Credenciales derivadas

Las credenciales derivadas ofrecen una autenticación sólida para dispositivos móviles. Las credenciales, obtenidas de una tarjeta inteligente, residen en el dispositivo móvil, en lugar de la tarjeta. La tarjeta inteligente es una tarjeta Personal Identity Verification (PIV).

Las credenciales derivadas son un certificado de inscripción que contiene un identificador de usuario como, por ejemplo, su nombre principal o UPN. Endpoint Management almacena las credenciales obtenidas del proveedor de credenciales en un almacén seguro del dispositivo.

Endpoint Management puede utilizar credenciales derivadas para inscribir y autenticar dispositivos. Si se configura para las credenciales derivadas, Endpoint Management no admitirá invitaciones de inscripción u otros modos de inscripción. Citrix admite el uso de una aplicación de credenciales derivadas durante la inscripción de iOS.

Arquitectura

Para la inscripción, Endpoint Management se conecta a los componentes, como se muestra en el siguiente diagrama.

Diagrama de la arquitectura de inscripción de credenciales derivadas

  • Durante la inscripción del dispositivo, Secure Hub obtiene certificados de la aplicación de credenciales derivadas.
  • La aplicación de credenciales derivadas se comunica con el servidor de administración de credenciales durante la inscripción.
  • Puede usar el mismo servidor u otro diferente como servidor de administración de credenciales y un proveedor de PKI de terceros.
  • Endpoint Management se conecta al servidor PKI de terceros para obtener los certificados.

Requisitos

  • Descargue e instale Citrix Secure Hub.
  • En función de la solución de credenciales derivadas, descargue y configure la aplicación:

    • Para Entrust Datacard:
      • Descargue e instale la aplicación Citrix Derived Credentials Manager en los dispositivos antes de inscribirse en Endpoint Management. Derived Credentials Manager es la aplicación del proveedor de identidades para Citrix. Este es el logotipo de esa aplicación. Imagen del logotipo de la aplicación Derived Credentials Manager

        Nota:

        La aplicación Citrix Derived Credentials Manager solo admite nuevas inscripciones. Los usuarios de los dispositivos deben volver a inscribirse.

      • Endpoint Management debe configurarse para el modo MDM+MAM.
    • Otros proveedores de credenciales derivadas: Aunque es probable que la mayoría de las demás soluciones de credenciales sean compatibles con XenMobile, pruebe la integración antes de implementar una de ellas en producción.
  • Debe tener el certificado raíz de la entidad que emite certificados al servidor del proveedor de credenciales. Esa configuración permite a Endpoint Management aceptar los certificados firmados digitalmente durante la inscripción. Para obtener información sobre cómo agregar certificados, consulte Certificados y autenticación.
    • Si el dominio de correo electrónico del usuario difiere del dominio LDAP, incluya el dominio de correo electrónico en el parámetro Alias de dominio en Parámetros > LDAP. Por ejemplo, si el dominio de las direcciones de correo electrónico es citrix.com y el nombre de dominio LDAP es sample.com, establezca Alias de dominio en sample.com, citrix.com.
    • Endpoint Management no admite el uso de credenciales derivadas con dispositivos compartidos.
  • Certificados de identidad del usuario:
    • El nombre de usuario en el campo “Nombre alternativo del sujeto” debe tener el formato del campo otherName, rfc822Name o dNSName de la extensión SubjectAltName. No se admiten los demás campos. Para obtener más información acerca del nombre alternativo del sujeto, consulte el protocolo RFC, https://www.ietf.org/rfc/rfc5280.txt.
    • Actualmente, no se admite la identidad de usuario en el campo “Asunto” de correo electrónico o CN.
  • Citrix Gateway configurado para la autenticación por certificado o la autenticación por certificado y token de seguridad

Habilitar credenciales derivadas

De forma predeterminada, la consola de Endpoint Management no contiene la página Parámetros > Credenciales derivadas.

Para permitir las credenciales derivadas en la interfaz:

  • Vaya a Parámetros > Propiedades de servidor, agregue derived.credentials.enable como propiedad de servidor y establézcala en true.

