Citrix Secure Private Access

Servicio de autenticación adaptable

Los clientes de Citrix Cloud pueden usar Citrix Workspace para proporcionar autenticación adaptable a Citrix DaaS. La autenticación adaptable es un servicio de Citrix Cloud que permite la autenticación avanzada para clientes y usuarios que inician sesión en Citrix Workspace. El servicio de autenticación adaptable es un ADC administrado por Citrix y alojado en Citrix Cloud que proporciona todas las prestaciones de autenticación avanzada, como estas:

Autenticación multifactor: la autenticación multifactor mejora la seguridad de una aplicación al exigir a los usuarios que proporcionen múltiples pruebas de identidad para obtener acceso. Los clientes pueden configurar varias combinaciones de factores en el mecanismo de autenticación multifactor en función de los requisitos empresariales. Para obtener más información, consulte Ejemplos de configuraciones de autenticación.

Análisis depostura del dispositivo: los usuarios pueden autenticarse en función de la postura del dispositivo. El análisis de postura del dispositivo, también conocido como análisis de punto final, comprueba si el dispositivo cumple con los requisitos. Por ejemplo, si el dispositivo ejecuta la última versión del sistema operativo, se configuran los service packs y las claves de registro. El cumplimiento de la seguridad implica escaneos para comprobar si hay un antivirus instalado o si el firewall está activado, etc. La postura del dispositivo también puede comprobar si el dispositivo está administrado o no, si es propiedad de la empresa o si es BYOL.

Autenticación condicional: según los parámetros del usuario, como la ubicación de la red, la postura del dispositivo, el grupo de usuarios, la hora del día, se puede habilitar la autenticación condicional. Puede usar uno de estos parámetros o una combinación de estos parámetros para realizar la autenticación condicional. Ejemplo de autenticación basada en la postura de un dispositivo: puede realizar un análisis de postura del dispositivo para comprobar si el dispositivo es administrado por la empresa o BYOD. Si el dispositivo es un dispositivo gestionado por la empresa, puede desafiar al usuario con el AD simple (nombre de usuario y contraseña). Si el dispositivo es un dispositivo BYOD, puede desafiar al usuario con la autenticación de AD más RADIUS.

Si planea enumerar de forma selectiva aplicaciones y escritorios virtuales en función de la ubicación de la red, la administración de usuarios debe realizarse para esos grupos de entrega mediante directivas de Citrix Studio en lugar de Workspace. Al crear un grupo de entrega, en la configuración de usuarios, seleccione Restringir el uso de este grupo de entrega a los siguientes usuarios o Permitir que los usuarios autenticados usen este grupo de entrega. Así, se habilita la ficha Directiva de acceso en Grupo de entrega para configurar el acceso adaptable.

Acceso contextual a Citrix DaaS: la autenticación adaptable permite el acceso contextual a Citrix DaaS. Adaptive Authentication muestra toda la información de directiva sobre el usuario a Citrix DaaS. Los administradores pueden usar esta información en sus configuraciones de directivas para controlar las acciones de los usuarios que se pueden realizar en Citrix DaaS. La acción del usuario, por ejemplo, puede ser habilitar o inhabilitar el acceso al portapapeles y la redirección de la impresora de mapeo de unidades del cliente.

El acceso contextual a Secure Internet Access y otros servicios de Citrix Cloud a través de la autenticación adaptable está previsto en las próximas versiones.

Personalización de la página de inicio de sesión: la autenticación adaptable ayuda al usuario a personalizar en gran medida la página de inicio de sesión de Citrix Cloud

Funciones de autenticación adaptable

Las siguientes son las funciones admitidas en Citrix Workspace con autenticación adaptable.

  • LDAP (Active Directory)
  • Soporte de directorios para AD, Azure AD, Okta
  • Soporte de RADIUS (Duo, Symantec)
  • MFA incorporado de token AD +
  • SAML 2.0
  • Soporte de OAuth, OIDC
  • Autenticación de
  • Evaluación de postura del dispositivo (análisis de puntos finales)
  • Integración con proveedores de autenticación de terceros
  • Notificación push a través de la aplicación
  • reCAPTCHA
  • Autenticación condicional/basada
  • Directivas de autenticación para SmartAccess (acceso contextual)
  • Personalización de la página de inicio
  • Autoservicio de restablecimiento de contraseñas

Requisitos previos

  • Reserve un FQDN para la instancia de Autenticación adaptable. Por ejemplo aauth.xyz.com, suponiendo que xyz.com es el dominio de su empresa. En este documento, este FQDN se denomina FQDN del servicio de autenticación adaptable y se utiliza al aprovisionar la instancia. Asigne el FQDN a la dirección IP pública del servidor virtual del IdP. Esta dirección IP se obtiene tras el aprovisionamiento en el paso Cargar certificado.
  • Adquiera un certificado para aauth.xyz.com. Los certificados deben contener el atributo SAN. De lo contrario, no se aceptan los certificados.

  • La interfaz de usuario de autenticación adaptable no admite la carga de paquetes de certificados. Para vincular un certificado intermedio, consulte Configurar certificados intermedios.

  • Elija el tipo de conectividad para la conectividad AD/RADIUS local. Están disponibles las dos opciones siguientes. Si no desea tener acceso al centro de datos, utilice el tipo de conectividad de conector.

  • Configure el servidor de protocolo de tiempo de red (NTP) para evitar desajustes de tiempo. Para obtener más información, consulte Cómo sincronizar el reloj del sistema con los servidores de la red.

