Citrix Secure Web

Citrix Secure Web es un explorador Web para dispositivos móviles que ofrece acceso seguro a sitios Web internos y externos. Puede configurar Secure Web para que se instale automáticamente en los dispositivos de los usuarios cuando se inscriban en Secure Hub, o bien, puede dejar que sean los usuarios quienes agreguen la aplicación desde la tienda de aplicaciones de Endpoint Management.

Para conocer los requisitos del sistema para Secure Web y otras aplicaciones móviles de productividad, consulte Requisitos del sistema.

Integrar y entregar Secure Web

Importante:

MDX Toolkit 10.7.10 es la última versión que admite el empaquetado de aplicaciones móviles de productividad. Los usuarios pueden acceder a las versiones de las aplicaciones móviles de productividad 10.7.5 y posteriores desde las tiendas públicas de aplicaciones.

Para integrar y entregar Secure Web, siga estos pasos generales:

  1. Para habilitar el inicio SSO en la red interna, configure NetScaler Gateway.

    Para el tráfico HTTP, NetScaler puede proporcionar SSO para todos los tipos de autenticación de proxy admitidos en NetScaler. Para el tráfico HTTPS, la directiva de caché de contraseñas Web permite a Secure Web autenticar y proporcionar SSO al servidor proxy a través de MDX. MDX solo admite autenticación de proxy básica, implícita y NTLM. La contraseña se almacena en caché usando MDX y se guarda en la caja fuerte compartida de Endpoint Management, que es una zona de almacenamiento segura para datos confidenciales de aplicación. Para obtener más información acerca de la configuración de NetScaler Gateway, consulte NetScaler Gateway.

  2. Descargue Secure Web.
  3. Determine cómo desea configurar las conexiones de usuario a la red interna.
  4. Agregue Secure Web a Endpoint Management siguiendo los mismos pasos que se siguen para agregar otras aplicaciones MDX y después configure las directivas MDX. Para obtener más información acerca de las directivas específicas de Secure Web, consulte “Acerca de las directivas de Secure Web” más adelante en este artículo.

Configurar conexiones de usuario

Secure Web admite las siguientes configuraciones para las conexiones de usuario:

  • Exploración segura: Las conexiones por túnel a la red interna pueden utilizar una variante de VPN sin cliente conocida como “Exploración segura”. Esta es la configuración predeterminada para la directiva Modo preferido de VPN. Se recomienda “Exploración segura” para conexiones que requieren Single Sign-On (SSO).
  • Túnel VPN completo: Las conexiones por túnel a la red interna pueden usar un túnel VPN completo, configurado en la directiva Modo preferido de VPN. Se recomienda la opción “Túnel VPN completo” para conexiones que usan certificados de cliente o SSL de extremo a extremo con un recurso de la red interna. El túnel VPN completo gestiona cualquier protocolo por TCP y se puede usar con equipos Windows y Mac, así como con dispositivos iOS y Android.
  • La directiva Permitir cambio de modo VPN permite cambiar automáticamente entre el modo “Túnel VPN completo” y el modo “Exploración segura”, según sea necesario. De manera predeterminada, esta directiva está desactivada. Si la directiva está activada, las solicitudes de red que no llegan a realizarse debido a una solicitud de autenticación que no se puede resolver en el modo preferido de VPN se vuelven a intentar en el modo alternativo. Por ejemplo, los desafíos de servidor ante certificados de cliente pueden aceptarse en el modo “Túnel VPN completo”, pero no si se utiliza el modo “Exploración segura”. Del mismo modo, los desafíos de autenticación HTTP son más propensos a resolverse con SSO cuando se utiliza el modo “Exploración segura”.
  • Túnel VPN completo con archivo PAC: Puede usar un archivo de configuración automática de proxy (PAC) con una implementación de túnel VPN completo para los dispositivos iOS y Android. Un archivo PAC contiene reglas que definen el modo en que los exploradores Web seleccionan un proxy para acceder a una dirección URL especificada. Las reglas del archivo PAC pueden especificar cómo gestionar tanto sitios internos como sitios externos. Secure Web analiza las reglas del archivo PAC y envía la información del servidor proxy a NetScaler Gateway.
  • El rendimiento del túnel VPN completo cuando se usa con un archivo PAC es comparable al del modo Exploración segura. Para ver información detallada sobre la configuración de PAC, consulte Túnel VPN completo con archivo PAC.

