Situaciones de petición de credenciales

Hay varios casos en los que se solicita a los usuarios que se autentiquen en Secure Hub escribiendo sus credenciales en los dispositivos.

Las situaciones cambian según los siguientes factores:

  • La configuración de propiedades de cliente y directivas de aplicaciones MDX en la consola de Endpoint Management.
  • Si la autenticación se realiza sin conexión, o si es necesario autenticarse con conexión (el dispositivo necesita una conexión de red a Endpoint Management).

Además, el tipo de credenciales que los usuarios escriben (contraseña de Active Directory, PIN o código de acceso de Citrix, contraseña de un solo uso, autenticación con huella dactilar o Touch ID en iOS) también cambia según el tipo de autenticación y la frecuencia de autenticación que se necesiten.

Veamos las situaciones que provocan una petición de credenciales.

  • Reinicio de dispositivo: Cuando los usuarios reinician sus dispositivos, deben volver a autenticarse en Secure Hub.

  • Inactividad sin conexión (tiempo de espera): Con la directiva MDX “Código de acceso de aplicación” habilitada (lo está de forma predeterminada), la propiedad de cliente de Endpoint Management denominada “Inactivity Timer” (Temporizador de inactividad) entra en vigor. El temporizador de inactividad de la propiedad Inactivity Timer limita cuánto tiempo puede pasar sin actividad del usuario en cualquiera de las aplicaciones que usan el contenedor seguro.

Cuando el temporizador de inactividad expira, los usuarios tienen que volver a autenticarse en el contenedor seguro en el dispositivo. Si, por ejemplo, los usuarios dejan su dispositivo en algún lugar y se alejan, si el temporizador de inactividad ha expirado, otra persona no podrá tomar el dispositivo y acceder a los datos confidenciales del contenedor. La propiedad de cliente Inactivity Timer se define en la consola de Endpoint Management. El valor predeterminado es de 15 minutos. La directiva “Código de acceso de aplicación” con el valor y la propiedad de cliente “Inactivity Timer” son las responsables de los casos más comunes de petición de credenciales.

  • Cierre de sesión en Secure Hub. Cuando los usuarios cierran sesión en Secure Hub, tienen que autenticarse de nuevo la próxima vez que accedan a Secure Hub o cualquiera de las aplicaciones MDX, cuando la aplicación requiere un código de acceso según lo determinen la directiva MDX “Código de acceso de aplicación” y el estado del temporizador de inactividad.

  • Periodo máximo sin conexión: Esta situación es específica de ciertas aplicaciones individuales porque está condicionada por una directiva MDX específica de cada aplicación. La directiva MDX “Periodo máximo sin conexión” tiene un valor predeterminado de 3 días. Si se agota el período de tiempo definido en Secure Hub para ejecutar una aplicación sin autenticarse en línea, debe conectarse a Endpoint Management para confirmar que tiene derecho a usar la aplicación y para actualizar las directivas. Cuando esta conexión tiene lugar, la aplicación provoca la autenticación en línea en Secure Hub. Los usuarios deben volver a autenticarse para poder acceder a la aplicación MDX.

Tenga en cuenta esta relación entre la directiva “Periodo máximo sin conexión” y la directiva MDX “Periodo de sondeo activo”:

  • El período de sondeo activo es el intervalo durante el cual las aplicaciones se conectan a Endpoint Management para realizar acciones de seguridad, tales como el bloqueo y el borrado de aplicaciones. Además, la aplicación también comprueba si hay directivas de aplicación actualizadas.
  • Después de la comprobación correcta de directivas mediante la directiva “Periodo de sondeo activo”, el temporizador del período máximo sin conexión se restablece y comienza de nuevo la cuenta atrás.

Ambas conexiones con Endpoint Management, para la caducidad del periodo de sondeo activo y del periodo máximo sin conexión, requieren un token válido de NetScaler Gateway en el dispositivo. Si el dispositivo tiene un token válido de NetScaler Gateway, la aplicación obtiene las nuevas directivas desde Endpoint Management sin interrupciones a los usuarios. Si la aplicación necesita un token de NetScaler Gateway, se produce un cambio a Secure Hub, y los usuarios ven una solicitud de autenticación en Secure Hub.

En los dispositivos Android, las pantallas de actividad de Secure Hub se abren directamente en la parte superior de la pantalla actual de la aplicación. En dispositivos iOS, no obstante, Secure Hub debe ponerse primero en el primer plano, lo que desplaza temporalmente la aplicación actual.

Después de que los usuarios introduzcan sus credenciales, Secure Hub vuelve a la aplicación original. En este caso, si permite guardar en caché las credenciales de Active Directory o si tiene configurado un certificado de cliente, los usuarios pueden introducir un PIN, una contraseña o proporcionar su huella digital. Si no ha permitido la caché de credenciales, los usuarios deben introducir sus credenciales de Active Directory completas.

El token de NetScaler puede dejar de ser válido debido a la inactividad en la sesión de NetScaler Gateway o a alguna directiva de tiempo de espera de sesión, según se explica en la siguiente lista de directivas de NetScaler Gateway. Cuando los usuarios vuelvan a iniciar sesión en Secure Hub, podrán continuar ejecutando la aplicación.

