Configurar Citrix SSO para usuarios de iOS y Citrix Secure Access para usuarios de macOS

IMPORTANTE:

Citrix VPN no se puede utilizar en iOS 12 y versiones posteriores. Para continuar con la VPN, utilice la aplicación Citrix SSO.

La siguiente tabla compara la disponibilidad de varias funciones entre Citrix VPN, Citrix SSO para los usuarios de iOS y los usuarios de Citrix Secure Access para macOS.

Función Citrix VPN Usuarios de Citrix SSO para iOS y usuarios de Citrix Secure Access para macOS
VPN a nivel de dispositivo Se admite Se admite
VPN por aplicación (solo MDM) Se admite Se admite
Túnel dividido por aplicación No se admite Se admite
Perfiles VPN configurados por MDM Se admite Se admite
VPN a demanda Se admite Se admite
Tokens de contraseña (basados en T-OTP) No se admite Se admite
Inicio de sesión basado en notificaciones push (segundo factor desde el teléfono registrado) No se admite Se admite
Autenticación basada en certificados Se admite Se admite
Autenticación de nombre de usuario/contraseña Se admite Se admite
Comprobación del control de acceso a la red con Citrix Endpoint Management (anteriormente XenMobile) No se admite Se admite
Comprobación del control de acceso a la red con Microsoft Intune Se admite Se admite
Compatibilidad con DTLS No se admite Se admite
Bloquear perfiles VPN creados por el usuario Se admite Se admite
Inicio de sesión único (SSO) para aplicaciones nativas administradas por Citrix Cloud No se admite Se admite
Proxy del lado del cliente Se admite Se admite
Versión de SO compatible iOS 9, 10, 11 (no funciona a partir de iOS 12+) iOS 9+

Compatibilidad con productos MDM

Citrix SSO (iOS) y Citrix Secure Access (macOS) son compatibles con la mayoría de los proveedores de MDM, como Citrix Endpoint Management (anteriormente XenMobile), Microsoft Intune, etc.

Citrix SSO (iOS) y Citrix Secure Access (macOS) también admiten una función llamada Control de acceso a la red (NAC). Para obtener más información sobre NAC, consulte Configurar la comprobación del dispositivo de control de acceso a la red para el servidor virtual Citrix Gateway para el inicio de sesiónde Con NAC, los administradores de MDM pueden imponer el cumplimiento de los dispositivos del usuario final antes de conectarse al dispositivo Citrix ADC. El NAC en Citrix SSO (iOS) y Citrix Secure Access (macOS) requiere un servidor MDM como Citrix Endpoint Management o Intune y Citrix ADC.

Nota:

Para usar la aplicación Citrix SSO en iOS o el agente Citrix Secure Access en macOS con Citrix Gateway VPN sin MDM, debe agregar una configuración de VPN. Puede agregar la configuración de VPN en iOS desde la página principal de Citrix SSO (iOS) y Citrix Secure Access (macOS).

Configurar un perfil de VPN administrada por MDM para la aplicación Citrix SSO (iOS) o el agente Citrix Secure Access (macOS)

En la siguiente sección se muestran instrucciones paso a paso para configurar perfiles de VPN para todo el dispositivo y por aplicación para la aplicación Citrix SSO (iOS) o el agente Citrix Secure Access (macOS) mediante Citrix Endpoint Management (anteriormente XenMobile) como ejemplo. Otras soluciones de MDM pueden usar este documento como referencia cuando trabajan con Citrix SSO (iOS) y Citrix Secure Access (macOS).

Nota:

En esta sección se explican los pasos de configuración de un perfil VPN básico para todo el dispositivo y por aplicación. También puede configurar servidores proxy bajo demanda, siempre activos siguiendo la documentación de Citrix Endpoint Management (anteriormente XenMobile) o la configuración de carga útil de VPN de MDMde Apple.

Perfiles VPN a nivel de dispositivo

Los perfiles VPN a nivel de dispositivo se utilizan para configurar una VPN para todo el sistema. El tráfico de todas las aplicaciones y servicios se dirige a Citrix Gateway en función de las directivas de VPN (como túnel completo, túnel dividido, túnel dividido inverso) definidas en Citrix ADC.

Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management

Realice los siguientes pasos para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management.

  1. En la consola de Citrix Endpoint Management MDM, vaya a Configurar > Directivas de dispositivo > Agregar nueva directiva.

  2. Seleccione iOS en el panel Plataforma de directivas izquierdo. Selecciona VPN en el panel derecho.

  3. En la página Información de directiva, introduzca un nombre y una descripción de directiva válidos y haga clic en Siguiente.

  4. En la página Directiva de VPN para iOS, escriba un nombre de conexión válido y elija SSL personalizado en Tipo de conexión.

    En la carga útil de VPN de MDM, el nombre de la conexión corresponde a la clave UserDefinedName y la clave de tipo VPN debe establecerse en VPN.

  5. En Identificador SSL personalizado (formato DNS inverso), escriba com.citrix.NetscalerGateway.ios.app. Este es el identificador de paquete para la aplicación Citrix SSO en iOS.

    En la carga útil de VPN de MDM, el identificador SSL personalizado corresponde a la clave VPNSubType.

  6. En el identificador del paquete del proveedor, escriba com.citrix.NetScalerGateway.ios.app.vpnPlugin. Identificador de paquete de la extensión de red contenida en el binario de la aplicación Citrix SSO iOS.

    En la carga útil de VPN de MDM, el identificador del paquete de proveedores corresponde a la clave ProviderBundleIdentifier.

  7. En Nombre del servidor o dirección IP, introduzca la dirección IP o FQDN (nombre de dominio completo) del Citrix ADC asociado a esta instancia de Citrix Endpoint Management.

    El resto de los campos de la página de configuración son opcionales. Las configuraciones de estos campos se encuentran en la documentación de Citrix Endpoint Management (anteriormente XenMobile).

  8. Haga clic en Next.

    Página de directivas de VPN de CEM

  9. Haga clic en Save.

Perfiles VPN por aplicación

Los perfiles VPN por aplicación se utilizan para configurar la VPN para una aplicación específica. El tráfico de la aplicación específica se canalizará únicamente a Citrix Gateway. La carga útil de VPN por aplicación admite todas las claves de la VPN para todo el dispositivo, además de algunas otras claves.

Para configurar una VPN por aplicación en Citrix Endpoint Management

Realice los siguientes pasos para configurar una VPN por aplicación:

  1. Complete la configuración VPN a nivel de dispositivo en Citrix Endpoint Management.

  2. Active el interruptor Habilitar VPN por aplicación en la sección VPN por aplicación.

  3. Active el conmutador On-Demand Match App Enabled si Citrix SSO (iOS) y Citrix Secure Access (macOS) deben iniciarse automáticamente cuando se inicie la aplicación Match. Esto se recomienda para la mayoría de los casos por aplicación.

    En la carga útil de VPN de MDM, este campo corresponde a la clave OnDemandMatchAppEnabled.

  4. En Tipo de proveedor, seleccione Túnel de paquetes.

    En la carga útil de VPN de MDM, este campo corresponde al tipo de proveedorclave.

  5. La configuración de Safari Domain es opcional. Cuando se configura un dominio de Safari, Citrix SSO (iOS) y Citrix Secure Access (macOS) se inician automáticamente cuando los usuarios inician Safari y navegan a una URL que coincide con la del campo Dominio . Esto no es recomendable si quieres restringir la VPN para una aplicación específica.

    En la carga útil de VPN de MDM, este campo corresponde a la clave SafariDomains.

    El resto de los campos de la página de configuración son opcionales. Las configuraciones de estos campos se encuentran en la documentación de Citrix Endpoint Management (anteriormente XenMobile).

    Página de directivas de VPN de CEM

  6. Haga clic en Siguiente.

  7. Haga clic en Save.

Para asociar este perfil de VPN a una aplicación específica del dispositivo, debe crear una directiva de inventario de aplicaciones y una directiva del proveedor de credenciales siguiendo esta guía - https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/.

