Citrix Secure Private Access

Soporte para aplicaciones cliente-servidor

Con Citrix Secure Private Access, ahora puede acceder a todas las aplicaciones privadas, incluidas las aplicaciones TCP/HTTPS, mediante un explorador nativo o una aplicación cliente nativa a través del agente Citrix Secure Access que se ejecuta en su máquina.

Con el soporte adicional de las aplicaciones cliente-servidor dentro de Citrix Secure Private Access, ahora puede eliminar la dependencia de una solución VPN tradicional para proporcionar acceso a todas las aplicaciones privadas para los usuarios remotos.

Funcionamiento

Los usuarios finales pueden acceder fácilmente a todas sus aplicaciones privadas autorizadas con solo instalar el agente de Citrix Secure Access en sus dispositivos cliente.

No se incluye en esta versión

  • No se admite el acceso a aplicaciones UDP.

Configuración de administrador: acceso basado en agentes ZTNA a aplicaciones TCP

Requisitos previos

  • Acceso a Citrix Secure Private Access en Citrix Cloud.
  • Citrix Cloud Connector: instale una configuración de dominio de Citrix Cloud Connector para Active Directory tal como se capturó en la instalación de Cloud Connector.
  • Administración de identidades y accesos: complete la configuración. Para obtener más información, consulte Administración de identidades y accesos.
  • Dispositivo Connector: Citrix recomienda instalar dos dispositivos Connector en una configuración de alta disponibilidad en la ubicación de recursos. El conector se puede instalar en las instalaciones, en el hipervisor del centro de datos o en la nube pública. Para obtener más información sobre Connector Appliance y su instalación, consulte Connector Appliance for Cloud Services.

    Nota:

    Debe usar un dispositivo Connector para las aplicaciones TCP.

Pasos para configurar aplicaciones TCP:

Importante:

Para obtener una configuración completa de principio a fin de una aplicación, consulta Flujo de trabajo guiado por el administrador para una fácil incorporación y configuración.

  1. En el mosaico de Citrix Secure Private Access, haga clic en Administrar.
  2. Haga clic en Continuar y, a continuación, en Agregar una aplicación.

    Nota:

    El botón Continuar solo aparece la primera vez que utilice el asistente. En los usos posteriores, puede navegar directamente a la página Aplicaciones y, a continuación, hacer clic en Agregar una aplicación.

    La aplicación es una agrupación lógica de destinos. Podemos crear una aplicación para varios destinos: cada destino significa diferentes servidores en el back-end. Por ejemplo, una aplicación puede tener un SSH, un RDP, un servidor de base de datos y un servidor web. No es necesario crear una aplicación por destino, pero una aplicación puede tener muchos destinos.

  3. En la sección Elegir una plantilla, haga clic en Omitir para configurar la aplicación TCP manualmente.
  4. En la sección Detalles de la aplicación, seleccione Dentro de mi red corporativa, introduzca los siguientes detalles y haga clic en Siguiente.

    Detalles de la aplicación TCP

    • Tipo de aplicación: Seleccione TCP/UDP.
    • Nombre de la aplicación: Nombre de la aplicación.
    • Icono de aplicación: se muestra un icono de aplicación. Este campo es opcional.
    • Descripción de la aplicación: Descripción de la aplicación que quiere agregar. Este campo es opcional.
    • Destinos: Direcciones IP o FQDN de las máquinas back-end que residen en la ubicación de recursos. Se pueden especificar uno o más destinos de la siguiente manera.
      • Dirección IP v4
      • Intervalo de direcciones IP — Ejemplo: 10.68.90.10-10.68.90.99
      • CIDR — Ejemplo: 10.106.90.0/24
      • FQDN de las máquinas o nombre de dominio: Dominio único o comodín. Ejemplo: ex.destination.domain.com, *.domain.com

        Importante:

        Si el administrador ha configurado los destinos basados en IP, se espera que los usuarios finales accedan a la aplicación únicamente con la dirección IP. Del mismo modo, si la aplicación está configurada con un FQDN, se espera que los usuarios accedan a la aplicación únicamente a través del FQDN. No puede acceder a una aplicación a través del FQDN si la aplicación está configurada en función de la dirección IP.

