Citrix Secure Private Access

Support for Enterprise web apps

La entrega de aplicaciones web mediante el servicio Secure Private Access permite que las aplicaciones específicas de la empresa se entreguen de forma remota como un servicio basado en web. Las aplicaciones web más utilizadas incluyen SharePoint, Confluence, OneBug, etc.

Se puede acceder a las aplicaciones web mediante Citrix Workspace mediante el servicio Secure Private Access. El servicio Secure Private Access, junto con Citrix Workspace, proporciona una experiencia de usuario unificada para las aplicaciones web configuradas, las aplicaciones SaaS, las aplicaciones virtuales configuradas o cualquier otro recurso del espacio de trabajo.

El SSO y el acceso remoto a aplicaciones web están disponibles como parte de los siguientes paquetes de servicios:

  • Estándar de servicio Gateway
  • Workspace Standard, Workspace Premium o Workspace Premium Plus

Requisitos del sistema

Necesita cualquiera de los tipos de conectores para las aplicaciones web empresariales.

Dispositivo Connector: Puede usar el dispositivo Connector con el servicio Citrix Secure Private Access para admitir el acceso sin VPN a las aplicaciones web empresariales en el centro de datos de los clientes. Para obtener más información, consulte Secure Workspace Access with Connector Appliance.

Importante:

  • Está previsto que Citrix Gateway Connector se retire en la próxima versión. Citrix recomienda migrar a Connector Appliance, que es un único conector de acceso a red Zero Trust. Para obtener información sobre Connector Appliance, consulte Connector Appliance for Cloud Services

  • Para migrar Gateway Connector Appliance a Connector Appliance, consulte Migrar Gateway Connector Appliance

  • Para las aplicaciones TCP, se debe usar Connector Appliance.

Conector de Citrix Gateway: Dispositivo virtual que facilita el acceso remoto a las aplicaciones web empresariales. Citrix Gateway Connector es un dispositivo virtual. La especificación de máquina virtual debe tener al menos:

  • El número de vCPU debe ser exactamente 2.
  • 4 GB de RAM como mínimo.
  • 1 adaptador de red (NIC virtual). Puede agregar una NIC virtual adicional según sea necesario.

Instale el conector de puerta de enlace antes de configurar las aplicaciones web empresariales para un enfoque más limpio.

Para obtener más información sobre Citrix Gateway Connector, consulte Citrix Gateway Connector.

Nota:

Si hay dispositivos de interceptación de SSL en el centro de datos local donde se debe implementar Citrix Gateway Connector, el registro del conector no se realiza correctamente si la interceptación de SSL está habilitada para estos FQDN. La intercepción SSL debe estar inhabilitada para estos FQDN para el registro correcto del conector. Para obtener más información sobre Citrix Gateway Connector, consulte Citrix CloudGateway Connector.

Funcionamiento

El servicio Citrix Secure Private Access se conecta de forma segura al centro de datos local mediante el conector, que se implementa en las instalaciones. Este conector actúa como un puente entre las aplicaciones web empresariales implementadas en las instalaciones y el servicio Citrix Secure Private Access. Estos conectores se pueden implementar en un par de alta disponibilidad y solo requieren una conexión saliente.

Una conexión TLS entre el conector Gateway y el servicio Citrix Secure Private Access en la nube asegura las aplicaciones locales que se enumeran en el servicio en la nube. Se accede a las aplicaciones web y se entregan a través de Workspace mediante una conexión sin VPN.

En la siguiente ilustración se muestra cómo acceder a las aplicaciones web mediante Citrix Workspace.

Cómo funcionan las aplicaciones web

Para configurar una aplicación web empresarial

  1. En el mosaico Acceso privado seguro, haga clic en Administrar.

  2. En la página de inicio de Secure Private Access, haga clic en Continuar y, a continuación, en Agregar una aplicación.

    Nota:

    El botón Continuar solo aparece la primera vez que utilice el asistente. En los usos posteriores, puede ir directamente a la página Aplicaciones y, a continuación, hacer clic en Agregar una aplicación.

  3. Seleccione la aplicación que quiera agregar y haga clic en Omitir.

  4. En ¿Dónde está la ubicación de la aplicación?, selecciona la ubicación.

  5. Introduzca los siguientes detalles en la sección Detalles de la aplicación y haga clic en Siguiente.

    Detalles de la aplicación SPA

    • Tipo de aplicación: Seleccione el tipo de aplicación. Puede seleccionar entre aplicaciones HTTP/HTTPS o UDP/TCP.

    • Nombre de la aplicación: Nombre de la aplicación.

    • Descripción de la aplicación: Una breve descripción de la aplicación. La descripción que introduzca aquí se mostrará a los usuarios del espacio de trabajo.

    • Icono de la aplicación: Haga clic en Cambiar icono para cambiar el icono de la aplicación. El tamaño del archivo de iconos debe ser de 128 x 128 píxeles. Si no cambia el icono, se muestra el icono predeterminado.