  • Directivas de sesión de NetScaler Gateway: Hay dos directivas de NetScaler Gateway que también afectan cuándo se les pide a los usuarios que se autentiquen. En estos casos, se autentican para crear una sesión en línea con NetScaler para conectarse a Endpoint Management.

    • Tiempo de espera de sesión: La sesión de NetScaler para Endpoint Management se desconecta si no se produce ninguna actividad de sesión durante el periodo definido. El valor predeterminado es de 30 minutos Sin embargo, si utiliza el asistente de NetScaler Gateway para configurar la directiva, el valor predeterminado es de 1440 minutos. Los usuarios, a continuación, ven un diálogo de autenticación para volver a conectarse a la red de la empresa.
    • Tiempo de espera forzado: Si esta directiva está activada, la sesión de NetScaler para Endpoint Management se desconecta una vez transcurrido el periodo de tiempo de espera forzado. La desconexión forzada hace obligatoria la reautenticación después de un periodo de tiempo determinado. Los usuarios ven un diálogo de autenticación para volver a conectarse a la red de la empresa la próxima vez. El valor predeterminado es No. Sin embargo, si utiliza el asistente de NetScaler Gateway para configurar la directiva, el valor predeterminado es de 1440 minutos.

Tipos de credenciales

En la sección anterior, se ha descrito cuándo se solicita a los usuarios que se autentiquen. En esta sección, se describen los tipos de credenciales que deben introducir. La autenticación es necesaria mediante varios métodos, para poder obtener acceso a datos cifrados en el dispositivo. Para desbloquear inicialmente el dispositivo, desbloquee el contenedor principal. Después de ello y cuando el contenedor esté de nuevo protegido, para obtener acceso nuevamente, desbloquee un contenedor secundario.

Nota:

El término aplicación administrada del artículo hace referencia a una aplicación empaquetada con el MDX Toolkit, donde se ha dejado la directiva MDX “Código de acceso de aplicación” habilitada de forma predeterminada y se está usando la propiedad de cliente Inactivity Timer (Temporizador de inactividad).

Las circunstancias que determinan los tipos de credenciales son las siguientes:

  • Desbloqueo de contenedor principal: Para desbloquear el contenedor principal, se necesita contraseña de Active Directory, PIN o código de acceso de Citrix, contraseña de uso único, Touch ID o ID de huella digital.
    • En iOS, cuando los usuarios abren Secure Hub o una aplicación administrada por primera vez después de instalarla en el dispositivo.
    • En iOS, cuando los usuarios reinician un dispositivo y, a continuación, abren Secure Hub.
    • En Android, cuando los usuarios abren una aplicación administrada si Secure Hub no se está ejecutando.
    • En Android, cuando los usuarios reinician Secure Hub por cualquier motivo, incluido un reinicio del dispositivo.
  • Desbloqueo de contenedor secundario: Para desbloquear el contenedor secundario, se necesita la autenticación por huella digital (si se ha configurado) un código de acceso o PIN de Citrix o las credenciales de Active Directory.
    • Cuando los usuarios abren una aplicación administrada después de expirar el temporizador de inactividad.
    • Cuando los usuarios cierran sesión en Secure Hub y después abren una aplicación administrada.

Se requieren credenciales de Active Directory para cualquiera de las circunstancias de desbloqueo de contenedor cuando se cumplen las siguientes condiciones:

  • Cuando los usuarios cambian la contraseña asociada a su cuenta de empresa.
  • Si no ha configurado las propiedades de cliente en la consola de Endpoint Management para habilitar el PIN de Citrix: ENABLE_PASSCODE_AUTH y ENABLE_PASSWORD_CACHING.
  • Cuando finaliza la sesión de NetScaler Gateway, lo que ocurre cuando se agota el tiempo de espera de la sesión o caduca el temporizador del tiempo de espera de desconexión forzosa, si el dispositivo no guarda en caché las credenciales o no tiene un certificado de cliente.

Cuando la autenticación con huella digital está habilitada, los usuarios pueden iniciar sesión con una huella digital cuando se requiere la autenticación sin conexión debido a la inactividad de una aplicación. Los usuarios aún tendrán que introducir el PIN cuando inicien sesión en Secure Hub por primera vez o cuando reinicien el dispositivo. La autenticación con huella digital se admite en algunos dispositivos Android, en dispositivos iOS 9 y iOS 10.3. Para obtener más información sobre cómo habilitar la autenticación con huella digital, consulte el parámetro ENABLE_TOUCH_ID_AUTH en Propiedades de cliente.

El siguiente gráfico resume el flujo de decisiones que determina qué credenciales debe introducir un usuario cuando se le pide una autenticación.

Imagen del diagrama de flujo de credenciales de usuario

Si cambia de la pantalla de Secure Hub

Otra situación a tener en cuenta es cuando se necesita cambiar de una aplicación a Secure Hub y luego de vuelta a la aplicación. El cambio muestra una notificación que los usuarios deben confirmar. Cuando esto ocurre, no se necesita autenticación. La situación se produce cuando se establece una conexión con Endpoint Management, según se especifica en las directivas MDX “Periodo máximo sin conexión” y “Periodo de sondeo activo”, y Endpoint Management detecta que hay directivas actualizadas que es necesario enviar al dispositivo a través de Secure Hub.

Situaciones de petición de credenciales