        La siguiente tabla proporciona ejemplos de varios destinos y cómo acceder a las aplicaciones con estos destinos.

        Entrada de destino Cómo acceder a la aplicación
        10.10.10.1-10.10.10.100 Se espera que el usuario final acceda a la aplicación solo a través de direcciones IP en este rango.
        10.10.10.0/24 Se espera que el usuario final acceda a la aplicación solo a través de las direcciones IP configuradas en el CIDR IP.
        10.10.10.101 Se espera que el usuario final acceda a la aplicación solo a través de 10.10.10.101
        *.info.citrix.com Se espera que el usuario final acceda a los subdominios de info.citrix.com y también info.citrix.com (el dominio principal). Por ejemplo, info.citrix.com, sub1.info.citrix.com, level1.sub1.info.citrix.com Nota: El comodín siempre debe ser el carácter inicial del dominio y solo se permite un *.
        info.citrix.com Se espera que el usuario final info.citrix.com solo acceda a los subdominios y no a ellos. Por ejemplo, sub1.info.citrix.com no es accesible.
    • Puerto: El puerto en el que se ejecuta la aplicación. Los administradores pueden configurar varios puertos o rangos de puertos por destino.

      La siguiente tabla proporciona ejemplos de puertos que se pueden configurar para un destino.

      Entrada de puerto Descripción
      * De forma predeterminada, el campo puerto está establecido en “*” (cualquier puerto). Se admiten los números de puerto del 1 al 65535 para el destino.
      1300–2400 Se admiten los números de puerto del 1300 al 2400 para el destino.
      38389 Solo se admite el número de puerto 38389 para el destino.
      22,345,5678 Los puertos 22, 345, 5678 son compatibles con el destino.
      1300–2400, 42000-43000,22,443 El número de puerto varía de 1300 a 2400, 42000 a 43000, y los puertos 22 y 443 son compatibles con el destino.

      Nota:

      El puerto comodín (*) no puede coexistir con los números o intervalos de puertos.

    • Protocolo: TCP
  5. En la sección Conectividad de aplicaciones, hay disponible una versión pequeña de la tabla Dominios de aplicaciones para tomar las decisiones de enrutamiento. Para cada destino, puede elegir una ubicación de recursos diferente o igual. Los destinos configurados en el paso anterior se rellenan en la columna DESTINO. Los destinos que se agregan aquí también se agregan a la tabla principal de dominios de aplicaciones. La tabla de dominios de aplicación es la fuente de verdad para tomar la decisión de enrutamiento para dirigir el establecimiento de la conexión y el tráfico a la ubicación correcta de los recursos. Para obtener más información sobre la tabla Dominios de aplicación y los posibles casos de conflicto de IP, consulte la sección Dominios de aplicación: resolución de conflictos de direcciones IP.
  6. Para los siguientes campos, seleccione una entrada en el menú desplegable y haga clic en Siguiente.

    Nota:

    Solo se admite el tipo de ruta interna.

    • UBICACIÓN DE RECURSOS: En el menú desplegable, debe conectarse a una ubicación de recursos con al menos un dispositivo Connector instalado.

      Nota:

      La instalación del dispositivo Connector se admite desde la sección Conectividad de aplicaciones. También puede instalarlo en la sección Ubicaciones de recursos del portal de Citrix Cloud. Para obtener más información sobre la creación de una ubicación de recursos, consulte Configurar ubicaciones de recursos.

    conectividad de aplicaciones

  7. En la sección Suscriptores de aplicaciones, asigne usuarios o grupos a la aplicación.

    • En Elegir un dominio, seleccione el dominio aplicable a la aplicación y, a continuación, en Elegir un grupo o usuario, seleccione el grupo o el usuario al que está suscrito a esta aplicación. Puede diferenciar entre un usuario y un grupo en función de la apariencia de los alfabetos U o G que se comparan con el nombre.

    • Haga clic en Guardar. Los detalles del suscriptor se cargan automáticamente.

