Credenciales derivadas para iOS

Las credenciales derivadas ofrecen una autenticación sólida para dispositivos móviles. Las credenciales, obtenidas de una tarjeta inteligente, residen en el dispositivo móvil, en lugar de la tarjeta. La tarjeta inteligente es una tarjeta Personal Identity Verification (PIV).

Las credenciales derivadas son un certificado de inscripción que contiene un identificador de usuario como, por ejemplo, su nombre principal o UPN. Endpoint Management almacena las credenciales obtenidas del proveedor de credenciales en un almacén seguro del dispositivo.

Endpoint Management puede utilizar credenciales derivadas para inscribir y autenticar dispositivos iOS. Si se configura para las credenciales derivadas, Endpoint Management no admitirá invitaciones de inscripción u otros modos de inscripción para dispositivos iOS. Citrix recomienda que no inscriba dispositivos Android en servidores configurados para credenciales derivadas.

Requisitos

  • Una de las siguientes soluciones de credenciales derivadas:
    • Intercede 3.14 o una versión posterior. Para obtener información sobre los requisitos de Intercede, consulte https://www.intercede.com/solutions-derived-credentials. Citrix ha validado que Endpoint Management es compatible con la solución de credenciales derivadas llamada Intercede. El nombre de la aplicación en el App Store de Apple es MyID for Citrix.

      Los usuarios deben instalar MyID for Citrix en sus dispositivos antes de inscribirse en Endpoint Management.

    • Otras soluciones de credenciales derivadas

      Aunque es probable que la mayoría de las demás soluciones de credenciales sean compatibles con Endpoint Management, pruebe la integración antes de implementar una de ellas en producción.

    • Si el dominio de correo electrónico del usuario difiere del dominio LDAP, incluya el dominio de correo electrónico en el parámetro Alias de dominio en Parámetros > LDAP. Por ejemplo, si el dominio de las direcciones de correo electrónico es myID.com y el nombre de dominio LDAP es sample.com, establezca Alias de dominio en sample.com, myID.com.
    • Endpoint Management no admite el uso de credenciales derivadas con dispositivos compartidos.
  • Certificados de identidad del usuario:
    • El nombre de usuario en el campo “Nombre alternativo del sujeto” debe tener el formato del campo otherName, rfc822Name o dNSName de la extensión SubjectAltName. No se admiten los demás campos. Para obtener más información acerca del nombre alternativo del sujeto, consulte el protocolo RFC, https://www.ietf.org/rfc/rfc5280.txt.
    • Actualmente, la identidad de usuario en el campo “Asunto” de correo electrónico o CN no recibe respaldo.
  • Citrix Gateway configurado para la autenticación por certificado o la autenticación por certificado y token de seguridad

    Para obtener información sobre la configuración de PKI, consulte Entidades PKI.

  • Inscripción MDM
  • Secure Hub 10.8.15 (versión mínima)
  • Secure Mail 10.8.20 (versión mínima)
    • Utilice el mismo certificado de desarrollador para firmar todas las aplicaciones del App Store de Apple.

Arquitectura

Para la inscripción, el servidor Endpoint Management se conecta a los componentes que se describen en la sección “Requisitos” indicada más arriba, como se muestra en el diagrama siguiente.

Diagrama de la arquitectura de inscripción de credenciales derivadas

  • Durante la inscripción del dispositivo, Secure Hub obtiene certificados de la aplicación de credenciales derivadas.
  • La aplicación de credenciales derivadas se comunica con el servidor de administración de credenciales durante la inscripción.
  • Puede usar el mismo servidor u otro diferente como servidor de administración de credenciales y un proveedor de PKI de terceros.
  • El servidor Endpoint Management se conecta al servidor PKI de terceros para obtener los certificados.

Después de la inscripción, los componentes se conectan como se muestra en el siguiente diagrama.

