Acceso denegado a las aplicaciones, de forma predeterminada
Para habilitar el acceso basado en la confianza cero a las aplicaciones, se deniega el acceso a las aplicaciones de forma predeterminada. El acceso a las aplicaciones solo está habilitado si hay una directiva de acceso asociada a la aplicación.
-
Acceso a las aplicaciones publicadas:
-
Cuando un usuario final accede a un FQDN asociado a una aplicación publicada, el acceso solo se permite si se configura explícitamente una directiva de acceso con la acción Permitiracceso.
Nota:
Si hay varias aplicaciones que coinciden con el FQDN de la aplicación, las directivas de las aplicaciones coincidentes se evalúan en función de la prioridad de la directiva.
-
Si una directiva de acceso no coincide con la aplicación publicada o si una aplicación no está asociada a una directiva de acceso, se deniega el acceso a la aplicación de forma predeterminada.
Para obtener más información sobre las directivas de acceso, consulte Directivas de acceso.
-
-
Acceso a aplicaciones internas o no publicadas. El acceso a las aplicaciones internas o no publicadas se habilita en función del tipo de enrutamiento definido al configurar la aplicación.
- Si el tipo de enrutamiento se define como Externo, el tráfico fluye directamente a Internet. El acceso está habilitado para dichas aplicaciones.
- Si el tipo de enrutamiento se define como interno o externo a través del conector, se deniega el acceso a dichas aplicaciones.
- Si el tipo de enrutamiento no está definido para un FQDN no publicado, la aplicación se considera externa. El acceso a dichas aplicaciones se basa en las reglas configuradas para las aplicaciones no autorizadas, si están habilitadas. Para obtener más información, consulte Configurar reglas para sitios web no autorizados.
El tipo de enrutamiento se define en la interfaz de usuario de Secure Private Access. Haga clic en Configuración > Dominio de la aplicación. Para obtener más información, consulte Tablas de rutas.
Configuración conflictiva que podría ocasionar problemas de acceso a la aplicación
Si hay varias aplicaciones configuradas con el mismo FQDN o con alguna variación del FQDN comodín, es posible que se produzcan los siguientes problemas.
- Los sitios web dejan de cargarse o pueden mostrar una página en blanco.
- La página “Acceso bloqueado” puede aparecer al acceder a una URL.
- Es posible que la página de inicio de sesión no se cargue.
Recomendaciones
Para abordar los problemas anteriores, recomendamos lo siguiente:
-
Configure todos los FQDN comunes y sus dominios relacionados en una sola aplicación.
Por ejemplo, si tiene algunas aplicaciones que usan Azure AD como IdP y necesita configurar
login.microsoftonline.comy otros dominios relacionados (*.msauth.net), cree una única aplicación común conlogin.microsoftonline.comcomo FQDN, y*.login.microsoftonline.comy*.msauth.netcomo los dominios relacionados.Si la aplicación común va a estar oculta en la aplicación Citrix Workspace, seleccione la opción No mostrar el icono de la aplicación a los usuarios al configurar la aplicación. Para obtener más información, consulte Configurar una aplicación web.
- Cree una directiva de acceso para la aplicación común y permita el acceso a todos los usuarios. Para obtener más información, consulte Configurar una directiva de acceso.
- Verifique los registros de diagnóstico para confirmar si el FQDN coincide con la aplicación y si la directiva se aplica según lo previsto.