    Puede cancelar la suscripción de un usuario o grupo suscrito haciendo clic en el icono de eliminación situado junto a Estado.

    Administre los suscriptores

  8. Haga clic en Finish. La aplicación se agrega a la página Aplicaciones. Puede eliminar, administrar suscriptores o modificar una aplicación desde la página Aplicaciones después de configurar la aplicación. Para hacerlo, haga clic en el botón de puntos suspensivos de una aplicación y seleccione las acciones correspondientes.

    • Administrar suscriptores
    • Modificar aplicación
    • Suprimir
  • Para configurar los métodos de autenticación necesarios para los usuarios, consulte Configurar la identidad y la autenticación.

  • Para obtener la URL de Workspace para compartirla con los usuarios, en el menú de Citrix Cloud, haga clic en Configuración del espacio de trabajo y seleccione la ficha Acceso.

    Gestión del acceso a la

Configuración de administrador: acceso basado en agentes de ZTNA a aplicaciones HTTP (S)

Nota:

Para acceder a aplicaciones HTTP/HTTPS nuevas o existentes mediante el agente Citrix Secure Access, además de un conector de puerta de enlace, también debe instalar al menos un dispositivo Connector (se recomiendan dos para alta disponibilidad) en la ubicación de recursos. El conector se puede instalar en las instalaciones, en el hipervisor del centro de datos o en la nube pública. Para obtener más información sobre Connector Appliance y su instalación, consulte Connector Appliance for Cloud Services.

Requisitos previos

  • Acceso a Citrix Secure Private Access en Citrix Cloud.

Puntos que tener en cuenta

  • No se puede acceder a las aplicaciones web internas que se aplican con controles de seguridad mejorados a través del agente de Citrix Secure Access.
  • Si intenta acceder a una aplicación HTTP (S) que tiene habilitados los controles de seguridad mejorados, se muestra el siguiente mensaje emergente. Se habilitan controles de seguridad adicionales para la aplicación <”nombre de la aplicación”(FQDN)>. Acceda a ella desde Citrix Workspace.

    Mensaje de error

  • Si desea habilitar la experiencia de SSO, acceda a las aplicaciones web mediante la aplicación Citrix Workspace o el portal web.

Los pasos para configurar aplicaciones HTTP (S) siguen siendo los mismos que los de la funcionalidad existente que se explica en Soporte para aplicaciones web empresariales.

Acceso adaptable a aplicaciones TCP y HTTP (S)

El acceso adaptable proporciona a los administradores la capacidad de controlar el acceso a las aplicaciones críticas para la empresa en función de varios factores contextuales, como la verificación de la postura del dispositivo, la ubicación geográfica del usuario, el rol del usuario y la puntuación de riesgo proporcionada por el servicio Citrix Analytics.

Nota:

  • Puede denegar el acceso a las aplicaciones TCP, los administradores crean directivas basadas en los usuarios, los grupos de usuarios, los dispositivos desde los que los usuarios acceden a las aplicaciones y la ubicación (país) desde donde se accede a una aplicación. El acceso a las aplicaciones está permitido de forma predeterminada.

  • La suscripción de usuario hecha para una aplicación se aplica a todos los destinos de aplicaciones TCP configurados para la aplicación ZTNA.

Para crear una directiva de acceso adaptable

Los administradores pueden usar el asistente de flujo de trabajo guiado por el administrador para configurar el acceso de red de confianza cero a las aplicaciones SaaS, las aplicaciones web internas y las aplicaciones TCP en el servicio Secure Private Access.

Nota:

Puntos que tener en cuenta

  • El acceso a una aplicación web existente para la que está habilitada la seguridad mejorada se niega a través del agente de Secure Access. Aparece un mensaje de error que sugiere iniciar sesión con la aplicación Citrix Workspace.
  • Las configuraciones de directivas para la aplicación web basadas en la puntuación de riesgo del usuario, la comprobación de la postura del dispositivo, etc., a través de la aplicación Citrix Workspace se mantienen al acceder a la aplicación a través del agente Secure Access
  • La directiva vinculada a una aplicación se aplica a todos los destinos de la aplicación.

