Citrix Secure Private Access

Acceso inteligente mediante autenticación adaptable

Los clientes de Citrix Cloud pueden proporcionar Smart Access (acceso adaptable) a Citrix DaaS mediante la autenticación adaptable como proveedor de identidad en Citrix Workspace.

La función Smart Access permite que el servicio de autenticación adaptable muestre toda la información de directiva sobre el usuario a Citrix Workspace o Citrix DaaS. El servicio de Autenticación adaptable puede proporcionar la postura del dispositivo (EPA), la ubicación de la red (dentro o fuera de la red corporativa, la ubicación geográfica), los atributos de usuario como grupos de usuarios, la hora del día o una combinación de estos parámetros como parte de la información de la directiva. El administrador de Citrix DaaS puede usar esta información de directiva para configurar el acceso contextual a Citrix DaaS. Citrix DaaS se puede enumerar o no en función de parámetros anteriores (directiva de acceso). Algunas acciones del usuario también se pueden controlar, como el acceso al portapapeles, la redirección de impresoras, la unidad del cliente o la asignación de USB.

Ejemplo de casos de uso:

  1. El administrador puede configurar el grupo de aplicaciones para que se muestren o accedan solo desde ubicaciones de red específicas, como la red corporativa.
  2. El administrador puede configurar el grupo de aplicaciones para que se muestren o accedan solo desde los dispositivos administrados de la empresa. Por ejemplo, los análisis de la EPA pueden verificar si el dispositivo es administrado por la empresa o BYOD. Según el resultado del análisis de la EPA, se pueden enumerar las aplicaciones relevantes para el usuario.

Requisitos previos

  • La autenticación adaptable como proveedor de identidad debe estar configurada para Citrix Workspace. Para obtener más información, consulte Servicio de autenticación adaptable.

    Gateway como IDP

  • El servicio de autenticación adaptable con Citrix DaaS está en funcionamiento.

Comprensión del flujo de eventos para Smart Access

  1. El usuario inicia sesión en Citrix Workspace.
  2. El usuario es redirigido al servicio de autenticación adaptable configurado como IdP.
  3. El servicio de autenticación adaptable realiza una verificación de la EPA junto con otras comprobaciones.
  4. El servicio de autenticación adaptable configurado como un IdP realiza la autenticación.
  5. El servicio de autenticación adaptable inserta las etiquetas en el servicio Citrix Graph. Se redirige al usuario a la página de inicio de Citrix Workspace.
  6. Citrix Workspace obtiene la información de la directiva de esta sesión de usuario, coincide con el filtro y evalúa las aplicaciones o escritorios que se deben enumerar.
  7. Configure la directiva de acceso en Citrix DaaS para restringir el acceso ICA a los usuarios.

Caso de configuración: Enumeración de aplicaciones basada en análisis de postura del dispositivo

Paso 1: Configure las directivas de Smart Access en la instancia de Citrix Adaptive Authentication:

En la siguiente configuración de ejemplo, se enumera un conjunto diferente de aplicaciones según el inicio de sesión domain-joined o non-domain joined.

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Acceso inteligente > Perfiles.

  2. En la ficha Perfiles, haga clic en Agregar para crear un perfil denominado Domainjoined-SmartAccessProfile con la etiqueta como DomainJoined. Del mismo modo, cree otra directiva llamada NonDomainJoined-SmartAccessProfile con la etiqueta como NonDomainJoined.

    Perfiles de acceso inteligente

  3. Vaya a Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Smart Access > Directivas.

  4. En la página Configurar directiva de acceso inteligente de autenticación, haga clic en Agregar para crear una directiva con el nombre Domainjoined-SmartAccessPol.

  5. En la página Configure Authentication Smart Access Policy, en Action, seleccione el DomainJoined-SmartAccessProfile creado anteriormente y haga clic en Agregar.