Puntos que tener en cuenta

  • Citrix recomienda no ejecutar clear config para ninguna instancia de autenticación adaptable ni modificar ninguna configuración con el prefijo AA (por ejemplo, AAuthAutoConfig), incluidos los certificados. Esto interrumpe la administración de la autenticación adaptable y el acceso de los usuarios se ve afectado. La única forma de recuperarse es mediante el reaprovisionamiento.
  • No agregue SNIP ni ninguna ruta adicional en la instancia de Autenticación adaptable.
  • La autenticación de usuario falla si el ID de cliente no está en minúsculas. Puede convertir su ID a minúsculas y configurarlo en la instancia de ADC mediante el comando set cloud parameter -customerID <all_lowercase_customerid>.
  • La configuración de nFactor necesaria para Citrix Workspace o el servicio Citrix Secure Private Access es la única configuración que los clientes deben crear directamente en las instancias. Actualmente no hay comprobaciones ni advertencias en Citrix ADC que impidan a los administradores realizar estos cambios.
  • No actualice las instancias de autenticación adaptable a compilaciones RTM aleatorias. Citrix Cloud administra todas las actualizaciones.
  • Solo se admite el conector de nube basado en Windows. El dispositivo conector no se admite en esta versión.
  • Si ya es cliente de Citrix Cloud y ya ha configurado Azure AD (u otros métodos de autenticación), para cambiar a la autenticación adaptable (por ejemplo, la comprobación de la postura del dispositivo), debe configurar la autenticación adaptable como método de autenticación y configurar las directivas de autenticación en la Instancia de autenticación adaptable. Para obtener más información, consulte Conectar Citrix Cloud a Azure AD.
  • Para la implementación del servidor RADIUS, agregue todas las direcciones IP privadas del conector como clientes RADIUS en el servidor RADIUS.
  • No agregue sus servidores LDAP o RADIUS como servicio o servidor.
  • En la versión actual, el agente ADM externo no está permitido y, por lo tanto, no se admite Citrix Analytics (CAS).
  • El servicio Citrix Application Delivery Management recopila la copia de seguridad de la instancia de autenticación adaptable. Para extraer la copia de seguridad de ADM, incorpore el servicio ADM. Para obtener más información, consulte Configurar copia de seguridad y restauración. Citrix no toma las copias de seguridad de forma explícita del servicio de autenticación adaptable. Los clientes deben tomar la copia de seguridad de sus configuraciones del servicio de administración de entrega de aplicaciones si es necesario.

Cómo configurar el servicio de autenticación adaptable

Acceso a la interfaz de usuario de la autenticación

Puede acceder a la interfaz de usuario de la autenticación adaptable mediante uno de los métodos siguientes.

  • Escriba la URL manualmente https://adaptive-authentication.cloud.com.
  • Inicie sesión con sus credenciales y seleccione un cliente.

    Una vez que se haya autenticado correctamente, se le redirigirá a la interfaz de usuario de la autenticación adaptable.

O BIEN:

  • Vaya a Citrix Cloud > Administración de identidades y accesos.
  • En la ficha Autenticación, en Autenticación adaptable, haga clic en el menú de tres puntos y seleccione Administrar.

Aparece la interfaz de usuario de la autenticación adaptable.

Esta ilustración muestra los pasos necesarios para configurar la autenticación adaptable.

Aprovisionamiento de la página principal

Paso 1: Provisión de la autenticación adaptable

Siga estos pasos:

  1. En la interfaz de usuario de Autenticación adaptable,haga clic
  2. Seleccione la conexión que prefiera para la autenticación adaptable.

    • Citrix Cloud Connector: Para este tipo de conexión, debe configurar un conector en la red local. Citrix recomienda implementar al menos dos Citrix Cloud Connectors en su entorno para configurar la conexión a Citrix Gateway alojado en Azure. Debe permitir que su Citrix Cloud Connector acceda al dominio/URL que ha reservado para la instancia de Autenticación adaptable. Por ejemplo, allow https://aauth.xyz.com/*.

      Para obtener más información sobre Citrix Cloud Connector, consulte Citrix Cloud Connector.

    • Emparejamiento de VNet de Azure : debe configurar la conectividad entre los servidores mediante el emparejamiento de VNet de Azure.

    Tipo de conexión

    Para agregar un Citrix Cloud Connector como su conexión preferida:

    Realice los siguientes pasos.

    • Seleccione la opción Citrix Cloud Connector y, a continuación, active la casilla de verificación Acuerdo de usuario final.
    • Haga clic en Aprovisionar. La configuración del aprovisionamiento puede tardar hasta 30 minutos.

    Nota:

    Para el tipo de conectividad del conector, asegúrese de que se pueda acceder al FQDN de autenticación adaptable desde la máquina virtual del conector después del aprovisionamiento.

    Para configurar la interconexión de Azure VNet:

    Si selecciona la interconexión de Azure VNet como conexión, debe agregar un bloque CIDR de subred que se debe usar para aprovisionar la instancia de Autenticación adaptable. También debe asegurarse de que el bloque CIDR no se superponga con otros rangos de redes de su organización.

    Para obtener más información, consulte Configurar la conectividad a los servidores de autenticación locales mediante la interconexión de Azure VNet.

  3. Configure las credenciales para acceder a las instancias que ha habilitado para la autenticación adaptable. Necesita el acceso a la consola de administración para crear directivas de autenticación, acceso condicional, etc.

    1. En la pantalla Acceso a la consola, introduzca el nombre de usuario y la contraseña.
    2. Haga clic en Siguiente.

    Nota: Los usuarios creados desde la pantalla de acceso a la consola reciben privilegios de “superusuario” que tienen acceso al shell.

    Acceso a la consola

  4. Agregue el FQDN del servicio de autenticación adaptable y cargue el par de claves de certificado. Debe introducir el FQDN del servicio de autenticación adaptable de su elección para el servidor de autenticación de acceso público.

    1. En la pantalla Cargar certificado, introduzca el FQDN que ha reservado para la autenticación adaptable.
    2. Seleccione el tipo de certificado.
    3. Cargue el certificado y la clave.

    Nota:

    • Instale el certificado intermedio en la instancia de Autenticación adaptable y vincúlelo con el certificado del servidor.

      1.  Inicie sesión en la instancia de Autenticación adaptable. 1.  Vaya a **Administración del tráfico > SSL**. Para obtener más información, consulte [Configurar certificados intermedios](/es-es/citrix-gateway/current-release/install-citrix-gateway/certificate-management-on-citrix-gateway/configure-intermediate-certificate.html).
      