Resolución de DNS

El dispositivo conector debe tener una configuración de servidor DNS para la resolución de DNS.

Pasos para instalar el agente Citrix Secure Access en una máquina Windows

Versiones de SO compatibles:

Windows: Windows 11, Windows 10, Windows Server 2016 y Windows Server 2019.

A continuación se presentan los pasos para instalar el agente de Citrix Secure Access en una máquina Windows.

  1. Descargue el agente de Citrix Secure Access de https://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.html.
  2. Haga clic en Instalar para instalar el agente en su máquina Windows. Si tiene un agente de Citrix Gateway existente, se actualiza el mismo. Instalar agente
  3. Haga clic en Finalizar para completar la instalación. Instalar agent2

Nota:

No se admite la sesión multiusuario en Windows.

pasos de instalación de Microsoft Edge Runtime

Ahora se requiere Microsoft Edge Runtime para la interfaz de usuario de autenticación en el agente de Secure Access. Se instala de forma predeterminada en las últimas máquinas con Windows 10 y Windows 11. Para máquinas de versiones anteriores, lleve a cabo los siguientes pasos.

  1. Vaya al siguiente enlace: https://go.microsoft.com/fwlink/p/?LinkId=2124703.
  2. Descargue e instale Microsoft Edge. Si el sistema de usuario no tiene instalado el tiempo de ejecución de Microsoft Edge, el cliente del agente de Citrix Secure Access le solicitará que lo instale cuando intente conectarse a la URL de Workspace.

Nota:

Puede usar una solución automatizada como el software SCCM o una directiva de grupo para enviar el agente Citrix Secure Access o Microsoft Edge Runtime a las máquinas cliente.

Pasos para instalar el agente de Citrix Secure Access en una máquina macOS

Requisitos previos:

  • Descargue la aplicación Citrix Secure Access para macOS de la App Store. Esta aplicación está disponible en macOS 10.15 (Catalina) y versiones posteriores.
  • Las versiones preliminares están disponibles en la aplicación TestFlight solo para macOS Monterey (12.x).
  • Si cambia entre la aplicación App Store y la aplicación de vista previa TestFlight, debe volver a crear el perfil que desea usar con la aplicación Citrix Secure Access. Por ejemplo, si ha estado utilizando un perfil de conexión con blr.abc.company.com, elimine el perfil de VPN y vuelva a crear el mismo perfil.

Versiones de SO compatibles:

macOS — 12.x (Monterey). Se admiten 11.x (Big Sur) y 10.15 (Catalina).

Nota: Dispositivos móviles:

iOS y Android no son compatibles.

Iniciar una aplicación configurada: flujo de usuarios finales

  1. Inicie el agente de Citrix Secure Access en el dispositivo cliente.
  2. Introduzca la URL de Workspace proporcionada por el administrador del cliente en el campo URL del agente de Citrix Secure Access y haga clic en Conectar. Se trata de una actividad que se realiza una sola vez y la URL se guarda para su uso posterior. Lanzar una aplicación
  3. Se solicita al usuario que se autentique según el método de autenticación configurado en Citrix Cloud. Tras la autenticación correcta, el usuario puede acceder a las aplicaciones privadas configuradas.

Mensajes de notificación al usuario

Aparece un mensaje de notificación emergente en los siguientes casos:

  • El administrador no autoriza la aplicación para el usuario.

    Causa: la aplicación configurada para la dirección IP o el FQDN de destino a los que se accede no está suscrita para el usuario que ha iniciado sesión.

    Mensaje emergente 1

  • La evaluación de la directiva de acceso da lugar a denegación de acceso.

    Causa: se deniega el acceso a la dirección IP o al FQDN de destino porque la directiva enlazada a la aplicación se evalúa como “Denegar acceso” al usuario que ha iniciado sesión.

    Mensaje emergente 2

  • El control de seguridad mejorado está habilitado para la aplicación.

    Causa: el control de seguridad mejorado está habilitado para la aplicación para el destino al que se accede. La aplicación se puede iniciar mediante la aplicación Citrix Workspace.