Diagrama de la arquitectura de credenciales derivadas tras la inscripción

En los siguientes apartados se describe cómo configurar Endpoint Management con un proveedor de credenciales derivadas, cómo habilitar las credenciales derivadas para la inscripción y cómo administrar los dispositivos que usan las credenciales derivadas.

Habilitar credenciales derivadas

De forma predeterminada, la consola de Endpoint Management no contiene la página Parámetros > Credenciales derivadas. Para permitir las credenciales derivadas en la interfaz, vaya a Parámetros > Propiedades de servidor, agregue la propiedad de servidor derived.credentials.enable y establézcala en true.

Imagen de la pantalla de configuración de propiedades del servidor

Configurar credenciales derivadas

En estas instrucciones se presupone que dispone de una configuración en funcionamiento para el proveedor de credenciales derivadas que quiere integrar en Endpoint Management. Entonces, puede configurar Endpoint Management para que se comunique con ese servidor. También puede elegir un certificado de CA de credenciales derivadas ya agregado a Endpoint Management o importar el certificado.

Puede activar el respaldo a Online Certificate Status Protocol (OCSP) para ese certificado de CA. Para obtener más información acerca de OCSP, consulte “Entidades de certificación discrecionales” en Entidades PKI.

  1. En la consola de Endpoint Management, vaya a Parámetros > Credenciales derivadas para iOS.

    Imagen de la pantalla de configuración de credenciales derivadas

  2. En Proveedor:

    • Elegir proveedor de credenciales derivadas. Citrix ha validado que Endpoint Management es compatible con Intercede. Si elige Otro como proveedor, pruebe la integración antes de colocar el servidor en el entorno de producción.

    • URL de la aplicación (iOS): Si elige Intercede como proveedor, Endpoint Management rellena URL de la aplicación. Si elige Otro como proveedor, debe contactar con su proveedor de credenciales derivadas para obtener la dirección URL de la aplicación.

      Si un dispositivo no puede establecer contacto con su proveedor, compruebe la URL de la aplicación con el proveedor. Es posible que deba cambiarla.

    • Parámetros opcionales: Es posible que algunos proveedores de credenciales derivadas requieran que les suministre los parámetros necesarios para la conexión. Por ejemplo, un proveedor puede requerir que especifique las direcciones URL de un servidor back-end. Haga clic en Agregar para proporcionar los parámetros.

  3. Especificar un certificado para las credenciales derivadas: Si el certificado ya está cargado en Endpoint Management, seleccione ese certificado en CA emisora. De lo contrario, haga clic en Importar para agregar un certificado. Aparecerá el cuadro de diálogo Importar certificado.

  4. En el cuadro de diálogo Importar certificado, haga clic en Examinar para ir al certificado. A continuación, haga clic en Examinar para ir al archivo de clave privada.

    Imagen de la pantalla de configuración de credenciales derivadas

  5. Si elige Intercede como proveedor, Endpoint Management rellena el Campo de identificador de usuario y Tipo de identificador del usuario. Para Intercede, el Campo de identificador de usuario es el nombre alternativo del sujeto y el Tipo de identificador del usuario es userPrincipalName. Póngase en contacto con otros proveedores de credenciales derivadas para obtener la información y los parámetros de configuración correspondientes.

  6. Si quiere, puede usar un respondedor OCSP para comprobar la revocación de certificados. De forma predeterminada, la comprobación de OCSP está desactivada. Para activar el respaldo a OCSP para el certificado de CA:

    • Active la Comprobación OCSP.

    Imagen de la pantalla de configuración de credenciales derivadas

    • Elija una opción para Usar URL de OCSP personalizada. De forma predeterminada, Endpoint Management extrae la URL de OCSP del certificado (la opción Usar definición de certificado para la revocación). Para especificar una dirección URL de respondedor, haga clic en Usar personalizado y escriba la URL.
    • CA de respondedor: En CA de respondedor, elija un certificado. O bien, haga clic en Importar y, a continuación, use el cuadro de diálogo Importar certificado para buscar el certificado.
  7. Haga clic en Guardar. Aparecerá el cuadro de diálogo Credenciales derivadas.