Imagen de la pantalla de configuración de propiedades del servidor

Configurar credenciales derivadas

Se presupone que dispone de una configuración en funcionamiento para el proveedor de credenciales derivadas que quiere integrar en Endpoint Management. Puede configurar Endpoint Management para que se comunique con ese servidor. También puede elegir un certificado de CA de credenciales derivadas ya agregado a Endpoint Management o importar el certificado.

Puede activar el soporte a Online Certificate Status Protocol (OCSP) para ese certificado de CA. Para obtener más información acerca de OCSP, consulte “Entidades de certificación discrecionales” en Entidades PKI.

  1. En la consola de Endpoint Management, vaya a Parámetros > Credenciales derivadas para iOS.

  2. En Elegir proveedor de credenciales derivadas, elija Otro para Entrust Datacard. Escriba dcapp://mode=SecureHub en la URL de la aplicación (iOS).

    Imagen de la pantalla de configuración de credenciales derivadas

  3. Parámetros opcionales: Es posible que algunos proveedores de credenciales derivadas requieran que les suministre los parámetros necesarios para la conexión. Por ejemplo, un proveedor puede requerir que especifique las direcciones URL de un servidor back-end. Haga clic en Agregar para proporcionar los parámetros.

  4. Especificar un certificado para las credenciales derivadas: Si el certificado ya está cargado en Endpoint Management, seleccione ese certificado en CA emisora. De lo contrario, haga clic en Importar para agregar un certificado. Aparecerá el cuadro de diálogo Importar certificado.

  5. En el cuadro de diálogo Importar certificado, haga clic en Examinar para ir al certificado. A continuación, haga clic en Examinar para ir al archivo de clave privada.

    Imagen de la pantalla de configuración de credenciales derivadas

  6. Configure los parámetros.
    • Para la aplicación Citrix Derived Credential Manager, el Campo de identificador de usuario es el nombre alternativo del sujeto y el Tipo de identificador del usuario es userPrincipalName.
    • Contacte con otros proveedores de credenciales derivadas para obtener la información correspondiente.
  7. Puede usar un respondedor OCSP para comprobar la revocación de certificados. Citrix recomienda utilizar un respondedor OCSP por motivos de seguridad. De forma predeterminada, la comprobación de OCSP está desactivada.

    • Si activa la compatibilidad con OCSP para el certificado de CA, elija una opción en Usar URL de OCSP personalizada. De forma predeterminada, Endpoint Management extrae la URL de OCSP del certificado (la opción Usar definición de certificado para la revocación). Para especificar una dirección URL de respondedor, haga clic en Usar personalizado y escriba la URL.
    • CA de respondedor: En CA de respondedor, elija un certificado. O bien, haga clic en Importar y, a continuación, use el cuadro de diálogo Importar certificado para buscar el certificado.
  8. Haga clic en Guardar. Aparecerá el cuadro de diálogo Habilitación de credenciales derivadas.

    Imagen de la pantalla de configuración de credenciales derivadas

    • Para habilitar la configuración de las credenciales derivadas, haga clic en Guardar. Para utilizar credenciales derivadas, también debe configurar los parámetros de inscripción.

    • Para habilitar la configuración de las credenciales derivadas e ir inmediatamente a Parámetros > Inscripción, haga clic en Guardar e ir a Inscripción.

  9. Si quiere habilitar las credenciales derivadas para la inscripción: En la página Parámetros > Inscripción en Inscripción avanzada, marque Credenciales derivadas (solo iOS) y, a continuación, haga clic en Habilitar.

    Imagen de la pantalla de configuración de inscripción

  10. Aparecerá un cuadro de diálogo de confirmación. Para habilitar las credenciales derivadas, marque la casilla y haga clic en Habilitar.

    Imagen de la pantalla de configuración de inscripción

  11. Si quiere modificar las opciones de las credenciales derivadas para la inscripción: En la página Parámetros > Inscripción, marque Credenciales derivadas (solo iOS) y, a continuación, haga clic en Modificar.

Después de habilitar las credenciales derivadas: En el informe Inscripción de dispositivos, la columna Modo de inscripción muestra derived_credentials.

Configurar Endpoint Management para Secure Mail

Para que Secure Mail funcione con las credenciales derivadas, agregue la propiedad de cliente LDAP Attributes. Para obtener información sobre cómo agregar una propiedad de cliente, consulte Propiedades de cliente.

