Permitir el acceso desde dispositivos móviles con Citrix Mobile Productivity Apps

El asistente Citrix ADC para XenMobile configura la configuración necesaria para permitir a los usuarios conectarse desde dispositivos compatibles a través de Citrix Gateway a aplicaciones móviles y recursos de la red interna. Los usuarios se conectan mediante Secure Hub (anteriormente, Worx Home), que establece un túnel Micro VPN. Cuando los usuarios se conectan, se abre un túnel VPN en Citrix Gateway y, a continuación, se pasa a XenMobile en la red interna. Los usuarios pueden acceder a sus aplicaciones web, móviles y SaaS desde XenMobile.

Para asegurarse de que los usuarios consumen una única licencia universal cuando se conectan a Citrix Gateway con varios dispositivos simultáneamente, puede habilitar la transferencia de sesiones en el servidor virtual. Para obtener más información, consulte.Configuración de tipos de conexión en el servidor virtual

Si necesita cambiar la configuración después de utilizar el asistente Citrix ADC para XenMobile, utilice las secciones de este artículo para obtener orientación. Antes de cambiar la configuración, asegúrese de que comprende las implicaciones de los cambios. Para obtener más información, consulte losImplementar XenMobileartículos.

Configuración de Secure Browse en Citrix Gateway

Puede cambiar la exploración segura como parte de la configuración global o como parte de un perfil de sesión. Puede enlazar la directiva de sesión a usuarios, grupos o servidores virtuales. Al configurar Secure Browse, también debe habilitar el acceso sin cliente. Sin embargo, el acceso sin cliente no requiere que habilite la exploración segura. Cuando configure el acceso sin cliente, establezca la codificación URL de acceso sin cliente en Borrar.

Para configurar Secure Browse globalmente:

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway y, a continuación, haga clic en Configuración global.
  2. En el panel de detalles, en Configuración, haga clic en Cambiar configuración global.
  3. En el cuadro de diálogo Configuración global de Citrix Gateway, en la ficha Seguridad, haga clic en Examinar seguro y, a continuación, haga clic en Aceptar.

Para configurar Secure Browse en una directiva y un perfil de sesión:

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway > Directivas y, a continuación, haga clic en Sesión.
  2. En el panel de detalles, realice una de las acciones siguientes:
    • Si va a crear una nueva directiva de sesión, haga clic en Agregar.
    • Si va a cambiar una directiva existente, seleccione una directiva y, a continuación, haga clic en Abrir.
  3. En la directiva, cree un nuevo perfil o modifique uno existente. Para ello, realice una de las siguientes acciones:
    • Junto a Solicitar perfil, haga clic en Nuevo.
    • Junto a Solicitar perfil, haga clic en Modificar.
  4. En la ficha Seguridad, junto a Examinar seguro, haga clic en Anular global y, a continuación, seleccione Examinar seguro.
  5. Lleve a cabo una de las siguientes acciones:
    • Si va a crear un perfil nuevo, haga clic en Crear, establezca la expresión en el cuadro de diálogo de directiva, haga clic en Creary, a continuación, haga clic en Cerrar.
    • Si está modificando un perfil existente, después de realizar la selección, haga clic dos veces en Aceptar.

Para configurar directivas de tráfico para Secure Web en modo de exploración segura:

Siga los pasos siguientes para configurar directivas de tráfico para enrutar el tráfico de Secure Web a través de un servidor proxy en modo de exploración segura.

  1. En la utilidad de configuración, en la ficha Configuración, expanda Citrix Gateway > Directivas y, a continuación, haga clic en Tráfico.
  2. En el panel derecho, haga clic en la ficha Perfiles de tráfico y, a continuación, haga clic en Agregar.
  3. En Nombre, introduzca un nombre para el perfil, seleccione TCPcomo Protocoloy deje el resto de la configuración tal cual.
  4. Haga clic en Crear.
  5. Haga clic en la ficha Perfiles de tráfico y, a continuación, haga clic en Agregar.
  6. En Nombre, escriba un nombre para el perfil y, a continuación, seleccione HTTPcomo Protocolo. Este perfil de tráfico es para HTTP y SSL. El tráfico CVPN es tráfico HTTP por diseño, independientemente del puerto de destino o del tipo de servicio. Por lo tanto, se especifica el tráfico SSL y HTTP como HTTP en el perfil de tráfico.
  7. En Proxy, introduzca la dirección IP del servidor proxy. En Puerto, introduzca el número de puerto del servidor proxy.
  8. Haga clic en Crear.
  9. Haga clic en la ficha Perfiles de tráfico y, a continuación, haga clic en Agregar.
  10. Introduzca el nombre de la política de tráfico y, para Solicitar perfil, seleccione el perfil de tráfico que creó en el paso 3. Escriba la siguiente expresión y, a continuación, haga clic en Crear:

    REQ.HTTP.HEADER HOST contiene ActiveSync Server   REQ.HTTP.HEADER User-Agent CONTIENE WorxMail   REQ.HTTP.HEADER User-Agent CONTIENE com.zenprise   REQ.HTTP.HEADER User-Agent CONTIENE WorxHome   REQ.HTTP.URL CONTIENE AGServices   REQ.HTTP.URL CONTIENE StoreWeb

    Esa regla realiza una comprobación basada en el encabezado del host. Para omitir el tráfico de ActiveSync desde el proxy, reemplace ActiveSync Server con el nombre de servidor ActiveSync adecuado.

