Los usuarios deben instalar MyID for Citrix en sus dispositivos antes de inscribirse en XenMobile.

    • Otras soluciones de credenciales derivadas

      Aunque es probable que la mayoría de las demás soluciones de credenciales sean compatibles con XenMobile, pruebe la integración antes de implementar una de ellas en producción.

    • Si el dominio de correo electrónico del usuario difiere del dominio LDAP, incluya el dominio de correo electrónico en el parámetro Alias de dominio en Parámetros > LDAP. Por ejemplo, si el dominio de las direcciones de correo electrónico es myID.com y el nombre de dominio LDAP es sample.com, establezca Alias de dominio en sample.com, myID.com.
    • XenMobile no admite el uso de credenciales derivadas con dispositivos compartidos.
  • Certificados de identidad del usuario:
    • El nombre de usuario en el campo “Nombre alternativo del sujeto” debe tener el formato del campo otherName, rfc822Name o dNSName de la extensión SubjectAltName. No se admiten los demás campos. Para obtener más información acerca del nombre alternativo del sujeto, consulte el protocolo RFC, https://www.ietf.org/rfc/rfc5280.txt.
    • Actualmente, la identidad de usuario en el campo “Asunto” de correo electrónico o CN no recibe respaldo.
  • NetScaler Gateway configurado para la autenticación por certificado o la autenticación por certificado y token de seguridad

    Para obtener información sobre la configuración de PKI, consulte Entidades PKI.

  • Secure Hub 10.8.15 (versión mínima)
  • Secure Mail 10.8.20 (versión mínima)
    • Utilice el mismo certificado de desarrollador para firmar todas las aplicaciones del App Store de Apple.

Arquitectura

Para la inscripción, el servidor XenMobile se conecta a los componentes que se describen en la sección “Requisitos” indicada más arriba, como se muestra en el diagrama siguiente.

Diagrama de la arquitectura de inscripción de credenciales derivadas

  • Durante la inscripción del dispositivo, Secure Hub obtiene certificados de la aplicación de credenciales derivadas.
  • La aplicación de credenciales derivadas se comunica con el servidor de administración de credenciales durante la inscripción.
  • Puede usar el mismo servidor u otro diferente como servidor de administración de credenciales y un proveedor de PKI de terceros.
  • XenMobile Server se conecta al servidor externo de PKI para obtener los certificados.

Después de la inscripción, los componentes se conectan como se muestra en el siguiente diagrama.

Diagrama de la arquitectura de credenciales derivadas tras la inscripción

En los siguientes apartados se describe cómo configurar XenMobile con un proveedor de credenciales derivadas, cómo habilitar las credenciales derivadas para la inscripción y cómo administrar los dispositivos que usan las credenciales derivadas.

Habilitar credenciales derivadas

De forma predeterminada, la consola de XenMobile no contiene la página Parámetros > Credenciales derivadas. Para permitir las credenciales derivadas en la interfaz, vaya a Parámetros > Propiedades de servidor, agregue la propiedad de servidor derived.credentials.enable y establézcala en true.

Imagen de la pantalla de configuración de propiedades del servidor

Configurar credenciales derivadas

En estas instrucciones se presupone que dispone de una configuración en funcionamiento para el proveedor de credenciales derivadas que quiere integrar con XenMobile. A continuación, puede configurar XenMobile para comunicarse con dicho servidor. También puede elegir un certificado de CA de credenciales derivadas ya agregado a XenMobile o importar el certificado.

Puede activar el respaldo a Online Certificate Status Protocol (OCSP) para ese certificado de CA. Para obtener más información acerca de OCSP, consulte “Entidades de certificación discrecionales” en Entidades PKI.

  1. En la consola de XenMobile, vaya a Parámetros > Credenciales derivadas para iOS.

    Imagen de la pantalla de configuración de credenciales derivadas

  2. En Proveedor:

    • Elegir proveedor de credenciales derivadas. Citrix ha validado que XenMobile respalda Intercede. Si elige Otro como proveedor, pruebe la integración antes de colocar el servidor en el entorno de producción.

    • URL de la aplicación (iOS): Si elige Intercede como proveedor, XenMobile rellena URL de la aplicación. Si elige Otro como proveedor, debe contactar con su proveedor de credenciales derivadas para obtener la dirección URL de la aplicación.

