Configurar Citrix SSO para usuarios de iOS

IMPORTANTE: Citrix VPN no se puede utilizar en iOS 12 y versiones posteriores. Para continuar con VPN, use la aplicación Citrix SSO.

En la siguiente tabla se compara la disponibilidad de varias funciones entre Citrix VPN y Citrix SSO.

Función VPN de Citrix Citrix SSO
VPN a nivel de dispositivo Compatible Compatible
VPN por aplicación (solo MDM) Compatible Compatible
Túnel dividido por aplicación No se admite Compatible
Perfiles VPN configurados por MDM Compatible Compatible
VPN bajo demanda Compatible Compatible
Tokens de contraseña (basado en T-OTP) No se admite Compatible
Inicio de sesión basado en notificaciones push (segundo factor desde el teléfono registrado) No se admite Compatible
Autenticación basada en certificados Compatible Compatible
Autenticación de nombre de usuario/contraseña Compatible Compatible
Comprobación del control de acceso a redes con Citrix Endpoint Management (anteriormente XenMobile) No se admite Compatible
Comprobación del control de acceso a la red con Microsoft Intune Compatible Compatible
Compatibilidad con DTLS No se admite Compatible
Bloquear perfiles VPN creados por el usuario Compatible Compatible
Inicio de sesión único para aplicaciones nativas administradas por Citrix Cloud No se admite Compatible
Versión del sistema operativo compatible iOS 9, 10, 11 (no funciona desde iOS 12+) iOS 9+

Compatibilidad con productos MDM

Citrix SSO es compatible con la mayoría de los proveedores de MDM, como Citrix Endpoint Management (anteriormente XenMobile), Microsoft Intune, etc.

Citrix SSO también admite una función denominada Control de acceso a redes (NAC). Para obtener más información sobre NAC, haga clicaquí. Con NAC, los administradores de MDM pueden exigir el cumplimiento de los dispositivos del usuario final antes de conectarse a Citrix ADC. NAC en Citrix SSO requiere un servidor MDM como Citrix Endpoint Management o Intune y Citrix ADC.

Configurar un perfil de VPN administrado por MDM para el Citrix SSO

En la siguiente sección se recogen instrucciones paso a paso para configurar perfiles VPN de todo el dispositivo y por aplicación para Citrix SSO mediante Citrix Endpoint Management (anteriormente XenMobile) como ejemplo. Otras soluciones MDM pueden utilizar este documento como referencia cuando se trabaja con Citrix SSO.

Nota: En esta sección se explican los pasos de configuración para un perfil VPN básico para todo el dispositivo y por aplicación. También puede configurar Proxies bajo demanda, Always-On, siguiendo la documentación de Citrix Endpoint Management (anteriormente XenMobile) o la configuración de carga útil de MDM VPN de Apple.

Perfiles VPN a nivel de dispositivo

Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema. El tráfico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en función de las directivas VPN (como túnel completo, túnel dividido, túnel inverso) definidas en Citrix ADC.

Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management

Realice los siguientes pasos para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management.

1. En la consola de Citrix Endpoint Management MDM, vaya a Configurar > Directivas de dispositivo > Agregar nueva directiva.

2. Seleccione iOS en el panel de la izquierda Plataforma de directivas. Seleccione VPN en el panel derecho.

3. En la página Información de directiva, introduzca un nombre y una descripción de directiva válidos y haga clic en Siguiente.

4. En la página Directiva de VPN para iOS, escriba un nombre de conexión válido y elija SSL personalizado en Tipo de conexión.

Nota: En la carga útil MDM VPN, el nombre de la conexión corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN.

5. En Identificador SSL personalizado (formato DNS inverso), escriba com.citrix.NetScalerGateway.ios.app. Este es el identificador de paquete para la aplicación Citrix SSO en iOS.

Nota: En la carga útil de MDM VPN, el identificador SSL personalizado corresponde a la clave VPNSubtype.

6. En el identificador del paquete del proveedor, escriba com.citrix.NetScalerGateway.ios.app.vpnPlugin. Este es el identificador de paquete de la extensión de red contenida en el binario de la aplicación Citrix SSO iOS.

Nota: En MDM VPN payload, el identificador del paquete del proveedor corresponde a la clave ProviderBundleIdentifier.

7. En Nombre del servidor o dirección IP, introduzca la dirección IP o FQDN (nombre de dominio completo) del ADC de Citrix asociado a esta instancia de Citrix Endpoint Management.

Los campos restantes de la página de configuración son opcionales. Las configuraciones para estos campos se pueden encontrar en la documentación de Citrix Endpoint Management (anteriormente XenMobile).