    • Solo se aceptan certificados públicos. No se aceptan certificados firmados por CA privadas o desconocidas.
    • La configuración del certificado debe realizarse únicamente con la interfaz de usuario de autenticación adaptable. No lo cambie directamente en la instancia, ya que esto podría provocar inconsistencias.

    Agregar FQDN

  5. Cargue el certificado y la clave.

    La instancia de Autenticación adaptable ahora está conectada al servicio Administración de acceso e identidad. El estado del método de autenticación adaptable se muestra como Conectado.

    Autenticación adaptable conectada en IDAM

  6. Configure una dirección IP a través de la cual se pueda acceder a la consola de administración de Autenticación adaptable.
    1. En la pantalla Direcciones IP permitidas, para cada instancia, introduzca una dirección IP pública como dirección IP de administración. Para restringir el acceso a la dirección IP de administración, puede agregar varias direcciones IP que tengan permiso para acceder a la consola de administración.
    2. Para agregar varias direcciones IP, debe hacer clic en Agregar, escribir la dirección IP y, a continuación, hacer clic en Listo. Esto debe hacerse para cada dirección IP. Si no hace clic en el botón Listo, las direcciones IP no se agregan a la base de datos, sino que solo se agregan a la interfaz de usuario.

    Direcciones IP permitidas

  7. Especifique un conjunto de ubicaciones de recursos (conectores) a través de las cuales se pueda acceder a los servidores de AD o RADIUS.

    Los administradores pueden elegir los conectores a través de los cuales se debe llegar a los servidores de backend AD y RADIUS. Para habilitar esta función, los clientes pueden configurar una asignación entre las subredes del servidor AD/RADIUS de su servidor AD/RADIUS de modo que, si el tráfico de autenticación se encuentra en una subred específica, ese tráfico se dirija a la ubicación de recursos específica. Sin embargo, si una ubicación de recursos no está asignada a una subred, los administradores pueden especificar el uso de la ubicación de recursos comodín para esas subredes.

    Anteriormente, el tráfico de autenticación adaptable para AD/RADIUS local se dirigía a cualquier ubicación de recursos disponible mediante el método round robin. Esto causaba problemas a los clientes con múltiples ubicaciones de recursos.

    1. En la interfaz de usuario de autenticación adaptable, haga clic en Administrar conectividad.
    2. Introduzca los detalles de la subred y seleccione la ubicación del recurso correspondiente. Nota: Si desmarca la casilla Usar cualquier ubicación de recursos disponible para las subredes restantes, solo se tunelizará el tráfico dirigido a las subredes configuradas.
    3. Haga clic en Agregar y, a continuación, en Guardar cambios.

    Nota:

    • Solo se permiten las subredes de direcciones IP RFC1918.
    • La cantidad de mapas de ubicación de recursos de subred por cliente está limitada a 10.
    • Se pueden asignar varias subredes a una sola ubicación de recursos.
    • No se permiten entradas duplicadas para la misma subred.
    • Para actualizar la entrada de subred, elimine la entrada existente y, a continuación, actualícela.
    • Si cambia el nombre de la ubicación del recurso o la elimina, asegúrese de eliminar también la entrada de la instancia de autenticación adaptable.

    Especificar conectores

Paso 2: Configurar las directivas de autenticación adaptable

Tras el aprovisionamiento, puede acceder directamente a la dirección IP de administración de la autenticación adaptable. Sin embargo, el acceso a la instancia mediante la dirección IP no es de confianza y muchos exploradores bloquean el acceso con advertencias. Citrix recomienda acceder a la consola de administración de Autenticación adaptable con FQDN para evitar cualquier barrera de seguridad. Debe reservar el FQDN para la consola de administración de Autenticación adaptable y asignarlo con las direcciones IP de administración principal y secundaria.

Por ejemplo, si la IP de la instancia AA es 20.1.1.1 y Secondary: 20.2.2.2, entonces;

  • primary.domain.com se puede asignar a 20.1.1.1

  • secondary.domain.com se puede asignar a 20.2.2.2

Después de acceder a la instancia de Autenticación adaptable, puede configurar los casos de uso del flujo de autenticación según sus necesidades. Para ver varios casos de uso, consulte Configuraciones de autenticación de ejemplo.

Para acceder a la consola de administración de la autenticación adaptable mediante el FQDN, consulte Configurar SSL para el acceso a la interfaz de usuario de ADC

Configurar directivas de autenticación adaptable

Importante:

  • En una configuración de alta disponibilidad, como parte del proceso de sincronización, los certificados también se sincronizan. Por lo tanto, asegúrese de usar el certificado comodín.
  • Si necesita un certificado único para cada nodo, cargue los archivos y las claves del certificado en cualquier carpeta que no se sincronice (por ejemplo, cree una carpeta separada (nosync_cert) en el directorio nsconfig/SSL) y, a continuación, cargue el certificado de forma única en cada nodo.
  • Para habilitar el inicio de sesión único en las aplicaciones, asegúrese de habilitar la opción Enviar contraseña en el perfil del IdP de OAuth.

Paso 3: Habilitar la autenticación adaptable para Workspace

Una vez finalizado el aprovisionamiento, puede habilitar la autenticación para Workspace haciendo clic en Habilitar en la sección Habilitar la autenticación adaptable para Workspace.

Habilitar la autenticación adaptable para Workspace

Nota:

Con este paso, se completa la configuración de la autenticación adaptable.

Migrar el método de autenticación a la autenticación adaptable

Los clientes que ya utilizan la autenticación adaptable con el método de autenticación como Citrix Gateway deben migrar la autenticación adaptable y, a continuación, eliminar la configuración de OAuth de la instancia de autenticación adaptable

  1. Cambie a un método de autenticación diferente que no sea Citrix Gateway.
  2. En Citrix Cloud > Administración de acceso e identidad, haga clic en el botón de puntos suspensivos correspondiente a Citrix Gateway y, a continuación, haga clic en Desconectar.