Utilice la siguiente información para la propiedad de cliente:

  • Clave: SEND_LDAP_ATTRIBUTES
  • Valor: userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

Imagen de la pantalla de configuración de propiedades del cliente

Activar credenciales derivadas de Entrust Datacard en dispositivos iOS

Nota:

Al usar el sitio web de Entrust:

  • Compruebe que Internet Explorer esté habilitado para Java cuando programe la tarjeta PIV.
  • Borre la caché del explorador web cuando cambie la tarjeta PIV.
  1. Para solicitar nuevas credenciales inteligentes, utilice un escritorio o cualquier dispositivo para iniciar sesión en el sitio web de Entrust. Inicie sesión con el botón Smart Credential Log In en la parte inferior de la página. Los usuarios deben insertar su tarjeta inteligente en un lector conectado al escritorio.

    Imagen de la página de inicio de sesión de Entrust

  2. En Self-Administration Actions, marque I’d like to enroll for a derived mobile smart credential y haga clic en Done.

    Imagen de las acciones de administrador en Entrust

  3. En la pantalla Derived Mobile Smart Credential, escriba el nombre en Identity Name. El usuario puede elegir un nombre único, como un nombre de usuario o un ID numérico.
  4. Seleccione la opción Citrix DCAPP en el menú de la aplicación de credenciales derivadas y haga clic en OK.

    Imagen de credenciales inteligentes móviles derivadas

    Aparece una pantalla de activación por código QR y se solicita al usuario que escanee el código con su dispositivo móvil.

    Nota:

    De forma predeterminada, el código QR de las credenciales derivadas caduca en 3 minutos.

  5. Escanee el código QR mediante la aplicación Derived Credential Manager presente en el dispositivo para completar la activación.

    Imagen de activación por código QR de credenciales inteligentes móviles derivadas

Inscribir dispositivos

Después de completar la configuración descrita anteriormente en este artículo, los usuarios pueden inscribir los dispositivos mediante credenciales derivadas.

Nota:

En las capturas de pantalla de esta sección, se utiliza Entrust Datacard como ejemplo.

  1. Toque en Secure Hub para abrirlo. Cuando se le solicite, escriba el nombre de dominio completo del servidor Endpoint Management y, a continuación, haga clic en Siguiente.
  2. Haga clic en Sí, inscribirlo. Comienza la inscripción del dispositivo en Secure Hub.

    Imagen de la inscripción en Secure Hub

    Si Endpoint Management se ha configurado para las credenciales derivadas, Secure Hub pide al usuario que cree un PIN de Citrix.

    Imagen de confirmación del PIN de Secure Hub

    Después de confirmar el PIN de Citrix, aparece la pantalla de bienvenida a la configuración de credenciales derivadas. Siga las instrucciones para activar las credenciales inteligentes.

  3. Toque en la opción para escanear el código. Se activa la cámara del teléfono móvil.

    Imagen de la pantalla de bienvenida

    Nota:

    Para escanear el código QR, la cámara y el micrófono deben estar habilitados y deben tener los permisos de acceso necesarios.

  4. En la aplicación de credenciales derivadas, escanee el código QR que se creó en los pasos anteriores.

    Imagen del escaneo del código QR

  5. Después de escanear el código QR, aparece un cuadro de diálogo de contraseña en la pantalla Importar certificado nuevo. Escriba la contraseña y haga clic en Aceptar.

    Imagen de la contraseña del certificado

    Aparece la pantalla Importar certificado nuevo con campos rellenados automáticamente.

    Imagen del certificado nuevo

  6. Después de agregar los certificados, en la pantalla Credenciales derivadas, haga clic en la opción para iniciar la inscripción.

    Imagen del inicio de la inscripción

  7. En Secure Hub, escriba el nuevo PIN cuando se le solicite.

    Después de autenticar el PIN, Secure Hub descarga los certificados. Siga las instrucciones para completar la inscripción.

Para ver información de dispositivos en la consola de Endpoint Management:

  • Vaya a Administrar > Dispositivos y, a continuación, seleccione un dispositivo para ver un cuadro de comandos. Haga clic en Mostrar más.
  • Vaya a Analizar > Panel de mandos.