8. Haga clic en Siguiente.

Imagen localizada

9. Haga clic en Guardar.

Perfiles VPN por aplicación

Los perfiles VPN por aplicación se utilizan para configurar VPN para una aplicación específica. El tráfico de la aplicación específica se canaliza a Citrix Gateway. La carga útil de VPN por aplicación admite todas las claves para VPN en todo el dispositivo, además de algunas claves adicionales.

Para configurar una VPN a nivel de aplicación en Citrix Endpoint Management

Realice los siguientes pasos para configurar una VPN por aplicación:

1. Complete la configuración de VPN a nivel de dispositivo en Citrix Endpoint Management.

2. Activa el conmutador Habilitar VPN por aplicación en la sección VPN por aplicación.

3. Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automáticamente cuando se inicie la aplicación Match. Esto se recomienda para la mayoría de los casos por aplicación.

Nota: En la carga útil de MDM VPN, este campo corresponde a la clave OnDemandMatchOpenabled.

4. En Tipo de proveedor, seleccione Túnel de paquetes.

Nota: En la carga útil MDM VPN, este campo corresponde al tipo de proveedorclave.

5. La configuración de Safari Domain es opcional. Cuando se configura el dominio Safari, Citrix SSO se inicia automáticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida con la del campo Dominio. Esto no se recomienda si desea restringir VPN para una aplicación específica.

Nota: En la carga útil MDM VPN, este campo corresponde a la clave SafariDomains.

Los campos restantes de la página de configuración son opcionales. Las configuraciones para estos campos se pueden encontrar en la documentación de Citrix Endpoint Management (anteriormente XenMobile).

Imagen localizada

14. Haga clic en Siguiente.

15. Haga clic en Guardar.

Para asociar este perfil VPN a una aplicación específica en el dispositivo, debe crear una directiva de inventario de aplicaciones y una directiva de proveedor de credenciales siguiendo esta guía -https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/.

Configuración del túnel dividido en VPN por aplicación

Los clientes de MDM pueden configurar el túnel dividido en VPN por aplicación para Citrix SSO. Para ello, se debe agregar el siguiente par clave/valor a la sección de configuración del proveedor del perfil VPN creado en el servidor MDM.

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"

La clave distingue entre mayúsculas y minúsculas y debe ser una coincidencia exacta mientras que el valor no distingue entre mayúsculas y minúsculas.

Nota: La interfaz de usuario para configurar la configuración del proveedor no es estándar entre los proveedores de MDM. Debe ponerse en contacto con el proveedor de MDM para encontrar la sección de configuración del proveedor en la consola de usuario de MDM.

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Citrix Endpoint Management.

Túnel dividido por aplicación-CEM

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Microsoft Intune.

Split-tuneles-por-aplicación-intune

Inhabilitar los perfiles VPN creados por el usuario

Los clientes de MDM pueden impedir que los usuarios creen manualmente perfiles VPN desde la aplicación Citrix SSO. Para ello, se debe agregar el siguiente par clave/valor a la sección de configuración del proveedor del perfil VPN creado en el servidor MDM.

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"

La clave distingue entre mayúsculas y minúsculas y debe ser una coincidencia exacta mientras que el valor no distingue entre mayúsculas y minúsculas.

Nota: La interfaz de usuario para configurar la configuración del proveedor no es estándar entre los proveedores de MDM. Debe ponerse en contacto con el proveedor de MDM para encontrar la sección de configuración del proveedor en la consola de usuario de MDM.

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Citrix Endpoint Management.

Inhabilitar-VPN-CEM

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Microsoft Intune.

Disable_VPN_Intune

Problemas conocidos

Descripción del problema: Tunelización para direcciones FQDN que contienen un dominio “.local” en configuraciones VPN por aplicación o VPN bajo demanda. Hay un error en el marco de extensión de red de Apple que detiene las direcciones FQDN que contienen.local en la parte del dominio (por ejemplo,http://wwww.abc.local) de ser tuneladas sobre la interfaz TUN del sistema. El tráfico de esta dirección se envía a través de la interfaz física del dispositivo en su lugar. El problema se observa solo con las configuraciones VPN por aplicación o VPN bajo demanda y no se ve con las configuraciones VPN de todo el sistema. Citrix ha presentado un informe de error de radar a Apple, y Apple había señalado que, de acuerdo con RFC-6762:https://tools.ietf.org/html/rfc6762,.local es una consulta DNS de multidifusión (MDN) y, por lo tanto, no es un error. Sin embargo, Apple aún no ha cerrado el error y no está claro si el problema se resolverá en futuras versiones de iOS.

Solución alternativa: Asigne un nombre de dominio.local para direcciones como la solución alternativa.

Limitaciones

  • La tunelización dividida basada en FQDN aún no es totalmente compatible.
  • El análisis de punto final (EPA) no es compatible con iOS.
  • No se admite el túnel dividido basado en puertos/protocolos.