En la tabla siguiente, se indica si Secure Web pide credenciales al usuario en función de la configuración y del tipo de sitio:

Modo de conexión Tipo de sitio Caché de contraseñas SSO configurado para NetScaler Gateway Secure Web pide credenciales en el primer acceso a un sitio Web Secure Web pide credenciales en un acceso posterior al sitio Web Secure Web pide credenciales después de un cambio de contraseña
Exploración segura http No No No No
Exploración segura https No No No No
VPN completo http No No No No
VPN completo https Sí. Si la directiva MDX “Habilitar caché de contraseñas Web” de Secure Web está activada. No Sí. Necesario para almacenar la credencial en caché de Secure Web. No

Túnel VPN completo con archivo PAC

Importante:

Si Secure Web está configurado con un archivo PAC y NetScaler está configurado para funcionar con proxy, Secure Web agotará el tiempo de espera. Debe quitar las directivas de tráfico de NetScaler Gateway configuradas para proxy antes de usar el túnel VPN completo con PAC.

Cuando se configura Secure Web para el túnel VPN completo con archivo PAC o servidor proxy, Secure Web envía todo el tráfico al proxy a través de NetScaler Gateway, que luego enruta el tráfico de acuerdo con las reglas de configuración del proxy. En esta configuración, NetScaler Gateway no detecta el archivo PAC ni el servidor proxy. El flujo de tráfico es el mismo que para el túnel VPN completo sin PAC.

En el siguiente diagrama, se muestra el flujo de tráfico cuando los usuarios de Secure Web navegan a un sitio Web:

Imagen del tráfico desde Secure Web a un sitio Web

En este ejemplo, las reglas del tráfico especifican que:

  • NetScaler Gateway se conecta directamente al sitio de la intranet example1.net.
  • El tráfico al sitio de la intranet example2.net se redirige a través de servidores proxy internos.
  • El tráfico externo se redirige a través de servidores proxy internos. Las reglas del proxy bloquean el tráfico externo a Facebook.com.

Para configurar el túnel VPN completo con PAC

  1. Valide y haga pruebas con el archivo PAC.

    Nota:

    Para obtener más información sobre cómo crear y usar archivos PAC, consulte https://findproxyforurl.com/.

    Valide el archivo PAC mediante una herramienta de validación de PAC como Pacparser. Al leer el archivo PAC, asegúrese de que los resultados de Pacparser son los que espera. Si el archivo PAC tiene un error de sintaxis, los dispositivos móviles ignorarán el archivo de manera silenciosa, sin notificarlo. (Se almacena un archivo PAC en la memoria de los dispositivos móviles.)

    Se procesa un archivo PAC de arriba abajo y el procesamiento se detiene cuando una regla encaja en la consulta actual.

    Pruebe la dirección URL del archivo PAC en un explorador Web antes de introducirla en el campo PAC/Proxy de Endpoint Management. Asegúrese de que el equipo puede tener acceso a la red donde se encuentra el archivo PAC.

    https://webserver.local/GenericPAC.pac https://webserver.local/GenericPAC.pac

    Las extensiones probadas para archivos PAC son .txt o .pac.

    El archivo PAC debería mostrar su contenido en el explorador Web.

    Importante:

    Cada vez que actualice el archivo PAC utilizado con Secure Web, indique a los usuarios que deben cerrar y volver a abrir Secure Web.

  2. Configure NetScaler Gateway:

    • Inhabilite el túnel dividido en NetScaler Gateway. Si el túnel dividido está activado y hay un archivo PAC configurado, las reglas del archivo PAC anulan las reglas de división de túnel de NetScaler. Un proxy no invalida las reglas de túnel dividido de NetScaler.
    • Quite las directivas de tráfico de NetScaler Gateway configuradas para proxy. Esto es necesario para que Secure Web funcione correctamente. En la imagen siguiente se muestra un ejemplo de las reglas de directiva a quitar.

