Compatibilidad con aplicaciones web empresariales

La entrega de aplicaciones web mediante el Citrix Gateway Service permite que las aplicaciones específicas de la empresa se entreguen de forma remota como un servicio basado en web. Las aplicaciones web más utilizadas incluyen SharePoint, Confluence, OneBug, etc.

Se puede acceder a las aplicaciones web mediante Citrix Workspace mediante el Citrix Gateway Service. Citrix Gateway Service y Citrix Workspace proporcionan una experiencia de usuario unificada para las aplicaciones web configuradas, las aplicaciones SaaS, las aplicaciones virtuales configuradas o cualquier otro recurso de Workspace.

El SSO y el acceso remoto a aplicaciones web están disponibles como parte de los siguientes paquetes de servicios:

  • Estándar de servicio Gateway
  • Workspace Standard, Workspace Premium o Workspace Premium Plus

Requisitos del sistema

Conector de Citrix Gateway: Dispositivo virtual que facilita el acceso remoto a las aplicaciones web empresariales. Citrix Gateway Connector es un dispositivo virtual. La especificación de máquina virtual debe tener al menos:

  • El número de vCPU debe ser exactamente 2.
  • 4 GB de RAM como mínimo.
  • 1 adaptador de red (NIC virtual). Puede agregar una NIC virtual adicional según sea necesario.

Instale el conector de puerta de enlace antes de configurar las aplicaciones web empresariales para un enfoque más limpio.

Importante:

Si hay dispositivos de interceptación SSL en el centro de datos local donde se debe implementar Citrix Gateway Connector, el registro del conector no se realiza correctamente si la interceptación SSL está habilitada para estos FQDN. La intercepción SSL debe estar inhabilitada para estos FQDN para el registro correcto del conector. Para obtener más información sobre Citrix Gateway Connector, consulte Citrix CloudGateway Connector.

Connector Appliance: Puede usar Connector Appliance con el servicio Citrix Secure Workspace Access para admitir el acceso sin VPN a las aplicaciones web empresariales del centro de datos de los clientes. Para obtener información detallada, consulte https://docs.citrix.com/en-us/preview/connector-appliance-swa.html. El Secure Workspace Access con Connector Appliance se encuentra actualmente en versión preliminar técnica privada.

Funcionamiento

El Citrix Gateway Service se conecta de forma segura al centro de datos local mediante Citrix CloudGateway Connector, que se implementa en las instalaciones. Este conector actúa como puente entre las aplicaciones web empresariales implementadas en las instalaciones y el Citrix Gateway Service. Estos conectores se pueden implementar en un par de alta disponibilidad y solo requieren una conexión saliente.

Una conexión TLS entre el conector de puerta de enlace y el Citrix Gateway Service en la nube protege las aplicaciones locales enumeradas en el servicio en la nube. Se accede a las aplicaciones web y se entregan a través de Workspace mediante una conexión sin VPN. En la siguiente ilustración se muestra cómo acceder a las aplicaciones web mediante Citrix Workspace.

Cómo funcionan las aplicaciones web

Formas de configurar aplicaciones web empresariales

Las aplicaciones web empresariales se pueden configurar y publicar de las dos formas siguientes:

Configurar y publicar aplicaciones web empresariales manualmente

En la siguiente configuración se toma la aplicación de SharePoint como ejemplo para configurar y publicar una aplicación de forma manual:

  1. En el mosaico de Citrix Gateway Service, haga clic en Administrar.

  2. Haga clic en Agregar una aplicación web/SaaS debajo del mosaico Single Sign-On** .

  3. Haga clic en Omitir para configurar manualmente la aplicación de SharePoint .

    Omitir agregar plantilla

  4. Comprueba el botón de radio dentro de mi red corporativa.

    Introduzca los siguientes detalles en la sección Detalles de la aplicación y haga clic en Siguiente.

    Nombre: Nombre de la aplicación que va a agregar.

    URL: URL con su ID de cliente. La URL debe contener su ID de cliente (ID de cliente de Citrix Cloud). Para obtener su ID de cliente, consulte Inscribirse en Citrix Cloud. En caso de que el inicio de sesión único falle o no desee utilizar el inicio de sesión único, se redirigirá al usuario a esta URL.

    Nombre de dominio del cliente e ID de dominio del cliente: El nombre y el ID de dominio del cliente se utilizan para crear la URL de aplicación y otras URL posteriores en la página de inicio de sesión único de SAML.

    Por ejemplo, si va a agregar una aplicación Salesforce, su nombre de dominio es salesforceformyorg y el ID es 123754, la URL de la aplicación es https://salesforceformyorg.my.salesforce.com/?so=123754.