    Configuración de directivas de acceso inteligente

  6. En Expresión, escriba AAA.USER.GROUPS.CONTAINS (“DomainJoinedGroup”) y haga clic en Aceptar.

  7. Del mismo modo, cree otra directiva denominada NonDomainJoined-SmartAccessPol (en Acción, seleccione creada anteriormente NonDomainJoined-SmartAccessProfile).

    Perfiles de acceso inteligente

  8. Enlazar la directiva de acceso inteligente al servidor virtual de autenticación y autorización.

Paso 2: Configuración de Citrix DaaS:

  1. Haga clic en Administrar en el mosaico de Citrix DaaS.

  2. Vaya a Grupos de entrega y haga clic en Modificar grupo de entrega.

  3. Haga clic con el botón derecho del ratón en el grupo de entrega y seleccione Modificar para configurar cuándo deben enumerarse las aplicaciones de ese grupo de entrega y permitir su inicio.
  4. Haga clic en Directiva de acceso y agregue las etiquetas necesarias. La comunidad debe estar siempre establecida en Workspace y el filtro debe tener cualquiera de las etiquetas que haya creado, en función de la configuración anterior.
  5. Repita los pasos anteriores para agregar más etiquetas. Cuando se utilizan varias etiquetas, si al menos una de las etiquetas está presente, el grupo de entrega está disponible para el cliente.

    !Smart-access-edit-delivery-group

Nota:

  • Asegúrese de que las etiquetas estén en mayúsculas.
  • Si un administrador elimina la configuración de una etiqueta específica en el servicio de autenticación adaptable, la etiqueta se debe quitar de Web Studio y también de los grupos de entrega. El administrador no debe volver a utilizar los nombres de etiqueta eliminados. Los administradores siempre deben usar nombres de etiqueta nuevos.

Tras una configuración correcta, el inicio de sesión unido a un dominio enumera las siguientes aplicaciones.

Grupo unido al dominio de Smart-Access

Tras una configuración correcta, el inicio de sesión no unido a un dominio enumera las siguientes aplicaciones.

!Smart-access-non-domain-joined-group

Paso 3: Agregue una directiva de acceso para las etiquetas de acceso inteligentes:

  1. En Administrar, vaya a Directivasy cree una directiva.
  2. Seleccione el control de directivas de ICA adecuado.
  3. En Asignar directiva a, seleccione “control de acceso”.

Directiva de asignación de acceso inteligente

  1. Asigne la etiqueta de acceso inteligente (en mayúsculas) en condiciones de acceso.

!Smart-access-assign-to-access-control

Solución de problemas

- Qué pasa si no se insertan etiquetas:

Cambios adicionales para la configuración de alta disponibilidad:

En algún momento puede haber un retraso en la sincronización de archivos en una configuración de alta disponibilidad. Como resultado, las claves creadas cuando se produjo el registro de Citrix ADM no se leen a tiempo.

Estamos buscando los siguientes tres archivos en el secundario.

/var/mastools/conf/agent.conf /var/mastools/trust/.ssh/private.pem /var/mastools/trust/.ssh/public.pem

Para solucionar el problema de sincronización de archivos, lleve a cabo los siguientes pasos para volver a ejecutar el comando ‘set cloud’ en el secundario.

> shell cat /var/mastools/conf/agent.conf
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<mps_agent>
<uuid>temp_str</uuid>
<url>fuji.agent.adm.cloud.com</url>
<customerid>customer_id</customerid>
<instanceid>instance_id</instanceid>
<servicename>MAS</servicename>
<download_service_url>download.citrixnetworkapistaging.net</download_service_url>
<abdp_url>fuji.agent.adm.cloud.com</abdp_url>
<msg_router_url>fuji.agent.adm.cloud.com</msg_router_url>
</mps_agent> Done
> set cloud param -CustomerID customer_id -InstanceID instance_id -Deployment Production
<!--NeedCopy-->
Acceso inteligente mediante autenticación adaptable