    Desconectar puerta

  3. Seleccione Comprendo el impacto en la experiencia del suscriptor y, a continuación, haga clic en Confirmar.

    Al hacer clic en Confirmar, el inicio de sesión del espacio de trabajo para los usuarios finales se ve afectado y la autenticación adaptable no se usa para la autenticación hasta que se habilite de nuevo la autenticación

  4. En la consola de administración de instancias de Adaptive Authentication, elimina la configuración relacionada con OAuth.

    Mediante la CLI:

    unbind authentication vs <authvsName> -policy <oauthIdpPolName>
    rm authentication oauthIdpPolicy <oauthIdpPolName>
    rm authentication oauthIdpProfile <oauthIdpProfName>
    <!--NeedCopy-->
    

    Mediante la interfaz gráfica de usuario:

    1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales.
    2. Desvincula la directiva de OAuth.
    3. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > OAuth IDP.
    4. Elimine la directiva y el perfil de OAuth.
  5. Vaya a Citrix Cloud > Administración de identidades y accesos. En la ficha Autenticación, en Autenticación adaptable, haga clic en el menú de tres puntos y seleccione Administrar.

    O acceso https://adaptive-authentication.cloud.com

  6. Haga clic en Ver detalles.
  7. En la pantalla Cargar certificado, haga lo siguiente:
    • Agregue el FQDN de autenticación adaptable.
    • Elimine los certificados y los archivos de claves y cárguelos de nuevo.

    Modificar FQDN

    Importante:

    Si modifica un FQDN o el par de claves de certificado directamente sin migrar a la Autenticación adaptable, se produce un error en la conexión a Identity and Access Management y se muestran los siguientes errores. Debe migrar al método de autenticación adaptable para corregir estos errores.

    • Error en el comando ADC. Una directiva ya está vinculada a la prioridad especificada.
    • Error en el comando ADC. No se puede desvincular una directiva que no está vinculada.
  8. Haga clic en Guardar cambios.

    En este punto, Administración de acceso e identidad muestra Autenticación adaptable como Conectada y la instancia de Autenticación adaptable tiene el perfil de OAuth configurado automáticamente.

    Puede validarlo desde la GUI.

    1. Acceda a su instancia de autenticación adaptable e inicie sesión con sus credenciales.
    2. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales. Debe ver que se creó el perfil del IdP de OAuth.
    3. Vaya a Citrix Cloud > Administración de identidades y accesos. La autenticación adaptable está en estado Conectado.
  9. Vuelva a habilitar el método de autenticación adaptable haciendo clic en Habilitar (paso 3) en la página de inicio de la autenticación adaptable.

    Habilitar la autenticación

    Este paso habilita el método de autenticación como Autenticación adaptable en la configuración del espacio de trabajo

  10. Haga clic en el enlace del espacio de trabajo en el paso 3 después dehacer clic Debe ver que el método de autenticación se ha cambiado a Autenticación adaptable.

Nota:

Los nuevos usuarios deben seguir los mismos pasos, excepto el paso para eliminar la configuración relacionada con OAuth.

Modificar un FQDN

No puede modificar un FQDN si se ha seleccionado Autenticación adaptable como método de autenticación en la configuración de Workspace. Debe cambiar a un método de autenticación diferente para modificar el FQDN. Sin embargo, puede modificar el certificado si es necesario.

Importante:

  • Antes de modificar el FQDN, asegúrese de que el nuevo FQDN esté asignado a la dirección IP pública del servidor virtual del IdP.
  • Los usuarios existentes que estén conectados a Citrix Gateway mediante directivas de OAuth deben migrar el método de autenticación a la autenticación adaptable. Para obtener más información, consulte Migrar el método de autenticación a la autenticación adaptable.

Para modificar un FQDN, realice lo siguiente:

  1. Cambie a un método de autenticación diferente de la Autenticación adaptable.

    Método de autenticación de conmutador

  2. Seleccione Comprendo el impacto en la experiencia del suscriptor y, a continuación, haga clic en Confirmar.

    Al hacer clic en Confirmar, el inicio de sesión del espacio de trabajo para los usuarios finales se ve afectado y la Autenticación adaptable no se usa para la autenticación hasta que la autenticación adaptable vuelva Por lo tanto, se recomienda modificar el FQDN durante un período de mantenimiento.

  3. En la pantalla Cargar certificado, modifique el FQDN.

    Modificar FQDN

  4. Haga clic en Guardar cambios.

    Importante:

    Si modifica un FQDN, también debe volver a cargar el certificado.

  5. Vuelva a habilitar el método de autenticación adaptable haciendo clic en Habilitar (paso 3) en la página de inicio de la autenticación adaptable.

    Habilitar la autenticación

  6. Haga clic en Actualizar.

Opciones de configuración avanzadas

Mediante el uso de la GUI de autenticación adaptable, también puede configurar lo siguiente.

  • Programar la actualización de las instancias de autenticación adaptable
  • Desaprovisionar las instancias de autenticación adaptable
  • Permitir el acceso seguro a la puerta de enlace

Opciones avanzadas

Programar la actualización de las instancias de autenticación adaptable

Para el sitio o la implementación actual, puede seleccionar el período de mantenimiento para la actualización.

Importante:

No actualice las instancias de autenticación adaptable a compilaciones RTM aleatorias. Citrix Cloud administra todas las actualizaciones.

  1. En la interfaz de usuario de Autenticación adaptable, en la sección Aprovisionar instancias de autenticación adaptable, haga clic en el botón
  2. Haga clic en Programar actualizaciones.
  3. Seleccione el día y la hora de la actualización.

Programar actualización

Desaprovisionar las instancias de autenticación adaptable

Los clientes pueden anular el aprovisionamiento de las instancias de Autenticación adaptable en los siguientes casos y según la sugerencia del soporte de Citrix.