    Imagen de la pantalla de configuración de directivas para tráfico en NetScaler Gateway

  3. Configure las directivas de Secure Web:

    • Establezca la directiva “Modo preferido de VPN” con el valor Túnel VPN completo.
    • Desactive la directiva “Permitir cambio de modo VPN”.
    • Configure la directiva “URL del archivo PAC o servidor proxy”. Secure Web admite HTTP y HTTPS, así como puertos predeterminados y puertos no predeterminados. Para HTTPS, la entidad de certificación raíz debe estar instalada en el dispositivo si el certificado es autofirmado o no es de confianza.

      Pruebe la URL o dirección del servidor proxy en un explorador Web antes de configurar la directiva.

      Ejemplos de URL de archivos PAC:

      http[s]://example.com/proxy.pac http[s]://10.10.0.100/proxy.txt

      Ejemplos de servidores proxy (se necesita el puerto):

      myhost.example.com:port

      10.10.0.100:port

      Nota:

      Si configura un archivo PAC o un servidor proxy, no configure PAC en los parámetros de proxy del sistema para Wi-Fi.

    • Active la directiva “Habilitar caché de contraseñas Web”. El caché de contraseñas Web gestiona el inicio de sesión SSO para sitios HTTPS.

      NetScaler puede realizar SSO para proxys internos si el proxy admite la misma infraestructura de autenticación.

Limitaciones del respaldo para archivos PAC

Secure Web no admite:

  • La conmutación por error de un servidor proxy a otro. La evaluación de un archivo PAC puede devolver varios servidores proxy para un nombre de host. Secure Web usa solamente el primer servidor proxy devuelto.
  • Protocolos como ftp y gopher en un archivo PAC.
  • Servidores proxy SOCKS en un archivo PAC.
  • Protocolo WPAD (Web Proxy Autodiscovery Protocol).

Secure Web ignora la función alert de los archivos PAC para poder analizar un archivo PAC que no incluya ese tipo de llamadas.

Directivas de Secure Web

Al agregar Secure Web, tenga en cuenta las directivas MDX que son específicas de Secure Web. Para todos los dispositivos móviles respaldados:

Sitios Web permitidos o bloqueados

Secure Web normalmente no filtra enlaces Web. Puede usar esta directiva para configurar una lista de sitios permitidos o bloqueados específicos. Puede configurar patrones de dirección URL para restringir los sitios Web que el explorador puede abrir, usando un formato de lista separada por comas. Cada patrón de la lista va precedido del signo Más (+) o del signo Menos (-). El explorador Web coteja las direcciones URL con estos patrones en el orden indicado hasta que se produce una coincidencia. Cuando se encuentra una coincidencia, el prefijo determina la acción de la siguiente forma:

  • Un signo Menos (-) como prefijo indica al explorador Web que bloquee la URL. En este caso, la URL se trata como si la dirección del servidor Web no pudiera resolverse.
  • Un signo Más (+) como prefijo permite que la URL se procese normalmente.
  • Si no figura ningún signo delante del patrón, se considera que va precedido del signo Más (+).
  • Si una dirección URL no coincide con ningún patrón de la lista, la dirección URL se considera permitida

Para bloquear todas las demás URL, termine la lista con un signo menos seguido de un asterisco (-*). Por ejemplo:

  • El valor de directiva +http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-* permite direcciones URL con HTTP dentro del dominio mycorp.com, pero las bloquea en cualquier otro sitio; permite direcciones URL con HTTPS y FTP en cualquier lugar, pero bloquea todas las demás URL.
  • El valor de directiva +http://*.training.lab/*,+https://*.training.lab/*,-* permite a los usuarios abrir cualquier sitio en el dominio Training.lab (intranet) por HTTP o HTTPS, pero no direcciones URL públicas, como Facebook, Google y Hotmail, independientemente del protocolo.

Está vacío de forma predeterminada (se permiten todas las URL).

Bloquear ventanas emergentes

Las ventanas emergentes son pestañas nuevas que algunos sitios Web abren sin su permiso. Esta directiva determina si Secure Web permite las ventanas emergentes. Cuando se activa, Secure Web impide que los sitios Web abran ventanas emergentes. El valor predeterminado es No.