    Los campos Nombre de dominio del cliente e ID de cliente son específicos de determinadas aplicaciones.

    Dominios relacionados: El dominio relacionado se rellena automáticamente en función de la URL que has proporcionado. El dominio relacionado ayuda al servicio a identificar la URL como parte de la aplicación y a dirigir el tráfico en consecuencia. Puede agregar más de un dominio relacionado.

    Icono: Haga clic en el icono Cambiar para cambiar el icono de la aplicación. El tamaño del archivo de iconos debe ser de 128 x 128 píxeles. Si no cambia el icono, se muestra el icono predeterminado.

    Descripción: Esta descripción que introduzca aquí se mostrará a los usuarios del espacio de trabajo.

    No mostrar el icono de la aplicación a los usuarios: Seleccione la casilla de verificación si quiere ocultar esta aplicación en el portal de Citrix Workspace. Cuando una aplicación está oculta en el portal de Citrix Workspace, el servicio Secure Workspace Access no devuelve esta aplicación durante la enumeración. Sin embargo, los usuarios pueden seguir accediendo a la aplicación oculta.

    Detalles de la aplicación web

  5. En la sección Seguridad mejorada, seleccione Habilitar seguridad mejorada para elegir las opciones de seguridad que quiere aplicar a la aplicación.

    Importante:

    La sección Seguridad mejorada solo está disponible si tiene derecho al servicio Secure Workspace Access. Para obtener información detallada, consulte https://www.citrix.com/products/citrix-cloud/.

    • Las siguientes opciones de seguridad mejorada se pueden habilitar para la aplicación.

      • Restringir el acceso al portapapeles: inhabilita las operaciones de cortar/copiar/pegar entre la aplicación y el portapapeles del sistema
      • Restringir impresión: inhabilita la capacidad de imprimir desde el explorador de aplicaciones Citrix Workspace
      • Restringir navegación: inhabilita los botones del explorador de la aplicación siguiente/posterior
      • Restringir descargas: Inhabilita la capacidad del usuario para descargar desde dentro de la aplicación
      • Mostrar marca de agua: muestra una marca de agua en la pantalla del usuario que muestra el nombre de usuario y la dirección IP del equipo del usuario

      Opciones de seguridad mejoradas

    • Las siguientes directivas de protección avanzada de aplicaciones se pueden habilitar para la aplicación.

      Restringir el registro de teclas: protege contra los registradores de teclas. Cuando un usuario intenta iniciar sesión en la aplicación con el nombre de usuario y la contraseña, todas las claves se cifran en los registradores de claves. Además, todas las actividades que realiza un usuario en la aplicación están protegidas contra el registro de teclas. Por ejemplo, si las directivas de protección de aplicaciones están habilitadas para Office365 y el usuario modifica un documento Word de Office365, todas las pulsaciones de tecla se cifran en los registradores de teclas.

      Restringir captura de pantalla: inhabilita la capacidad de capturar las pantallas mediante cualquiera de los programas o aplicaciones de captura de pantalla. Si un usuario intenta capturar la pantalla, se captura una pantalla en blanco.

      Importante:

      • Puede habilitar las directivas de protección avanzada de aplicaciones solo después de habilitar la opción Habilitar seguridad mejorada .
      • Las directivas de protección de aplicaciones están habilitadas por aplicación porque es posible que no todas las aplicaciones requieran estas restricciones.
      • Las directivas de protección de aplicaciones solo funcionan cuando la aplicación se entrega a través del explorador integrado de Citrix.
    • Seleccione Iniciar aplicación siempre en el servicio Citrix Secure Browser para iniciar siempre una aplicación en el Secure Browser Service, independientemente de otras opciones de seguridad mejoradas.

      Nota:

      • Las demás opciones de seguridad mejoradas se siguen aplicando una vez que la aplicación se inicia en Secure Browser.

      • Si accede a la aplicación desde la aplicación Citrix Workspace o desde Citrix Workspace para web, la aplicación se inicia en el explorador integrado o en el explorador nativo, respectivamente, hasta que se aplica la directiva en los dispositivos móviles.

    • Seleccione Aplicar la directiva en el dispositivo móvil para habilitar las opciones de seguridad mejoradas mencionadas anteriormente en su dispositivo móvil.

      Nota:

      Cuando se selecciona Aplicar directiva en dispositivo móvil junto con Habilitar seguridad mejorada, la experiencia del usuario para el acceso a la aplicación se ve afectada negativamente para los usuarios de escritorio y móviles.