  • No se puede acceder a las instancias de Autenticación adaptable (especialmente después de una actualización programada), aunque es posible que este caso no se produzca.
  • Si el cliente tiene que cambiar del modo de emparejamiento de VNet al modo de conector o viceversa.
  • Si el cliente seleccionó una subred incorrecta en el momento de aprovisionar el modo de emparejamiento de VNet (la subred entra en conflicto con otras subredes de su centro de datos o VNet de Azure).

Nota: Al

desaprovisionar, también se elimina la copia de seguridad de la configuración de las instancias. Por lo tanto, debe descargar los archivos de copia de seguridad y guardarlos antes de anular el aprovisionamiento de las instancias de autenticación adaptable

Realice lo siguiente para anular el aprovisionamiento de una instancia de autenticación adaptable:

  1. En la interfaz de usuario de Autenticación adaptable, en la sección Aprovisionar instancias de autenticación adaptable, haga clic en el botón
  2. Haga clic en Desaprovisionar.

    Nota:

    Antes de desaprovisionar, debe desconectar Citrix Gateway de la configuración de Workspace.

  3. Introduzca el ID de cliente para anular el aprovisionamiento de las instancias de autenticación adaptable.

Desaprovisionar

Permitir el acceso seguro a la puerta de enlace

  1. En la interfaz de usuario de Autenticación adaptable, en la sección Aprovisionar instancias de autenticación adaptable, haga clic en el botón
  2. Haga clic en Acceso seguro a la puerta de enlace.

    Acceso seguro

  3. En Las claves deben caducar en, selecciona una duración de caducidad para la nueva clave SSH.
  4. Haga clic en Generar y descargar claves. Copie o descargue la clave privada SSH para usarla más adelante, ya que no se muestra después de cerrar la página. Esta clave se puede usar para iniciar sesión en las instancias de Autenticación adaptable con el nombre de usuario authadmin.

    Puede hacer clic en Generar y descargar claves para crear un nuevo par de claves si el par de claves anterior caduca. Sin embargo, solo puede haber un par de claves activo.

  5. Haga clic en Listo.

Importante:

  • Si usa PuTTY en Windows para conectarse a instancias de Autenticación adaptable, debe convertir la clave privada descargada a PEM. Para obtener información detallada, consulte https://www.puttygen.com/convert-pem-to-ppk.

  • Se recomienda usar el siguiente comando para conectarse a las instancias de Autenticación adaptable a través del terminal desde el MAC o PowerShell/símbolo del sistema desde Windows (versión 10). ssh -i <path-to-private-key> authadmin@<ip address of ADC>
  • Si desea que los usuarios de AD accedan a la GUI de autenticación adaptable, debe agregarlos como nuevos administradores al grupo LDAP. Para obtener información detallada, consulte https://support.citrix.com/article/CTX123782. Para todas las demás configuraciones, Citrix recomienda usar la GUI de autenticación adaptable y no los comandos de la CLI.

Configurar la conectividad con los servidores de autenticación locales mediante la interconexión de Azure VNet

Debe configurar esta configuración solo si ha seleccionado el tipo de conectividad como interconexión de Azure VNet.

Nota: Si utiliza IDP de terceros, como Okta, Azure AD, Ping, este paso no es obligatorio.

  1. En la interfaz de usuario de Connect Adaptive Authentication, haga clic en Aprovisionar y, a continuación, haga clic en Emparejamiento de redes virtuales de Azure.

    Emparejamiento de redes virtuales

    El campo Citrix Managed Service Principal contiene el ID de aplicación de una entidad de servicio de Azure creada por Citrix para su cliente. Esta entidad de servicio es necesaria para permitir que Citrix agregue una interconexión de VNet a una VNet en la suscripción y el arrendatario.

    Para permitir que esta entidad de servicio inicie sesión en el arrendatario del cliente, el administrador del sitio del cliente (administrador global del arrendatario) debe ejecutar los siguientes comandos de PowerShell para agregar el SPN al arrendatario. También se puede usar CloudShell. Connect-AzureAD New-AzureADServicePrincipal -AppId $App_ID Donde $App_ID es un ID de aplicación de SPN compartido por Citrix.

    Nota:

    • El comando mencionado anteriormente genera un nombre principal de servicio que debe usarse para las asignaciones de roles.
    • Para permitir que esta entidad de servicio agregue una interconexión de VNet de Azure, el administrador del sitio del cliente (no limitado al administrador global) debe agregar una función de “Colaborador de red” a la VNet que debe estar vinculada a la VNet administrada por Citrix.
    • SPN es un identificador único que se utiliza para asociar la red virtual de Citrix en Azure. La asociación del SPN con la VNet permite que la red virtual de Citrix se conecte a la red local de los clientes a través de la VNet de Azure.
  2. Cree un emparejamiento de VNet.

    • Introduzca el ID de arrendatario para el que se realizaron los pasos anteriores y haga clic en Obtener.

    Esto completa el ID de recurso de VNet administrado por el cliente con las VNet candidatas para las que se agrega la función de colaborador de red para el SPN. Si no ve la VNet, asegúrese de que los pasos anteriores se ejecutan correctamente o repita los pasos.

    Nota:

    Para obtener más información sobre cómo encontrar su ID de arrendatario, consulte https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-how-to-find-tenant.

  3. Seleccione Usar Azure VPN Gateway para conectar las redes locales a Azure.
  4. En Customer managed VNet Resource ID, seleccione la VNet identificada para la interconexión y haga clic en Add. La VNet se agrega a la tabla con el estado inicial de En curso. Una vez que el emparejamiento se haya completado correctamente, el estado cambia a Hecho.
  5. Haga clic en Listo.
  6. Continúe con la configuración, consulte Paso 1: Provisión de la autenticación adaptable.

    Importante:

    • Para que el tráfico fluya entre la VNet administrada por Citrix y la red local, es posible que se cambien las reglas de firewall y enrutamiento en las instalaciones para dirigir el tráfico a la VNet administrada por Citrix.
    • Solo puede agregar un par de VNet a la vez. Actualmente, no se permiten varios pares de VNet. Puede eliminar una interconexión de VNet o crear una según sea necesario.