Marcadores precargados

Define un conjunto de marcadores precargados para el explorador Secure Web. La directiva es una lista de tuplas separadas por comas que incluyen el nombre de la carpeta, el nombre simplificado y la dirección Web. Cada trío debe tener el formato carpeta,nombre,URL. El nombre y la carpeta pueden ir entre comillas dobles (“).

Por ejemplo, los valores de directiva ,"Mycorp, Inc. home page",https://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",https://www.mycorp.com/IR/Contactus.aspx definen tres marcadores. El primero es un enlace primario (sin nombre de carpeta), titulado “Mycorp, Inc. home page”. El segundo enlace se colocará en una carpeta llamada “MyCorp Links” y se etiquetará “Account logon”. El tercero se colocará en una subcarpeta llamada “Investor Relations’ dentro de la carpeta “MyCorp Links” y se mostrará como “Contact us”.

Está vacío de forma predeterminada.

URL de página de inicio

Define el sitio Web que Secure Web carga al iniciarse. Está vacío de forma predeterminada (página de inicio predeterminada).

Solo para dispositivos Android e iOS respaldados:

Interfaz de usuario del explorador Web

Establece el comportamiento y la visibilidad de los controles de la interfaz de usuario del explorador para Secure Web. Normalmente están disponibles todos los controles del explorador. Estos incluyen los controles para avanzar, retroceder, barra de dirección y actualizar/detener la carga de la página. Esta directiva se puede configurar para restringir el uso y la visibilidad de algunos de estos controles. El valor predeterminado es Todos los controles visibles.

Opciones:

  • Todos los controles visibles. Todos los controles están visibles y no se restringe su uso para los usuarios.
  • Barra de direcciones de solo lectura. Todos los controles están visibles, pero los usuarios no pueden editar el campo de dirección del explorador Web.
  • Ocultar barra de direcciones. Oculta la barra de direcciones, pero no los demás controles.
  • Ocultar todos los controles. Oculta toda la barra de herramientas para proporcionar una experiencia de exploración sin marcos.

Habilitar caché de contraseñas Web

Cuando los usuarios de Secure Web introducen sus credenciales al abrir o solicitar un recurso Web, esta directiva determina si Secure Web guarda la contraseña en caché silenciosamente en el dispositivo. Esta directiva se aplica a las contraseñas introducidas en diálogos de autenticación y no a las contraseñas introducidas en formularios Web.

Si el valor es , Secure Web guarda todas las contraseñas que los usuarios introducen cuando solicitan un recurso Web. Si tiene el valor No, Secure Web no guarda en caché las contraseñas y elimina las contraseñas que se hayan guardado previamente. El valor predeterminado es No.

Esta directiva solo se habilita cuando la directiva “Modo preferido de VPN” se establece en “Túnel VPN completo” para esta aplicación.

Servidores proxy

También puede configurar los servidores proxy de Secure Web cuando se usa el modo “Exploración segura”. Para obtener detalles, consulte esta entrada de blog.

Sufijos DNS

En Android, si los sufijos DNS no están configurados, la VPN podría fallar. Para obtener información sobre cómo configurar sufijos DNS, consulte Respaldar consultas DNS usando sufijos DNS para dispositivos Android.

Preparar sitios de intranet para Secure Web

Esta sección está dirigida a desarrolladores de sitios Web que necesitan preparar un sitio de intranet para usarlo con Secure Web para Android y para iOS. Los sitios de intranet diseñados para exploradores de escritorio requieren ciertos cambios para que funcionen correctamente en dispositivos Android e iOS.

Secure Web se basa en Android WebView e iOS UIWebView para dar respaldo a tecnologías Web. Algunas de las tecnologías Web que admite Secure Web son:

  • AngularJS
  • ASP .NET
  • JavaScript
  • JQuery
  • WebGL
  • WebSockets

Algunas de las tecnologías Web que no admite Secure Web son:

  • Flash
  • Java

En la siguiente tabla, se muestran las funcionalidades y las tecnologías de generación de HTML que admite Secure Web. X indica que la característica está disponible para una combinación de plataforma, explorador Web y componente.