      Si no desea mostrar el icono de la aplicación, seleccione No mostrar el icono de la aplicación a los usuarios.

    • Seleccione Acceso directo para permitir que los usuarios accedan a la aplicación directamente desde el explorador de un cliente. Para obtener más información, consulte Acceso directo a aplicaciones web empresariales.

    • URL: URL con su ID de cliente. La URL debe contener su ID de cliente (ID de cliente de Citrix Cloud). Para obtener su ID de cliente, consulte Inscribirse en Citrix Cloud. En caso de que el inicio de sesión único falle o no desee utilizar el inicio de sesión único, se redirigirá al usuario a esta URL.

      Nombre de dominio del cliente e ID de dominio del cliente: El nombre y el ID de dominio del cliente se utilizan para crear la URL de aplicación y otras URL posteriores en la página de inicio de sesión único de SAML.

      Por ejemplo, si va a agregar una aplicación Salesforce, su nombre de dominio es salesforceformyorg y el ID es 123754, la URL de la aplicación es https://salesforceformyorg.my.salesforce.com/?so=123754.

      Los campos Nombre de dominio del cliente e ID de cliente son específicos de determinadas aplicaciones.

    • Dominios relacionados: El dominio relacionado se rellena automáticamente en función de la URL que ha proporcionado. El dominio relacionado ayuda al servicio a identificar la URL como parte de la aplicación y a dirigir el tráfico en consecuencia. Puede agregar más de un dominio relacionado.

  6. Haga clic en Siguiente.

  7. En la sección Seguridad mejorada, seleccione Habilitar seguridad mejorada para elegir las opciones de seguridad que quiere aplicar a la aplicación.

    Seguridad mejorada de SPA

  8. Seleccione Activar seguridad mejorada para habilitar todas las opciones de seguridad disponibles para las aplicaciones.

    Importante:

    La sección Seguridad mejorada solo está disponible si tiene derecho al servicio Citrix Secure Private Access. Para obtener información detallada, consulte https://www.citrix.com/products/citrix-cloud/.

    • También puede habilitar las siguientes opciones de seguridad mejorada según el requisito.

      • Restringir el acceso al portapapeles: inhabilita las operaciones de cortar/copiar/pegar entre la aplicación y el portapapeles del sistema
      • Restringir impresión: inhabilita la capacidad de imprimir desde el explorador de aplicaciones Citrix Workspace
      • Restringir descargas: Inhabilita la capacidad del usuario para descargar desde dentro de la aplicación
      • Mostrar marca de agua: muestra una marca de agua en la pantalla del usuario que muestra el nombre de usuario y la dirección IP del equipo del usuario
    • Habilite directivas de seguridad avanzadas para la aplicación.

      • Restringir el registro de teclas: protege contra los registradores de teclas. Cuando un usuario intenta iniciar sesión en la aplicación con el nombre de usuario y la contraseña, todas las claves se cifran en los registradores de claves. Además, todas las actividades que el usuario realiza en la aplicación están protegidas contra el registro de claves. Por ejemplo, si las directivas de protección de aplicaciones están habilitadas para Office365 y el usuario modifica un documento Word de Office365, todas las pulsaciones de tecla se cifran en los registradores de teclas.

      • Restringir captura de pantalla: Inhabilita la capacidad de capturar las pantallas mediante cualquiera de los programas o aplicaciones de captura de pantalla. Si un usuario intenta capturar la pantalla, se captura una pantalla en blanco.

    • Seleccione Iniciar aplicación siempre en el servicio Citrix Secure Browser para iniciar siempre una aplicación en el Secure Browser Service, independientemente de otras configuraciones de seguridad mejoradas.

      Nota:

      • Las demás opciones de seguridad mejoradas se siguen aplicando una vez que la aplicación se inicia en Secure Browser.

      • Si accede a la aplicación desde la aplicación Citrix Workspace o desde Citrix Workspace para web, la aplicación se inicia en el explorador integrado o en el explorador nativo, respectivamente, hasta que se aplica la directiva en los dispositivos móviles.

    • Seleccione Aplicar la directiva en el dispositivo móvil para habilitar las opciones de seguridad mejoradas mencionadas anteriormente en su dispositivo móvil.

      Nota:

      Cuando se selecciona Aplicar directiva en dispositivo móvil junto con Habilitar seguridad mejorada, la experiencia del usuario para el acceso a la aplicación se ve afectada negativamente para los usuarios de escritorio y móviles.

  9. Haga clic en Siguiente.

  10. Seleccione el tipo de inicio de sesión único que desee utilizar para su aplicación y haga clic en Guardar. Están disponibles los siguientes tipos de inicio de sesión único.