  11. Haga clic en la ficha Perfiles de tráfico y, a continuación, haga clic en Agregar. Introduzca el nombre de la directiva de tráfico y, para Solicitar perfil, seleccione el perfil de tráfico creado en el paso 6. Escriba la siguiente expresión y, a continuación, haga clic en Crear:

    (REQ.HTTP.HEADER User-Agent CONTIENE Mozilla   REQ.HTTP.HEADER User-Agent CONTIENE com.citrix.browser   REQ.HTTP.HEADER User-Agent CONTIENE WORXWeb) && REQ.TCP.DESTPORT == 80
  12. Haga clic en la ficha Perfiles de tráfico y, a continuación, haga clic en Agregar. Introduzca el nombre de la directiva de tráfico y, en Perfil de solicitud, seleccione el perfil de tráfico creado en el paso 6. Escriba la siguiente expresión y, a continuación, haga clic en Crear:

    (REQ.HTTP.HEADER User-Agent CONTIENE Mozilla   REQ.HTTP.HEADER User-Agent CONTIENE com.citrix.browser   REQ.HTTP.HEADER User-Agent CONTIENE WORXWeb) && REQ.TCP.DESTPORT == 443
  13. Vaya a Citrix Gateway > Servidores virtuales, seleccione el servidor virtual en el panel derecho y, a continuación, haga clic en Editar.
  14. En la fila Directivas, haga clic en +.
  15. En el menú Elegir directiva, seleccione Tráfico.
  16. Haga clic en Continuar.
  17. En Enlace de directivas, en Seleccionar directiva, haga clic en >.
  18. Seleccione la directiva que creó en el paso 10 y, a continuación, haga clic en Aceptar.
  19. Haga clic en Bind.
  20. En Directivas, haga clic en Directiva de tráfico.
  21. En Enlace de directivas de tráfico de servidor virtual VPN, haga clic en Agregar enlace.
  22. En Enlace de directivas, junto al menú Seleccionar directiva, haga clic en >para ver la lista de directivas.
  23. Seleccione la directiva que creó en el paso 17 y, a continuación, haga clic en Aceptar.
  24. Haga clic en Bind.
  25. En Directivas, haga clic en Directivas de tráfico.
  26. En Enlace de directivas de tráfico de servidor virtual VPN, haga clic en Agregar enlace.
  27. En Enlace de directivas, junto al menú Seleccionar directiva, haga clic en >para ver la lista de directivas.
  28. Seleccione la directiva que creó en el paso 18 y, a continuación, haga clic en Aceptar.
  29. Haga clic en Bind.
  30. Haga clic en Cerrar.
  31. Haga clic en Done.

Asegúrese de configurar la aplicación Secure Web (WorxWeb) en la consola de XenMobile. Vaya a Configurar > Aplicaciones, seleccione la aplicación Secure Web, haga clic en Editary, a continuación, realice los siguientes cambios:

  • En la página Información de la aplicación, cambie el Modo VPN inicial a Navegación segura.
  • En la página iOS, cambie el Modo VPN inicial a Navegación segura.
  • En la página Android, cambie el modo VPN preferido a Navegación segura.

Configuración de los tiempos de espera de la aplicación y del token MDX

Cuando los usuarios inician sesión desde un dispositivo iOS o Android, se emite un token de aplicación o un token MDX. El token es similar a Secure Ticket Authority (STA).

Puede establecer el número de segundos o minutos en que los tokens están activos. Si el token expira, los usuarios no pueden acceder al recurso solicitado, como una aplicación o una página web.

Los tiempos de espera de tokens son configuraciones globales. Al configurar la configuración, se aplica a todos los usuarios que inician sesión en Citrix Gateway.

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway y, a continuación, haga clic en Configuración global.
  2. En el panel de detalles, en Configuración, haga clic en Cambiar configuración global.
  3. En el cuadro de diálogo Configuración global de Citrix Gateway, en la ficha Experiencia del cliente, haga clic en Configuración avanzada.
  4. En la ficha General, en Application Token Timeout (seg) introduzca el número de segundos antes de que caduque el token. El valor predeterminado es 100 segundos.
  5. En MDX Token Timeout (mins), escriba el número de minutos antes de que caduque el token y, a continuación, haga clic en Aceptar. El valor predeterminado es 10 minutos.

Desactivación de Endpoint Analysis para dispositivos móviles

Si configura el análisis de endpoint, debe configurar las expresiones de directiva para que los análisis de endpoint no se ejecuten en dispositivos móviles Android o iOS. Los análisis de análisis de punto final no son compatibles con los dispositivos móviles.

Si vincula una directiva de análisis de extremos a un servidor virtual, debe crear un servidor virtual secundario para dispositivos móviles. No vincule directivas de autenticación previa o posterior al servidor virtual del dispositivo móvil.