Tecnología Secure Web en iOS Secure Web en Android 5.x/6.x/7.x
Motor de JavaScript JavaScriptCore V8
Almacenamiento local X X
AppCache X X
IndexedDB   X
SPDY X  
WebP   X
srcet X X
WebGL   X
API de requestAnimationFrame   X
API de Navigation Timing   X
API de Resource Timing   X

Las tecnologías funcionan del mismo modo en todos los dispositivos. No obstante, Secure Web devuelve distintas cadenas de agente de usuario en los distintos dispositivos. Para determinar la versión del explorador usada para Secure Web, puede ver la cadena del agente de usuario. Desde Secure Web, vaya a https://whatsmyuseragent.com/.

Solucionar problemas en sitios de intranet

Para solucionar problemas de representación cuando el sitio de intranet se ve en Secure Web, compare cómo se genera el sitio Web en Secure Web y en un explorador Web de terceros compatible.

Para iOS, los navegadores de terceros compatibles para realizar pruebas son Chrome y Dolphin.

Para Android, el navegador de terceros compatible para realizar pruebas es Dolphin.

Nota:

Chrome es un explorador nativo en Android. No lo utilice para la comparación.

En iOS, asegúrese de que los marcadores tienen respaldo para VPN en el nivel de dispositivo. Esto se puede configurar en los parámetros del dispositivo, en Ajustes > VPN > Añadir configuración VPN.

También puede usar aplicaciones cliente VPN disponibles en App Store, tales como Citrix VPN, Cisco AnyConnect o Pulse Secure.

  • Si una página Web aparece igual en los dos exploradores, el problema reside en el sitio Web. Actualice el sitio y asegúrese de que funciona bien para el sistema operativo.
  • Si el problema en la página Web solo aparece cuando se abre en Secure Web, póngase en contacto con el equipo de asistencia de Citrix para abrir un tíquet de asistencia. Proporcione los pasos detallados del problema, incluida la información de qué tipos de explorador Web y sistema operativo ha utilizado. Si tiene problemas al generar páginas en Secure Web para iOS, incluya un archivo Web de la página según se describe en los pasos siguientes. Esto ayudará a Citrix a resolver el problema más rápidamente.

Para crear un archivo Web

Use Safari en macOS 10.9 o posterior para guardar una página Web como archivo Web (conocido como una lista de lectura) que incluye todos los archivos vinculados, como imágenes, CSS y JavaScript.

  1. En Safari, vacíe la carpeta Lista de lectura: en el Finder, haga clic en el menú Ir en la barra Menú, elija Ir a la carpeta, introduzca la ruta ~/Library/Safari/ReadingListArchives/, y luego elimine todas las carpetas en esa ubicación.

  2. En la barra Menú, vaya a Safari > Preferencias > Avanzado y habilite la opción Mostrar el menú Desarrollo en la barra de menú.

  3. En la barra Menú, vaya a Desarrollo > Agente de usuario e introduzca el agente de usuario de Secure Web: (Mozilla/5.0 (iPad; CPU OS 8_3 como macOS) AppleWebKit/600.1.4 (KHTML, como Gecko) Mobile/12F69 Secure Web/ 10.1.0 (compilación 1.4.0) Safari/8536.25).

  4. En Safari, abra el sitio Web que quiere guardar como una lista de lectura (archivo Web).

  5. En la barra Menú, vaya a Marcadores > Añadir a la lista de lectura. Esta operación puede tardar varios minutos. El archivado se ejecuta en el segundo plano.

  6. Busque la lista de lectura archivada: en la barra Menú, vaya a Visualización > Mostrar barra lateral de lista de lectura.

  7. Verifique el archivado:

    • Desactive la conectividad de red en el Mac.
    • Abra el sitio Web desde la lista de lectura.

      El sitio Web debe generarse por completo.

  8. Comprima el archivo Web: En el Finder, haga clic en el menú Ir en la barra Menú, elija Ir a la carpeta, introduzca la ruta ~/Library/Safari/ReadingListArchives/, y comprima la carpeta que tiene como nombre una cadena hexadecimal aleatoria. Éste es el archivo que puede enviar a la asistencia técnica de Citrix cuando abra un tíquet de asistencia.