    Inicio de sesión único de SPA

    • Básico: Si su servidor back-end le presenta un desafío básico 401, elija SSO básico. No es necesario que proporciones ningún detalle de configuración para el tipo de SSO básico.
    • Kerberos: Si su servidor back-end le presenta el desafío negotiate-401, elija Kerberos. No es necesario que proporcione ningún detalle de configuración para el tipo de SSO Kerberos.
    • Basado en formularios: Si el servidor back-end le presenta un formulario HTML para la autenticación, elija Basado en formularios. Introduzca los detalles de configuración del tipo de SSO basado en formularios.
    • SAML: Elija SAML para el inicio de sesión único basado en SAML en aplicaciones web. Introduzca los detalles de configuración del tipo de inicio de sesión único de SAML.
    • No usar SSO: Use la opción No usar SSO cuando no necesite autenticar a un usuario en el servidor back-end. Cuando se selecciona la opción No usar SSO, se redirige al usuario a la URL configurada en la sección Detalles de la aplicación.

    Detalles basados en formularios: Introduzca los siguientes detalles de configuración basada en formularios en la sección Single Sign-On y haga clic en Guardar.

    Guardar config1

    • URL de acción: Escriba la dirección URL a la que se envía el formulario completado.
    • URL del formulario de inicio de sesión: Escriba la URL en la que se presenta el formulario de inicio de sesión.
    • Formato de nombre de usuario: Seleccione un formato para el nombre de usuario.
    • Campo de formulario de nombre de usuario: escriba un atributo de nombre de usuario.
    • Campo de formulario de contraseña: Escriba un atributo de contraseña.

    SAML: introduce los siguientes datos en la sección Iniciar sesión y haga clic en Guardar.

    Guardar config2

    • Afirmación de firmas: la firma de afirmación o respuesta garantiza la integridad del mensaje cuando la respuesta o afirmación se entrega a la parte que confía (SP). Puede seleccionar Afirmación, Respuesta, Ambas o Ninguna.
    • URL de aserción: El proveedor de la aplicación proporciona la URL de aserción. La aserción SAML se envía a esta URL.
    • Estado de retransmisión: El parámetro Estado de retransmisión se utiliza para identificar el recurso específico al que acceden los usuarios después de iniciar sesión y dirigirse al servidor de federación de la parte que confía. Relay State genera una única URL para los usuarios. Los usuarios pueden hacer clic en esta URL para iniciar sesión en la aplicación de destino.
    • Audiencia: El proveedor de la aplicación proporciona la audiencia. Este valor confirma que la aserción SAML se ha generado para la aplicación correcta.
    • Formato de ID de nombre: Seleccione el formato de identificador de nombre admitido.

    • ID de nombre: Seleccione el ID de nombre admitido.
  11. En Atributos avanzados (opcional), agregue información adicional sobre el usuario que se envía a la aplicación para tomar decisiones de control de acceso.

  12. Descargue el archivo de metadatos haciendo clic en el enlace de Metadatos SAML. Utilice el archivo de metadatos descargado para configurar el SSO en el servidor de aplicaciones SaaS.

    Nota:

    • Puede copiar la URL de inicio de sesión único en URL de inicio de sesión y utilizarla al configurar el inicio de sesión único en el servidor de aplicaciones SaaS.
    • También puede descargar el certificado de la lista de certificados y utilizarlo al configurar el inicio de sesión exclusivo en el servidor de aplicaciones SaaS.
  13. Haga clic en Siguiente.

  14. En la sección Conectividad de aplicaciones, defina el enrutamiento para los dominios de aplicaciones relacionados, si los dominios deben enrutarse externa o internamente a través de conectores de Citrix Gateway. Para obtener más información, consulte Tablas de enrutamiento para resolver conflictos si los dominios relacionados en las aplicaciones web y SaaS son los mismos.

    Conectividad de aplicaciones

  15. Haga clic en Siguiente.

  16. En la sección Suscriptores de aplicaciones, asigne usuarios o grupos a la aplicación.

    Suscriptores de aplicaciones

    • En Elegir un dominio, seleccione el dominio aplicable a la aplicación y, a continuación, en Elegir un grupo o usuario, seleccione el grupo o usuario al que está suscribiendo esta aplicación. Puede diferenciar entre un usuario y un grupo en función de la apariencia de los alfabetos U o G con respecto al nombre.

    • Haga clic en Guardar. Los detalles del suscriptor se cargan automáticamente.

Puede cancelar la suscripción de un usuario o grupo suscrito haciendo clic en el icono de eliminación junto a Estado.

  1. Haga clic en Finish.

    Después de hacer clic en Finalizar, la aplicación se agrega a la página Aplicaciones. Puede eliminar, administrar suscriptores o modificar una aplicación desde la página Aplicaciones después de configurar la aplicación. Para hacerlo, haga clic en el botón de puntos suspensivos de una aplicación y seleccione las acciones correspondientes.

    • Administrar suscriptores
    • Modificar aplicación
    • Suprimir
Support for Enterprise web apps