  6. Ahora debe conectarse a una ubicación de recursos. Puede seleccionar una ubicación de recursos existente o crear una. Para elegir una ubicación de recursos existente, haga clic en una de las ubicaciones de recursos de la lista de ubicaciones de recursos, por ejemplo Mi ubicación de recursos y, a continuación, haga clic en Siguiente. Para obtener orientación sobre cómo agregar una ubicación de recursos, haga clic en https://docs.citrix.com/en-us/citrix-gateway-service/gateway-connector.html

    Agregar nueva ubicación de recursos

  7. Seleccione el tipo de inicio de sesión único que desee utilizar para su aplicación y haga clic en Guardar. Están disponibles los siguientes tipos de inicio de sesión único.

    • Básico: Si su servidor back-end le presenta un desafío básico 401, elija SSO básico. No es necesario que proporciones ningún detalle de configuración para el tipo de SSO básico .
    • Kerberos: Si su servidor back-end le presenta el desafío negotiate-401, elija Kerberos. No es necesario que proporcione ningún detalle de configuración para el tipo de SSO Kerberos .
    • Basado en formularios: Si el servidor back-end le presenta un formulario HTML para la autenticación, elija Basado en formularios. Introduzca los detalles de configuración del tipo de SSO basado en formularios .
    • SAML: Elija SAML para el inicio de sesión único basado en SAML en aplicaciones web. Introduzca los detalles de configuración del tipo de inicio de sesión único de SAML .
    • No usar SSO: Use la opción No usar SSO cuando no necesite autenticar a un usuario en el servidor back-end. Cuando se selecciona la opción No usar SSO, se redirige al usuario a la URL configurada en la sección Detalles de la aplicación .

    Detalles basados en formularios: Introduzca los siguientes detalles de configuración basada en formularios en la sección Single Sign-On y haga clic en Guardar.

    Guardar config1

    • URL de acción: Escriba la dirección URL a la que se envía el formulario completado.
    • URL del formulario de inicio de sesión: Escriba la URL en la que se presenta el formulario de inicio de sesión.
    • Formato de nombre de usuario: Seleccione un formato para el nombre de usuario.
    • Campo de formulario de nombre de usuario: escriba un atributo de nombre de usuario.
    • Campo de formulario de contraseña: Escriba un atributo de contraseña.

    SAML: introduce los siguientes datos en la sección Iniciar sesión y haga clic en Guardar.

    Guardar config2

    • Afirmación de firmas: la firma de afirmación o respuesta garantiza la integridad del mensaje cuando la respuesta o afirmación se entrega a la parte que confía (SP). Puede seleccionar Afirmación, Respuesta, Ambas o Ninguna.
    • URL de aserción: El proveedor de la aplicación proporciona la URL de aserción. La aserción SAML se envía a esta URL.
    • Estado de retransmisión: El parámetro Estado de retransmisión se utiliza para identificar el recurso específico al que acceden los usuarios después de iniciar sesión y dirigirse al servidor de federación de la parte que confía. Relay State genera una única URL para los usuarios. Los usuarios pueden hacer clic en esta URL para iniciar sesión en la aplicación de destino.
    • Audiencia: El proveedor de la aplicación proporciona la audiencia. Este valor confirma que la aserción SAML se ha generado para la aplicación correcta.
    • Formato de ID de nombre: Seleccione el formato de identificador de nombre admitido.

    • ID de nombre: Seleccione el ID de nombre admitido.
  8. Haga clic en Finalizar.

    Después de hacer clic en Finalizar, la aplicación se agrega a la biblioteca y se le presentan las tres opciones siguientes.

    • Agregar otra aplicación
    • Modificar aplicación
    • Ir a la biblioteca

Asignación de usuarios o grupos de usuarios para las aplicaciones publicadas

Después de publicar una aplicación, puede asignar usuarios o grupos a la aplicación.

  1. En la pantalla de Citrix Cloud, haga clic en Ir a la biblioteca. También puede hacer clic en Biblioteca en el menú superior izquierdo.

    Observe que las funciones de la aplicación recién agregadas en su biblioteca.

    Biblioteca

  2. Para asignar usuarios a la aplicación, coloca el puntero sobre los puntos suspensivos de la derecha y haga clic en Administrar suscriptores.

    Administre los suscriptores

  3. Haga clic en Elegir una lista de dominios y selecciona un dominio. Haga clic en Elegir un grupo o usuario y asigna usuarios.