Características de Secure Web

Secure Web utiliza las tecnologías de intercambio de datos móviles para crear un túnel VPN dedicado para el acceso de los usuarios a sitios Web internos y externos, y a todos los demás sitios Web, incluidos los sitios con información confidencial, en un entorno protegido por las directivas de su organización.

La integración de Secure Web con Secure Mail y Citrix Files ofrece una experiencia de usuario fluida, contenida en el entorno seguro de Endpoint Management. Éstos son algunos ejemplos de las funciones de integración:

  • Cuando los usuarios tocan en enlaces mailto, se abre un nuevo mensaje de correo electrónico en Citrix Secure Mail sin necesidad de volver a autenticarse.
  • En iOS, los usuarios pueden abrir un enlace en Secure Web desde una aplicación de correo electrónico nativa si insertan ctxmobilebrowser:// delante de la URL. Por ejemplo, para abrir example.com desde una aplicación de correo electrónico nativa, use la dirección URL ctxmobilebrowser://example.com.
  • Cuando los usuarios hacen clic en un enlace de intranet dentro de un mensaje de correo electrónico, Secure Web va a ese sitio de la intranet sin necesidad de volver a autenticarse.
  • Los usuarios pueden cargar archivos en Citrix Files, que pueden descargar de la Web mediante Secure Web.

Asimismo, los usuarios de Secure Web pueden realizar las siguientes acciones:

  • Bloquear ventanas emergentes.

    Nota:

    Mucha de la carga de memoria de Secure Web se dedica a la generación de ventanas emergentes, de modo que el rendimiento suele mejorar si se selecciona la opción de bloqueo de las ventanas emergentes en los Parámetros.

  • Añadir sus sitios favoritos como Marcadores.
  • Descargar archivos.
  • Guardar páginas sin conexión.
  • Guardado automático de contraseñas.
  • Borrar caché, historial y cookies.
  • Inhabilitar cookies y almacenamiento local de HTML5.
  • Compartir dispositivos de forma segura con otros usuarios.
  • Hacer búsquedas desde la barra de direcciones.
  • Permitir que las aplicaciones Web que los usuarios ejecutan dentro de Secure Web accedan a su ubicación.
  • Exportar e importar parámetros.
  • Abrir archivos directamente en Citrix Files, sin necesidad de descargarlos. Para habilitar esta característica, agregue ctx-sf: a la directiva “Direcciones URL permitidas” en Endpoint Management.
  • En iOS, puede usar acciones de 3D Touch para abrir una nueva pestaña y acceder a páginas sin conexión, sitios favoritos y descargas directamente desde la pantalla inicial.
  • En iOS, puede descargar archivos de cualquier tamaño y abrirlos en Citrix Files y otras aplicaciones.

    Nota:

    Si Secure Web se pone en segundo plano, la descarga se detiene.

  • Buscar un término en la vista de la página actual con la opción Buscar en la página.

    Imagen de la opción Buscar en la página

Secure Web también admite el texto dinámico, por lo que muestra la fuente que los usuarios configuran en sus dispositivos.

Formatos de archivo respaldados

Nota:

Secure Web no respalda la reproducción de vídeo para ninguna plataforma.

Los siguientes formatos de archivo son compatibles con iOS:

Sonido Imagen Documento
.aac .jpeg .txt
.mp3 .png .pdf
.wav .gif .ppt
  .gif animado .doc
    .docx
    .xls
    .xlsx

Los siguientes formatos de archivo son compatibles con Android:

Sonido Imagen Documento; Para obtener una vista previa de los documentos en Android, debe tener instaladas aplicaciones de Office como, por ejemplo, QuickEdit.
.flac .jpeg .txt
.aac .png .pdf; Solo descarga. Abrir en QuickEdit u otra aplicación para obtener una vista previa.
.m4a .gif .ppt
.3gp (AMR-NB) .gif animado .doc
.mp3   .docx
.wav   .xls
.wma   .xlsx