El aprovisionamiento está completo

Otras configuraciones relacionadas

Cambiar la contraseña authadmin

Puede usar los siguientes pasos para cambiar la contraseña del authadmin usuario, tanto en las instancias como en el perfil del dispositivo ADM.

  1. Vaya a Sistema > Administración de usuarios > Usuariosy cree el usuario. Para obtener más información, consulte Configurar cuentas de usuario.
  2. Guarde la configuración.
  3. En el servicio Citrix Application Delivery Management, realice lo siguiente:
    • Vaya a Redes > Instancias > Citrix ADC.
    • Haga clic en Perfiles y seleccione el perfil con el prefijo hospedado en gateway.
    • Seleccione Cambiar contraseña y defina la contraseña utilizada en el paso 2.
    • Haga clic en Atrás
    • Vaya a Citrix ADC > Seleccione Acción > Redescubrir.

Para obtener más información, consulte Cómo cambiar la contraseña root de Citrix ADC MPX y VPX.

URL personalizada del espacio de trabajo o URL personalizada

Para la URL personalizada del espacio de trabajo o la URL personalizada, configura un nuevo perfil de OAuthIDP con el mismo ID de cliente, secreto y público que el actual, pero con una URL de redireccionamiento de https://your.company.com/core/login-cip. En este ejemplo, your.company.com es la URL de espacio de trabajo personalizada correspondiente a su dominio. Por ejemplo, nssvctesting.net es el dominio y la URL del espacio de trabajo personalizado es ws1.nssvctesting.net. Cree una nueva directiva de OAuthIDP y vincúlela al servidor virtual de autenticación y autorización.

Nota:

Ambas directivas de OAuthIDP pueden coexistir y un usuario puede acceder a Workspace mediante la URL predeterminada del espacio de trabajo o la URL del espacio de trabajo personalizada, o ambas.

Configurar el respaldo y la restauración

El servicio Administración de entrega de aplicaciones lleva a cabo la administración de copias de seguridad para las instancias Para obtener más información, consulte Realizar copias de seguridad y restaurar instancias de Citrix ADC.

  1. En el mosaico Administración de entrega de aplicaciones, haga clic en Administrar.
  2. Vaya a Infraestructura > Instancias y acceda a las copias de seguridad.

Nota:

Si no ve el servicio incorporado, incorpore el servicio de administración de entrega de aplicaciones. Para obtener más información, consulte Primeros pasos.

Solución de problemas

Los problemas se clasifican según las diferentes etapas de la configuración:

  • Aprovisionamiento: problemas al aprovisionar la instancia de autenticación adaptable
  • Problema de accesibilidad de la instancia: la instancia está aprovisionada pero el administrador no puede acceder a ella
  • Problema de conectividad y autenticación de AD/RADIUS: la directiva de autenticación está configurada para las instalaciones locales, pero no funciona
  • Problemas de autenticación
  • Problemas relacionados con la postura del dispositivo y la EPA
  • Problemas relacionados con las etiquetas inteligentes
  • Recopilación de registros

También puede solucionar los problemas mediante la CLI de Autenticación adaptable. Para conectarse a la CLI, haga lo siguiente:

  • Descargue el cliente SSH como putty/securecrt en su máquina.
  • Acceda a la instancia de Autenticación adaptable mediante la dirección IP (principal) de administración.
  • Inicie sesión con sus credenciales.

Para obtener más información, consulte Acceso a un dispositivo Citrix ADC.

Habilitar el registro de registros de autenticación adaptable

Asegúrese de habilitar los niveles de registro para capturar los registros de autenticación adaptable.

Habilite los registros mediante la CLI:

  1. Inicie sesión en la CLI de la instancia de autenticación adaptable.
  2. Con PuTTY, introduzca las credenciales de administración.
  3. Ejecute el comando set audit syslogParams logLevel ALL

Habilitar los registros mediante la GUI:

  1. Inicie sesión en la instancia de autenticación adaptable mediante un explorador web.
  2. Vaya a Configuración > Sistema > Auditoría.
  3. En la página Auditoría, en Configuración, haga clic en Cambiar la configuración de syslog de auditoría.
  4. En Niveles de registro, seleccione TODOS.

Problemas de aprovisionamiento

  • No se puede acceder a la IU de autenticación adaptable

    Compruebe si el derecho está habilitado para su ID de cliente/arrendatario.

  • Estancado en la página de aprovisionamiento durante más de 45 minutos

    Recopile la captura de pantalla del error, si existe, y luego póngase en contacto con el Soporte de Citrix para obtener ayuda.

  • El par de VNet está inactivo

    • Compruebe si hay alertas en Azure Portal correspondientes a este emparejamiento y tome las medidas recomendadas.
    • Elimine el emparejamiento y vuelva a agregarlo desde la interfaz de usuario de Autenticación adaptable.
  • El desaprovisionamiento no está completo

    Contacte con Citrix Support para obtener ayuda.

Problema de accesibilidad de

  • No se puede acceder a la dirección IP de administración para la instancia

    • Compruebe si la dirección IP pública del cliente utilizada para el acceso se encuentra entre las direcciones IP de origen permitidas.

    • Valide si hay algún proxy que cambie la dirección IP de origen del cliente.

  • No se puede iniciar sesión en la instancia

    Asegúrese de que el acceso de administrador funcione correctamente con las credenciales que introdujo durante el aprovisionamiento.

  • Los usuarios finales no tienen derechos completos

    Asegúrese de que, al agregar el usuario, haya vinculado la directiva de comandos adecuada para el acceso. Para obtener más información, consulte Directivas de usuario, grupos de usuarios y comandos.

Problema de conectividad AD o RADIUS

Problema con el tipo de conectividad de pares de Azure Vnet:

  • Compruebe si se puede acceder a la Azure VNet administrada por el cliente desde las instancias de autenticación adaptable.
  • Compruebe si funciona la conectividad/accesibilidad de Azure VNet administrada por el cliente a AD.
  • Asegúrese de que se agreguen las rutas adecuadas para dirigir el tráfico desde las instalaciones a las VNets de Azure.