    Imagen de la pantalla de configuración de credenciales derivadas

    • Para habilitar la configuración de las credenciales derivadas, haga clic en Guardar. Para utilizar credenciales derivadas, también debe configurar los parámetros de inscripción.

    • Para habilitar la configuración de las credenciales derivadas e ir inmediatamente a Parámetros > Inscripción, haga clic en Guardar e ir a Inscripción.

  8. Si quiere habilitar las credenciales derivadas para la inscripción: En la página Parámetros > Inscripción en Inscripción avanzada, marque Credenciales derivadas (solo iOS) y, a continuación, haga clic en Habilitar.

    Imagen de la pantalla de configuración de inscripción

  9. Aparecerá un cuadro de diálogo de confirmación. Para habilitar las credenciales derivadas, marque la casilla y haga clic en Habilitar.

    Imagen de la pantalla de configuración de inscripción

  10. Si quiere modificar las opciones de las credenciales derivadas para la inscripción: En la página Parámetros > Inscripción, marque Credenciales derivadas (solo iOS) y, a continuación, haga clic en Modificar.

Después de habilitar las credenciales derivadas: En el informe Inscripción de dispositivos, la columna Modo de inscripción muestra derived_credentials.

Para conocer los pasos de inscripción cuando se usan las credenciales derivadas, consulte Inscribir dispositivos iOS que usan credenciales derivadas.

Configurar Endpoint Management para Secure Mail

Para que Secure Mail funcione correctamente con las credenciales derivadas, agregue la propiedad del cliente “LDAP Attributes”.

Siga los pasos para agregar una propiedad del cliente en el artículo Propiedades del cliente. Use la siguiente información:

  • Clave: SEND_LDAP_ATTRIBUTES
  • Valor: userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

Imagen de la pantalla de configuración de propiedades del cliente

Inscribir dispositivos iOS que usan credenciales derivadas

La inscripción requiere que los usuarios introduzcan su tarjeta inteligente en un lector conectado a su escritorio.

  1. El usuario instala Secure Hub y la aplicación desde el proveedor de credenciales derivadas.

    La aplicación de proveedor de identidades para Intercede es MyID de Citrix. Este es el logotipo de esa aplicación.

    Imagen del logotipo de Intercede

  2. El usuario inicia Secure Hub. Cuando se le solicite, el usuario escribe el nombre de dominio completo del servidor Endpoint Management y, a continuación, hace clic en Siguiente. Comienza la inscripción en Secure Hub. Si el servidor Endpoint Management admite credenciales derivadas, Secure Hub pide al usuario que cree un PIN de Citrix.

    Imagen de la pantalla de inscripción en Secure Hub

    Imagen del botón Sí, inscribirlo

    Imagen de la pantalla de PIN de Citrix

  3. El usuario sigue las instrucciones para activar sus credenciales inteligentes. Aparecerá una pantalla de bienvenida, seguida de una solicitud para escanear un código QR.

    Imagen de la pantalla de escaneo del código QR

  4. El usuario introduce su tarjeta en el lector de tarjetas inteligentes que está conectado a su escritorio. La aplicación de escritorio muestra un código QR y pide al usuario que escanee el código usando su dispositivo móvil.

    Imagen de la pantalla de confirmación de identidad

  5. El usuario introduce su PIN de Secure Hub cuando se le solicite.

    Imagen de la pantalla de entrada de PIN

  6. Después de autenticar el PIN, Secure Hub se descarga los certificados. El usuario sigue las indicaciones para completar la inscripción.

Para ver información de dispositivos en la consola de Endpoint Management:

  • Vaya a Administrar > Dispositivos y, a continuación, seleccione un dispositivo para mostrar un cuadro de comandos. Haga clic en Mostrar más.

  • Vaya a Analizar > Panel de mandos.