    Asignar usuarios o grupos

    Nota: Un usuario suscrito puede darse de baja seleccionando el usuario y haciendo clic en el icono de eliminación situado junto a Estado.

  4. Para obtener la URL del espacio de trabajo que se va a compartir con los usuarios de la aplicación, en Citrix Cloud, haga clic en el icono de menú y vaya a Configuración del espacio de trabajo.

    Obtener url del espacio de trabajo

Administra tus aplicaciones publicadas

Puede modificar o eliminar una aplicación publicada y agregar más suscriptores a la aplicación publicada.

Modificar una aplicación publicada

Para modificar una aplicación publicada, lleve a cabo los siguientes pasos:

  1. Vaya a Biblioteca e identifica la aplicación que se va a modificar.

  2. Sitúe el puntero sobre las elipses de la derecha y haga clic en Modificar.

  3. Modifica las entradas de la sección Detalles de la aplicación y haga clic en Guardar.

  4. Modifique las entradas de la sección Single Sign-On, haga clic en Guardar y, a continuación, en Finalizar.

Eliminar una aplicación publicada

Para eliminar una aplicación publicada, lleve a cabo los siguientes pasos:

  1. Vaya a Biblioteca e identifica la aplicación que deseas eliminar.
  2. Haga clic en el icono de punto de la derecha y haga clic en Eliminar.

Administrar suscriptores de aplicaciones publicadas

Para agregar más suscriptores, lleve a cabo los siguientes pasos:

  1. Vaya a la Biblioteca e identifique la aplicación que se va a modificar.
  2. Pase el puntero por encima de los puntos suspensivos de la derecha y haga clic en Administrar suscriptores.

Iniciar una aplicación configurada: flujo de usuario final

Para iniciar una aplicación configurada, lleve a cabo los siguientes pasos:

  1. Inicie sesión en Citrix Workspace con las credenciales de usuario de AD. Se muestra la aplicación configurada por el administrador.
  2. Haga clic en la aplicación para abrirla. La aplicación se inicia y el usuario ha iniciado sesión en la aplicación.

Habilitar el acceso sin VPN a aplicaciones web empresariales a través de un explorador local

Puede utilizar la extensión del explorador Citrix Secure Workspace Access para habilitar el acceso sin VPN a las aplicaciones web empresariales a través de un explorador local. La extensión del explorador Citrix Secure Workspace Access es compatible con los exploradores Google Chrome y Microsoft Edge.

Cómo instalar la extensión del explorador Citrix Secure Workspace Access

  1. Descargue la extensión del explorador Citrix Secure Workspace Access de la tienda Google Chrome.
  2. Haga clic en Registrar para registrar el FQDN de su servidor.
  3. Introduzca el FQDN de su servidor y haga clic en Siguiente. Regístrese para obtener la extensión
  4. Introduzca la URL de Citrix Workspace.
  5. Haga clic en Siguiente.
  6. Introduzca su nombre de usuario y contraseña.
    • Al introducir las credenciales de usuario correctas, el usuario inicia sesión en el portal web de Workspace y en la extensión del explorador.
    • El icono de extensión del explorador se vuelve azul e indica que el acceso interno a la aplicación está habilitado
    • La ventana de extensión del explorador se cierra automáticamente tras iniciar sesión correctamente. Post registro de la extensión del explorador
  7. El acceso a los enlaces de las aplicaciones web internas autorizadas ahora está habilitado directamente en el explorador. Si la aplicación web está configurada para el SSO, el usuario ha iniciado sesión en la aplicación.

Nota:

  • Cuando está en la red interna y no necesitas la extensión del explorador para habilitar el acceso a esas URL, puede desactivar el control deslizante Acceso interno a aplicaciones y, a continuación, acceder a las URL.
  • Puede cerrar la sesión de la extensión del explorador si quiere inhabilitar el acceso interno a la aplicación web desde el explorador local.
  • También puede eliminar el registro de su cuenta haciendo clic en el botón Eliminar para restablecer la extensión a su estado original. Una vez que anular el registro de la cuenta, no podrá acceder a las aplicaciones web empresariales desde su explorador nativo.

Configurar tiempos de espera de sesión

Los administradores pueden configurar los tiempos de espera de las sesiones para la extensión del explorador Citrix Secure Workspace Access.

  1. En el mosaico de Citrix Gateway Service, haga clic en Administrar.
  2. Haga clic en la ficha Administrar.
  3. En Tiempo de espera de inactividad para el comportamiento de la extensión del explorador, seleccione el tiempo de espera según el requisito.

Importante:

Las reglas de redirección no se pueden enviar temporalmente a la extensión del explorador.