Configuración de túnel dividido en VPN por aplicación

Los clientes de MDM pueden configurar el túnel dividido en VPN por aplicación para Citrix SSO (iOS) y Citrix Secure Access (macOS). El siguiente par clave/valor debe agregarse a la sección de configuración del proveedor del perfil VPN creado en el servidor MDM.

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"
<!--NeedCopy-->

La clave distingue entre mayúsculas y minúsculas y debe coincidir exactamente, mientras que el valor no distingue mayúsculas

Nota:

La interfaz de usuario para configurar la configuración del proveedor no es estándar en todos los proveedores de MDM. Póngase en contacto con el proveedor de MDM para buscar la sección de configuración del proveedor en la consola de usuario de MDM.

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Citrix Endpoint Management.

Túnel dividido por aplicación CEM

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Microsoft Intune.

! [split-tunnel-per-app-Intune] (/en-us/citrix-gateway/media/split_tunnel_per_app_intune.png)

Inhabilitar los perfiles VPN creados por el usuario

Los clientes de MDM pueden evitar que los usuarios creen perfiles VPN manualmente desde la aplicación Citrix SSO (iOS) y el agente Citrix Secure Access (macOS). Para ello, se debe agregar el siguiente par clave/valor a la sección de configuración del proveedor del perfil VPN creado en el servidor MDM.

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"
<!--NeedCopy-->

La clave distingue entre mayúsculas y minúsculas y debe coincidir exactamente, mientras que el valor no distingue mayúsculas

Nota:

La interfaz de usuario para configurar la configuración del proveedor no es estándar en todos los proveedores de MDM. Póngase en contacto con el proveedor de MDM para buscar la sección de configuración del proveedor en la consola de usuario de MDM.

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Citrix Endpoint Management.

Inhabilitar-VPN-CEM

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Microsoft Intune.

Disable_VPN_Intune

Manejo DNS

La configuración de DNS recomendada para la aplicación Citrix SSO o el agente Citrix Secure Access es la siguiente:

  • Dividir DNS > REMOTE si el túnel dividido está desactivado.
  • Divide DNS > BOTH si el túnel dividido está configurado en ON. En este caso, los administradores tienen que agregar sufijos DNS para los dominios de la intranet. Las consultas DNS de los FQDN pertenecientes a sufijos DNS se tunelizan al dispositivo Citrix ADC y las consultas restantes se dirigen al enrutador local.

Nota:

  • Se recomienda que el indicador de corrección de truncamiento de DNS esté siempre activado. Para obtener más información detallada, consulte https://support.citrix.com/article/CTX200243.

  • Cuando el túnel dividido se establece en ON y DNS dividido en REMOTE, puede haber problemas para resolver las consultas DNS después de conectar la VPN. Esto se relaciona con que el marco de extensión de red no intercepta todas las consultas DNS.

Problemas conocidos

Descripción del problema: Túnel para direcciones FQDN que contienen un dominio “.local” en configuraciones VPN por aplicación o VPN bajo demanda. Existe un error en el marco de extensión de red de Apple que impide que las direcciones FQDN que contienen .local en la parte del dominio (por ejemplo, http://wwww.abc.local) se tunelicen a través de la interfaz TUN del sistema. El tráfico de esta dirección se envía a través de la interfaz física del dispositivo. El problema solo se observa con la configuración de VPN por aplicación o VPN bajo demanda y no se observa con las configuraciones de VPN de todo el sistema. Citrix ha presentado un informe de error de radar a Apple, y Apple había señalado que, según RFC-6762: https://tools.ietf.org/html/rfc6762, local es una consulta DNS de multidifusión (mDNS) y, por lo tanto, no es un error. Sin embargo, Apple aún no ha cerrado el error y no está claro si el problema se solucionará en futuras versiones de iOS.

Solución alternativa: Asigne un nombre de dominio non .local para tales direcciones como solución alternativa.

Limitaciones

  • La tunelización dividida basada en FQDN aún no es totalmente compatible.
  • El análisis de punto final (EPA) no es compatible con iOS.
  • No se admite la tunelización dividida basada en puertos/protocolos.
Configurar Citrix SSO para usuarios de iOS y Citrix Secure Access para usuarios de macOS