Cuando configura la expresión de directiva en una directiva de autenticación previa, agrega la cadena User-Agent para excluir Android o iOS. Cuando los usuarios inician sesión desde uno de estos dispositivos y excluye el tipo de dispositivo, el análisis de endpoint no se ejecuta.

Por ejemplo, cree la siguiente expresión de directiva para comprobar si el agente de usuario contiene Android, si la aplicación virus.exe no existe y para finalizar el proceso keylogger.exe si se ejecuta mediante el perfil de autenticación previa. La expresión de política podría tener el siguiente aspecto:

REQ.HTTP.HEADER User-Agent NOTCONTIENE Android && CLIENT.APPLICATION.PROCESS (keylogger.exe) contiene   CLIENT.APPLICATION.PROCESS (virus.exe) contiene

Después de crear la directiva y el perfil de autenticación previa, vincule la directiva al servidor virtual. Cuando los usuarios inician sesión desde un dispositivo Android o iOS, el análisis no se ejecuta. Si los usuarios inician sesión desde un dispositivo basado en Windows, se ejecuta el análisis.

Para obtener más información acerca de la configuración de directivas de autenticación previa, consulteConfiguración de directivas de endpoints.

Compatibilidad con consultas DNS mediante sufijos DNS para dispositivos Android

Cuando los usuarios establecen una conexión Micro VPN desde un dispositivo Android, Citrix Gateway envía la configuración DNS dividida al dispositivo del usuario. Citrix Gateway admite consultas DNS divididas basadas en la configuración de DNS dividida que configure. Citrix Gateway también puede admitir consultas DNS divididas basadas en sufijos DNS configurados en el dispositivo. Si los usuarios se conectan desde un dispositivo Android, debe configurar la configuración de DNS en Citrix Gateway.

El DNS dividido funciona de la siguiente manera:

  • Si establece DNS dividido en Local, el dispositivo Android envía todas las solicitudes DNS al servidor DNS local.
  • Si establece DNS dividido en Remote, todas las solicitudes DNS se envían a los servidores DNS configurados en Citrix Gateway (servidor DNS remoto) para su resolución.
  • Si establece DNS dividido en Ambos, el dispositivo Android comprueba el tipo de solicitud DNS.
    • Si el tipo de solicitud DNS no es “A”, envía el paquete de solicitud DNS a servidores DNS locales y remotos.
    • Si el tipo de solicitud DNS es “A”, el complemento de Android extrae el FQDN de consulta y coincide ese FQDN con la lista de sufijos DNS configurada en Citrix ADC. Si el FQDN de la solicitud DNS coincide, la solicitud DNS se envía al servidor DNS remoto. Si el FQDN no coincide, la solicitud DNS se envía a los servidores DNS locales.

En la siguiente tabla se resume el funcionamiento de DNS dividido basado en el registro y la lista de sufijos de tipo A.

Configuración de DNS dividida ¿Es un registro tipo A? ¿Está en la lista de sufijos? Dónde se envía la solicitud DNS
Local ambos Sí o No ambos Sí o No Local
Remoto ambos Sí o No ambos Sí o No Remoto
Ambos No NA Ambos
Ambos Remoto
Ambos No Local

Para configurar un sufijo DNS:

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway > Directivas y, a continuación, haga clic en Sesión.
  2. En el panel de detalles, en la ficha Directivas, seleccione una directiva de sesión y, a continuación, haga clic en Abrir.
  3. Junto a Solicitar perfil, haga clic en Modificar.
  4. En la ficha Configuración de red, haga clic en Avanzadas.
  5. Junto a Sufijo DNS IP de Intranet, haga clic en Anular global, escriba el sufijo DNS y, a continuación, haga clic en Aceptartres veces.

Para configurar DNS dividido globalmente en Citrix Gateway:

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway y, a continuación, haga clic en Configuración global.
  2. En el panel de detalles, en Configuración, haga clic en Cambiar configuración global.
  3. En la ficha Experiencia del cliente, haga clic en Configuración avanzada.
  4. En la ficha General, en Dividir DNS, seleccione Ambos, Remoto o **Local y, a** continuación, haga clic en Aceptar.

Para configurar DNS dividido en una directiva de sesión en Citrix Gateway:

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway > Directivas y, a continuación, haga clic en Sesión.
  2. En el panel de detalles, en la ficha Directivas, haga clic en Agregar.
  3. En Nombre, escriba un nombre para la directiva.
  4. Junto a Solicitar perfil, haga clic en Nuevo.
  5. En Nombre, escriba un nombre para el perfil.
  6. En la ficha Experiencia del cliente, haga clic en Configuración avanzada.
  7. En la ficha General, junto a Dividir DNS, haga clic en Anular global, seleccione Ambos, Remoto o **Local y, a** continuación, haga clic en Aceptar.
  8. En el cuadro de diálogo Crear directiva de sesión, junto a Expresiones con nombre, seleccione General, seleccione True, haga clic en Agregar expresión, haga clic en Crear y, a continuación, haga clic en Cerrar.