Conector basado en Windows:

  • Todos los registros están disponibles en el directorio /var/log/ns.log y cada registro lleva el prefijo [NS_AAUTH_TUNNEL].
  • ConnectionID de los registros se puede usar para correlacionar diferentes transacciones.
  • Asegúrese de que la dirección IP privada de la máquina virtual del conector se agregue como uno de los clientes RADIUS en el servidor RADIUS, ya que esa dirección IP es la dirección IP de origen del conector.

    Para cada solicitud de autenticación, se establece el túnel entre la instancia de autenticación adaptable (proceso NS - AAAD) y el servidor de autenticación. Una vez que el túnel se ha establecido correctamente, se produce la autenticación.

    Asegúrese de que la máquina virtual del conector pueda resolver el FQDN de autenticación adaptable.

  • El conector está instalado, pero la conectividad local falla.

    Valide si NSAUTH-TUNNEL se está estableciendo.

    Cat ns.log | grep -I “tunnel”

    Si el siguiente registro de ejemplo no se imprime en el archivo ns.log para la solicitud de autenticación, es posible que haya un problema al establecer un túnel o algún problema desde el lado del conector.

     LDAP:
     [NS_AAUTH_TUNNEL] Entering bitpump for
     Connection1 => Src : 192.168.0.7:28098, Dst : 10.106.103.60:636 , Connection2 => Src : 10.106.103.70:2271, Dst : 10.106.103.80:443"
     RADIUS:
     [NS_AAUTH_UDP_TUNNEL] MUX channel established"
     <!--NeedCopy-->
    

    Compruebe los detalles del registro y tome las medidas oportunas.

    Detalles del registro Acción correctiva
    No se incluyen registros con prefijo [NS_AAUTH_TUNNEL] en el archivo de registros Ejecute el comando show cloudtunnel vserver. Este comando debe incluir ambos servidores virtuales de túnel en la nube (TCP y UDP) con el estado “UP”.
    [NS_AAUTH_TUNNEL] Waiting for outbound from connector Para este registro, si no se recibe la siguiente respuesta: [NS-AAUTH-TUNNEL] Received connect command from connector and client connection lookupsucceeded" Compruebe si la máquina conectora puede acceder al FQDN de autenticación adaptable O compruebe si hay conexiones salientes al FQDN de autenticación adaptable en el firewall del lado del conector.
    [NS_AAUTH_TUNNEL] Server is down or couldn't create connection to ip 0.0.0.0 y[NS_AAUTH_TUNNEL] Connect response code 401 is not 200 OK, bailing out" Póngase en contacto con el soporte de Citrix.

No hay respuesta del conector:

  • Asegúrese de que se pueda acceder al FQDN de autenticación adaptable desde la máquina virtual del conector.
  • Asegúrese de tener un certificado intermedio enlazado y vinculado al certificado del servidor en la instancia de Autenticación adaptable.

Configuración LDAP/RADIUS incorrecta:

Si la dirección IP de su servidor AD/RADIUS es una dirección IP pública, debe agregar la subred o la dirección IP a las expresiones en el dispositivo Citrix ADC. No modifique los rangos existentes.

  • Para agregar una subred o una dirección IP mediante la CLI:

     set policy expression aauth_allow_rfc1918_subnets "(CLIENT.IP.DST.BETWEEN(10.0.0.0,10.255.255.255) || CLIENT.IP.DST.BETWEEN(172.16.0.0,172.31.255.255) || CLIENT.IP.DST.BETWEEN(192.168.0.0, 192.168.255.255) || CLIENT.IP.DST.BETWEEN(13.14.0.0, 13.14.255.255)||CLIENT.IP.DST.EQ(1.2.5.4))"
     <!--NeedCopy-->
    
  • Para agregar una subred o dirección IP mediante la GUI:

    Vaya a Appexpert > Expresiones. Agregue la expresión aauth_allow_rfc1918_subnets

Si se establece el túnel pero la autenticación sigue fallando, siga estos pasos para solucionar el problema.

LDAP:

  • Valide los detalles de Bind DN.
  • Utilice la prueba de conectividad para confirmar el error.
  • Valide los errores mediante aaad debug.
  • Inicie sesión en la instancia de Autenticación adaptable mediante la CLI.

     shell
     cd /tmp
     cat aaad.debug
     <!--NeedCopy-->
    

Errores LDAP comunes:

Radio:

  • La dirección IP del conector debe agregarse como la dirección IP de origen del cliente RADIUS en la configuración del servidor RADIUS.

Problemas de autenticación

  • Errores de afirmación de publicaciones para OAuth

    • Asegúrese de que AD proporcione todos los reclamos. Necesitas 7 reclamos para que esto tenga éxito.

    • Valide los registros de los archivos var/log ns.log para localizar el error de los errores de OAuth.

    • Valide los parámetros del perfil de OAuth.

  • Autenticación de Azure AD bloqueada después de la afirmación

    Agregue la autenticación de AD como el siguiente factor con la autenticación desactivada. Esto es para obtener todos los reclamos necesarios para una autenticación correcta.

Asuntos relacionados con la EPA

  • El complemento ya está presente, pero el usuario recibe una solicitud para descargarlo.

    Posibles causas: No coinciden las versiones o archivos corruptos

    • Ejecute las herramientas para desarrolladores y compruebe si el archivo de lista de complementos contiene la misma versión que la de Citrix ADC y la máquina cliente.

    • Asegúrese de que la versión del cliente en el Citrix ADC sea la misma que en la máquina cliente.

      Actualice el cliente en Citrix ADC.

      En la instancia de Autenticación adaptable, vaya a Citrix Gateway > Configuración global > Actualizar bibliotecas cliente.

      La página de bibliotecas de complementos de la EPA en Descargas de Citrix le proporciona información detallada.