    Mensaje emergente 3

Información adicional

Dominios de aplicación: resolución de conflictos de direcciones IP

Los destinos que se agregan al crear una aplicación se agregan a una tabla de enrutamiento principal. La tabla de enrutamiento es la fuente verdadera para tomar la decisión de enrutamiento para dirigir el establecimiento de la conexión y el tráfico a la ubicación correcta de los recursos.

  • La dirección IP de destino debe ser única en todas las ubicaciones de recursos.
  • Citrix recomienda evitar la superposición de direcciones IP o dominios en la tabla de enrutamiento. En caso de que encuentre una superposición, debe resolverla.

A continuación se presentan los tipos de casos de conflicto. La superposición completa es el único caso de error que restringe la configuración del administrador hasta que se resuelva el conflicto.

Casos de conflicto Entrada de dominio de aplicación existente Nueva entrada desde la adición de aplicaciones Comportamiento
Superposición de subconjunto 10.10.10.0-10.10.10.255 RL1 10.10.10.50-10.10.10.60 RL1 Permitir; Información de advertencia: superposición de subconjuntos del dominio IP con las entradas existentes
Superposición de subconjunto 10.10.10.0-10.10.10.255 RL1 10.10.10.50-10.10.10.60 RL2 Permitir; Información de advertencia: Superposición de subconjuntos del dominio IP con las entradas existentes
Superposición parcial 10.10.10.0-10.10.10.100 RL1 10.10.10.50-10.10.10.200 RL1 Permitir; Información de advertencia: superposición parcial del dominio IP con las entradas existentes
Superposición parcial 10.10.10.0-10.10.10.100 RL1 10.10.10.50-10.10.10.200 RL2 Permitir; Información de advertencia: superposición parcial del dominio IP con las entradas existentes
Superposición completa 10.10.10.0/24 RL1 10.10.10.0-10.10.10.255 RL1 Error; el dominio de IP <Completely overlapping IP domain's value> se superpone completamente con las entradas existentes. Cambie la entrada IP de enrutamiento existente o configure un destino diferente
Superposición completa 10.10.10.0/24 RL1 10.10.10.0-10.10.10.255 RL2 Error; el dominio de IP <Completely overlapping IP domain's value> se superpone completamente con las entradas existentes. Cambie la entrada IP de enrutamiento existente o configure un destino diferente
Coincidencia exacta 20.20.20.0/29 RL1 20.20.20.0/29 Permitir; los dominios ya existen en la tabla de enrutamiento de dominios. Los cambios realizados actualizan la tabla de enrutamiento de dominios

Nota:

  • Si los destinos agregados resultan en una superposición completa, se muestra un error al configurar la aplicación en la sección Detalles de la aplicación. El administrador debe resolver este error modificando los destinos en la sección Conectividad de aplicaciones.

    Si no hay errores en la sección Detalles de la aplicación, el administrador puede proceder a guardar los detalles de la aplicación. Sin embargo, en la sección Conectividad de aplicaciones, si los destinos tienen un subconjunto y una superposición parcial entre sí o con entradas existentes en la tabla de enrutamiento principal, se muestra un mensaje de advertencia. En este caso, el administrador puede optar por resolver el error o continuar con la configuración.

  • Citrix recomienda mantener una tabla de dominio de aplicación limpia. Es más fácil configurar nuevas entradas de enrutamiento si los dominios de las direcciones IP se dividen en fragmentos apropiados sin superposiciones.

Registros de configuración de scripts de inicio y cierre de sesión

El cliente de Citrix Secure Access accede a la configuración del script de inicio y cierre de sesión desde los siguientes registros cuando el cliente de Citrix Secure Access se conecta al servicio en la nube de Citrix Secure Private Access.

Registro: HKEY_LOCAL_MACHINE>SOFTWARE>Citrix>Secure Access Client

  • Ruta del script de inicio de sesión: SecureAccessLogInScript type REG_SZ
  • Ruta del script de cierre de sesión: SecureAccessLogOutScript type REG_SZ

Referencias a las notas