      Si un dispositivo no puede establecer contacto con su proveedor, compruebe la URL de la aplicación con el proveedor. Es posible que deba cambiarla.

    • Parámetros opcionales: Es posible que algunos proveedores de credenciales derivadas requieran que les suministre los parámetros necesarios para la conexión. Por ejemplo, un proveedor puede requerir que especifique las direcciones URL de un servidor back-end. Haga clic en Agregar para proporcionar los parámetros.

  3. Especificar un certificado para las credenciales derivadas: Si el certificado ya está cargado en XenMobile, seleccione ese certificado desde CA emisora. De lo contrario, haga clic en Importar para agregar un certificado. Aparecerá el cuadro de diálogo Importar certificado.

  4. En el cuadro de diálogo Importar certificado, haga clic en Examinar para ir al certificado. A continuación, haga clic en Examinar para ir al archivo de clave privada.

    Imagen de la pantalla de configuración de credenciales derivadas

  5. Si elige Intercede como proveedor, XenMobile rellena el Campo de identificador de usuario y Tipo de identificador del usuario. Para Intercede, el Campo de identificador de usuario es el nombre alternativo del sujeto y el Tipo de identificador del usuario es userPrincipalName. Póngase en contacto con otros proveedores de credenciales derivadas para obtener la información y los parámetros de configuración correspondientes.

  6. Si quiere, puede usar un respondedor OCSP para comprobar la revocación de certificados. De forma predeterminada, la comprobación de OCSP está desactivada. Para activar el respaldo a OCSP para el certificado de CA:

    • Active la Comprobación OCSP.

    Imagen de la pantalla de configuración de credenciales derivadas

    • Elija una opción para Usar URL de OCSP personalizada. De forma predeterminada, XenMobile extrae la URL de OCSP del certificado (la opción Usar definición de certificado para la revocación). Para especificar una dirección URL de respondedor, haga clic en Usar personalizado y escriba la URL.
    • CA de respondedor: En CA de respondedor, elija un certificado. O bien, haga clic en Importar y, a continuación, use el cuadro de diálogo Importar certificado para buscar el certificado.
  7. Haga clic en Guardar. Aparecerá el cuadro de diálogo Credenciales derivadas.

    Imagen de la pantalla de configuración de credenciales derivadas

    • Para habilitar la configuración de las credenciales derivadas, haga clic en Guardar. Para utilizar credenciales derivadas, también debe configurar los parámetros de inscripción.

    • Para habilitar la configuración de las credenciales derivadas e ir inmediatamente a Parámetros > Inscripción, haga clic en Guardar e ir a Inscripción.

  8. Si quiere habilitar las credenciales derivadas para la inscripción: En la página Parámetros > Inscripción en Inscripción avanzada, marque Credenciales derivadas (solo iOS) y, a continuación, haga clic en Habilitar.

    Imagen de la pantalla de configuración de inscripción

  9. Aparecerá un cuadro de diálogo de confirmación. Para habilitar las credenciales derivadas, marque la casilla y haga clic en Habilitar.

    Imagen de la pantalla de configuración de inscripción

  10. Si quiere modificar las opciones de las credenciales derivadas para la inscripción: En la página Parámetros > Inscripción, marque Credenciales derivadas (solo iOS) y, a continuación, haga clic en Modificar.

Después de habilitar las credenciales derivadas: En el informe Inscripción de dispositivos, la columna Modo de inscripción muestra derived_credentials.

Para conocer los pasos de inscripción cuando se usan las credenciales derivadas, consulte Dispositivos iOS que usan credenciales derivadas.

Configurar XenMobile para Secure Mail

Para que Secure Mail funcione correctamente con las credenciales derivadas, agregue la propiedad del cliente “LDAP Attributes”.

Siga los pasos para agregar una propiedad del cliente en el artículo Propiedades del cliente. Use la siguiente información:

  • Clave: SEND_LDAP_ATTRIBUTES
  • Valor: userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

Imagen de la pantalla de configuración de propiedades del cliente

Nota:

Para conocer los pasos de inscripción cuando se usan credenciales derivadas, consulte Dispositivos iOS que usan credenciales derivadas.