    • En ocasiones, la solicitud se puede almacenar en caché en Citrix ADC incluso si se actualiza la versión.

      show cache object muestra los detalles del complemento en caché. Puede eliminarlo mediante el comando;

      flush cache object -locator 0x00000023345600000007

    Para obtener detalles sobre la recopilación de registros de la EPA, consulte https://support.citrix.com/article/CTX209148.

  • ¿Hay alguna manera de revertir la configuración de EPA (Siempre, Sí, No) después de que el usuario haya seleccionado una opción?

    Actualmente, la reversión de la configuración de la EPA se realiza manualmente.

    • En el equipo cliente, vaya a C:\Users<user_name>\AppData\Local\Citrix\AGEE.
    • Abra el archivo config.js y establezca trustAlways en null - "trustAlways":null

Problemas con las etiquetas de acceso inteligente

  • Después de configurar el acceso inteligente, las aplicaciones no están disponibles

    Asegúrese de que las etiquetas estén definidas tanto en la instancia de autenticación adaptable como en los grupos de entrega de Citrix VDA.

    Compruebe que las etiquetas se agreguen en el grupo de entrega de Workspace en todas las mayúsculas.

    Puede recopilar el archivo ns.log y ponerse en contacto con el Soporte de Citrix si esto no funciona.

Recopilación de registros general para la instancia de autenticación adaptable

Póngase en contacto con el Soporte de Citrix para

Ejemplos de configuraciones de autenticación

Los clientes pueden configurar una directiva de autenticación de su elección y vincularla al servidor virtual de autenticación. Los enlaces de perfil de autenticación no son necesarios para el servidor virtual de autenticación. Solo se pueden configurar las directivas de autenticación. Los siguientes son algunos de los casos de uso.

Importante:

La configuración de autenticación debe realizarse solo en los nodos principales.

Autenticación multifactor con autenticación condicional

Integración de terceros con autenticación multifactor

Escaneos de postura del dispositivo (EPA)

Casos diversos

Responsabilidad de seguridad compartida

Acciones necesarias de los clientes

Las siguientes son algunas de las acciones de los clientes como parte de las prácticas recomendadas de seguridad.

  • Credenciales para acceder a la interfaz de usuario de autenticación adaptable: el cliente es responsable de crear y mantener las credenciales para acceder a la interfaz de usuario de autenticación adaptable. Si el cliente está trabajando con el soporte de Citrix para resolver un problema, es posible que tenga que compartir estas credenciales con el personal de soporte.
  • Cambiar la authadmin contraseña: como parte del aprovisionamiento, Citrix crea un usuario inicial llamado authadmin y el perfil de dispositivo correspondiente en las instancias del servicio Citrix Application Delivery Management y de la autenticación adaptable. Los clientes deben cambiar la contraseña de este usuario en el nodo principal y en el perfil de dispositivo de ADM. Inicie sesión en su Citrix Gateway y cambie el nombre de usuario y la contraseña. Para obtener más información, consulte Cambiar authadmin contraseña.

  • Seguridad de acceso CLI remoto: Citrix proporciona acceso CLI remoto a los clientes. Sin embargo, los clientes son responsables de mantener la seguridad de la instancia durante el tiempo de ejecución.

  • Claves privadas SSL: dado que Citrix ADC está bajo el control del cliente, Citrix no tiene ningún acceso al sistema de archivos. Los clientes deben asegurarse de proteger los certificados y las claves que alojan en la instancia de Citrix ADC.

  • Respaldo de datos: realice una copia de seguridad de la configuración, los certificados, las claves, las personalizaciones del portal y cualquier otra modificación del sistema de archivos.

  • Imágenes de disco de las instancias de ADC: mantenga y administre el espacio en disco de Citrix ADC y la limpieza del disco. El cliente es responsable de ejecutar estas tareas de forma segura y protegida.
  • Actualización: programe la actualización de las instancias de autenticación adaptable. Para obtener más información, consulta Programar la actualización de sus instancias de autenticación adaptable.

Acciones necesarias tanto del cliente como de Citrix

  • Recuperación ante desastres: en las regiones de Azure compatibles, las instancias de alta disponibilidad de Citrix ADC se aprovisionan en zonas de disponibilidad separadas para evitar la pérdida de datos. En caso de pérdida de datos de Azure, Citrix recupera tantos recursos de la suscripción de Azure administrada por Citrix como sea posible.

    En caso de pérdida de toda una región de Azure, el cliente es responsable de reconstruir su red virtual administrada por el cliente en una nueva región y de crear un nuevo emparejamiento de VNet.

  • Acceso seguro a través de la dirección IP de administración pública:

    Proteja el acceso a las interfaces de administración mediante direcciones IP públicas asignadas y permita la conectividad saliente a Internet.

Limitaciones

  • No se admite la autenticación mediante el servidor virtual de equilibrio de carga.
  • No se admite la carga de paquetes de certificados.
  • La autenticación RADIUS se ve afectada durante unos minutos si el conector que atiende la solicitud RADIUS deja de funcionar. En este caso, el usuario debe volver a autenticarse.
  • No se admite la tunelización de DNS. Se deben agregar registros estáticos en el dispositivo Citrix ADC para los FQDN utilizados en las directivas y perfiles de autenticación (LDAP/RADIUS) para los servidores de autenticación en el centro de datos local del cliente. Para obtener más información sobre cómo agregar registros estáticos de DNS, consulte Crear registros de direcciones para un nombre de dominio.

  • Laprueba de conectividad de red en el perfil LDAP puede mostrar un resultado incorrecto como «El servidor está accesible», incluso si no se ha establecido la conectividad con el servidor LDAP. Es posible que se muestren mensajes de error como «el puerto no está abierto» o «el servidor no es LDAP» para indicar el error. Citrix recomienda recopilar los seguimientos en este caso y seguir solucionando problemas.
  • Para que los escaneos de la EPA funcionen en macOS, debe vincular las curvas de ECC predeterminadas al servidor virtual de autenticación y autorización seleccionando la opción Curva de ECC como ALL.

Calidad de servicio

La autenticación adaptable es un servicio de alta disponibilidad (activo-en espera).