Documentación de productos
Aplicación Citrix Workspace
Ver PDF

Caso 2

April 10, 2024
Contribución de: 
C

Este caso trata de cómo habilitar App Protection para dispositivos que no son de confianza.

Hay muchas definiciones de dispositivos de confianza y de dispositivos que no son de confianza. Para este caso, consideremos un dispositivo de confianza si el análisis de Endpoint Analysis (EPA) se realiza correctamente. Todos los demás dispositivos se consideran dispositivos que no son de confianza.

  1. Configure la autenticación adaptable.

  2. Cree una directiva de autenticación con el análisis de EPA mediante estos pasos:

    1. Inicie sesión en la interfaz de usuario de administración de Citrix ADC. En la ficha Configuration, vaya a Security > AAA-Application Traffic > Virtual Servers. Haga clic en el servidor virtual que quiera usar; auth_vs en este caso.

      Servidores virtuales

    2. Vaya a Authentication Policies > Add Binding.

      Directivas de autenticación

      Agregar enlace

    3. Haga clic en Add para crear una directiva.

      Vinculación de directivas

    4. Cree una directiva de autenticación basada en el análisis de EPA. Introduzca el nombre de la directiva. En Action Type, seleccione EPA. Haga clic en Add para crear una acción.

      Crear directiva de autenticación

      Aparecerá la pantalla Create Authentication EPA Action.

      Crear EPA de autenticación

    5. En la pantalla Create Authentication EPA Action, introduzca estos detalles y haga clic en Create para crear una acción:
      • Name: El nombre de la acción de EPA. En este caso, EPA_Action_FileExists.
      • Default Group: Introduzca el nombre del grupo predeterminado. Si la expresión EPA es True, los usuarios se agregan al grupo predeterminado. Aquí, Default Group es FileExists.
      • Quarantine Group: Introduzca el nombre del grupo de cuarentena. Si la expresión de EPA es False, los usuarios se agregan al grupo de cuarentena.
      • Expression: Agregue la expresión de EPA que quiera analizar. En este ejemplo, consideramos que el análisis de EPA es correcto si hay un archivo en particular: sys.client_expr("file_0_C:\\\\epa\\\\avinstalled.txt")

      Regresará a la pantalla Create Authentication Policy.

    6. Escriba true en el editor de expresiones y haga clic en Create.

      EPA de autenticación en true

      Regresará a la pantalla Policy Binding.

    7. En la pantalla Policy Binding, haga lo siguiente:

      1. En Goto Expression, seleccione NEXT.

      2. En la sección Select Next Factor, seleccione la directiva de LDAP que configuró para la autenticación en el Application Delivery Controller (ADC).

      3. Haga clic en Bind.

        Detalles de la vinculación de directivas

  3. Cree una directiva de Smart Access para dispositivos de confianza:

    1. Seleccione Smart Access Policies en la página Authentication Virtual Server del servidor auth_vs.

      Servidores virtuales de autenticación

    2. Haga clic en Add Binding.

      Agregar enlace

    3. En la pantalla Policy Binding, haga clic en Add en la sección Select Policy.

      Seleccione la directiva

      Aparece la pantalla Create Authentication Smart Access Policy.

      Smart Access de autenticación

    4. En la pantalla Create Authentication Smart Access Policy, introduzca el nombre de la directiva de Smart Access en Name y haga clic en Add para crear un perfil de Smart Access.

      Aparecerá la pantalla Create Authentication Smart Access Profile.

    5. Agregue el nombre de la acción en Name. Introduzca trusted en Tags. Luego se hace referencia a la etiqueta en la regla de la directiva de acceso con intermediario para su configuración. Haga clic en Crear.

      Crear perfil de autenticación

      Regresará a la pantalla Create Authentication Smart Access Policy.

    6. En la sección Expression, introduzca la expresión para la que quiere insertar la etiqueta. En este caso, como la etiqueta se inserta para dispositivos de confianza, introduzca AAA.USER.IS_MEMBER_OF("FileExists"). Haga clic en Crear.

      Etiqueta para dispositivos de confianza

      Regresará a la pantalla Policy Binding.

    7. En Goto Expression, seleccione End y haga clic en Bind.

      Seleccione la expresión Goto

  4. Cree una directiva de Smart Access para dispositivos que no sean de confianza:

    1. Siga las instrucciones del paso anterior, excepto los subpasos v y vi.

    2. Para el subpaso v, en la pantalla Create Authentication Smart Access Profile, agregue un nombre para la acción en Name. Introduzca untrusted en Tags. Luego se hace referencia a la etiqueta en la regla de la directiva de acceso con intermediario para su configuración. Haga clic en Crear.

    3. Para el subpaso vi, en la sección Expression de la pantalla Create Authentication Smart Access Policy, introduzca la expresión para la que quiere insertar la etiqueta. En este caso, como la etiqueta se inserta para dispositivos que no son de confianza, introduzca AAA.USER.IS_MEMBER_OF("FileExists").NOT.

  5. Configure las reglas de directivas de acceso con intermediario:

    1. Instale el SDK de PowerShell para Citrix y conéctese a la API de la nube como se explica en el blog de Citrix Getting started with PowerShell automation for Citrix Cloud.

    2. Ejecute el comando Get-BrokerAccessPolicyRule.

      Se muestra una lista de todas las directivas de acceso con intermediario para todos los grupos de entrega presentes.

    3. Busque el DesktopGroupUid del grupo de entrega que quiere cambiar.

      UID de grupo de escritorios

    4. Obtenga las directivas que se aplican solo a un grupo de entrega en particular mediante el comando:

      Get-BrokerAccessPolicyRule -DesktopGroupUid 7

    5. Para filtrar los usuarios mediante dispositivos de confianza, cree otra directiva de acceso con intermediario mediante el comando:

      New-BrokerAccessPolicyRule -Name CAP_Desktops_AG_Trusted-DesktopGroupUid 7 - AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated - AllowRestart $true -Enabled $true-IncludedSmartAccessFilterEnabled $true

    6. Para inhabilitar App Protection para dispositivos de confianza y habilitar App Protection para dispositivos que no son de confianza, utilice este comando:

      Set-BrokerAccessPolicyRule CAP_Desktops_AG_trusted -IncludedSmartAccessTags Workspace:trusted -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

      Set-BrokerAccessPolicyRule CAP_Desktops_AG -IncludedSmartAccessTags Workspace:untrusted -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

  6. Verificación:

    Cierre sesión en la aplicación Citrix Workspace e iníciela de nuevo. Inicie el recurso protegido desde un dispositivo de confianza, uno que cumpla con la condición del análisis de EPA. Verá que las directivas de App Protection no se aplican. Inicie el mismo recurso desde un dispositivo que no sea de confianza. Verá que las directivas de App Protection se aplican.

Caso 2
April 10, 2024
Contribución de: 
C
April 10, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.